SIT_Logo

Tatort Drucker

  • Autor: Axel Allerkamp
  • Die Informationstechnologie hat unseren Alltag bereits weitgehend durchdrungen, Büro, Produktion und Alltag sind ohne Netzwerktechnik und Internet nicht mehr denkbar. Mit dem steigenden IT-Einsatz erhöht sich jedoch auch die Abhängigkeit von den Systemen. Umso wichtiger wird der Schutz vor Angriffen und Systemausfällen. Oft vernachlässigen Administratoren und Manager Bedrohungen und Schwachstellen, die sich abseits von Hackern und Viren befinden. Ein Beispiel für eine solch versteckte Gefahr sind die Drucker.

    Der Traum vom papierlosen Büro wird sich auch in nächster Zeit nicht erfüllen: Ob Geschäftsbericht, Vertrag oder Kantinen-Speiseplan – früher oder später wird jedes Dokument gedruckt. Die Ausfallsicherheit von Druckern ist deshalb für Unternehmen von großer Wichtigkeit. Sehr häufig wird das Funktionieren der Drucker zur Messlatte der IT Abteilung. Dass Drucker oft eine große Sicherheitslücke in der Unternehmens-IT darstellen, über die wichtige Firmeninformationen unbemerkt das Haus verlassen, ist vielen Managern und Administratoren leider nicht bewusst.

    Jeder Administrator, IT–Verantwortliche und Sicherheitsbeauftragte entspannt sich, sobald die Drucker und Kopierer von externen Partnern gewartet und betreut werden. So bleibt mehr Zeit, sich den wirklich wichtigen Dingen im täglichen Kampf zwischen Gut und Böse zu widmen. Die immer größer werdende Zahl von Hackern und Spamern verlangt höchste Konzentration. Die Angriffsszenarien und Bedrohungen werden immer komplexer. Um es Angreifern möglichst schwer zu machen, stecken viele Unternehmen viel Zeit und Geld in den Schutz der IT–Landschaft. Die Drucker werden dabei jedoch oft nicht genügend berücksichtigt.

    In vielen Büros finden sich All-in-one Geräte, auch MFP genannt, welche die Funktionen Kopieren, Scannen und Drucken in einem Gerät verbinden. Die Vorteile liegen auf der Hand. Benutzerfreundlichkeit und Funktionsvielfalt erlauben eine flexible Arbeitsorganisation. Anpassungsfähige Leasing- und Wartungsverträge entlasten die Administratoren und sorgen für funktionierende Drucker und glückliche Nutzer. Professionelle Angreifer werden in dieser Vorstellungswelt jedoch ausgeblendet – zu Unrecht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst erst darauf hingewiesen, dass die Zahl der Hacker zunimmt, die systematisch und gezielt vorgehen.

    Sobald eine Firma in das Visier eines professionellen Angreifers – intern oder extern – gerät, wird dieser gezielt nach Schwachstellen suchen, um Bereiche zu ermitteln, in denen er möglichst lange unentdeckt seinem Handwerk nachgehen kann. Das Überwinden von Firewalls und das Tarnen vor Intrusion Detection Systemen verlangt von einem externen Angreifer viel Know-how. Der Aufwand ist hoch, die Gefahr, entdeckt zu werden, ebenso. Systematisch agierende Angreifer werden deshalb insbesondere nach Schwachstellen Ausschau halten, wie sie abseits der ausgetretenen Hackerpfade zu finden sind.

    Das MFP Gerät stellt hier einen besonders guten Angriffspunkt dar, denn die Wahrscheinlichkeit, wichtige Informationen abfangen zu können, ist hoch.
    Wichtige IT-Infrastruktur ist vor unberechtigtem Zugriff durch separate Räume, Türen und Schränke geschützt. Drucker sind öffentlich zugänglich. In so einem Gerät finden sich ähnliche Komponenten wieder, wie sie auch in Computern eingesetzt werden – damit lassen sich viele netzwerktypische Angriffsszenarien in abgeänderter Weise anwenden. Neben zahlreichen Speichern ist die Anzahl der Kommunikationsprotokolle hoch. Diese Komplexität ermöglicht große Flexibilität im Einsatz, schafft jedoch auch zahlreiche Angriffspunkte. Neben den Hauptfunktionen laufen auf solchen Maschinen weitere Dienste. Ein Webserver und entsprechende Webapplikation stellen die Minimalkonfiguration dar und werden um Dienste wie E-Mail ergänzt. Diese Implementierungen und Konfigurationen sind ebenfalls nicht fehlerfrei und ermöglichen so das Ausnutzen von Schwachstellen, die durch das Zusammenspiel der unterschiedlichen Komponenten entstehen.

