Expertentipps zur Endgeräte-Sicherheit: So bleiben Sie compliant

06/09/2018Lesezeit 8 Minuten

Mit einer Branchenerfahrung von 21 Jahren gehört Jason O’Keeffe zu einem der weltweit führenden Experten für IT-Sicherheitsmaßnahmen. Als leitender Print Security Advisor von HP verfügt er über ein fundiertes Wissen und beispiellose Kompetenz in den Bereichen Cyber-Abwehr und Compliance, Netzwerksicherheit sowie bei der Sicherung der Druckerinfrastruktur. Heute berichtet er über seine Kundenratschläge, wenn es um den Datenschutz, den Schutz der Kunden und über die Einhaltung der neuen Bestimmungen geht.

Sicherheit ist inzwischen ein betriebskritisches Thema auf höchster Führungsebene.

Wenn wir unsere Sicherheitsbeurteilungen durchführen stellen wir sicher, dass neben dem IT-Team auch die Geschäftsinhaber anwesend sind. So können sich alle Anwesenden auf höchster Ebene einbringen. Häufig beobachten wir dann Aha-Erlebnisse, wenn beispielsweise die Geschäftsinhaber plötzlich den Zusammenhang zwischen Datenverlust, schlechten Geschäftspraktiken und IT-Schwachstellen verstehen. Sicherheit kann über das Schicksal eines Unternehmens entscheiden. Viele Führungskräfte beginnen zu begreifen wie wichtig die Kooperation mit dem IT-Team ist.

Kürzlich bat uns ein Kunde an der US-amerikanischen Ostküste um eine Betriebsbewertung. Wir kamen zu dem Ergebnis, dass das Unternehmen für seine Drucker nur minimale oder gar keine Richtlinien eingeführt hatte – es herrschte eine gewisse Narrenfreiheit. Jeder hatte die Zugriffsrechte eines Administrators und so die Möglichkeit einen 8.000 US-Dollar teuren Multifunktionsdrucker außer Betrieb zu nehmen. Ihnen war diese Tatsache überhaupt nicht bewusst. Hinzu kam, dass diese Administratorrechte sehr allgemein waren – sowohl der Benutzername sowie das Passwort lauteten „Gast“. Als wir erklärten, inwieweit dadurch vertrauliche Unternehmensdaten gefährdet seien, machte es bei jedem Anwesenden plötzlich „Klick“. Unsere Aufgabe ist es mitunter, die IT-Abteilung, die Führungsebene sowie die Geschäftsinhaber über solche Risiken aufzuklären.

Organisationen nehmen die Druckersicherheit nicht ernst genug.

Kunden sehen den Drucker als ein dummes Gerät, das in der Ecke steht und für das keine besonderen Sicherheitsmaßnahmen notwendig sind. Die heutigen Geräte sind jedoch nicht mit Modellen von vor fünf Jahren vergleichbar. Inzwischen sind sie extrem intelligent, ausgestattet mit kompletten Betriebssystemen und eingebetteten Webservern. Die Kunden fühlen sich auch durch Firewalls geschützt, doch diese reichen längst nicht mehr als alleinige Schutzmaßnahme aus. Beim Kauf eines Druckers, oder eines IoT-Gerätes im Allgemeinen, muss sich der Kunde heute Gedanken über die integrierte (falls überhaupt vorhandene) Sicherheit und die sofortigen Konfigurationsschritte machen. Hacker sind stets auf der Suche nach Alternativen, um in Ihr Netzwerk einzudringen. Was wäre bequemer als ein Drucker, der sich hinter zwei Ebenen von Firewall-Systemen, hinter IPS, IDS, SIEM, HIPS und so weiter, verbirgt. Unterschätzen Sie niemals die Raffinesse von Hackern. Das ist eine sehr kreative Personengruppe. Ich konnte bereits live erleben, wie sie Firewalls, IPS oder IDS umgingen, um Drucker zu hacken.

Neue Sicherheitsstandards anzuwenden ist leichter als Sie denken.

Kleinunternehmen fühlen sich von den Sicherheitsmaßnahmen gemäß den Bestimmungen wie PCI, HIPAA und der neuen DSGVO überfordert. Ich beruhige sie immer damit, dass es schwieriger aussieht als es ist. In Wirklichkeit ist es sehr einfach, einen Standard in konkrete Maßnahmen umzusetzen – man liest sich die Bestimmungen und Standards durch und vergleicht sie mit den bereits geltenden internen Kontrollen. Wir von HP unterstützen unsere Kunden, damit sie die bekannten Sicherheitsstandards wie PCI, HIPAA und DSGVO umsetzen können und wir zeigen ihnen, wie diese auf ihre Druckerinfrastruktur anzuwenden sind. Kunden erkennen unverzüglich, wie sie Hunderte oder auch Tausende von ihren Netzwerkgeräten schützen können und wie sie diese mit den Branchenvorschriften in Einklang bringen können. So haben wir schon zahlreiche Kunden und Führungskräfte zu wahren Sicherheitshelden in ihren Betriebe gemacht.

