ADVERTORIAL
BANKINGNEWS: Warum können Drucker ein Sicherheitsrisiko in den IT-Landschaften von Banken sein?
Stefan Dydak: Multifunktionsdrucker sind heutzutage leistungsfähige Computer und in diesem Sinne auch oft kritische Elemente auf dem Unternehmensnetzwerk. Sie senden, empfangen, speichern und verarbeiten Daten. Nur werden Sie aus historischen Gründen oft noch völlig vernachlässigt, wenn es um die Sicherheitsstrategie des Unternehmens geht.
Auf welche Art von Angriffen sollten Banken dabei vorbereitet sein?
Verschiedene Szenarien sind vorstellbar. Einerseits könnten die vom Multifunktionsgerät verarbeiteten Daten für einen Angreifer interessant sein. Diese können potenziell im ein- oder ausgehenden Datenstrom des Druckers abgefangen oder vom Drucker selbst abgelesen werden. Dies ist besonders dann attraktiv für Angreifer, wenn sensible und personenbezogene Daten verarbeitet werden. Drucker sind im Zusammenhang mit Datenverarbeitung oft auch wichtige Bestandteile einer Produktionskette wie etwa SWIFT Printing. So könnte der Ausfall eines Geräts einen Geschäftsprozess beeinträchtigen.
Was kann sonst noch passieren?
Der Drucker, oft eines der schwächsten Glieder in der Sicherheitskette, kann als Eingangstor in ein Netzwerk dienen. Ein Multifunktionsgerät ist in der Regel mit diversen Servern, Datenbanken und Shares verbunden. Zugänge zu diesen Elementen werden im Gerät in Form administrativer Privilegien abgelegt, die von einem gewieften Angreifer abgegriffen werden können. Schließlich werden sicherheitsrelevante Ereignisse auf Druckern und Multifunktionsgeräten kaum oder gar nicht überwacht. Ein solches Gerät eignet sich also ideal, um sich unerlaubt im Netzwerk aufzuhalten, ohne entdeckt zu werden.
Welche Möglichkeiten gibt es, Cyberangriffe über diese Geräte zu erkennen und zu verhindern?
Wie bei anderen Computern gibt es natürlich auch hier allerlei Lösungen. Am häufigsten wird für das Monitoring wohl das Syslog-Format benutzt, was von vielen Herstellern unterstützt wird. Die Idee ist dann, relevante Syslog-Ereignisse systematisch an ein sogenanntes SIEM-Tool zu schicken. Dies erlaubt ein rasches Erkennen eines potenziellen Angriffs. Die Verteidigung und Reaktion ist eine komplexe Angelegenheit und hängt mindestens so sehr von Prozessen wie von Tools ab. Bei der Reaktion auf einen Sicherheitsvorfall muss zum Beispiel ein „Computer Security Incident Response Team“ einspringen, um den Schaden so schnell wie möglich zu verstehen, zu limitieren und zu eliminieren. Aber ein Angriff kann vielleicht schon frühzeitig abgewehrt werden, zum Beispiel durch adäquate Härtung der Geräte, zeitgemäßes Patching, eingebaute Sicherheitsmechanismen wie Digital signierte Software, Anti-Malware und Intrusion Detection oder durch Isolation der Geräte am Netzwerk.
Was kann jeder Mitarbeiter einer Bank selbst tun, damit Angriffe dieser Art verhindert werden können?
Wie bei anderen Computern auch ist der Benutzer ein wichtiges Glied in der Sicherheitskette. Wenn er gesunden Menschenverstand walten lässt, die Sicherheitstrainings des Unternehmens ernst nimmt, wichtige Ausdrucke zum Beispiel nicht im Ausgabeschacht liegen lässt und keine unbekannten Personen in die Firma hereinlässt, dann ist schon viel gewonnen. Umgekehrt kann auch gerade die menschliche Schwäche der größte Risikofaktor sein.
Interview: Thomas Friedenberger
