DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

LAN-Party am Drucker

Ja, nicht nur USB-Geräte ver­fügen über genügend „Rechen-Potenzial“, um diese zweck­ent­fremdet zu nutzen. Auch in Dru­ckern stecken nicht nur ein­ge­baute Fest­platten, sondern ein kleiner PC.
 

 

Wer hätte das gedacht? Wer im Unter­nehmen keinen freien PC zum Zocken findet, nimmt einfach den Drucker dafür. Dabei ist Doom keine tri­viale App mit geringen Sys­tem­an­for­de­rungen.

Nun, ganz so einfach ist es natürlich nicht. Die Bot­schaft der Sicher­heits­for­scher an die IT-Ver­­an­t­­wor­t­­lichen ist jedoch sehr ernst zu nehmen: Es steckt viel Potenzial in einem modernen Drucker. Dieser ist ein fast voll­wer­tiges End­gerät. Wenn dieses nicht abge­si­chert wird, kann großer Schaden ent­stehen.

Die zen­tralen Fragen für die Beur­teilung der resul­tie­renden Gefährdung sind:

  • Ist der Drucker „online”?
    Wenn der Drucker „ins Internet gehen kann” oder aus der Internet heraus erreichbar und nicht durch eine Firewall gesi­chert ist, besteht die Mög­lichkeit, Druck­auf­träge und Daten direkt ins Internet zu senden – oder aus dem Internet heraus aufs Netzwerk zuzu­greifen.
  • Benötigt das Web-Inter­­face/­­Be­­triebs­­­system eine Anmeldung?
    Wie auch beim PC sind Mani­pu­la­tionen an der Firmware und Software möglich, wenn der Zugriff darauf nicht abge­si­chert ist.
  • Gibt es einen Standard-Account mit Standard-Passwort?
    Der Klas­siker. Ein Gerät wird gekauft und der Standard-Admi­­nis­­tra­­tions-Account wird benutzt und das Kennwort nicht geändert! Nur leider sind diese Pass­wörter im Internet frei ver­fügbar.
  • Kann auf einen Drucker zu Fern­war­tungs­zwecken aus dem Internet zuge­griffen werden?
    Wie weit reicht dieser Zugriff? Können auch Daten der instal­lierten Fest­platte aus­ge­lesen werden?
  • Wird die ein­ge­baute Fest­platte regel­mäßig „voll­ständig” gelöscht?
    Wie auch beim PC müssen nicht mehr benö­tigte Daten regel­mäßig mit einem sicheren Ver­fahren gelöscht werden. Wer Zugriff auf die Fest­platte hat, kann sich sonst frei an der schrift­lichen (gedruckten) Kor­re­spondenz bedienen.
  • Können auf der ein­ge­bauten Drucker-Fes­t­­platte (unbe­merkt) weitere Daten abgelegt werden?
    Ist die Fest­platte evtl. über Tools direkt adres­sierbar?
  • Kann geprüft werden, ob die Software nach­träglich mani­pu­liert wurde?
  • „Cloud-Fun­k­­tionen beim Druck”
    Gibt es Cloud-Fun­k­­tionen, bei der die Druck­auf­träge das eigene Netzwerk ver­lassen?
  • Was geschieht bei einer Wartung/ Defekt mit den ein­ge­bauten Fest­platten
  • Was geschieht mit der gesam­melten (gedruckten) Geschäfts­kor­re­spondenz?

Fazit:

In jedem Drucker steckt ein kleiner PC. Jedes Unter­nehmen sollte daher über ein Sicher­heits­konzept ver­fügen, das nicht nur mobile Geräte berück­sichtigt, sondern auch Drucker umfasst. Eine gute End­­point-Security kon­trol­liert die Arbeit der Pro­gramme im eigenen Netzwerk, deren Kom­­mu­­ni­­ka­­tions-Kanäle (Ports) und deren Daten­ströme.

Bild: © Pixelot / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.