Drucker und Multifunktionsgeräte wurden in den vergangenen Jahren immer leistungsfähiger. Insbesondere bei Netzwerkdruckern kommt es nicht mehr primär auf die pro Minute ausgedruckten Seiten an. Auch ausgefeilte Finishing-Optionen sind immer weniger gefragt - für wen auch, wenn alle im Homeoffice arbeiten? Immer interessanter werden dagegen die Möglichkeiten, die Geräte als Dreh- und Angelpunkte der Dokumentenverarbeitung zu etablieren.
Den Trend haben die Hersteller längst erkannt und angefangen, zusätzliche Standbeine aufzubauen oder in angrenzende Tätigkeitsfelder zu expandieren. Lexmark hat sich nach dem Zukauf diverser Software-Hersteller inzwischen wieder auf die Kernkompetenz zurückgezogen. Andere wollen es besser machen. Kyocera hat 2015 mit der Übernahme der Ceyoniq-Gruppe Expertise im Markt für Enterprise Content Management erworben, Ricoh 2019 mit dem Kauf von Docuware.
Die Entwicklung hat jedoch einen Haken: Druckgeräte sind durch ihre Konzeption nicht für die auf sie zukommenden Aufgaben ausgelegt. Sie waren dafür gedacht, Papier zu bedrucken, zu kopieren oder vielleicht noch einzuscannen, nicht aber als Dreh- und Angelpunkt dokumentenbasierender Workflows. Also wurden sie mit Speicherplatz und Memory aufgerüstet. Längst sind sie vollwertige Computer - nur dass sie kaum einer als solche wahrnimmt.
Allerdings lassen sich Drucker ebenso wie vernetzte Computer über das Netzwerk aufspüren und angreifen. Das geschieht seit Jahren. Immer wieder haben Hersteller die Verantwortung von sich gewiesen: Für Sicherheit müsse im Netzwerk gesorgt werden. Im Stillen wurde dennoch an vielen Stellen nachgebessert. Es gab diverse Kooperationen (etwa Xerox und McAfee) sowie teils umfangreiche Initiativen, um die Sicherheit der Geräte ab Werk zu erhöhen (vor allem bei HP).
Lange Anlaufzeit benötigt
Die Ergebnisse blieben oft weit hinter den Erwartungen zurück. Einer breiten Öffentlichkeit wurde das 2017 durch eine Studie von Forschern der Universität Bochum bewusst. Dadurch kamen Sicherheitslücken in Netzwerkdruckern nahezu aller relevanten Hersteller ans Licht, die Angreifern weitreichende Manipulationsmöglichkeiten boten. Das hätte ein Weckruf sein können. War es allerdings nicht. Da es beim dokumentierten Angriffsweg ausreichte, dass PostScript vom Drucker interpretiert wird, stand ein bequemer Ausweg offen: Adobe ist schuld, das hinter PostScript steht - und ohnehin dafür bekannt war, Software mit erstaunlich vielen Sicherheitslücken erstaunlich weit zu verbreiten.
Für einzelne Lücken die Schuldfrage zu stellen ist aber müßig. Ziel von Unternehmen muss es sein, nicht nur sicher zu drucken, sondern sich auch sicher sein zu können, dass ihre zur Dokumentendrehscheibe mutierten und für Angreifer hochinteressant gewordenen Geräte nicht angreifbar sind.
In einem Leitfaden der EU-Agentur für European Network and Information Security (ENISA) hieß es schon 2008: "Unter sicherem Drucken ist jede Maßnahme eines Unternehmens zu verstehen, die gewährleistet, dass Druckgeräte sicher und geschützt bleiben sowie die Vertraulichkeit, Verfügbarkeit und Integrität der gedruckten oder übertragenen Daten gewahrt bleiben." Diese Forderung ist heute noch aktuell.
2021 war kein gutes Jahr für Druckersicherheit
Im Juli meldeten Sicherheitsforscher, dass mehrere hundert Millionen Geräte von HP, Samsung und Xerox mit einer seit 2005 bestehenden gravierenden Schwachstelle ausgeliefert wurden. Ebenfalls im Juli wurde die als "PrintNightmare" bezeichnete Schwachstelle im Windows Spooler-Dienst vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als "geschäftskritische Bedrohungslage" (Warnstufe 3/Orange) eingestuft, weil sie eine "massive Beeinträchtigung des Regelbetriebs" verursachen könne.
Microsofts Versuche, das Problem zu beheben, führten immer wieder zu neuen Problemen. Auch hier könnten sich die Gerätehersteller darauf berufen, dass Microsoft die Ursache ist. Für Anwender bleibt aber einmal mehr der fade Beigeschmack, dass Drucken unsicher ist. Die Frage ist, wie Hersteller dem entgegenwirken und welche Unterstützung sie ihren Partnern dabei geben.
Zertifizierungen und "Secure by Design"
Ein Weg, das Engagement in Bezug auf IT-Sicherheit glaubhaft zu belegen, sind bestandene Zertifizierungen. Je nach Kundengruppe sind diese unterschiedlich viel wert - können aber eventuell ausschlaggebend sein. Als Argumente für ihr Angebot führen sie zum Beispiel Konica Minolta und Kyocera ins Feld.
