Ratgeber
/ 25. Oktober 2022

Drucker: Die vergessene Schwachstelle in Büro und Homeoffice

Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.

Drucken gehört nicht der Vergangenheit an

Videokonferenzen, Kollaborationstools, elektronische Rechnungen und digitale Dokumentenverwaltung: In der Corona-Pandemie hat es in vielen deutschen Unternehmen einen Digitalisierungsschub gegeben, wie der Digitalverband Bitkom berichtet.

Es wäre allerdings falsch, zu glauben, dass dadurch nun das digitale Büro Wirklichkeit geworden wäre. Der Digital Office Index (DOI) verdeutlicht die Digitalisierung von Büro- und Verwaltungsprozessen, deren Fortschritt und Effekte. Er wird jedes Jahr auf Basis von insgesamt 58 Indikatoren gebildet. Auf einer Skala von 0 („überhaupt nicht digitalisiert“) bis 100 („vollständig digitalisiert“) erreicht der Digital Office Index in diesem Jahr 2022 einen Wert von 59 Punkten.

Die Unternehmen in Deutschland sind also gerade einmal etwas mehr als die halbe Strecke zum digitalen Büro gegangen. Nur jedes zwölfte Unternehmen arbeitet bereits vollständig papierlos, so Bitkom. Entsprechend häufig ist der Drucker im Einsatz. Die Beschägitgten drucken zwar weniger aus als früher, doch die Drucker bleiben im Netzwerk und am Arbeitsplatz aktiv.

Achtung
Drucker sind beliebte Angriffsziele
Machen Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter deshalb auf folgenden Punkt aufmerksam: Drucker sind nur dann keine möglichen Schwachstellen und Angriffsziele mehr, wenn sie wirklich nicht mehr zum Einsatz kommen und auch nicht mehr im Netzwerk oder auf dem Schreibtisch betrieben werden.

Selbst bei nur wenigen Ausdrucken pro Tag oder gar pro Woche bleiben unsichere Drucker ein mögliches Ziel für Cyberangriffe sowie eine denkbare Hintertür in das Netzwerk und zu den Endgeräten, die mit dem Drucker verbundenen sind.

Während Sie es als DSB den Verantwortlichen im Unternehmen nicht oft genug sagen können, dass Drucker ein Sicherheitsrisiko für personenbezogene Daten darstellen, wissen das die Internetkriminellen ganz genau.

So berichtet zum Beispiel der Managed-Workplace-Service-Anbieter Apogee: „Als Entrypoint in das Firmennetz sind ungeschützte Drucker ein einfaches und willkommenes Ziel für Cyberkriminelle, was sich im schlimmsten Fall in DDoS-Attacken, Datendiebstahl oder der Infizierung mit Ransomware auswirken kann. Der Verlust von vertraulichen Dokumenten und das Abgreifen von Druckaufträgen können die Probleme noch potenzieren, wenn Unternehmen ihrer Sorgfaltspflicht nicht nachkommen und gegen die DSGVO verstoßen.“

Konkrete Attacken belegen die Datenschutz-Risiken durch Drucker

Es gibt regelmäßig Warnungen zu Schwachstellen bei Druckern, die zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) veröffentlicht.

Einige Beispiele aus 2021:

  • Sicherheitsforscher hatten wurmfähige Schwachstellen (im physischen Zugriffsport (CVE-2021-39237) sowie im Font-Parsing (CVE-2021-39238) von HP-Multifunktionsdruckern entdeckt. Angreifer konnten die Schwachstellen ausnutzen, um die Kontrolle über ungeschützte Multifunktionsdrucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass sie weiteren Schaden anrichten konnten.
  • Microsoft veröffentlichte neben Sicherheitsupdates zusätzlich Informationen über die Schwachstelle CVE-2021-1675. Betroffen war die Warteschlange (Spooler), die Windows-Systeme zur Abarbeitung von Druckaufträgen nutzt. Von der Schwachstelle betroffen waren viele Clientversionen von Windows, aber auch Serverversionen von Microsoft Windows.
  • Ein entfernter, authentisierter Angreifer konnte eine Schwachstelle in HP OfficeJet Druckern ausnutzen, um einen Cross-Site-Scripting-Angriff durchzuführen. Über den Angriff lässt sich Schadcode innerhalb der vom Drucker bereitgestellten Konfigurations-Webseite ausführden.
  • Im Sommer 2021 war der als „PrintNightmare“ bezeichnete Windows 10 Exploit in aller Munde. Es handelte sich hierbei um eine Schwachstelle im Druckerspooler von Windows-Systemen. Microsoft hatte den Exploit mit der Nummer CVE-2021-34527 in einer Warnmeldung veröffentlicht. Mittels dieser Sicherheitslücke konnten Angreifer lokale System-Rechte auf den angegriffenen Rechnern erhalten. Das ließ sich anschließend auf vielfache Art und Weise ausnutzen:
    • die Angreifer waren in der Lage, Programme zu installieren,
    • sie hatten Zugriff auf lokale Dateien, die sie ändern, kopieren oder gar löschen konnten,
    • ihnen war es möglich, neue Benutzerkonten mit uneingeschränkten Rechten zu erstellen.
Praxis-Tipp
Drucker müssen (zurück) auf die Liste der Datenrisiken

Wenn also das Thema „Datenschutz und Datensicherheit bei Druckern“ in Zeiten der digitalen Transformation aus dem Datenschutzkonzept und der Datenschutzschulung gefallen ist, raten Sie als Datenschutzbeauftragte/-r dringend dazu, dies rückgängig zu machen.

Erst wenn es ein zu 100 % digitales Büro gibt, können unternehmen und Behörden den physischen Drucker von der Liste der Datenrisiken nehmenn. Dann aber übernimmt der virtuelle Drucker, zum Beispiel zur Ausgabe von PDF-Dateien, vollständig diese Rolle – nicht nur beim Ausdrucken, sondern auch als Angriffsziel.

Oliver Schonschek

URL zum Beitrag: https://www.datenschutz-praxis.de/datenschutzbeauftragte/die-vergessene-schwachstelle-in-buero-und-homeoffice/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken