MFPs und IT-Sicher­heit? „Es sind ja nur Dru­cker“

Ver­netz­te Mul­ti­funk­ti­ons­sys­te­me (MFPs) kön­nen genau­so Cyber­an­grif­fen zum Opfer fal­len wie ande­re Gerä­te auch. Des­halb gilt es unbe­dingt, sie anhand dru­cker­spe­zi­fi­scher IT-Sicher­heits­maß­nah­men zu schüt­zen. Wie dies zu gewähr­leis­ten ist, erklärt Tors­ten Bech­ler, Mana­ger Pro­duct Mar­ke­ting bei Sharp Busi­ness Sys­tems Deutsch­land.

FACTS: War­um sind gera­de ver­netz­te MFPs zuneh­mend der Aus­gangs­punkt für IT-Sicher­heits­vor­fäl­le?

Tors­ten Bech­ler: Im Gegen­satz zu Dru­ckern und Scan­nern in der Ver­gan­gen­heit sind MFPs inner­halb eines Netz­werks inzwi­schen wich­ti­ge Dreh- und Angel­punk­te für doku­ment­ba­sier­te Pro­zes­se, die mit vie­len ver­schie­de­nen ande­ren End­punk­ten im Sys­tem ver­netzt sind. In die­ser Hin­sicht sind sie nicht von ande­ren End­punk­ten wie Lap­tops oder Smart­phones zu unter­schei­den und kön­nen des­halb genau wie die­se zum Ein­fall­tor für Angrei­fer wer­den, wenn sie unge­si­chert sind.

FACTS: Die aktu­el­le Sharp-Stu­die zum The­ma IT-Secu­ri­ty zeigt, dass etwa 20 Pro­zent der deut­schen KMU bereits von Sicher­heits­ver­let­zun­gen betrof­fen waren, die über MFPs erfolgt sind. Was sind die Haupt­grün­de für die­se Vor­fäl­le?

Bech­ler: Anders als Lap­tops oder Smart­phones, bei denen sowohl Nut­zer als auch IT-Ver­ant­wort­li­che inzwi­schen ver­stan­den haben, wie wich­tig Sicher­heit und Daten­schutz sind, wer­den MFPs dahin­ge­hend oft­mals als poten­zi­el­les Sicher­heits­ri­si­ko schlicht über­se­hen oder igno­riert – „Ist ja nur der Dru­cker“. Im Rah­men die­ser Stu­die haben wir eben­falls her­aus­ge­fun­den, dass 36 Pro­zent der befrag­ten Unter­neh­men über­haupt kei­ne dru­cker­spe­zi­fi­schen IT-Sicher­heits­maß­nah­men getrof­fen haben. Genau die­se Dis­kre­panz nut­zen Angrei­fer aus.

FACTS: Die­sel­be Stu­die hebt her­vor, dass hybri­de Arbeits­mo­del­le zusätz­li­che Sicher­heits­be­den­ken her­vor­ru­fen. Wel­che spe­zi­fi­schen Risi­ken ent­ste­hen durch die­se Arbeits­form, ins­be­son­de­re mit Blick auf MFPs?

Bech­ler: Bei hybri­den Arbeits­mo­del­len, aber auch bei Bring-Your-Own-Device-Ansät­zen (BYOD) besteht für ein Unter­neh­men stets ein grö­ße­res Risi­ko, da das Sicher­heits­ni­veau im Home­of­fice des Mit­ar­bei­ters oder auf sei­nem BYOD-Gerät nicht den Anfor­de­run­gen und Best Prac­ti­ces im Unter­neh­men ent­spricht. Eine der grund­le­gends­ten Maß­nah­men zur Absi­che­rung von MFPs ist kei­ne ande­re als bei ande­ren Arten von End­ge­rä­ten: Sicher­stel­len, dass die Soft­ware- und Hard­ware-Kom­po­nen­ten stets auf dem aktu­el­len Stand sind. Im Home­of­fice und bei BYOD kön­nen die IT-Ver­ant­wort­li­chen im Unter­neh­men dies nie­mals ein­wand­frei garan­tie­ren. Und laut unse­rer Stu­die befas­sen sich nur 37 Pro­zent der befrag­ten Unter­neh­men im Rah­men von IT-Sicher­heits­schu­lun­gen mit den beson­de­ren Risi­ken durch hybri­des Arbei­ten – es fehlt also in vie­len Fäl­len auch am nöti­gen Wis­sen.

„Im Rah­men der aktu­el­len Sharp-Stu­die zum The­ma IT-Secu­ri­ty haben wir eben­falls her­aus­ge­fun­den, dass 36 Pro­zent der befrag­ten Unter­neh­men über­haupt kei­ne dru­cker­spe­zi­fi­schen IT-Sicher­heits­maß­nah­men getrof­fen haben. Genau die­se Dis­kre­panz nut­zen Angrei­fer aus.“

FACTS: Wel­che tech­ni­schen Maß­nah­men soll­ten Unter­neh­men ergrei­fen, um ihre MFPs bes­ser zu schüt­zen?

Bech­ler: Das Gute an moder­nen MFPs ist, dass sie übli­cher­wei­se bereits stan­dard­mä­ßig über ver­schie­de­ne leis­tungs­fä­hi­ge Sicher­heits­funk­tio­nen ver­fü­gen, die Unter­neh­men nur zu nut­zen brau­chen. Dazu zäh­len bei­spiels­wei­se Trus­ted Plat­form Modu­les (TPMs), eine Indus­trie­stan­dard­tech­no­lo­gie, die mit­hil­fe kryp­to­gra­fi­scher Wer­te die Ver­schlüs­se­lung von Daten ermög­licht, die von und an den MFP ver­sen­det wer­den. Selbst wenn es ein Angrei­fer schafft, Daten „auf dem Weg“ abzu­fan­gen, wer­den sie damit wert­los für ihn. Ande­re sol­che Stan­dard­funk­tio­nen umfas­sen Audit-Pro­to­kol­le zur Ver­fol­gung und Über­wa­chung der Gerä­te­nut­zung und End-of-Life-Funk­tio­nen zur Löschung aller auf dem Gerät befind­li­chen Daten. Letz­te­re stellt sicher, dass das Gerät nicht zum Risi­ko wird, nach­dem es bereits aus­ge­mus­tert wur­de.

FACTS: Und wel­che orga­ni­sa­to­ri­schen Ände­run­gen soll­ten sie umset­zen, um das Bewusst­sein der Mit­ar­bei­ter für die Sicher­heit von MFPs zu erhö­hen?

Bech­ler: Mit Blick auf die Ergeb­nis­se unse­rer Stu­die lohnt es sich für vie­le Unter­neh­men, hier noch ein­mal bei den Grund­la­gen anzu­set­zen, bei­spiels­wei­se sicher­zu­stel­len, dass kei­ne ver­trau­li­chen Doku­men­te unbe­auf­sich­tigt im Aus­ga­be­fach oder Scan-Feld des Geräts ver­blei­ben. Grund­sätz­lich soll­te ein­fach ein Set an ein­heit­li­chen und ver­bind­li­chen Richt­li­ni­en für die siche­re Nut­zung von MFPs im Unter­neh­men eta­bliert wer­den und die­se im Rah­men regel­mä­ßi­ger Schu­lun­gen – und bereits als Teil des Onboar­dings neu­er Mit­ar­bei­ter – kom­mu­ni­ziert wer­den. Inhal­te für sol­che Schu­lun­gen könn­ten bei­spiels­wei­se ein „How-To“ für siche­re Pass­wör­ter und PINs oder eine Auf­klä­rung hin­sicht­lich aktu­el­ler Mal­wa­re-Vari­an­ten umfas­sen.

„Das Gute an moder­nen MFPs ist, dass sie übli­cher­wei­se bereits stan­dard­mä­ßig über ver­schie­de­ne leis­tungs­fä­hi­ge Sicher­heits­funk­tio­nen ver­fü­gen, die Unter­neh­men nur zu nut­zen brau­chen.“

FACTS: Müs­sen Unter­neh­men in Deutsch­land hin­sicht­lich des Schut­zes von MFPs regu­la­to­ri­sche Anfor­de­run­gen erfül­len?

Bech­ler: MFPs sind Gerä­te für doku­men­ten­ba­sier­te Pro­zes­se, und in Unter­neh­men ent­hal­ten Doku­men­te oft­mals sen­si­ble, ver­trau­li­che, per­so­nen­be­zo­ge­ne oder sogar poten­zi­ell geschäfts­kri­ti­sche Infor­ma­tio­nen, von den Zah­len des Quar­tals­be­richts bis hin zur Tele­fon­num­mer eines Bewer­bers. Hier gel­ten die­sel­ben regu­la­to­ri­schen Anfor­de­run­gen für den Umgang mit sol­chen Infor­ma­tio­nen wie bei allen ande­ren Unter­neh­mens­pro­zes­sen, dar­un­ter bei­spiels­wei­se die DSGVO. Auch des­halb soll­ten Unter­neh­men die Risi­ken von unge­si­cher­ten MFPs ernst neh­men. Und die Fol­gen von Daten­schutz­ver­let­zun­gen kön­nen nicht nur recht­li­cher und finan­zi­el­ler Art sein. Repu­ta­ti­ons­schä­den auf­grund man­geln­der Sicher­heit und Sorg­falt kön­nen das Geschäft oft noch län­ger­fris­ti­ger beein­träch­ti­gen.

FACTS: Wel­che Sicher­heits­aspek­te soll­ten Unter­neh­men beach­ten, wenn sie Cloud-Diens­te für ihre MFPs nut­zen?

