Uni-Logo
Sections
You are here: Home IT-Sicherheit - frITs Drucker in öffentlichen Netzen
Document Actions

Drucker in öffentlichen Netzen

Drucker sind inzwischen Computer, die auch drucken. Sie sind wie jedes IT-System anfällig für Schwachstellen und Angriffe. Anfang 2019 sind mehr als 100 solche Drucker im sogenannten öffentlichen Netz der Universität und damit schutzlos gegen Angriffe von außerhalb. In diesem Zusammenhang will das Rechenzentrum über das Thema informieren und schlägt zur Lösung die hier angegebenen Maßnahmen vor.

Zielgruppe

Diese Information richtet sich an diejenigen, die als IT-Beauftragte oder -Verantwortliche IT-Systeme einer Einrichtung oder eines Institutes der Universität Freiburg administrieren. Teil der Administration ist die Einrichtung und Wartung von Druckern.

Schwachpunkte und Angriffsszenarien

Drucker im öffentlichen Netz sind schutzlos dem Internet ausgesetzt. Tests des Rechenzentrums zeigen, dass jede Adresse im öffentlichen Bereich des Universitätsnetzes in jeder Minute mehrfach automatisiert gescannt und nach Ansatzpunkten für Angriffe abgeklopft werden. Besonders Drucker, die noch im Auslieferungszustand sind mit unveränderten Passwörtern oder deren Betriebssystem nie aktualisiert wurde, sind gefährdet. Mögliche Schäden sind:

- Drucker können von außen abgeschaltet werden.

- Papierschächte können geleert werden.

- Druckaufträge oder Scans können des Druckers heruntergeladen werden.

- Beliebige Dokumente können gezielt auf Drucker ausgegeben werden, so zum Beispiel solche, die vorher vom Drucker heruntergeladen und nachbearbeitet werden.

- Druckaufträge können unbemerkt zur Laufzeit manipuliert werden, indem über jede Seite ein zusätzliches Bild gelegt oder gezielt in Postscript-Dateien Wörter durch andere Wörter ersetzt werden können. Beispiele: Telefonnummern, Mailadressen.

- Es lässt sich nachvollziehen, was ausgedruckt wurde, was datenschutzrechtlich bedenklich ist.

- Druckerdisplays sind manipulierbar.

- Der Konfigurationsspeicher von Druckern lässt sich durch massenhaftes Überschreiben physisch zerstören.

Maßnahmen

Folgende Maßnahmen reduzieren die Angriffsvektoren:

- Direkt nach Inbetriebnahmen sollten alle Standardpasswörter sofort durch eigene Passwörter ersetzt werden.

- Drucker sollten nicht im öffentlich erreichbaren Netz betrieben werden, sondern ausschließlich im privaten Teil des Universitätsnetzes. Wenn es möglich ist, von unterwegs ohne weitere Schutzmaßnahmen wie VPN zu drucken, ist er im öffentlichen Netz.

- Der Drucker sollte Aufträge nur über einen Druckserver erhalten, nicht direkt von Computern. Unautorisierte Druckaufträge von anderen Quellen werden dabei kommentarlos verworfen.

printserver im vlan

Abb. 1: Trennung zwischen Computern und Druckern, die in einem eigenen VLAN liegen, über zwischengeschalteten Printserver.

Weitere Hinweise

Weil moderne Drucker bzw. Multifunktionsgeräte Computer mit zusätzlichen Spezialfunktionen wie Drucken, Scannen oder Faxen sind, werden Dokumente temporär oder, sofern der Drucker manipuliert wurde, dauerhaft vorgehalten. Jedes Dokument, wo aus Dateien Papierausdrucke oder aus Papierdokumenten Dateiobjekte werden, macht bei dieser Umwandlung den Weg durch ein solches Gerät. Hier lässt sich der Strom an Informationen am einfachsten ausleiten. Ein schlecht abgesicherter Drucker ist somit ein datenschutzrechtliches Problem.

„Sicherheitshinweis“ auf öffentlich erreichbaren Druckern

Um die Betreiber von öffentlich erreichbaren Druckern auf das Problem hinzuweisen, werden im März und April 2019 Sicherheitshinweise ausgedruckt, die kurz auf die Schwachstelle und auf diese Informationsseite hinweisen.

Erläuterung des Unterschieds zwischen öffentlichen und privaten Netzen

Private Netze (VLANs) unterteilen ein Netzwerk in verschiedene Teilnetze. Diese Unterteilung sorgt dafür, dass Datenpakete innerhalb eines Teilnetzes verbleiben und nicht in andere Netze weitergeleitet werden.

Angreifer aus dem Internet haben durch die Trennung keine Zugriffsmöglichkeiten auf das private Netz. Das öffentliche Netz (alle Geräte mit IP-Adressen aus dem Bereich 132.230.X.Y) ist aus dem Internet zugänglich. Dies ist in manchen Einsatzbereichen gewünscht, beispielsweise bei Webseiten, die aus dem Internet erreichbar sein müssen, für datenschutzrechtlich sensible Bereiche wie Drucker jedoch sehr problematisch.

Vorteile von privaten Netzen:

  • Zugriffe aus dem Internet werden geblockt, ohne Arbeit in komplexe Rechner- und Firewallkonfigurationen zu investieren.

  • Würmer und Viren befallen nicht das gesamte Netz, sondern im schlimmsten Fall nur Teilnetze.

  • Abschottung gegenüber anderen Abteilungen oder Arbeitsgruppen ist möglich.

  • Eine Arbeitsgruppe kann in Teilnetze unterteilt werden, falls ein Zugriff auf bestimmte Daten nicht für alle Mitarbeiter bestimmt ist.

Fragen

Sollten Sie weitere Fragen oder Hinweise haben oder Kommentare zum Ablauf haben, können Sie gerne Kontakt per Mail oder Telefon unter +49 761 203 97897 oder 96806 aufnehmen.

Personal tools