Wie sicher sind Netzwerkdrucker?

Laserdrucker (Bild: Shutterstock/Piotr Adamowicz)

Die Frage wird von Insidern seit Jahren diskutiert, aber in den meisten Unternehmen kaum ernst genommen. Eine Untersuchung an der Universität Bochum hat jetzt für neuen Wirbel gesorgt. Hier erklärt silicon.de, worum es geht und was wichtig ist.

Anfang der Woche hat eine Meldung für Aufsehen gesorgt, wonach Bochumer Forscher bei der Untersuchung von Netzwerkdruckern nahezu aller relevanten Hersteller Sicherheitslücken gefunden haben, die Angreifern zum Teil umfassende Manipulationsmöglichkeiten einräumen. Dass Druckgeräte lokal leicht angreifbar sind, dass die in ihnen verbauten, immer größeren Speicher und Festplatten eine Fundgrube für Datenschnüffler und Datendiebe sind, und auch eine Gefahr darstellen, wenn die Geräte ausrangiert werden, ist schon länger bekannt.

Diese Aspekte sind aber weniger technische als eher organisatorische Sicherheitslücken. Daher konzentrierten sich die aktuelle Berichterstattung und die aktuelle Diskussion über die Sicherheit von Netzwerkdruckern vor allem auf den Teil der Untersuchung, der sich mit Angriffsmöglichkeiten aus der Ferne beschäftigte.

Laserdrucker (Bild: Shutterstock/Piotr Adamowicz)
Die Sicherheitslücken finden sich in einer Vielzahl von Laserdruckenr unterschiedlicher Hersteller (Bild: Shutterstock/Piotr Adamowicz)

Auch dabei ging es zum Teil um schon bekannte Angriffsmethoden. Neu ist aber zum Beispiel eine Methode, mit der sich über den Browser eines Opfers auf Druckaufträge zugreifen lässt. Dieser die Cross-Site-Drucker-Angriffe ist gegen Websites, die Dokumente verarbeiten, oder cloudbasierte Druckdienste wie Google Cloud Print durchführbar. Dafür machen Jens Müller, Vladislav Mladenov und Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit der Ruhr Universität Bochum zwar nicht die Browser-Anbieter verantwortlich, dennoch belohnte Google den Hinweis mit einer Prämie von 3133,70 Dollar.

Bereits früher hatten Forscher immer wieder auf Sicherheitslücken in Druckgeräten aufmerksam gemacht. Im Mai 2016 veröffentlichten etwa Wissenschaftler des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE bereits zum wiederholten Male Sicherheitslücken in Xerox-Geräten, aufgrund deren sich eine manipulierte Konfigurationsdatei einspielen ließ, die Unbefugten dann weitreichenden Zugriff ermöglichte. Allerdings listen die Bochumer Forscher auch Arbeiten auf, wonach vergleichbare Angriffe auf Geräte von Lexmark, Canon und “nahezu alle Geräte von HP” möglich waren.

Ebenfalls am Beispiel eines Xerox-Druckers hatte der Sicherheitsexperten Brendan O’Connor 2006 gezeigt, wie sich das Druckgerät für Angreifer als Ausgangspunkt für einen Einbruch ins Firmennetz verwenden lässt und wie sie Zugriff auf alle Dokumente erhalten können, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden.

Große Vielfalt angreifbarer Geräte erschreckte

Wesentlicher Unterschied der aktuellen Studie zu Sicherheitsproblemen bei Netzwerkdruckern im Vergleich zu diesen früheren Arbeiten war die große Anzahl offenbar betroffener Geräte. Es entstand der Eindruck, nicht ein Hersteller habe Mist gebaut, sondern die ganze Branche habe versagte. Ist nun wirklich nahezu jeder netzwerkfähige Laserdrucker in Firmen, sei er nun von Brother oder Dell, HP oder Samsung, Lexmark oder Kyocera, ein offenes Scheunentor für Angreifer?

