Verschlüsselung mit Internet Printing Protocol

Ein besonders wichtiger Aspekt, der leider oft noch vernachlässigt wird, ist die Druckdatenverschlüsselung. Hochwertige Bürodrucker und Multifunktionsdrucker enthalten Festplatten, Arbeitsspeicher und Netzschnittstellen, auf denen Daten ihre digi­talen Spuren hinterlassen. Zu den serienmäßigen ­Sicherheitseinstellungen solcher Geräte gehören ­Lösungen, die die Ausgabe von Druckjobs erst dann ermöglichen, wenn der berechtigte Benutzer am ­Gerät den Druck auslöst (Followme- oder Private Printing). Auf der Festplatte des Druckers ge­speicherte Druckdaten werden verschlüsselt und nach Beendigung des Druckjobs gelöscht beziehungsweise überschrieben und die Festplatte wird bei Standortwechsel des Druckers oder bei seiner endgültigen Entsorgung komplett und unwider­ruflich gelöscht. Doch all diese Schutzmaßnahmen sind vergeblich, wenn Druckdaten im Klartext durch das Netz ­wandern. Um dies zu vermeiden, müssen sie verschlüsselt werden, denn Druckerbefehlssprachen wie PCL (Printer Control Language) oder Postscript sind Seitenbeschreibungsprotokolle, die neben Steuer- und Befehlszeichen die Information des Dokuments mehr oder minder im Klartext enthalten. Noch ­einfacher ist ein im ASCII-Format übertragener Text zu lesen. Angreifer brauchen lediglich ein Sniffer-Programm, das man einfach aus dem Internet herunterladen kann, um diese Daten bei der Über­tragung mitzuschneiden. Auch Anwendungen zur Anzeige solcher mitgeschnittener Daten auf dem Bildschirm – sogar als Originaldokument – sind leicht zu bekommen. Angreifer können diese Daten auch manipulieren und in veränderter Form drucken lassen. Die gängigen Druckprotokolle (LPD/LPR/Sockets, SMB/CIFS et cetera) ermöglichen keine Druckdatenverschlüsselung und schützen daher gegen solche Angriffe nicht. Als herstel­lerübergreifender Standard steht zu diesem Zweck nur das aktuelle Internet Printing Protocol in der Version 1.1 (IPPv1.1) zur Verfügung. Es kann Daten mit SSL/TLS verschlüsseln, wenn in verschiedenen Umgebungen jeweils bestimmte Bedingungen erfüllt sind. In Linux- und Unix-Umgebungen sowie bei Mac OS X wird IPPv1.1 von Cups (Common Unix Printing System) unterstützt. Die aktuellen Windows-Betriebssysteme unterstützen das Protokoll IPPv1.1 nicht. Bei Windows 2000, XP, Professional, Vista sowie bei Windows Server 2003 und 2008 besteht die Möglichkeit, den Webserver IIS als Windows-Komponente in der Software-Rubrik der Systemsteuerung nachzuinstallieren. Als Druckserver konfiguriert, ermöglicht dieser dann das Drucken über HTTP sowie die SSL-verschlüsselte Druckdatenübermittlung über HTTPs. Für Windows-Umgebungen gibt es darüber hinaus lediglich wenige proprietäre Lösungen zur verschlüsselten Druckdatenübertragung. Eine Möglichkeit, Druckaufträge in Umgebungen mit Windows-Betriebssystemen zu verschlüsseln, ist der SEH Print Monitor. Ein weiteres Beispiel ist die Druckmanagementlösung ThinPrint.print. Sie kann Druckdaten verschlüsseln, die vom Server zum Client geschickt werden. Die ThinPrint-SSL-Verschlüsselung von Druckdaten ist nicht nur für Server und Clients im Windows-Umfeld, sondern auch für heterogene Umgebungen (Linux, Unix, AS/400, IBM-Main­frames) möglich. Sind nach einer umfassenden Analyse der Sicherheitsrisiken für den Netzdruck die Schwachstellen definiert, empfiehlt es sich, vorhandene Sicherheitslücken zügig zu schließen oder zu minimieren. Außerdem bietet ein einmal etabliertes Sicherheitskonzept nur für eine begrenzte Dauer optimalen Schutz. Da sich die Angriffsmethoden ständig weiterentwickeln und neue hinzukommen, gilt es, sich ständig auf dem Laufenden zu halten: Es lohnt sich, in die Sicherheit des Netzdrucks zu investieren, denn im Fall eines Falles zeigt sich: Die Präventivmaßnahmen sind allemal kostengünstiger als die Folgen eines Schadens.