Streng ver­trau­lich: Dru­cker-Sicher­heit leicht gemacht

Wie sicher ist der Druck-Work­flow? Print­sys­te­me wer­den häu­fig außer Acht gelas­sen, wenn es um die Netz­werk­si­cher­heit geht – mit unan­ge­neh­men Fol­gen, denn Cyber-Kri­mi­nel­le fin­den ver­netz­te Dru­cker immer attrak­ti­ver. Print-Sicher­heits­lö­sun­gen von Canon schlie­ßen poten­zi­el­le Ein­falls­to­re und erhö­hen die Dru­cker-Sicher­heit

Cyber-Atta­cken wer­den häu­fi­ger: Deut­sche Unter­neh­men rücken zuneh­mend in den Fokus von Angrei­fern, mel­de­te unter ande­rem der Bran­chen­ver­band Bit­kom e.V. im August 2024. In den ver­gan­ge­nen Jah­ren kris­tal­li­sier­te sich zudem ein neu­es Ziel für Daten­dieb­stahl und Schad­soft­ware her­aus: Netz­werk­dru­cker und ‑Mul­ti­funk­ti­ons­sys­te­me gera­ten immer häu­fi­ger ins Visier von Hackern. Kein Wun­der, denn moder­ne MFPs sind nicht nur mit gro­ßen Fest­plat­ten­spei­chern aus­ge­rüs­tet, sie bie­ten auch eine Rei­he von Netz­werk­diens­ten, etwa für die direk­te Ver­tei­lung von Doku­men­ten aus der Dru­cker-Hard­ware her­aus. Die­se umfas­sen häu­fig sen­si­ble, per­sön­li­che Daten, die einer beson­de­ren Ver­trau­lich­keit unter­lie­gen.

Stief­kind Dru­cker-Sicher­heit

Print-Hard­ware wird in vie­len Unter­neh­men jedoch nicht oder nicht aus­rei­chend gesi­chert. Die Grün­de dafür sind unter­schied­lich: So ist man sich häu­fig über die poten­zi­el­le Sicher­heits­ge­fahr aus dem Dru­cker nicht bewusst – dabei sind moder­ne MFPs Mini-Rech­ner, die prak­tisch jede Rechen­ope­ra­ti­on durch­füh­ren kön­nen. Das macht auch Mani­pu­la­tio­nen mög­lich. Dru­cker wer­den zudem oft­mals nicht als Teil der Netz­werk­in­fra­struk­tur gese­hen und in Sachen Sicher­heit stief­müt­ter­lich behan­delt.

Das kann fata­le Fol­gen haben. Gelan­gen Daten in unbe­fug­te Hän­de, dro­hen nicht nur Stra­fen auf­grund Ver­stö­ßen gegen Daten­schutz­ge­set­ze wie der DSGVO. Ein Daten-Leak scha­det dem Ruf des Unter­neh­mens und geht häu­fig mit einem Kun­den­ver­lust ein­her. Und Gefah­ren birgt nicht nur ein Daten­dieb­stahl. Hacker kön­nen den Print-Work­flow – und damit den Betriebs­ab­lauf – auch stö­ren oder ver­hin­dern.

Indi­vi­du­el­le Sicher­heits­kon­zep­te

Die Dru­cker­in­fra­struk­tur in das Secu­ri­ty-Kon­zept zu inte­grie­ren, ist unver­zicht­bar, um kost­spie­li­ge und ruf­schä­di­gen­de Atta­cken zu ver­mei­den. Wie das in der Pra­xis kon­kret gelingt, ist indi­vi­du­ell. So unter­schei­det sich ein Sicher­heits­kon­zept in einem klei­nen Betrieb in der Regel deut­lich von dem eines Groß­un­ter­neh­mens allein schon auf­grund der Netz­werk­to­po­lo­gie und der Anzahl der Print­sys­te­me. Kom­men neben der sta­tio­nä­ren PC-Hard­ware an den Arbeits­plät­zen zusätz­lich Note­books und Tablet bei mobi­ler Arbeit zum Ein­satz, erfor­dert das eben­falls spe­zi­fi­sche Dru­cker-Sicher­heits-Kon­zep­te. Um unter­schied­li­chen Secu­ri­ty-Vor­ga­ben gerecht zu wer­den, stat­tet Canon Print-Sys­te­me mit einer Viel­zahl aktu­el­ler Secu­ri­ty-Funk­tio­nen aus. Sie las­sen sich pas­send zu den spe­zi­fi­schen Anfor­de­run­gen kon­fi­gu­rie­ren, unter ande­rem zur jewei­li­gen Netz­werk­um­ge­bung. Die umfang­rei­chen Inves­ti­tio­nen in Secu­ri­ty-Fea­tures sowie die inno­va­ti­ven, breit auf­ge­stell­ten Sicher­heits­lö­sun­gen brach­ten dem Her­stel­ler vor Kur­zem die Aus­zeich­nung zum „Print Secu­ri­ty Lea­der“ ein: Das Markt­for­schungs­in­sti­tut Quo­cir­ca sieht Canon in sei­nem Print Secu­ri­ty Land­sc­pae Report 2024 als eines der füh­ren­den Unter­neh­men im Bereich der Dru­cker­si­cher­heit.