Architektur des im Rahmen der Bochumer Studie entwickelten Printer Exploitation Toolkit PRET (Bild: Jens Müller/Ruhruniversität Bochum)
Architektur des im Rahmen der Bochumer Studie entwickelten Printer Exploitation Toolkit PRET (Bild: Jens Müller/Ruhr-Universität Bochum)

Die Antwort auf diese Frage hängt vom Standpunkt ab. Akademisch gesehen muss sie ja lauten. Warum, das haben die Bochumer Wissenschaftler in einem ausführlichen Wiki zum Thema Drucker-Hacking dargelegt. In ihrer Studie erklären sie: “Uns sind keine früheren Bemühungen bekannt, PostScript- und PJ-Funktionen systematisch auszunutzen, bekannte Angriffsmethoden zu kombinieren und alle Methoden zur Umgehung der Sicherheit von Druckern zu umgehen.”

Dass darauf außer Dell keiner der von den Forschern ihren eigenen Aussagen zufolge kontaktierten Hersteller vor der Veröffentlichung reagiert hat, legt doch den Verdacht nahe, dass sie sich nicht wirklich verantwortlich fühlen – möglicherweise zu Recht, wie weiter unten erklärt wird. Oder einfach, weil sie schon seit Jahren damit leben, dass Forscher aus ihrer Sicht nur theoretisch ausnutzbare Lücken präsentieren und diskutieren, so wie zum Beispiel Andrei Costin 2010 auf der EuSecWest (PDF).

Überblick über die von den RUB-Forschern getesteten Druckermodelle und die jeweils gefundenen Sicherheitslücken (Screenshot: silicon.de)
Überblick über die von den RUB-Forschern getesteten Druckermodelle und die jeweils gefundenen Sicherheitslücken (Screenshot: silicon.de)

Denn aus Sicht der Hersteller ist das Problem anders gelagert: Sie verweisen darauf, dass es in Unterschiede zwischen Praxis und Labor gibt. Oder zumindest geben sollte. Denn nicht nur sie selbst, sondern auch Einrichtungen wie EU-Agentur für European Network and Information Security (ENISA) weisen schon seit Jahren darauf hin, dass Drucker und Kopierer mit Webzugang im Auslieferungszustand eine potenzielle Schwachstelle in Unternehmensnetzwerken sind.

Aus neutraler Sicht muss man leider sagen, dass die Sicherheitslücken nicht wegzudiskutieren sind. Andererseits gibt es Möglichkeiten und Werkzeuge, sich vor ihnen zu schützen. Bedauerlicherweise dürften die nur in wenigen Unternehmen eingesetzt werden.

Wieder einmal Adobe?

Des Pudels Kern ist bei der Studie, dass der Vorgang “Drucken” ein so wesentlicher und tief in einem Druckgerät verankerter Vorgang ist, dass er nicht abgestellt werden kann. Ein Drucker soll ja drucken – tut er´s nicht, kann das Gerät zum Elektroschrott. Das “Fiese” an den von den Bochumern vorgestellten Angriffsmethoden ist nun aber gerade, das sie darauf basieren, dass gedruckt werden kann. Dabei muss noch nicht einmal Papier ins Ausgabefach befördert werden: Es reicht bereits aus, wenn PostScript vom Drucker interpretiert wird.

Schwachstellen bei gängigen Softwareprodukten laut Computer Emergency Response Team der Bundesverwaltung (Grafik: Statista).
Zahlen des Computer Emergency Response Teams der Bundesverwaltung zufolge könnte man Adobe und seine Produkte als die “Mutter aller Sicherheitslücken” bezeichnen. Setzt sich das nun auch in Bezug auf PostScript fort? (Grafik: Statista).

