Warum auch scheinbar unverfängliche Büro-Hardware im Firmennetzwerk genauso geschützt sein muss wie PCs und Server
Kundenlisten, Preiskalkulationen und Gehaltsabrechnungen sind vertrauliche Dokumente. Das wusste man auch schon, bevor Daten digital gespeichert wurden. Nicht umsonst bewahren Geschäftsführer, Vertriebler und Personalchefs solche Papierdokumente auch heute noch in verschlossenen Schränken auf und vertrauen sie später dem Shredder an. Zugleich klopft sich jeder Firmenchef auf die Schulter, weil er ja auch seine PCs, Laptops und Server mit Anti-Virus-Programm und Firewalls gegen Hacker bestens gesichert hat. Gefahr erkannt, Gefahr gebannt?
Die Gefahr lauert im Netzwerk
„Leider nein“, weiß Markus Ochs. „Denn es gibt im Büro weitere Hardware, die oft ebenfalls ins Netzwerk, nicht aber ins Sicherheitskonzept integriert ist.“ Damit meint er Drucker, Faxgeräte, Scanner, Kopierer und so genannte Multifunktionsgeräte, die einiges oder alles davon in sich vereinigen. Der Geschäftsführer der docunova GmbH im hessischen Rosbach v. d. H. weiß ganz genau, wovon er spricht. Denn er hat sich mit seinem Unternehmen auf Dokumentenmanagement, Konferenz- und Medientechnik sowie Druck- und Multifunktionssysteme spezialisiert. Es beliefert Kunden aus der gesamten Wetterau – von Echzell über Friedberg und Gedern bis Wölfersheim –, dem Rhein-Main-Gebiet und darüber hinaus. Firmen aus jeder Branche zählen auf die Erfahrung in Sachen Büroelektronik auch im Projektgeschäft.
Einfallstore für Hacker
Hardware im WLAN und im Firmennetzwerk benötigen ähnliche Sicherheitseinstellungen wie ein PC, Laptop, Tablet oder Server. Denn letztlich sind sie nichts anderes, verfügen über Prozessor, Festplatte, Arbeitsspeicher und Netzwerkmodul. Zudem sind sie über allgemeine Protokolle (beispielsweise HTTP, FTP, TELNET oder SNMP) oder gerätespezifische Protokolle (Printer Control Language oder Printer Job Language) ans Netzwerk angebunden wie andere Hardware auch.
Neben dem klassischen USB-, WLAN- und Netzwerkanschluss gibt es noch Bluetooth und NFC (Near Field Communication). Jede dieser Schnittstellen ist ein potenzielles Einfallstor für Hacker und andere Datendiebe. Ebenso Speicher wie RAM, Festplatten oder SSDs, die Druckdaten zwischenspeichern und oft noch wochen- oder monatelang sämtliche Druckjobs oder Scans aufbewahren, wenn sie nicht bewusst gelöscht werden.
Lesen und abgreifen
Stellen wir uns doch ein typisches Büroszenario vor: Alle Mitarbeiter im Großraumbüro oder auf einer Etagen nutzen einen zentralen Drucker übers Netzwerk – ob für einfache Werbebriefe oder sensible Kalkulationen für eine Ausschreibung. Außerdem scannen sie Krankmeldungen und verschicken diese per E-Mail an die Personalabteilung. Ohne strikte Regelungen zum Umgang mit Drucker, Scanner & Co. kann also jeder Mitarbeiter jedes ausgedruckte Dokument abgreifen und lesen – ganz zu schweigen von Dokumenten, die auf der Glasplatte vergessen wurden. Lesen und abgreifen kann auch jeder Hacker auf virtuellem Weg. Dann nämlich, wenn er bei einem Cyberangriff Schadsoftware installiert hat, die im Datenstrom des Druckers verborgen bleibt und von der Firewall nicht als solche erkannt worden ist.