Bech­ler: Hier gel­ten die­sel­ben Best Prac­ti­ces wie bei Nicht-MFP-spe­zi­fi­schen Cloud-Diens­ten: Die Diens­te soll­ten in einem Rechen­zen­trum in Deutsch­land gehos­tet sein, um sicher­zu­stel­len, dass die Anbie­ter den Anfor­de­run­gen deut­scher und euro­päi­scher Daten­schutz­re­gu­la­ri­en ent­spre­chen. Und idea­ler­wei­se soll­te der Umfang von Wartungs‑, Sicher­heits- und Back-Up-Leis­tun­gen im Rah­men von kon­kre­ten Ser­vice Level Agree­ments fest­ge­legt wer­den, sodass sicher­ge­stellt wer­den kann, dass im Fal­le eines Vor­falls Rechts­si­cher­heit besteht und even­tu­el­le Aus­fall­zei­ten so kurz wie mög­lich blei­ben.

FACTS: Wel­che zukünf­ti­gen Trends sehen Sie im Bereich der Cyber­si­cher­heit, die ins­be­son­de­re für KMU rele­vant sein könn­ten?

Bech­ler: Wie über­all ist auch im Bereich Cyber­si­cher­heit künst­li­che Intel­li­genz ein gro­ßes The­ma, auf bei­den Sei­ten: Cyber­si­cher­heits­ver­ant­wort­li­che kön­nen KI-gestütz­te Lösun­gen nut­zen, um vie­le Stan­dard­pro­zes­se – zum Bei­spiel das Bestä­ti­gen legi­ti­mer Zugriffs­an­fra­gen – zu auto­ma­ti­sie­ren. So wer­den dann Kapa­zi­tä­ten für kom­ple­xe­re Auf­ga­ben frei. Aber auch Angrei­fer wer­den in Zukunft KI nut­zen, um ihre Angriffs­me­tho­den noch wei­ter zu ver­fei­nern – bei­spiels­wei­se durch KI-gene­rier­te, hoch­per­so­na­li­sier­te Phis­hing-E-Mails, die viel schwe­rer als sol­che erkannt wer­den kön­nen. Selbst wenn also noch kei­ne Plä­ne bestehen, KI in das eige­ne Sicher­heits­öko­sys­tem zu inte­grie­ren, lohnt es sich für Unter­neh­men, den Trend zu ver­fol­gen, schon allein, um über die neu­es­ten Bedro­hun­gen infor­miert zu sein.

FACTS: Wie wird sich Ihres Erach­tens die Bedro­hungs­la­ge in den kom­men­den Jah­ren ent­wi­ckeln?

Bech­ler: KI stellt hier wie gesagt eine gro­ße Varia­ble dar. Wenn sie es Angrei­fern ermög­licht, Angriffs­me­tho­den zu auto­ma­ti­sie­ren und zu ska­lie­ren, lohnt es sich in Zukunft auch zuneh­mend, klei­ne­re Unter­neh­men anzu­grei­fen, die in der Ver­gan­gen­heit den Auf­wand nicht wert gewe­sen wären. Die Schlag­zei­len wer­den auch wei­ter­hin die tech­nisch kom­ple­xen Angrif­fe auf gro­ße inter­na­tio­na­le Unter­neh­men machen, aber des­halb soll­ten sich gera­de KMU, in denen die IT-Ver­ant­wort­li­chen oft­mals sowie­so bereits über begrenz­te finan­zi­el­le und per­so­nel­le Res­sour­cen ver­fü­gen, nicht in Sicher­heit wie­gen.

FACTS: Wann emp­fiehlt sich für Unter­neh­men der Ein­satz von exter­ner Bera­tung durch Exper­ten bei der Gestal­tung einer lang­fris­ti­gen und ganz­heit­li­chen Sicher­heits­stra­te­gie?

Bech­ler: Grund­sätz­lich gilt, vor allem in KMU mit begrenz­ten Res­sour­cen: Etwas nicht selbst machen zu müs­sen wird zum Wett­be­werbs­vor­teil, wenn so Kapa­zi­tä­ten für das Tages­ge­schäft frei wer­den. Dem­entspre­chend lohnt es sich für fast jedes Unter­neh­men, hin­sicht­lich der Cyber­si­cher­heit Exper­ten­be­ra­tung hin­zu­zu­zie­hen. Ganz beson­ders emp­fiehlt es sich jedoch dann, wenn ent­spre­chen­de Exper­ti­se im Unter­neh­men selbst nicht oder nicht aus­rei­chend vor­han­den ist. Laut unse­rer Stu­die haben 68 Pro­zent der befrag­ten IT-Ent­schei­der kein Ver­trau­en in die Fähig­keit ihres Unter­neh­mens, sich erfolg­reich gegen Cyber­an­grif­fe zu ver­tei­di­gen. Ganz offen­sicht­lich gibt es hier also eini­ges nach­zu­ho­len. Dafür einen exter­nen Exper­ten zu Rate zu zie­hen, soll­te so selbst­ver­ständ­lich sein, wie das Auto in die Werk­statt zu brin­gen, wenn der Motor raucht.