Der Drucker als Sicherheitsrisiko

Netzwerkfähige Ausgabegeräte bieten im Betrieb gleich mehrere Schwachpunkte: Die Netzwerkverwaltung beziehungsweise -karte arbeitet meist ungesichert. Somit lassen sich alle Konfigurationsparameter des Netzwerks leicht auslesen. Auf den integ-rierten Festplatten bleiben die Dokumente für einen längeren Zeitraum gespeichert. Nicht selten passieren auch Fehler durch Nutzer: Vertrauliche Dokumente werden ganz einfach im Ausgabefach vergessen.

Moderne Drucker sind mit wenigen Mausklicks ins Netzwerk eingebunden. Die komfortablen Setup-Routinen erledigen nahezu alles automatisch. Diese Bequemlichkeit bringt aber auch einen Nachteil mit sich: Die Drucker oder Multifunktionsgeräte unterstützen zahlreiche Protokolle, von denen die meisten für einen standardmässigen Betrieb nicht erforderlich sind. Die Installationsroutinen setzen in der Regel alle Protokolle auf aktiv, um den Einsatz der diversen Funktionen zu erleichtern. Für einen sicheren Betrieb sollten jedoch alle nicht benötigten Protokolle deaktiviert werden. Ganz nebenbei reduziert sich damit auch der Netzwerkverkehr.

Sind die Drucker mit Tools wie HPs WebJet Admin, Lexmarks Markvision oder Vergleichbarem verwaltet, lassen sich viele Protokolle abschalten. Braucht es zum Beispiel keinen direkten Webbrowser-Zugriff auf den Printserver, da alle Einstellungen über die Management-Lösung vorgenommen werden, ist auch keine Unterstützung des HTTP-Protokolls erforderlich. Über Management-Tools können die entsprechenden Einstellungen an allen Druckern im Netz simultan vorgenommen werden. Damit ist sichergestellt, dass eine einheitliche Richtlinie eingehalten wird. Wer bereits mehr als zwei Drucker in seinem Netzwerk betreibt, erleichtert sich die Administration der Geräte mit den erwähnten Verwaltungs-Tools erheblich. Diese sind meist kostenlos bei den Druckerherstellern erhältlich.

Die Verwaltung der Druckerserver im Netzwerk erfolgt traditionell via SNMP (Simple Network Management Protocol). Alle gängigen Verwaltungs-Tools kommunizieren über dieses Protokoll mit den Printservern. Ist kein Verwaltungs-Tool im Einsatz, sollte die SNMP-Unterstützung komplett deaktiviert werden. Andernfalls ist der Einsatz von SNMPv3 zu empfehlen - vor-ausgesetzt Druckserver und Verwaltungs-Software unterstützen dieses. Das Protokoll bietet Benutzerauthentifizierung und Datenverschlüsselung. Da SNMPv3 und SNMPv1/v2 parallel aktiviert sein können, sollten Letztere abgeschaltet werden.

Darüber hinaus empfiehlt es sich, einen Community-Namen für den SNMP-Zugriff zu verwenden. Der Standardwert ist üblicherweise auf «public» gesetzt und erlaubt so uneingeschränkten Lesezugriff.

Oft herrscht in Netzwerken keine Transparenz, wer welche Drucker verwendet. Wie andere Netzwerkgeräte auch unterstützen viele Printserver das Anlegen einer Zugriffskontrollliste (ACL). Darin lassen sich IP-Adressen oder IP-Adressbereiche definieren, die auf den Drucker zugreifen dürfen. Je nach Ausführung kann dabei der Zugang zum Gerät und zum Printserver geregelt werden. Einige Modelle offerieren die Möglichkeit, die Zugriffe über die entsprechenden Benutzer zu definieren.