top of page

Wenn der Erpresser durch den Drucker kommt. Die unterschätzte Gefahr.

Eine kommunale Ausschreibung über einen Multifunktionsdrucker auf meinem Tisch. Das aktuellste war der Poststempel. In der Tüte war die Zeit stehen geblieben. Eine eins zu eins Kopie der letzten Ausschreibung vor drei Jahren, inklusive Rechtschreibfehler.


Nun finden manche das Kartoffelfeld hinter ihrem Haus interessanter als einen Drucker. Für böswillige Handlungen ist dieses System allerdings die bessere Spielwiese.


Ausgeschrieben war folgende Funktionalität:

  • Für die Arbeit – gab es Geschwindigkeit, Druckformate, Anzahl der Papierkassetten.

  • Für die Grünen – die Energy Star Zertifizierung.

  • Für den Betriebsrat – die Geräuschemission.

  • Die IT hat sich ein bisschen Festplattenüberschreibung gegönnt. Man weiß ja nie, ob der Datenschutzbeauftragte nicht doch einmal vorbeikommt.


Das war es. Keine weiteren Anforderungen an die Sicherheit.


2015 beschrieb Peter Kim in seinem Hacker Playbook 2 den Angriff auf Multifunktionsdrucker, mit „ruckzuck bin ich drin“. Viel ist seither nicht passiert. Wahrscheinlich ist er immer noch drin und lacht sich ins Fäustchen.


Multifunktionsdrucker gehören zu den IoT („Internet of Things“)-Systemen. Unzählige Iot-Sensoren, Aktoren und Controller sind mit einem Großteil der kritischen Infrastruktur verbunden. Hacker und Cyberkriminelle wissen, wie sie diese Geräte angreifen, um den Zugriff auf unsere Daten und mehr zu bekommen.


Bisher stand die Flexibilität und das Zusammenspiel der IoT-Systeme für die Entwickler und Nutzer im Vordergrund. In der heutigen Zeit wird immer mehr die Sicherheit und der Datenschutz an erster Stelle stehen.


Die Problematik in der Umsetzung der IoT Sicherheit


Ursprünglich waren IoT-Systeme auf eine bestimmte Umgebung beschränkt. Durch die Integration in die Computernetzwerke kann jedes IoT-System zu einem Einstiegspunkt in das Netzwerk werden, wenn der Eindringling den richtigen Weg findet. Die zunehmende Verbindungsfähigkeit der Systeme vergrößert die Angriffsflächen stark.


Systemdesigner müssen den potenziellen Angreifer und seine unzähligen kreativen Möglichkeiten immer besser verstehen.


Vorhandene Cybersecurity-Lösungen sind viel zu komplex für die stromsparenden, kostengünstigen Sensoren. Wir benötigen neue Sicherheitslösungen, die über eine breite Palette von Geräten-Anwendungen funktionieren.


Die klassischen kryptografischen Sicherheitsansätze erkennen nicht mehr jeden Angriff. Sie müssen durch mathematische Modelle erweitert werden, um das Systemverhalten besser zu verstehen. So erkennen wir, ob ein Angriff unmittelbar bevorsteht oder bereits im Gange ist.


Die Vogel Communications Group ermittelt zwischen 2019 und 2021 einen Anstieg der Erpressungs-Angriffe von über 350 Prozent. Unternehmen und Verwaltungen werden lahmgelegt.


Normalerweise sind Probleme etwas Herrliches für jemanden, der Lösungen anzubieten hat.


Wenn die Probleme aber nicht erkannt werden? In Deutschland dauert alles immer etwas länger. Ich habe das gleiche Gefühl wie vor 25 Jahren, in denen ich Offsetdruckereien den Digitaldruck verkaufen wollte. Das war schon ein hartes Ding.


Ich möchte aber nicht alle in einen Topf schmeißen. Gerade bei Institutionen, den Kammern und immer mehr Unternehmen wächst das entsprechende Bewusstsein deutlich.


Der Rest muss begreifen: Am 06. August 1991 hat sich die Welt verändert. An diesem Tag hat Tim Berners die erste Website online gestellt. Die ganze Welt befindet sich plötzlich in einem kleinen Dorf, mit irre vielen Bösewichten.

Im besonderen Fokus stehen Krankenhäuser. Dort spüren wir deutlich die gestiegene Sensibilität. Und das Bewusstsein, mehr in die Sicherheit der IOT Geräte, der Drucker und Multifunktionsgeräte zu investieren. Wer möchte schon seine Leber-Werte in den Händen von Kriminellen sehen?


Bei Behörden, Banken und Unternehmen gehen die Angriffe noch mehr in den sensiblen Bereich und zerstören deren Arbeitsfähigkeit. Wir sehen an der Stadt Suhl, Opfer eines Hackerangriffs, was es für die Bevölkerung bedeutet, wenn Wochen nichts mehr passiert. Wenn alles lahmgelegt ist und Jugendliche nach bestandener Prüfung keinen Führerschein bekommen. Mein Junge würde durchdrehen.


Diese Ausschreibung hake ich ab, wir liefern grundsätzlich nur mit hohen Standards für die Sicherheit. Wenn diese nicht gefragt sind, haben wir keine Chance und verschwenden unnötig Zeit und Kraft. Der Gewinner dieser Ausschreibung stand vorher schon fest. Der Billigste gewinnt. Das Schutzgeld kommt dann aus einem anderen Steuertopf.


Ich will nicht ungerecht sein. Die Asiaten haben optional gute Sicherheitsfunktionen im Angebot. Vielleicht nicht ganz so hohe Standards und Zertifizierungen. Das heißt aber auch: Man muss die Sicherheit explizit ausschreiben!




Mehrschichtige Sicherheit für eine moderne Welt


Wir bemerken ein Gefälle in den Sicherheitsanforderungen unserer Behörden zu ihren amerikanischen Pendants. Wir verwenden ausschließlich amerikanische Technik. Xerox, McAfee und Cisco: wir bündeln die Kräfte für Echtzeit-Reaktionen auf Cyberbedrohungen.


Wenn es um Cybersicherheit geht, ist Zeit ein entscheidender Faktor. Sekunden machen den Unterschied aus, zwischen einer effektiven Reaktion auf eine Bedrohung und einer Katastrophe. Die Verteidigung muss sofort wirken.


Alle 50 Bundesstaaten der USA, die zehn größten Banken und die zehn größten Universitäten Amerikas setzen unsere favorisierten Lösungen ein. Ich gebe die Hoffnung auf ein wachsendes Bewusstsein in Deutschland nicht auf.

Die Bedrohung: Es gibt unzählige Angriffspunkte.


Bedrohungen lauern in der gesamten IT-Infrastruktur und allen internen und externen Plattformen, mit denen sie interagiert. Durch die Zunahme der Mitarbeiter im Homeoffice erhöht sich die Anzahl der Angriffspunkte.


Während moderne Rechner heute nach allen Seiten abgesichert sind, laufen auf den multifunktionalen Systemen in den seltensten Fällen gute Virenscanner.


Die PCs werden personenbezogen genutzt, da kommt so schnell kein anderer ran. Am Multifunktionsdrucker tummeln sich ganze Abteilungen mit Kaffeetassen und USB-Sticks zum Druck der Urlaubsbilder oder andere Vergnügungen herum.


Ein Angriff erfolgt vielfältig. Bei unzureichender Absicherung bekommt der Hacker von außen Zugriff auf alle sensiblen Dokumente. Oder er verwendet den Drucker als Basis für den Angriff auf das Firmennetzwerk.




Vielfach wird die typische Schwachstelle des BIOS und der Firmware ausgenutzt.


Viele Behörden und Unternehmen unterschätzen die Gefahr, die Drucker fallen aus dem Monitoring heraus.


Nach einer Studie von Trend Micro haben immer mehr Unternehmen Schwierigkeiten, ihre Angriffs-Oberfläche zu identifizieren und abzusichern. Die Hälfte der Befragten gibt an, dass die digitale Angriffsfläche ihres Unternehmens außer Kontrolle geraten ist. Hauptgrund ist die fehlende Visibilität und die toten Winkel. Dort verstecken sich dann die multifunktionalen Drucksysteme. Diese sind mit ihrer vielfältigen Funktionalität an der Schnittstelle zur digitalen Welt allerdings nicht mehr wegzudenken.

Nach einer Studie von Ernst&Young handelt es sich bei zehn Prozent aller Hackerangriffe um den Datenklau der Mitarbeiter. Sensible Dokumente und Informationen verlassen so durch unzureichende Zugriffsrechte und Einstellungen auf digitalem Weg die Unternehmen.


Lasst euch eure Firma, euren Bereich nicht lahmlegen. Verhindert Datenschutzverletzungen, erkennt böswillige Aktivitäten und dämmt Schäden effektiv ein!


Erstklassige Funktionen nach dem NIST Standard und die Überwachung durch die Branchen-Besten müssen heute zum Standard gehören. Die Kosten sind vergleichsweise lächerlich.




Datenschutzverstöße verhindern


Das Unternehmen vor Datenschutzverstößen zu bewahren, war noch nie so komplex wie heute. Angesichts von sich ständig weiterentwickelnden und raffinierter werdenden Angriffen, Fehlern von Mitarbeitern und neuen Technologien gibt es eine Menge zu bedenken. Kleine Lücken in den Sicherheitsmaßnahmen haben schwerwiegende Folgen.


Ich empfehle zu jeder Zeit eine gesunde Paranoia vor potenziellen Sicherheitslücken.

Comments


Commenting has been turned off.
bottom of page