Kommentar zum Drucker-Hack

Whitelisting im Internet of Things

| Autor / Redakteur: Fredrik Åhgren / Stephan Augsten

ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden.
ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden. (Bild: Archiv)

Drucker sind vielleicht nicht das lohnendste Ziel für Cyber-Angriffe, trotzdem werden sie attackiert. Mit Blick auf das Internet der Dinge kann man aus Drucker-Hacks zumindest etwas lernen.

Drucker spucken wie von Geisterhand antisemitische Hetzschriften aus. Das klingt nach schlechtem Film, hat sich genauso jedoch kürzlich an mehreren deutschen Hochschulen ereignet.

Es mag auf den ersten Blick irritieren, dass sich Hacker einfach so in die Netzwerke großer Universitäten einklinken und bequem aus der Ferne ihre Pamphlete ausdrucken können. Drucker gehören allerdings seit jeher zu den schwächsten Gliedern, wenn es um das Thema Netzwerksicherheit geht. Sie sind nämlich ganz gewöhnliche Computer, auf denen wie auf anderen Rechnern auch handelsübliche Betriebssysteme installiert sind.

Der Unterschied: Drucker-Firmware wird so gut wie nie gepatcht oder gemanagt. Auch die Standardeinstellungen der Hersteller werden nach Inbetriebnahme eines Druckers selten geändert – und diese kann in den Handbüchern, die online frei verfügbar sind, jeder nachlesen. Die Drucker-Konfiguration bleibt oft über viele Jahre lang unverändert, und das macht die Ausgabegeräte so anfällig für Angriffe von außen.

Trotzdem beobachten wir bei neXus, dass es in Unternehmen und anderen Organisationen nach wie vor kein ausgeprägtes Bewusstsein für die Notwendigkeit gibt, gerade auch solche Systeme zu schützen – und das obwohl das Risiko für erfolgreiche Angriffe mit der zunehmenden Vernetzung von Maschinen weiter ansteigt.

Das gilt für Drucker ebenso wie für vernetzte „Dinge“ aller Art, darunter Kühlschränke, Autos oder intelligente Klimaanlagen, deren Verbreitung im Zuge des „Internet of Things“ bereits begonnen hat. Wie also lassen sich Vorfälle wie jene, die sich jüngst an den deutschen Hochschulen ereignet haben, vor diesem Hintergrund verhindern?

Die anwendenden Unternehmen können sich für eine von zwei grundsätzlichen Schutz-Strategien entscheiden: Traditionelle Antiviren-Programme wehren Schadsoftware auf Basis einer Blacklist – also einer Liste gefährlicher Programme – auch auf Druckern erfolgreich ab. Die bessere Alternative ist hier jedoch das sogenannte Whitelisting, bei dem unbekannte Anwendungen, Scripts oder Software grundsätzlich geblockt werden – es sei denn sie werden zuvor explizit erlaubt. Ein Vergleich zwischen den beiden Ansätzen macht deutlich, warum.

Schutz für kritische Systeme

Die Menge an Malware, die heute zu jedem beliebigen Zeitpunkt im Netz verbreitet wird, ist gigantisch: Jede Sekunde werden im Durchschnitt elf neue Viren in Umlauf gebracht (Stand April 2015). Selbst die leistungsfähigsten Antiviren-Programme stoßen hier oft an ihre Grenzen – denn gefordert ist letztlich ein Schutz „gegen Unbekannt“.

Insbesondere auf maßgeschneiderte Schadprogramme für sehr gezielte Angriffe reagieren sie häufig erst dann, wenn es schon zu spät ist. Das kontinuierliche Scannen externer Risiken und Angriffe passt zudem nicht zu der permanenten Verfügbarkeit, die von vielen Systemen gefordert wird – man denke nur einmal an Geldautomaten, Server-Farmen und Check-in-Automaten an Flughäfen, aber auch an Fertigungsroboter, Alarmsysteme oder medizintechnisches Equipment in Krankenhäusern.

Diese geschäftskritischen Systeme können nicht oder nur unter wirtschaftlichen Einbußen für ein Patch-Update abgeschaltet werden. Zudem erfordert erfolgreiches Blacklisting, dass die im Hintergrund laufende Liste an potenziellen Gefahren in Echtzeit aktualisiert wird – das zu schützende System muss also kontinuierlich mit dem Betreiber des Antiviren-Programms verbunden sein.

Das zieht einerseits umfangreiche Ressourcen ab, denn die Systeme müssen ja zusätzlich zu ihren eigentlichen Aufgaben permanent nach Malware suchen – es ist aber in vielen Fällen auch nicht wünschenswert, beispielsweise im Falle eines EKG-Geräts auf der Intensivstation einer Klinik, über das sensible Patientendaten laufen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44080675 / Endpoint)