Bleiben Sie mit Branchen-Blogs auf dem Laufenden.

Bestimmungen werden ständig geändert und aktualisiert. Kleinunternehmen können es sich häufig nicht leisten, eine Person zur Einhaltung der Vorschriften zu beauftragen. Abonnieren Sie Newsletter zu Sicherheitsmaßnahmen, um immer aktuell zu bleiben (und natürlich compliant). Aktivieren Sie die Benachrichtigungsfunktion, damit Sie als erster die wichtigsten Neuigkeiten erfahren, die eine Auswirkung auf Ihre betrieblichen IT-Praktiken haben könnte. Kunden sollten sich zudem mit ihren Branchenkollegen und Lieferanten austauschen, um zu garantieren, dass jedes gekaufte Produkt den bewährten Methoden für Industriesicherheit entspricht. Ob Sie es glauben oder nicht, ich kenne Anbieter (darunter einige namhafte), die ihre Kunden nicht über die grundlegendsten Sicherheitspraktiken unterrichten. Was meinen Sie, wie viele Unternehmen es gibt, die den voreingestellten Benutzernamen und das Passwort von neuen Geräten sofort geändert haben? Kann auf Ihre Drucker über den Default-Account und das Herstellerpasswort zugegriffen werden? Wussten Sie, dass Sie mit einer einfachen Internetrecherche die voreingestellten Admin-Konten oder andere Kontoarten der Hersteller finden können? Zugegeben, manche Geräteanbieter machen es auch extrem schwer, die voreingestellten Benutzernamen und Passwörter zu ändern. Entscheiden Sie sich deshalb für Produkte von Anbietern, bei denen sich einfach und beinahe automatisch, die Admin-Passwörter ändern lassen. Die PCI- und HIPAA-Bestimmungen verlangen, dass alle Passwort- und Administrator-Aktivitäten nachvollziehbar sein müssen. Die HIPAA-Bestimmung 164.312(d) beispielsweise regelt die Überprüfung, dass es sich bei einem Nutzer tatsächlich um die genannte Person und keine andere handelt. Ich habe schon häufig Drucker-Administratoren erlebt, die allgemeine Admin-Passwörter an mehrere, mitunter sogar Hunderte von Kollegen weitergegeben haben. Da es „bequem ist und Zeit spart“ geschieht es ziemlich oft. Wenn ich aber erkläre, wie einfach es ist, eine Sicherheitskontrolle gemäß den HIPAA-Bestimmungen zu implementieren, sind die meisten extrem überrascht – auch davon, welchen unschätzbaren Mehrwert dies für ihr Unternehmen und die Sicherheitsabteilung hat. Plötzlich sind sie die Helden der Sicherheit. Dies ist nur ein Beispiel für eine HIPAA-Kontrolle und die Folge für die Drucker. Auch bei den anderen Bestimmungen läuft es ähnlich ab.

Compliance erfordert den Nachweis und Nachvollziehbarkeit aller Änderungen.

Den Unternehmen fehlt es an geeigneten Mechanismen, um den Zugriff auf ihre Drucker zu kontrollieren. Drucker haben mehrere Zugangspunkte und es muss nachvollziehbar sein, ob eine Person manuell oder über einen Server eine Änderung durchgeführt hat. Compliance-Vorschriften verlangen, dass ein Unternehmen jede Situation dokumentiert. Falls nicht, können Admin-Konten gehackt, missbraucht oder dazu verwendet werden, angreifbare Drucker für sich in Beschlag zu nehmen. Im schlimmsten Fall dient dieser Drucker dann als Basis, um innerhalb des Unternehmens auf Webserver und Datenbanken zugreifen zu können. Um es mit den Worten eines anonymen IT-Hackers der Black Hat EMEA 2016 auszudrücken: „Drucker waren die leichteste Beute des Netzwerks“. Stellen Sie also sicher, dass Sie jede Druckeraktivität nachweisen und rückverfolgen können.

Lesen Sie doch mal Peter Kims Buch „The Hacker Playbook“. Es ist eine ausgezeichnete Lektüre zum Thema Sicherheit. Vielleicht etwas zu technisch geschrieben, aber Peter Kim ist ein führender Pentester und er bringt es auf den Punkt: „Es ist sehr wichtig Ihr Netzwerk auf offensive Angriffe und Abwehrsituationen zu testen.“ Sein Buch behandelt die Methoden, die die Unternehmensnetze gefährden. Den Hackern ist es egal, um welches Gerät es sich handelt, sobald sie erst mal einen Fuß in der Tür haben. Oder, wie es Peter Kim in seinem Vorwort so schön ausdrückt: „Ich überprüfe Multifunktionsdrucker auf ihre Konfiguration und stelle fest, dass das Standard-Passwort eingestellt ist. Großartig, schon bin ich drin …“ Und er führt fort: „Wir sind in eine Reihe von Firmen eingedrungen, indem wir Drucker als Einstiegsportal genutzt haben. Vom Drucker aus bewegten wir uns dann in die Breite und fanden die Active Directory, fragten diese mit dem Druckerkonto ab – und Bingo, schon stießen wir auf GOLD …“

So wie es Peter Kim gemacht hat, so habe auch ich es mehrmals erlebt, wie einfach es ist, einen Drucker zu hacken, um sich einen Netzwerk-Zugang zu verschaffen.