Und das erklärt dann auch im Wesentlichen, warum so viel und so unterschiedliche Druckgeräte angreifbar waren: Der größte Fehler liegt nicht in der Firmware oder in der Konzeption des Geräts, sondern in dem ursprünglich von Adobe entwickelten PostScript. Da das eigentlich alle größeren, netzwerkfähigen Laserdrucker verwenden, da es sich als Standard etabliert hat, ist grundsätzlich einmal jeder Drucker anfällig, der es nutzt und unterstützt.

Dass die 20 Druckgeräte, die die Bochumer Forscher für ihre Untersuchung verwendet haben, so gut wie alle schon seit Jahren nicht mehr verkauft werden, ist nur scheinbar ein Schwachpunkt der Studie. Natürlich lässt diese Tatsache die Vermutung aufkommen, neuere Geräte seien möglicherweise nicht oder nicht mehr anfällig. Das verneinte Studienautor Müller gegenüber silicon.de jedoch. In weiteren, eher stichprobenartigen Tests habe man auch eine ganze Reihe neuerer Modelle unterschiedlicher Hersteller nochmal daraufhin abgeklopft – stets mit Erfolg.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Adobe, das als “Mutter aller Sicherheitslücken” bei Flash und Acrobat auf diese Weise auf einmal wieder mit dem Schwarzen Peter da steht, hat sich bislang auf Anfrage von silicon.de noch nicht dazu geäußert. Lediglich die Aussage, “man beschäftige sich intensiv mit dem Thema”, war inoffiziell zu erhalten. Sobald es diesbezüglich etwas Neues gibt, werden wir an dieser Stelle darauf hinweisen.

Fairerweise muss allerdings gesagt werden, dass es nicht nur via PostScrip Angriffsmöglichkeiten gibt. Auch HPs PML (Printer Management Language), HPs PJL (Printer Job Language), Kyoceras PRESCRIBE und die Implementierung von Brother bieten Ansatzpunkte. Via PJL konnten die Bochumer Forscher etwa beiden Geräten von Brother und Konica Minolta den Speicher auslesen, in dem auch PINs, Passwörter für den eingebetteten Webserver und das Active Directory enthalten sein können.

Sicherheit entsteht aus dem Gesamtkonzept

Allerdings wird bei der Betrachtung der in Druckgeräten enthaltenen Schwachstellen in der als Referenz geltenden CVE-Datenbank schon deutlich, das geräte- oder herstellerspezifische Lücken eher der Vergangenheit angehören. Für Brother etwa stammt der letzte Eintrag von 2015, für HP-Drucker und HP-MFPs von 2014, für Samsung von 2012 und für Kyocera gar von 2006. Lediglich Lexmark ist noch 2016 mit Einträgen in der Datenbank vertreten – dafür gleich mit mehreren.

Security (Bild: Shutterstock)

Grundsätzlich scheinen die Anbieter also in den vergangenen Jahren “sauberer” zu arbeiten. Zudem betonen sie – zumindest sofern sie darauf angesprochen werden – stets, dass Druckgeräte alleine eben aufgrund ihrer Natur vergleichsweise unsicher sind. Schließlich handelt es sich gerade bei netzwerkfähigen Geräten heutzutage oft um ausgewachsene Computer in ungewöhnlichem Gehäuse und mit angeschlossenem Druckwerk.

Im Rahmen von Druckkonzepten in Firmen sollte daher immer auch über die Absicherung der Druckgeräte nachgedacht werden. Wie oben schon gesagt, ist diese Erkenntnis und Aufforderung nicht neu. Ob sie bislang bei den Firmen auf offene Ohren gestoßen ist, darf für den Großteil der Unternehmen aber bezweifelt werden.

