HP hat ein sogenanntes "Bug-Bounty"-Programm aufgelegt, mit dem das Auffinden von Sicherheitslücken in HP-Druckern belohnt werden soll. Der Konzern kooperiert für die Arbeitsabläufe (Detektion und Überprüfung eventueller Schwachstellen) mit dem Spezialisten Bugcrowd. HP zufolge ist es das erste derartige Programm für Drucker überhaupt. Es umfasst alle für den Business-Einsatz gedachte HP-Drucker.
Mit dem Schritt setzt HP die 2017 bereits intensivierten Bemühungen fort, die Sicherheit der eigenen Produkte stärker in den Vordergrund zu rücken. 2017 war dieser Aspekt Teil mehrerer Marketingkampagnen und zu diesem Zweck wurden diverse technische Neuerungen vorgestellt. Mit Shivaun Albright hat HP zudem eine technisch sehr beschlagene Managerin zum "Chief Technologist of Print Security" ernannt.
Das Prämienprogramm für Sicherheitslücken in Druckern begründet Albright auch mit dem Hinweis auf den aktuellen Bericht des Partners Bugcrowd. Demnach konzentrieren sich Angreifer zunehmend auf Endgeräte im Allgemeinen. Bei Druckern im Besonderen habe die Zahl der aufgefundenen Schwachstellen im vergangenen Jahr um 21 Prozent zugenommen.
Sicherheitslücken in Druckern von HP, Xerox, Lexmark, Samsung, Brother und Kyocera
In der bei Sicherheitsexperten bekannten CVE-Datenbank (Common Vulnerabilities and Exposures) sind für HP-Drucker und HP-MFPs 32 respektive 18 Einträge vorhanden. Die jeweils letzten stammen von 2014 beziehungsweise 2017. Mit insgesamt 50 Einträgen ist HP neben Xerox (63 Einträge) der am häufigsten in der Schwachstellendatenbank aufgeführte Anbieter. Für Drucker von Samsung sind dort lediglich zwei Einträge zu finden, ebenso für Printer von Kyocera. Lexmark ist in der Datenbank mit 20 Sicherheitslücken vertreten, für Brother-Druckgeräte werden 25 aufgeführt. Dazu gehört mit der Kennung CVE-2018-11581 auch die einzige Lücke, die bei den genannten Herstellern 2018 entdeckt und veröffentlicht wurde.
Der Großteil der Einträge ist dagegen schon mehrere Jahre alt. Bei einigen Anbietern gab es in den vergangenen Jahren keine Neuzugänge mehr. Sie scheinen alle sorgfältiger zu arbeiten und stärker auf Security zu achten als früher. HP stellt den Aspekt allerdings als einziger aggressiv in den Vordergrund.
Andere Anbieter versuchen ihn eher zu umschiffen. Sie betonen auf Nachfrage in der Regel, dass es in der Natur der Druckgeräte liege, dass sie vergleichsweise unsicher sind. Dies stelle aber bei einem guten Sicherheitskonzept für das Netzwerk, in das sie eingebunden sind, kein grundlegendes Problem dar.
Bereits 2012 startete Xerox Bemühungen, Druckgeräte zusammen mit McAfee über spezielle Software abzusichern. Der Security-Anbieter hat seine Tätigkeiten inzwischen auch auf andere Bereiche ausgedehnt und bietet die damals vorgestellte Software McAfee Embedded Control mittlerweile für jedwede Art von IoT-Geräten an.
Bisherige HP-Bemühungen um sichere Drucker
Schon Ende 2016 hatte HP seine Managed Print Services (MPS) neu konzipiert und dabei den Schwerpunkt von Kostensenkung und Effizienzsteigerung auf höhere Sicherheit von Netzwerkdruckern und der damit verarbeiteten Dokumente verschoben. In der Folge stellte das Unternehmen auch neue Sicherheitsservices und -Software für Drucker vor. Dazu gehören seitdem etwa automatisierte Updates der Firmware und verbessertes Passwortmanagement.
Ein wichtiges Element gegen bösartigen Code ist auch die Validierung der Software-Integrität durch die Geräte selbst. Inzwischen unterstützen zahleiche HP-Drucker diese Funktion. Darüber hinaus bietet HP eine ganze Reihe von Services rund um die Sicherheit von Netzwerkdruckern in Firmen an.
- IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."