Unternehmen müssen die Vorteile der neuen, integrierten Sicherheitstechnik nutzen.

Wir haben bei HP die Geräte mit Funktionen ausgestattet, die Malware erkennen, einen Reboot auslösen und unverzüglich in den Korrektur-Modus umschalten. Das garantiert, dass Malware keine Chance hat. HPs Runtime-Angriffserkennung „Sure Start“ und die Features des Firmware-Whitelisting schützen nicht nur das Gerät, sondern erfassen auch alle Sicherheitsinformationen, die dann von den IT-Mitarbeitern analysiert und ausgewertet werden können. All das trägt zur Stabilisierung der Sicherheitsmaßnahmen im Unternehmen bei.

Verbessern Sie Ihre Sicherheit, indem Sie sich auf das Wesentliche konzentrieren

Egal ob Drucker oder Kamera, besinnen Sie sich bei jedem Endpunkt-Gerät wieder auf das Wesentliche. Beginnen Sie bei den Protokollen. Finden Sie heraus, welche Protokolle für die Datenübertragung verwendet werden. Diese Daten lassen sich problemlos erfassen. Wenn Sie sich zu diesem Zeitpunkt einen Drucker kaufen und diesen an Ihr Netzwerk anschließen, erhält er über eine Reihe von Protokollen Zugriff auf diverse Softwareprogramme. Sie müssen die Protokolle einzeln prüfen, um zu entscheiden, welche notwendig sind und welche nicht. Drucker senden mitunter Daten über ältere, weniger sichere Protokolle, die diese Daten für jeden zugänglich machen. Unternehmen müssen wissen, welche Technologie sich hinter diesen Geräten verbirgt und wie sie miteinander kommunizieren. Nur so können sie entscheiden, welche Protokolle an- und welche auszuschalten sind. HP liefert mittlerweile Drucker aus, bei denen ältere, weniger sichere Protokolle von vorneherein deaktiviert sind. Dieses mag für Firmen mit älteren Druckeranwendungen einen Mehraufwand bedeuten, doch es ist gleichzeitig auch eine zusätzlich schützende Barriere. Aus meiner Sicht macht es mehr Sinn nur Geräte mit komplett abgeschotteten Protokollen auszuliefern, die dann von IT je nach Bedarf aktiviert werden können.

Die Zukunft der Sicherheit geht nicht ohne Expertenrat

Wir bei HP weiten unser Angebot an Sicherheitsberatungen aus. Wir besuchen Unternehmen und informieren sie über die Risiken, bevor wir sie bei der Sicherung ihrer Infrastruktur und der Thematisierung von Compliance-Anforderungen unterstützen. Egal, ob ein Unternehmen zehn oder 100.000 Drucker kauft, es muss wissen, wie die Druckerinfrastruktur gesichert wird und wie gewährleistet wird, dass Kunden, Betrieb und die Daten ausreichend geschützt sind. Gleichzeitig müssen die branchenüblichen Bestimmungen und Standards eingehalten werden.

Laden Sie sich unseren CyberSecurity 2018 eGuide herunter, in dem Sie mehr über einen Sicherheits-Upgrade erfahren.

 

Tektonika Staff 20/09/2018 Lesezeit 4 Minuten

Ist die Datenübertragung an Ihren Drucker sicher?

Es war noch nie einfach, die Daten vor Hackern, vor internen Bedrohungen oder vor böswilligen Dritten zu schützen. Durch das Internet der Dinge (IoT)...

Tektonika Staff 13/09/2018 Lesezeit 4 Minuten

Drei Sicherheitsmaßnahmen, um Ihre Drucker-Palette zu überwachen

Das immer größer werdende Internet bietet den Unternehmen ungeahnte Möglichkeiten bei der Kommunikation und bei den Geschäftsaktivitäten.

Admin Istrator 16/08/2018 Lesezeit 6 Minuten

Cybersicherheit nutzt Machine Learning, um das zu tun, was Mensche…

Die KI-Forschung entwickelt sich rasant weiter. Ziel ist es, eine permanente, proaktive Wachsamkeit bereitzustellen, um somit den komplexen Bedrohungen...

  1. 2

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * gekennzeichnet Required fields are marked *