Drucker, Kopierer und Multifunktionsgeräte

Drucker, Kopierer und Multifunktionsgeräte gehören heute zur Grundausstattung eines Büros. Da mit diesen Geräten auch personenbezogene und andere schützenswerte Daten verarbeitet werden, sollte nicht nur darauf geachtet werden, dass Ausdrucke nicht entwendet oder heimlich kopiert werden. Durch die Manipulation der Geräte können Ausdrucke oder Scans auch per E-Mail unbemerkt an beliebige Empfänger verschickt werden.
Des Weiteren steckt in einem Drucker ein kleiner Minicomputer, dieser kann auch missbraucht werden, um zum Beispiel als Teil eines Botnetzwerkes Spam-E-Mails zu verschicken.
Deshalb sollten bei Aufstellung, Konfiguration und Betrieb einige Dinge beachtet werden.

Erwerb

Die meisten Geräte haben Festplatten oder SSDs, auf denen die Daten vor dem Ausdruck oder nach dem Scan gespeichert werden. Beim Kauf, aber insbesondere beim Mieten, ist darauf zu achten, ob die Geräte ohne Speicher zurückgegeben werden können oder ob die Speicherbereiche zuverlässig gelöscht werden können, ohne die Festplatten physisch zu zerstören.

Lokale oder netzfähige Drucker

Neben Funktionsumfang, Platz und Preis spielen hier auch die zu druckenden Daten eine Rolle. Manchmal bietet es sich an, Personen, die oft personenbezogene Dokumente drucken müssen, zusätzlich einen lokalen Drucker zu beschaffen, um nicht so hohe Sicherheitsanforderungen für den Zugang zum Netzwerkdrucker einhalten zu müssen.

Standort

Um zu verhindern, dass Drucker, Kopierer oder Multifunktionsgeräte manipuliert werden oder die Druckausgaben von Unbefugten kopiert oder mitgelesen werden können, sollten die Geräte so aufgestellt werden, dass nur berechtigte Mitarbeiter Zugang zu ihnen haben bzw. dass sie vom eigenen Personal gut eingesehen werden können.

Sicherheitskritische Informationen

Werden an Netzdruckern häufig sicherheitskritische Informationen ausgedruckt, muss sichergestellt werden, dass nur befugte Personen auf die Ausdrucke zugreifen können. Hierfür können beispielsweise Netzdrucker und Kopierer eingesetzt werden, bei denen sich die Benutzer vor dem Ausdruck direkt am Gerät authentisieren müssen.

Konfiguration

Auf administrative Bereiche und die Konfiguration sollten nur autorisierte Personen zugreifen dürfen. Der Zugriff sollte erst nach einer Authentisierung, beispielsweise durch ein Passwort oder eine PIN, möglich sein. Standard-Passwörter sollten bei der Inbetriebnahme sofort geändert werden.
Alle Administrationszugriffe sollten möglichst nur über einen verschlüsselten Kanal stattfinden, damit keine Passwörter oder andere schutzbedürftige Informationen mitgehört werden können. Beispielsweise kann bei einigen Gerätetypen die Übertragung der Konfigurationsdaten über HTTPS oder SNMPv3 verschlüsselt werden. In diesem Fall sollte die unverschlüsselte Kommunikation unterbunden werden, indem beispielsweise die HTTP-Schnittstelle für die Konfiguration deaktiviert wird.
Drucker, Kopierer und Multifunktionsgeräte bieten oft mehr Funktionen, als im normalen Betrieb benötigt werden. Dadurch können sich unnötige Risiken ergeben. Daher sollten alle nicht benötigten Funktionen (z. B. Fax) und Übertragungsprotokolle deaktiviert bzw. deren Nutzung so weit wie möglich eingeschränkt werden.
WLAN sollte grundsätzlich deaktiviert werden. WLAN kann abgehört werden, selbst WPA2 verschlüsselte Verbindungen können aufgrund eines Bugs leicht entschlüsselt und somit die zu druckenden Dokumente heimlich abgefangen werden. Das WLAN-Signal des Druckers stört das eduroam-Signal, so dass eduroam nicht ordnungsgemäß genutzt werden kann. Bei gleichzeitiger Aktivierung von LAN und WLAN können unautorisierte Personen Zugriff auf das Campusnetz bekommen.
In einigen Druckern sind Paketfilter integriert, über die Verbindungen anhand von IP-Adressen oder Portnummern gefiltert werden können. Alle Ports und IP-Bereiche, die nicht für den Druckbetrieb und zur Konfiguration des Druckers benötigt werden, sind möglichst zu blockieren. Werden Druckserver eingesetzt, ist darauf zu achten, dass nur von diesen Servern eine Verbindung zu den Druckern aufgebaut werden darf.

Updates

Es muss regelmäßig überprüft werden, ob die Software der Geräte auf dem aktuellen Stand ist. Ist dies nicht der Fall müssen vorhandene Patches und Updates sofort eingespielt werden. Wenn Sicherheitslücken identifiziert werden, müssen diese so schnell wie möglich behoben werden oder anderweitige Sicherheitsmaßnahmen ergriffen werden.

Dies sind nur einige wichtige und grundlegende Regeln, die beim Betrieb von Druckern, Kopierern und Multifunktionsgeräten zu beachten sind.
Bei Fragen oder als Einrichtungen mit erhöhtem Bedarf an Sicherheit können Sie sich an security(at)b-tu.de wenden.

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo