Wir verwandeln Druckumgebungen in vertrauenswürdige Bereiche

Umgebungen für das Drucken und Scannen von Dokumenten müssen ein integraler Bestandteil der IT-Sicherheit in Unternehmen sein. Verkaufsleiter Westschweiz Didier Oppliger und David Theret, Leiter IT Services und Solutions bei Faigle AG Westschweiz, beschreiben die Werkzeuge und Best Practices, mit denen sich die von Druckservern und -geräten verarbeiteten Daten schützen lassen.

Warum ist es wichtig, Umgebungen für das Drucken und Scannen von Dokumenten zu sichern?

Didier Oppliger: Die Cyberkriminalität nimmt zu und Unternehmen müssen die Informationssicherheit angesichts der Bedrohungen durch Ransomware, Trojaner, Datenverlust und Datenlecks gewährleisten. In diesem Zusammenhang ist es unsere Aufgabe, Druck- und Scanumgebungen in vertrauenswürdige Bereiche für unsere Kunden zu verwandeln. Wir implementieren Tools und Best Practices, um Sicherheitslücken zu vermeiden und die Vertraulichkeit der Kommunikation auf mehreren Ebenen zu gewährleisten: Geräte und Server, Druckströme und Druckausgaben.

Für welche Unternehmen ist der Bedarf an sicherem Drucken am grössten?

Didier Oppliger: Generell ist der Bedarf an sicheren Druck- und Scanaufträgen am grössten bei Unternehmen, die persönliche und sensible Daten verarbeiten. Ich denke dabei an Banken, Krankenhäuser und Pflegeheime. Intern gehören die Personalabteilung und die Abteilung für Forschung und Entwicklung zu den Geschäftsbereichen, die besonders von der Nutzung dieser Lösungen profitieren.

Welche Tools werden verwendet, um die Geräte zu sichern?

David Theret: Wir liefern sichere Geräte, die schädliche Änderungen am System verhindern, indem wir TPM-Chips (Trusted Platform Module) verwenden, die nur offizielle Änderungen und Updates zulassen. Weitere Sicherheitsmechanismen beziehen sich auf die Daten, die auf der Festplatte oder im Speicher des Geräts gespeichert sind, beispielsweise ein gescanntes Dokument oder ein Adressbuch. Diese Daten werden über ein Verschlüsselungsmodul geschützt oder mithilfe eines Datenüberschreibungsmoduls vollständig vom Gerät gelöscht. Diese Funktion ist vor allem dann nützlich, wenn ein Gerät am Ende seines Lebenszyklus generalüberholt wird, bevor es in anderen Märkten weiterverkauft wird.       

Wie sieht es mit den Servern aus?

David Theret: Eine gute Methode, um Server und Druckgeräte zu sichern, ist die Segmentierung des internen Netzwerks in mehrere unabhängige Netzwerke (durch VLANs). Für Geräte, Server und Desktops sollte ein eigenes Netzwerk eingerichtet werden, sodass die Endbenutzer nie direkt über das Netzwerk auf das Gerät zugreifen können.

Didier Oppliger: Ein weiteres Risiko besteht darin, dass Druckaufträge auf dem Server liegen bleiben, bis sie freigegeben werden, zum Beispiel durch das Vorzeigen eines Ausweises. Diese Dokumente müssen verschlüsselt werden, um zu verhindern, dass ein Systemadministrator darauf zugreifen kann.

Was bedeutet es, Druckströme zu sichern?

David Theret: Die Sicherung der Druckströme beinhaltet unter anderem die Vermeidung von "Print and Sprint", das heisst das Herumrennen zwischen Arbeitsplatz und Drucker, um sicherzustellen, dass niemand auf vertrauliche Dokumente stösst. Solange ein Mitarbeiter keine Freigabe für den Druckauftrag hat, werden die Dokumente nicht gedruckt. Für den Validierungsprozess können Codes verwendet werden, aber meistens verwenden wir Ausweise mit kontaktloser RFID-Technologie.

Didier Oppliger: Das ist praktisch, weil wir auf die Ausweise zurückgreifen können, welche die Benutzer bereits für die Zugangskontrolle zu Gebäuden usw. haben. Der gesamte Sicherheitsprozess kann problemlos in die bestehende Hardware der Unternehmen integriert werden. Der Netzwerkfluss – von den Endbenutzern zu den Servern und zurück zur Maschine – ist verschlüsselt. Wenn also jemand das Netzwerk aus der Ferne scannt, kann er die Informationen nicht abgreifen.

Gibt es noch andere Sicherheitslücken, die man beim Drucken berücksichtigen sollte? 

David Theret: Ja. Wenn dem Drucker das Papier ausgeht, werden die Druckaufträge in der Warteschlange gesammelt und nacheinander ausgegeben, sobald das Papier wieder aufgefüllt ist. Diese Situation darf nicht übersehen werden, wenn man sensible und vertrauliche Dokumente schützen will. Deshalb blockiert unsere Lösung die Möglichkeit, einen Druckvorgang zu starten, wenn das Gerät einen Fehler macht, und warnt den Benutzer über die Schnittstelle des Druckgeräts und fordert ihn auf, den Fehler zu beheben oder einen anderen Drucker auszuwählen.

Sie erwähnten auch die Notwendigkeit, die Druckausgabe zu sichern. Warum ist das so?

Didier Oppliger: Das ist sozusagen der Kontrollschritt. Denn es nützt nichts, Sicherheitsmassnahmen einzuführen, wenn man nicht sicherstellen kann, dass sie auch befolgt werden.

Wie funktioniert diese Art von Schutz?

David Theret: Das geschieht durch das Erstellen von Protokollen, einschliesslich der Historie jedes Druckauftrags und der damit verbundenen Daten, wie Benutzer- und Geräteidentität, Ort, Art des Auftrags usw. Die Protokolle werden in der Regel von den Mitarbeitern des Unternehmens erstellt. Druckregeln ermöglichen eine Art Data Loss Prevention (DLP), indem sie auf Dateinamen basieren und das Drucken von Dokumenten verbieten oder verhindern.

Didier Oppliger: Es ist zum Beispiel möglich, die Sicherheitsteams zu alarmieren, wenn ein Benutzer Dokumente druckt, die mit einer Kundenakte in Verbindung stehen, die ihn nicht betrifft. Diese Funktion ist für Banken besonders attraktiv.

David Theret: Die Protokolle zeichnen auch alle Aktivitäten der Administratoren auf, sodass man nachvollziehen kann, wer welche Benutzer angelegt oder gelöscht hat. Wir können auch digitale Signaturen hinzufügen, die am Ende der Seite sichtbar sind. Wenn ein Dokument verloren geht, beispielsweise ein Patent, kann sein vertraulicher Charakter direkt erkannt und sein Besitzer anhand der Signatur schnell ausfindig gemacht werden. Darüber hinaus werden Druckaufträge in manchen Fällen eine Zeit lang auf dem Server gespeichert, um sie später zu Kontrollzwecken abrufen zu können. Dieses Sicherheitsverfahren setzt natürlich voraus, dass die Nutzer benachrichtigt und ihre Zustimmung eingeholt wird.

Denken Sie, dass Unternehmen die Sicherung von Druckumgebungen im Vergleich zu anderen Cybersicherheitsmassnahmen vernachlässigen?

Didier Oppliger: Die Absicherung von Druckern wird tatsächlich vernachlässigt, aber es gibt eine Entwicklung: Wir haben jedes Jahr mehr Projekte. Es gibt eine allmähliche Sensibilisierung, die insbesondere von der Finanzmarktaufsicht FINMA im Bankensektor angestossen wurde, indem sie Massnahmen zum Schutz aller Kundendaten verlangte. Mit der Intensivierung der Cyberbedrohungen und der Entwicklung der Sicherheitsstrategie "Zero Trust" verstehen die Unternehmen immer besser, wie wichtig es ist, sämtliche Bereiche zu schützen und sicherzustellen, dass die Druckumgebung keine Lücke in ihrer IT-Sicherheit darstellt.

Den Originalartikel auf Französisch finden Sie hier.