Die vergessene Schwachstelle in Büro und Homeoffice
Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.
Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.
Drucken gehört nicht der Vergangenheit an
Videokonferenzen, Kollaborationstools, elektronische Rechnungen und digitale Dokumentenverwaltung, in der Corona-Pandemie hat es in vielen deutschen Unternehmen einen Digitalisierungsschub gegeben, wie der Digitalverband Bitkom berichtet.
Es wäre allerdings falsch zu glauben, dass dadurch nun das digitale Büro Wirklichkeit geworden wäre. Der Digital Office Index (DOI) verdeutlicht die Digitalisierung von Büro- und Verwaltungsprozessen, deren Fortschritt und Effekte. Er wird jedes Jahr auf Basis von insgesamt 58 Indikatoren gebildet. Auf einer Skala von 0 („überhaupt nicht digitalisiert“) bis 100 („vollständig digitalisiert“) erreicht der Digital Office Index in diesem Jahr 2022 einen Wert von 59 Punkten.
Die Unternehmen in Deutschland sind also gerade einmal etwas mehr als die halbe Strecke zum digitalen Büro gegangen. Nur jedes zwölfte Unternehmen arbeitet bereits vollständig papierlos, so Bitkom. Entsprechend häufig ist auch der Drucker noch im Einsatz. Es wird zwar weniger ausgedruckt als früher, doch die Drucker bleiben im Netzwerk und am Arbeitsplatz aktiv.
Drucker sind beliebte Angriffsziele
Datenschutzbeauftragte sollten deshalb darauf aufmerksam machen, dass Drucker nur dann nicht mehr zu den möglichen Schwachstellen und Angriffszielen gerechnet werden müssen, wenn sie tatsächlich nicht mehr verwendet und im Netzwerk oder auf dem Schreibtisch betrieben werden.
Selbst bei nur wenigen Ausdrucken pro Tag oder gar pro Woche bleiben unsichere Drucker ein mögliches Ziel für Cyberangriffe und eine denkbare Hintertür in das Netzwerk und zu den mit dem Drucker verbundenen Endgeräten.
Während man es den verantwortlichen Stellen im Unternehmen nicht oft genug sagen kann, dass Drucker ein Sicherheitsrisiko für personenbezogene Daten darstellen können, wissen das die Internetkriminellen ganz genau.
So berichtet zum Beispiel der Managed-Workplace-Service-Anbieter Apogee: „Als Entrypoint in das Firmennetz sind ungeschützte Drucker ein einfaches und willkommenes Ziel für Cyberkriminelle, was sich im schlimmsten Fall in DDoS-Attacken, Datendiebstahl oder der Infizierung mit Ransomware auswirken kann. Der Verlust von vertraulichen Dokumenten und das Abgreifen von Druckaufträgen können die Probleme noch potenzieren, wenn Unternehmen ihrer Sorgfaltspflicht nicht nachkommen und gegen die DSGVO verstoßen.“
Konkrete Attacken belegen die Risiken durch Drucker
Es gibt regelmäßig Warnungen zu Schwachstellen bei Druckern, die zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) veröffentlicht.
Einige Beispiele aus 2021: Sicherheitsforscher hatten wurmfähige Schwachstellen (im physischen Zugriffsport (CVE-2021-39237) sowie im Font-Parsing (CVE-2021-39238)) von HP-Multifunktionsdruckern entdeckt. Angreifer konnten die Schwachstellen ausnutzen, um die Kontrolle über ungeschützte Multifunktionsdrucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden konnte.
Microsoft veröffentlichte neben Sicherheitsupdates zusätzlich Informationen über die Schwachstelle CVE-2021-1675. Betroffen war die Warteschlange (Spooler), die von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird. Von der Schwachstelle betroffen waren viele Clientversionen von Windows als auch Serverversionen von Microsoft Windows.
Ein entfernter, authentisierter Angreifer konnte eine Schwachstelle in HP OfficeJet Druckern ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen. Dadurch kann Schadcode innerhalb der vom Drucker bereitgestellten Konfigurations-Webseite ausgeführt werden.
Im Sommer 2021 war der als „PrintNightmare“ bezeichnete Windows 10 Exploit in aller Munde. Es handelte sich hierbei um eine Schwachstelle im Druckerspooler von Windows-Systemen. Microsoft hatte den Exploit mit der Nummer CVE-2021-34527 in einer Warnmeldung veröffentlicht. Mittels dieser Sicherheitslücke konnten Angreifer lokale System-Rechte auf den angegriffenen Rechnern erhalten.
Das wiederum konnte anschließend auf vielfache Art und Weise ausgenutzt werden:
- die Angreifer waren in der Lage, Programme zu installieren,
- sie hatten Zugriff auf lokale Dateien, die geändert, kopiert oder gar gelöscht werden konnten,
- ihnen war es möglich, neue Benutzerkonten mit uneingeschränkten Rechten zu erstellen.
Fazit: Drucker müssen (zurück) auf die Liste der Datenrisiken
Wenn also das Thema Drucker in Zeiten der digitalen Transformation aus dem Datenschutzkonzept und der Datenschutzschulung genommen wurde, sollte dies dringend rückgängig gemacht werden.
Erst wenn es wirklich ein digitales Büro gibt, kann der physische Drucker von der Liste der Datenrisiken genommen werden. Dann aber übernimmt der virtuelle Drucker, zum Beispiel zur Ausgabe von PDF-Dateien, vollständig diese Rolle, nicht nur beim Ausdrucken, sondern auch als Angriffsziel.