Moderne Multifunktionsdrucker sind von Haus aus nicht sicher. Was machen Profis, wenn sie bei einem solchen Gerät für Sicherheit sorgen wollen? Das erklärt Till Maas von RedTeam Pentesting in diesem Artikel. Er geht dabei auf unterschiedliche Aspekte ein, die unter Security-Aspekten eine Rolle spielen, und erklärt, wie man Abhilfe schaffen kann.
Von Till Maas, RedTeam Pentesting GmbH
Als Penetrationstest-Dienstleister verarbeiten wir tagtäglich sicherheitskritische Daten über unsere Kunden. Die Ergebnisse unserer Penetrationstests stellen wir unseren Kunden als gebundenen Bericht zur Verfügung. Um höchstmögliche Vertraulichkeit der Daten zu gewährleisten, produzieren wir die Berichte in unseren eigenen Räumen. Aufgrund des rasanten Wachstums benötigten wir einen neuen Drucker, der unseren hohen Sicherheitsanforderungen genügt. Reine Drucker sind heutzutage allerdings nur selten anzutreffen. Stattdessen gibt es vollwertige PCs, die auch einen Drucker und vielleicht einen Scanner und ein Faxmodem angeschlossen haben, sogenannte MFPs (Multifunction Printer). Die Betriebssysteme auf diesen Druckern sind selten standardisiert und erfordern daher individuelle Anpassungen, um Sicherheitsrichtlinien umzusetzen. In diesem Beitrag berichte ich, wie wir diese Herausforderungen für unser MFP gemeistert haben und so die Daten unserer Kunden größtmöglich schützen.
Der erste Schritt ist eine Zusammenstellung der Anforderungen an das Gerät. Nicht-sicherheitsrelevante Anforderungen sind schnell gefunden, da sie ja der Grund für die Neuanschaffung sind. Die sicherheitsrelevanten Anforderungen ergeben sich aus der Vertraulichkeit der zu druckenden Daten und dem Einsatzort. Da Drucker in nahezu jedem Betrieb auch für den Ausdruck von vertraulichen Dokumenten verwendet werden, ist insbesondere der Schutz der Druckdaten eine wichtige Anforderung. Neben kritischen Dokumenten wie die Abschlussberichte unserer Penetrationstests fallen mit Verschwiegenkeitserklärungen, Verträgen und Rechnungen über Penetrationstests eine hohe Anzahl an vertraulichen Dokumenten an. Auch in anderen Unternehmen, die nicht tagtäglich vertrauliche Informationen verarbeiten, werden kritische Dokumente gedruckt. Ein typisches Beispiel sind hier Dokumente zu Personalangelegenheiten wie Arbeitsverträge, Abmahnungen und Kündigungen. Idealerweise würde der Drucker daher gar keine Daten dauerhaft speichern. In der Praxis wird die Festplatte aber zum Zwischenspeichern und Vorbereiten von Druckaufträgen genutzt. Dementsprechend müssen die Daten geschützt oder sicher gelöscht werden, sobald sie nicht mehr benötigt werden.
Die Festplatte mit allen wichtigen Daten ist mit wenigen Handgriffen schnell ausgebaut.
Zum Schutz der Daten auf der Festplatte bot unser Hersteller zwei Optionen an: Ein Modul zum Löschen der Festplatte (HDD Data Erase Kit), sowie ein Modul zur Festplattenverschlüsselung. Die Festplattenverschlüsselung hat allerdings einige Fallstricke. Grundsätzlich bleibt hierbei unklar, welche Daten wirklich und wie verschlüsselt werden. Von außen lässt sich es nur schwer nachvollziehen, welche zugreifbaren Informationen durch die Verschlüsselung im Hintergrund geschützt werden. Da der Drucker zudem zum regulären Betrieb Zugriff auf die unverschlüsselten Daten benötigt, muss dies auch automatisch nach dem Anschalten möglich sein. Es wäre sehr praxisfremd wenn ein Administrator für jeden Neustart erst am Gerät den Verschlüsselungschlüssel eingeben müsste. Dementsprechend sind die Daten bei einem Diebstahl des gesamten Geräts nicht geschützt. Dies alleine stellt für uns schon ein Ausschlusskriterium für Festplattenverschlüsselung als (einzige) Schutzmaßnahme dar.