"Wir lassen unsere Drucker und Multifunktionssysteme nach gängigen Standards wie Common Criteria (ISO 15408, IEEEE 2600.x, HCD-PP, FIPS 140-2, et cetera zertifizieren", erklärt etwa Carsten Meerpohl, Senior Services Consultant Kyocera Document Solutions Deutschland. "Anwender können so sicher sein, dass Kyocera-Produkte mit einer aktuellen Firmware dem neuesten Stand der Technik entsprechen."
Konica Minolta prüft durch interne Tests, ob seine Systeme die Anforderungen von PCI, HIPAA, FERPA und DSGVO erfüllen. Zusätzlich werden Penetrationstests von NTT Data und der Sicherheitsabteilung von NTT durchgeführt. Lexmark und Xerox verweisen darauf, dass sie bei der Geräteherstellung das "Secure-by-Design"-Konzept verfolgen.
Bei Lexmark sind diese Möglichkeiten in der Druckermanagement-Software "Markvision Enterprise" und der "Cloud-Fleet-Management"-Lösung dokumentiert. Darüber lasse sich auch die Einhaltung der Sicherheitskonfigurationen nachhalten. Das Xerox-Security-Angebot ist laut Thiemo Rau, Vice President Channel und SMB DACH Xerox, "eine Kombination aus Xerox-eigenen Technologien und Partnerschaften mit Anbietern von Cyber-Sicherheitslösungen, zum Beispiel McAfee, Cisco und SIEM-Anbietern."
Susanne Kummetz, Director Commercial and Consumer Channel Sales bei HP Deutschland, hebt neben den anderen Bemühungen des von Schwachstellen am meisten gebeutelten Herstellers um die Druckersicherheit hervor: "HP ist der einzige Druckerhersteller, der über ein sogenanntes Bug-Bounty-Programm verfügt." Das besteht seit 2018. Mit ihm werden Experten aufgefordert, potenzielle Schwachstellen bei HP einzureichen. Bestätigt sich der Verdacht, erhalten sie eine Prämie.
Was Hersteller für ihre Partner tun
Alle Anbieter halten selbstverständlich Empfehlungen und Unterlagen bereit, in denen sie die sichere Einrichtung beschreiben und Empfehlungen zum sicheren Betrieb geben. "Wir trainieren unsere Partner, damit sie Unternehmen entsprechend beraten können und wir das Thema Druckersicherheit vorantreiben", verweist Kummetz auf das darüber hinausgehende Angebot von HP. "Drucker sind auch ein Augenmerk von HP Wolf Security. Hier bietet HP eine breite Palette von Beratungsleistungen hinsichtlich Druckersicherheit an."
Auch Kyocera offeriert Partnern Trainings- und Beratungsdienstleistungen zu Datenschutz, Netzwerk- sowie Hardware-Sicherheit. Carsten Meerpohl erklärt: "So unterstützen wir unsere Fachhandelspartner, Know-how aufzubauen und zu erweitern. Um einen hohen Ausbildungsstand und Service-Qualität zu garantieren, führen wir regelmäßige Audits durch." Am 1. Dezember 2021 werde dem Thema IT-Sicherheit zudem eine Folge des Live-Stream-Formats "Kyocera Insights" gewidmet, zu dem sich auch Partner anmelden können.
Michael Lang, Geschäftsführer DACH bei Lexmark, empfiehlt Partnern das hauseigene "Secure-by-Design"-Konzept zu übernehmen. "Deren Bewusstsein für das Thema ist im Übrigen in der letzten Zeit deutlich gestiegen", hat Lang beobachtet. Mit einigen Partnern habe Lexmark Grundkonzepte zur Basiskonfiguration von Geräten erstellt, die speziell für die Managed-Print-Service-Kunden "eine solide Grundlage" bildeten.
Vorsicht bei Geräten, die längere Zeit offline waren
Tommy Schimpf, Head of Indirect Sales bei Konica Minolta Business Solutions, gibt zu bedenken, dass die Anforderungen der Informationssicherheit, die an die Systeme gestellt werden, je nach Anwendungsszenario recht unterschiedlich seien. "Wir richten unsere Empfehlung speziell auf die jeweiligen Szenarien aus. Wie die Systeme und Druckserver vor unbefugten Änderungen und Angriffen geschützt werden sollen, ob mit eigenen Bordmitteln wie dem Konica Minolta Bizhub Secure oder verschiedenen Dienstleistungen von Festplattenlöschung, sollte immer mit den IT-Verantwortlichen und Datenschutzbeauftragen des Kunden abgestimmt und vereinbart werden", empfiehlt Schimpf.
Einen möglichen Ansatzpunkt für Dienstleister, die sich bereits mit Printer-Sicherheit vertraut gemacht haben oder das tun wollen, sieht Xerox-Manager Rau übrigens gerade jetzt: "Mit der Wiedereröffnung von mehr Büros werden viele Geräte wieder in Betrieb genommen, nachdem sie über ein Jahr lang offline waren. Die Benutzer sollten daher besonders sorgfältig darauf achten, dass ihre Geräte mit den neuesten Software-Updates aktualisiert werden und stets wachsam auf die Sicherheit ihrer Daten achten." Die Empfehlung könnte zumindest mal ein Startpunkt für ein Gespräch mit Kunden sein.