Gérard Bauer

ist Vice President EMEA bei Vectra Networks.

Druckertreiber: nützliches Tool für Hacker

Mit Malware infizierte oder fingierte Druckertreiber stellen in Microsoft Windows eine kritische Sicherheitslücke für Computernetzwerke dar, warnt Gérard Bauer von Vectra Networks. Bislang wird dieses Risiko offenbar unterschätzt.

Drucker laufen vielfach unterhalb des Radars der IT-Security und haben als potenzielle Einfallstore für Hacker bisher viel zu wenig Beachtung bekommen haben.

Drucker bilden im Internet of Things eine Geräteklasse, die irgendwie weder Fisch noch Fleisch ist. Sie gelten in aller Regel als verlässliche Hardware mit einem festen Platz innerhalb der jeweiligen Netzwerkumgebung.

Auf der anderen Seite betrachten die meisten Administratoren Printer bei aller technischen Finesse als das, was sie letztlich sind: Tools und eben keine vollwertigen Computer, die üblicherweise eine attraktive Zielscheibe für Hackerangriffe bilden.

Im Gegenteil: Wenn es um die Angreifbarkeit von Druckern geht, standen lange Zeit allenfalls Dokumentenklau und Manipulationen am Display im Fokus der Betrachtung. Das hat sich allerdings grundlegend geändert, seitdem nicht mehr einzelne Computer, sondern ganze Netzwerke ins Fadenkreuz der Cyberkriminalität geraten sind.

Die Evolution von IT-Sicherheitsrisiken folgt einer eigenen Logik

Experten für Gefahrenmanagement haben jüngst eine Sicherheitslücke in Microsoft Windows entdeckt, durch die Cyberkriminelle mithilfe von manipulierten Druckertreibern die Systemkontrolle über Computer innerhalb eines Netzwerks erlangen können.

Selbst Drucker, die nicht existieren sind für Netzwerke ein erhebliches Sicherheitsrisiko, warnt Gérard Bauer von Vectra Networks. (Bild: Vectra Networks)
Selbst Drucker, die nicht existieren sind für Netzwerke ein erhebliches Sicherheitsrisiko, warnt Gérard Bauer von Vectra Networks. (Bild: Vectra Networks)

Für die als kritisch eingestufte Schwachstelle mit der Kennung MS16-087 beziehungsweise CVE-2016-3238 wurde den Usern zwar inzwischen ein Patch bereitgestellt – dennoch bietet der Vorfall ein spannendes Anschauungsbeispiel dafür, wie die Anforderungen an eine effektive IT-Security im Zuge des fortschreitenden Trends zur Vernetzung rasant steigen. Immerhin bilden Drucker an sich ja keineswegs eine Neuheit in der modernen IT-Landschaft. Insofern lohnt es sich genauer hinzuschauen, wie das Sicherheitsleck funktioniert.

Am Anfang war das Update – oder genauer gesagt: kein Update. Denn Drucker weisen nicht zuletzt deshalb Sicherheitslücken auf, weil sie bei Software Updates oftmals unberücksichtigt bleiben. Hier besteht ein Einfallstor für Hacker, die zulässige Druckertreiber erfolgreich mit Malware infizieren.

Nach der Installation operiert der infizierte Treiber im Netzwerk mit der ihm zugewiesenen Systemkontrolle. Die Folge: Der Hacker hat die volle Kontrolle über das Gerät gewonnen. Besonders perfide ist, dass der Vorgang unbegrenzt oft wiederholbar ist und prinzipiell jeden Nutzer infiziert, der sich erstmalig mit dem betroffenen Drucker verbindet.

Doch damit nicht genug: Letztlich ist diese Form von Cyberangriff noch nicht einmal auf einen tatsächlich existierenden Drucker angewiesen, um die Kontrolle über das Netzwerk zu erlangen. Ein Hacker kann nämlich ein fingiertes Gerät im Netzwerk einrichten und jeden ahnungslosen Nutzer mit Malware infizieren, sobald sich dieser damit verbindet. Und selbst damit ist das Ende der Fahnenstange immer noch nicht erreicht. Denn sogar ohne jemals Zugang zu einem lokalen Netzwerk erlangt zu haben, sind Cyberkriminelle in der Lage, den infizierten Druckertreiber durch herkömmliche webbasierte Vektoren wie unzureichend geschützte Websites oder Anzeigen einzurichten.

Ein blinder Fleck im Sicherheitskonzept

Die enorme Bandbreite von Angriffsflächen verdeutlicht: Im IoT-Zeitalter bieten Drucker – und zweifellos nicht nur sie – Hackern und Cyberkriminellen zahlreiche Möglichkeiten, die Kontrolle über fremde Geräte oder Datenquellen zu übernehmen und Schaden anzurichten – sei es innerhalb von privaten oder Unternehmensnetzwerken.

Die Crux daran ist, dass Geräte wie Drucker von Anwendern, aber eben auch von IT-Sicherheitsexperten bis dato vielfach gar nicht als Sicherheitsschwachstellen oder Watering-Hole-Gefahren eingestuft wurden. Hier ist angesichts eines verstärkten Trends zur Vernetzung und mithin zur Ausweitung potenzieller Gefahrenquellen Handlungsbedarf geboten. Als erstes sollten Nutzer von Microsoft Windows das kritische Sicherheitsleck tunlichst beheben, indem sie ihre Systeme mit dem Patch aktualisieren, der seit dem 12. Juli 2016 zur Verfügung steht.

Was die grundsätzliche Marschroute in der IT-Gefahrenabwehr anbelangt, dürfte das Erstaunen über die entdeckte Sicherheitslücke eigentlich beträchtlich sein. Aus der Sicht vieler Anwender kann es nicht zu viel verlangt sein, von etablierten Drucksystemen für den Netzwerkeinsatz – ob es nun Microsoft oder CUPS betrifft – wirksame Sicherheitschecks und Lösungen zu erwarten, die ein verlässliches Monitoring der relevanten Hosts ermöglichen.

Gerade der Umstand, dass Drucker beim Thema IT-Sicherheit nicht zum Kreis der üblichen Verdächtigen für Angriffe zählen, zeugt von der Brisanz der Situation: Ein Netzwerk ist nur so sicher wie sein schwächstes Element.

Und hier kommt es nun erklärtermaßen nicht darauf an, einzelne Gerätegruppen und Tools als Sicherheitsrisiken zu brandmarken. Vielmehr empfiehlt es sich mit Blick auf zukünftige potenzielle Bedrohungslagen für die Netzwerksicherheit, einen ganzheitlichen Blick einzunehmen, der kritische Infrastruktur von vornherein als Netzwerkphänomen begreift.

Hierfür bieten Konzepte wie Data Science und Maschinelles Lernen schon heute vielversprechende und praxiserprobte Lösungsansätze. Mitdenkende Systeme, die auf der Basis von Echtzeitmethoden operieren, können ein breites Spektrum von Störgrößen identifizieren und zusätzlich zur lückenlosen Überwachung des Netzwerkverkehrs sämtliche Geräte, Kontenzugriffe und Aktivitäten innerhalb des Systems scannen.