Suchen

Kommentar zum Drucker-Hack Whitelisting im Internet of Things

| Autor / Redakteur: Fredrik Åhgren / Stephan Augsten

Drucker sind vielleicht nicht das lohnendste Ziel für Cyber-Angriffe, trotzdem werden sie attackiert. Mit Blick auf das Internet der Dinge kann man aus Drucker-Hacks zumindest etwas lernen.

Firmen zum Thema

ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden.
ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden.
(Bild: Archiv)

Drucker spucken wie von Geisterhand antisemitische Hetzschriften aus. Das klingt nach schlechtem Film, hat sich genauso jedoch kürzlich an mehreren deutschen Hochschulen ereignet.

Es mag auf den ersten Blick irritieren, dass sich Hacker einfach so in die Netzwerke großer Universitäten einklinken und bequem aus der Ferne ihre Pamphlete ausdrucken können. Drucker gehören allerdings seit jeher zu den schwächsten Gliedern, wenn es um das Thema Netzwerksicherheit geht. Sie sind nämlich ganz gewöhnliche Computer, auf denen wie auf anderen Rechnern auch handelsübliche Betriebssysteme installiert sind.

Der Unterschied: Drucker-Firmware wird so gut wie nie gepatcht oder gemanagt. Auch die Standardeinstellungen der Hersteller werden nach Inbetriebnahme eines Druckers selten geändert – und diese kann in den Handbüchern, die online frei verfügbar sind, jeder nachlesen. Die Drucker-Konfiguration bleibt oft über viele Jahre lang unverändert, und das macht die Ausgabegeräte so anfällig für Angriffe von außen.

Trotzdem beobachten wir bei neXus, dass es in Unternehmen und anderen Organisationen nach wie vor kein ausgeprägtes Bewusstsein für die Notwendigkeit gibt, gerade auch solche Systeme zu schützen – und das obwohl das Risiko für erfolgreiche Angriffe mit der zunehmenden Vernetzung von Maschinen weiter ansteigt.

Das gilt für Drucker ebenso wie für vernetzte „Dinge“ aller Art, darunter Kühlschränke, Autos oder intelligente Klimaanlagen, deren Verbreitung im Zuge des „Internet of Things“ bereits begonnen hat. Wie also lassen sich Vorfälle wie jene, die sich jüngst an den deutschen Hochschulen ereignet haben, vor diesem Hintergrund verhindern?

Die anwendenden Unternehmen können sich für eine von zwei grundsätzlichen Schutz-Strategien entscheiden: Traditionelle Antiviren-Programme wehren Schadsoftware auf Basis einer Blacklist – also einer Liste gefährlicher Programme – auch auf Druckern erfolgreich ab. Die bessere Alternative ist hier jedoch das sogenannte Whitelisting, bei dem unbekannte Anwendungen, Scripts oder Software grundsätzlich geblockt werden – es sei denn sie werden zuvor explizit erlaubt. Ein Vergleich zwischen den beiden Ansätzen macht deutlich, warum.

Schutz für kritische Systeme

Die Menge an Malware, die heute zu jedem beliebigen Zeitpunkt im Netz verbreitet wird, ist gigantisch: Jede Sekunde werden im Durchschnitt elf neue Viren in Umlauf gebracht (Stand April 2015). Selbst die leistungsfähigsten Antiviren-Programme stoßen hier oft an ihre Grenzen – denn gefordert ist letztlich ein Schutz „gegen Unbekannt“.

Insbesondere auf maßgeschneiderte Schadprogramme für sehr gezielte Angriffe reagieren sie häufig erst dann, wenn es schon zu spät ist. Das kontinuierliche Scannen externer Risiken und Angriffe passt zudem nicht zu der permanenten Verfügbarkeit, die von vielen Systemen gefordert wird – man denke nur einmal an Geldautomaten, Server-Farmen und Check-in-Automaten an Flughäfen, aber auch an Fertigungsroboter, Alarmsysteme oder medizintechnisches Equipment in Krankenhäusern.

Diese geschäftskritischen Systeme können nicht oder nur unter wirtschaftlichen Einbußen für ein Patch-Update abgeschaltet werden. Zudem erfordert erfolgreiches Blacklisting, dass die im Hintergrund laufende Liste an potenziellen Gefahren in Echtzeit aktualisiert wird – das zu schützende System muss also kontinuierlich mit dem Betreiber des Antiviren-Programms verbunden sein.

Das zieht einerseits umfangreiche Ressourcen ab, denn die Systeme müssen ja zusätzlich zu ihren eigentlichen Aufgaben permanent nach Malware suchen – es ist aber in vielen Fällen auch nicht wünschenswert, beispielsweise im Falle eines EKG-Geräts auf der Intensivstation einer Klinik, über das sensible Patientendaten laufen.

(ID:44080675)