Indi­vi­du­el­le Dru­cker-Sicher­heits­lö­sun­gen

Klei­ne Betrie­be grei­fen in der Regel auf einen geschlos­se­nen Netz­werk­kreis zu, den es zu sichern gilt. Dage­gen ver­fü­gen gro­ße Unter­neh­men mit meh­re­ren Stand­or­ten typi­scher­wei­se über eine seg­men­tier­te Netz­werk­to­po­lo­gie und nut­zen meh­re­re Mul­ti­funk­ti­ons­sys­te­me. Auf die­se lässt sich über Druck­ser­ver zugrei­fen, die jeweils über sepa­ra­te VLANs bereit­ge­stellt wer­den. Das ermög­licht es auch, spe­zi­fi­sche Sicher­heits­vor­keh­run­gen für einen Teil des Netz­werks zu ergrei­fen. Dazu kann etwa eine IP- und MAC-Adres­sen­fil­te­rung zäh­len, die einen Daten­aus­tausch nur mit defi­nier­ten Adres­sen erlaubt. Unbe­fug­te Netz­werk­zu­grif­fe blo­ckiert eine IEEE 802.1X-Authentifizierung: Nur frei­ge­ge­be­ne Cli­ent­sys­te­me kön­nen bei Nut­zung die­ser Sicher­heits­op­ti­on auf die Print-Hard­ware zugrei­fen.

Fest­plat­te & Zugrif­fe schüt­zen

Ein poten­zi­el­les Angriffs­ziel sind auch die Fest­plat­ten in Dru­ckern und MFPs. Canon ver­schlüs­selt die­se unter ande­rem bei allen Prin­tern der Modell­rei­he imageRUN­NER ADVANCE DX. Zudem wer­den bestimm­te Daten, wie etwa gescann­te Bil­der oder Infor­ma­tio­nen zu über einen Com­pu­ter aus­ge­druck­ten Doku­men­ten auto­ma­tisch gelöscht.

Soft­ware-Lösun­gen wie uni­F­LOW und der Uni­ver­sal Log­in Mana­ger umfas­sen Nut­zer-Authen­ti­fi­zie­run­gen, die nicht nur einen kom­for­ta­blen Zugriff auf indi­vi­du­el­le Ein­stel­lun­gen gewähr­leis­ten. Sie eröff­nen auch umfang­rei­che Zugriffs­kon­trol­len. Um zu ver­hin­dern, dass Print-Doku­men­te mit sen­si­blen Daten in unbe­fug­te Hän­de gera­ten, bie­tet Canon Optio­nen für siche­ren Druck: Die Aus­ga­be am Gerät erfolgt erst nach PIN-Ein­ga­be.

Die Sys­te­me der Bau­rei­he imageRUN­NER ADVANCE ver­fü­gen außer­dem über ein soge­nann­tes Trus­ted Plat­form-Modul (TPM). Dabei han­delt es sich um einen nicht mani­pu­lier­ba­ren Sicher­heits­chip nach offe­nen Stan­dards, auf dem Pass­wör­ter, digi­ta­le Zer­ti­fi­ka­te und Kom­mu­ni­ka­ti­ons­schlüs­sel gespei­chert wer­den.

Mani­pu­la­tio­nen ver­hin­dern

Um Mani­pu­la­tio­nen recht­zei­tig zu bemer­ken und etwa Schad­soft­ware erst gar nicht ins Netz­werk gelan­gen zu las­sen, begin­nen Canon-Prin­ter jeden Sys­tem­start mit einem Check im abge­si­cher­ten Modus. Dabei wer­den der Start­code, das Betriebs­sys­tem, die Firm­ware und die MEAP-(Multifunctional Embedded Appli­ca­ti­on Plat­form) Anwen­dun­gen über­prüft. Mit MEAP las­sen sich ver­schie­de­ne Funk­tio­nen und damit auch der Print-Work­flow opti­mie­ren. Erst nach erfolg­rei­cher Prü­fung ver­bin­det sich der Prin­ter mit dem Netz­werk. Im lau­fen­den Betrieb schützt die Soft­ware Trel­lix Embedded Con­trol vor Soft­ware­än­de­run­gen und der Aus­füh­rung von nicht-auto­ri­sier­ten Pro­gramm­code. Das Tool basiert auf einer intel­li­gen­ten, echt­zeit­fä­hi­gen White­list und stellt sicher, dass sich nur auto­ri­sier­te Anwen­dun­gen auf dem Gerät aus­füh­ren las­sen.

Mehr­stu­fi­ge Dru­cker-Sicher­heit

Ob direkt am Dru­cker, über das Netz­werk oder die Fest­plat­te: Unge­si­cher­te Dru­cker-Hard­ware gibt mehr Infor­ma­tio­nen preis, als Unter­neh­men lieb ist. Ver­schie­de­ne Print-Secu­ri­ty-Lösun­gen zu imple­men­tie­ren, dient somit der Sicher­heit des gesam­ten Unter­neh­mens. Lösun­gen von Canon erlau­ben einen mehr­stu­fi­gen Schutz – vor Daten­spio­na­ge eben­so wie vor Mani­pu­la­tio­nen.

Tipp: Auch in der aktu­el­len Fol­ge des Canon Pod­cast „Canon OnAir, Let’s talk“ geht es um Dru­cker-Sicher­heit Mehr Infor­ma­tio­nen über die Sicher­heits­funk­tio­na­li­tät der Mul­ti­funk­ti­ons­sys­te­me der imageRUN­NER ADVAN­CE-Bau­rei­he gibt in die­sem White­pa­per.