Ein zweischneidiges Schwert sind Tools wie PraedaSploit. Deral Heiland von der US-Sicherheitsfirma Rapid7, ein Experte für Druckersicherheit, nutzt es für Penetrationstests im Auftrag von Unternehmenskunden. Doch genauso gut ist PraedaSploit in der Lage, Nutzernamen, Passwörter und Adressbücher auszulesen und an einen beliebigen Empfänger weiterzuleiten. Heilands Penetrationstests kamen zu besorgniserregenden Resultaten:
- In fast der Hälfte der Angriffe erhält der Tester über einen Drucker oder ein Multifunktionssystem Zugang zu Verzeichnissen des Microsoft Active Directory.
- In mehr als fünf Prozent der Angriffe schafften es die Tester, sich mit diesen Informationen Domain-Administrator-Rechte zu verschaffen.
Damit können Angreifer bis ins Herz der Unternehmens-IT vorstoßen und sich dort wie Systemverwalter gebärden. Dann gibt es kaum noch Informationen, die vor ihrem Zugriff sicher sind.
Wenn von Cyberangriffen auf sensible Unternehmensinformationen die Rede ist, denken viele an Profis in China oder Russland, die sich mit ausgeklügelten Methoden übers Internet Zugang verschaffen. Das kommt vor, ist aber nur ein Teil der Wahrheit. Laut der eingangs erwähnten Studie von Ernst&Young handelt es sich nämlich bei zehn Prozent aller Hackerangriffe um Datenklau durch eigene Mitarbeiter. Sie kommen oft ohne spezielles IT-Wissen an sensible Informationen wie Baupläne oder Kostenkalkulationen, denn viele Unternehmen machen sich nicht die Mühe, für unterschiedliche Informationspools unterschiedliche Zugriffsrechte zu vergeben – jeder Mitarbeiter kann auf fast alle Daten des Unternehmens zugreifen. Und wo doch Zugriffsrechte restriktiv gehandhabt werden, rutschen doch immer wieder gravierende Sicherheitslücken durchs Netz. Auch hier gehören Drucker zu den am meisten unterschätzten Sicherheitsrisiken.
Pull-Printing: Der Druckvorgang startet erst, wenn sich die Nutzerin mit einer Karte und/oder einer PIN am Drucker anmeldet.
Im Grunde ist ein Drucker, mehr noch ein Multifunktionsgerät, eine vielfältige Drehscheibe für Informationen aller Art. Hier werden nicht nur digitale Informationen durchgeschleust wie in PCs oder Servern, sondern sie sind die Schnittstelle zur physischen Welt. Der Scanner digitalisiert, was andere Drucker einmal ausgedruckt oder Hand und Bleistift zu Papier gebracht haben. Umgekehrt bannt er digitales Gut auf das Medium Papier, auf dem viele Menschen immer noch lieber lesen als auf Bildschirmen. Doch gerade an den Grenzen von digitaler und physischer Welt tun sich Sicherheitslücken auf.
Hand aufs Herz: Wer hat nicht schon einmal vergessen, das Papier eines Druckjobs abzuholen, weil kurz nach dem Klick auf den Druck-Button das Telefon klingelte oder der Kollege eine dringende Frage hatte? Und wer hat nicht schon einmal Dokumente im Scanner vergessen, weil man noch kurz zur Kaffeemaschine ging, während der Stapel durch den automatischen Einzug rauschte? Eben. Kein noch so ausgeklügelter Schutz gegen Cyberattacken nützt etwas, wenn man diese menschlichen Schwächen bei den Sicherheitsregeln außer Acht lässt.