    Standardmäßig erfolgt eine remote Administration über telnet, ssh oder die Weboberfläche. MFPs lassen sich in eine bestehende IT-Infrastruktur (z.B. LDAP, ADS) integrieren und können als Schnittstelle zu Dokumentenmanagementsystemen fungieren. Unachtsamkeit und Desinteresse seitens der Administratoren und mangelhafte Implementierung der Funktionen machen es möglich, dass der MFP zum Tatort wird. Sowohl für passive als auch aktive Angriffe kann ein All-in-One–Gerät missbraucht werden.

    Die häufigste Variante wird sicherlich das Erspähen von sensiblen Daten sein. Bei der unverschlüsselten Kommunikation mit dem Gerät kann der Datenverkehr aufgezeichnet und rekonstruiert werden. Als Angriffsziel kann auch die Webapplikation dienen, welche durch XSS und SQL-Injections kompromittiert werden kann und so Zugriff auf abgelegte Dokumente ermöglicht. Im Vergleich hierzu sind Denial-of-Service Angriffe, hervorgerufen durch einfache Protokollanomalien, sehr einfach zu realisieren. Für den Angreifer ist eine solche Art von Angriffen nicht besonders lukrativ.

    Damit aber nicht genug, das All-in-One Gerät kann nicht nur das Ziel eines Angriffes sein, sondern auch als Sprungbrett für weitere Aktivitäten verwendet werden. Mit einfachsten technischen Hilfsmitteln und Verfahren können Angreifer so die IT-Infrastruktur ausspionieren und Spoofing-Angriffe durchführen. Besonders kritisch gestaltet sich dieses Szenario, wenn der MFP mit Produktivsystemen wie CMS- oder ERP-Systemen gekoppelt ist. Diese Attacken fallen in den Logfiles selten auf, da es sich um eine interne Adresse handelt.

    In der Werbung der Hersteller finden sich häufig Versprechen, dass das Gerät den aktuellen Anforderungen der IT-Sicherheit entspricht. Standards und Vergleichbarkeit sind nicht etabliert. Einzelne Hersteller verstecken sich mit dem Produkt hinter Common Criteria Zertifikaten. Diese Zertifikate gelten jedoch meist nur für Einzelkomponenten und haben keine Aussagekraft hinsichtlich einer gesamtheitlichen Betrachtungsweise. Sprich: Sie erlauben keine Rückschlüsse bezüglich der Angriffssicherheit. Sinnvolle Sicherheitsfunktionen sind oft nur optional zu erwerben und schlagen sich dann auch deutlich im Preis nieder.

    Die Hersteller solcher Geräte sind in die Pflicht genommen, den Blick auf die Sicherheit zu lenken. Bereits bei Architektur und Konzeption ist der Schwerpunkt auf einen möglichst sicheren Betrieb zu legen. Diese Entwicklungen werden Zeit benötigen, bis diese den Markt durchdringen und ihre Wirkung entfalten. An der technischen Entwicklung kann der Endanwender nur wenig ändern. IT-Sicherheit fängt bei der Auswahl der Produkte und Supportpartner an und bleibt während des gesamten Lebenszyklus bestehen. Basierend auf einer individuell abgestimmten Risikoanalyse können Unternehmen zudem bereits mit einfachen Maßnahmen die IT-Sicherheit erhöhen und MFP-Angriffe verhindern oder zumindest erschweren. Sinnvolle organisatorische Maßnahmen sind:

    • All-in-One Geräte bei der Risikoanalyse berücksichtigen
    • Einbinden der MFPs in die vorhandene Sicherheitsarchitektur
    • Konfiguration und Ändern der Defaultwerte (z. B. Aktivieren von Zugriffskontrolle, SSL und SNMPv3)
    • Nicht benötigte Dienste ausschalten oder die Nutzung erforderlicher Dienste einschränken
    • Dienste nur über vertrauenswürdige Netze anbieten
    • Logfiles sammeln und auswerten
    • Anpassung der Netztopologie, MFPs in separate VLAN Segmente einordnen
    • Vor Ort Kontrolle

    Eine umsichtige Planung und Integration in eine bestehende Sicherheitspolicy kann verhindern, dass der Drucker zum Tatort wird und so die Sicherheit des Unternehmens gefährdet.

  • Erschienen in "IT-Sicherheit Fachmagazin für Informationssicherheit und Compliance"
    Ausgabe 3-4/2006, Autor: Axel Allerkamp, Dipl. - Ing., wissenschaftlicher Mitarbeiter am Fraunhofer Institut Sichere Informationstechnologie SIT in Darmstadt,
    Projektleiter im Testlabor IT-Sicherheit