Angebote für mehr Sicherheit für Netzwerkdrucker

Ohne den Wert der Studie aus Bochum schmälern zu wollen, die hoffentlich hilft, vielen Verantwortlichen die Augen zu öffnen, muss doch auch festgehalten werden, dass es inzwischen von den Herstelllern einige Angebote gibt, um Druckumgebungen sicherer zu machen, besser zu kontrollieren und diverse Angriffsmethoden erst gar nicht zuzulassen.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Beispielsweise hat HP erst kürzlich eine Neuauflage seiner Managed Print Services (MPS) vorgestellt, bei denen der Schwerpunkt nicht mehr auf Kostensenkungen und Effiziensteigerung, sondern eben auf der Verbesserung der Sicherheit von Netzwerkdruckern liegt. Flankierend präsentierte HP Inc. auch neue Sicherheitsservices und Software.

Beispielsweise gehören dazu die Automatisierung von Sicherheitsmaßnahmen wie Updates der Firmware oder dem Passwortmanagement. Außerdem wird die Software-Integrität der Geräte von diesen selbst validiert. Eine ganze Reihe aktueller HP-Drucker unterstützen dieses Feature bereits. Mit dem Print Security Implementation Service stehen zudem HP-Techniker zur Verfügung, die Sicherheitsrichtlinien, die unternehmensweit gelten, auch in der Druckumgebung implementieren.

Die Drucker und MFP der PageWide-Familie wie der PageWide Enterprise Color 556 sind ab April beziehungsweise Juni erhältlich. (Bild: HP Inc)
Die im vergangenen Jahr auf den markt gekommenen Drucker und MFP der PageWide-Familie wie der hier abgebildete PageWide Enterprise Color 556 sind bereits ab Werk mit einigen zusätzlichen Sicherheitsvorkehrungen versehen (Bild: HP Inc.)

HP setzt aber auch bei den Werkseinstellungen von Business-Druckern an. Beispielsweise sind Protokolle wie FTP oder Telnet ab Werk zunächst einmal blockiert und müssen vor Ort manuell freigeben werden, wenn sie benötigt werden. Zunehmend mehr Geräte aus den Reihen HP LaserJet Enterprise, HP OfficeJet X Enterprise und HP PageWide Enterprise bringen außerdem inzwischen zuvor nicht verfügbare Sicherheitsfunktionen mit.

Dazu gehört der BIOS-Schutz HP Sure Start, der Angriffe auf das BIOS erkennen und abwehren sowie ein kompromittiertes BIOS erkennen und automatisch reparieren soll. Dazu sichert er eine BIOS-Kopie in einem separaten Speicher und spielt sie bei Bedarf von dort wieder ein. Zudem soll eine Whitelisting-Funktion dafür sorgen, dass nur signierte und nicht manipulierte Firmware geladen und ausgeführt werden kann.

Weitere Sicherheitsfunktionen sind eine systeminterne Speicherüberwachung sowie das Verschlüsseln und Überwachen der im Gerät abgelegten Daten, darunter auch der Administratorkennwörter. Laut HP soll verhindere zudem der Einsatz von Verschlüsselungsprotokollen auch das Abfangen von Druckjobs oder Dokumenten während der Übertragung über ein Netzwerk oder aus dem Druckerspeicher.

Fazit

Auch wenn HP diesbezüglich recht weit ist und seit einiger Zeit das Thema offensiv anspricht, bieten andere Hersteller doch teilweise bereits ähnliche Möglichkeiten oder geben ähnliche Empfehlungen. Dazu gehören etwa Brother (zumindest in den USA), Lexmark (Empfehlungen hier als PDF), Kyocera (Kyocera-Whitepaper zur Drucker-Sicherheit als PDF) oder Samsung (Samsung-Whitepaper zur Drucker-Sicherheit als PDF).

Es wird also einiges getan. Vorwerfen könnte man den Herstellern, dass sie das eher unaufdringlich tun, da sie wohl fürchten, schlafende Hunde zu wecken. Es wäre wunschenwert, dass sich das nun ändert und auch andere als HP merken, dass es opportun ist, das Thema “Sicherheit von Netzwerkdruckern” aktiv anzusprechen, anstatt nur zögerlich auf Nachfrage dazu Informationen herauszurücken.