„Viele Firmenchefs und selbst professionelle IT-Abteilungen wissen das nicht“, so Markus Ochs. Oder verdrängen es, könnte man hier ergänzen. Denn sie haben ja schon viel in andere Sicherheitsvorkehrungen investiert. Mal ehrlich: Was soll schon passieren? Ja, wir sind ehrlich: Es kann viel passieren! Die ausgedruckten Konstruktionspläne sind im abgeschlossenen Schrank zwar sicher verwahrt. Aber im Zwischenspeicher des Scanners für Hacker jederzeit ebenso zugänglich wie die Kalkulationen für das gerade laufende Angebot und die persönlichen Daten der Mitarbeiter.
Was Datendiebe anstellen
Nur ein paar Beispiele von vielen, was Datendiebe über Netzwerkdrucker & Co. so alles anstellen: Sie
· laden sich gescannte oder gedruckte Dokumente herunter.
· laden eigene Dokumente zum Drucken hoch.
· ändern die Gerätekonfiguration, etwa IP-Adresse, Zugriffsberechtigungen oder Druckeinstellungen.
· führen Verschleißerscheinungen herbei.
· missbrauchen die Geräte als Einfallstor für Angriffe auf das lokale Netzwerk.
Also: Dass PCs, Laptops, Server und ebenfalls ins Netzwerk eingebundene Smartphones vor unbefugtem Zugriff geschützt sind, ist gut – aber es genügt leider nicht. Auch den anderen elektronischen Büro-, insbesondere den Multifunktionsgeräten, ist Aufmerksamkeit in Sachen Sicherheit zu schenken.
Wenn der Handwerker den Speicher ausbaut
Und das nicht nur mit Blick auf anonyme Hacker aus der Ferne, sondern auch auf scheinbar vertraute Personen. Das können beispielsweise Handwerker, Wartungspersonal oder auch die eigenen Mitarbeiter sein. Besonders leichtes Spiel haben sie, wenn ausgedruckte Blätter im Ausgabefach liegen bleiben. Dem lässt sich allerdings mit einem verbindlichen Authentifizierungsverfahren leicht
ein Riegel vorschieben, beispielsweise indem jeder Nutzer am Gerät eine PIN eingeben oder eine Smartcard vorhalten muss, bevor der Druck beginnt.
Ein anderes Beispiel: Speichermedien, beispielsweise Festplatten speichern gedruckte Dokumente wochen-, manchmal sogar monatelang. Lässt sich das Gerät leicht öffnen, sind diese Speicher frei zugänglich und lassen sich in Minutenschnelle ausbauen und später auslesen. Das komplette Druckaufkommen lässt sich so rekonstruieren. Lässt sich das Multifunktionsgerät abschließen, müssten die Datendiebe schon rabiat vorgehen. Das Risiko dürfte ihnen zu hoch sein.
Sicherheitsempfehlungen vom Experten
Der docunova-Chef empfiehlt vor allem diese Sicherheitsmaßnahmen:
· Druckdaten verschlüsseln
· Sicherheitseinstellungen, Updates und Treiber zentral administrieren
· Druckrechte festlegen, beispielsweise durch Mengenbeschränkung der Ausdrucke innerhalb eines bestimmten Zeitraums
· Authentifizierung am Drucker per Chipkarte, PIN oder biometrischer Identifizierung (etwa Fingerabdruck oder Gesichtserkennung)
· Druckverhalten überwachen.
„Am komfortabelsten ist es freilich, sich von mir oder einem Mitglied aus meinem Team beraten zu lassen“, betont Markus Ochs. „Für jede Bürosituation und natürlich jedes einzelne Gerät geben wir die optimale Empfehlung ab. Dabei orientieren wir uns sowohl an der Sensibilität des Geschäftsfelds als auch am Budget.“ Denn nicht jede Firma muss gleich einer digitalen Festung gleichen. Und die Arbeitsabläufe dürfen ebenfalls nicht behindert werden.
Andererseits wäre es verhängnisvoll, wenn die Server bestens gesichert sind – und der Datendieb sich dann über den Drucker trotzdem Zugang verschafft. Markus Ochs: „Jede Kette ist nur so stark wie ihr schwächstes Glied. Das gilt auch in der digitalen Welt.“