Konsolidierung von Druckerlandschaften
Sicherheit und Überblick gefragt
Der Trend zu Farblaserdruckern und Multifunktionssystemen einschließlich Kopierfunktion führt zu einer Konsolidierung der Druckerlandschaft im Unternehmen: Kleinere Mehrplatzlösungen werden zunehmend durch leistungsfähige Abteilungssysteme ersetzt. Damit rücken aber auch Sicherheitsaspekte und der Schutz vertraulicher Druckdokumente verstärkt in den Vordergrund. Der Beitrag befasst sich mit diesen und anderen aktuellen Aspekten des Netzwerkdrucks.
Als Druckerschnittstelle kommt bei modernen Endgeräten heute in erster Linie der USB-Port zum
Einsatz. Entsprechend stark ist sie auch bei externen Printservern vertreten, wie auch die
Marktübersicht in dieser Ausgabe zeigt. Hier lohnt es sich allerdings genau hinzusehen: USB 1.1
unterstützt Übertragungsraten von maximal 12 MBit/s während USB 2.0 in der "Highspeed"-Variante auf
480 MBit/s kommt. Dies ist ein erheblicher Unterschied. Wer auf Geschwindigkeit Wert legt, sollte
sowohl beim Drucker als auch beim Printserver auf diese Details achten. Ähnliches gilt für die
Frage, wie viele USB-Drucker pro Printserver unterstützt werden: Einige Geräte lassen sich über
USB-Hubs erweitern und können dann beispielsweise statt einem bis zu vier Drucker bedienen.
Entsprechende Lösungen haben etwa SEH und Troy im Angebot.
Bei der Stromversorgung externer Printserver zeichnet sich ein neuer Trend ab: Power over
Ethernet (PoE). So hat SEH jetzt ein erstes zum Standard IEEE 802.3af konformes Modell (PS34-PoE)
auf den Markt gebracht – weitere sollen folgen. Obwohl die Stromversorgung für Printserver in der
Regel kein Problem sein dürfte, könnte die Unterstützung dieser Technik den "Kabelsalat" rund um
Druckstationen doch etwas entwirren sowie Installation und Wartung vereinfachen. Gebannt ist damit
auch die Gefahr, dass jemand versehentlich das Steckernetzteil des Printservers herauszieht und so
die gesamte Druckstation blockiert. Auf der Infrastrukturseite (Switches) mangelt es heute
jedenfalls nicht mehr an entsprechenden PoE-fähigen Lösungen. Sie lassen sich beispielsweise auch
über eine zentrale USV absichern.
Auf der LAN-Seite von Printservern hält inzwischen auch Gigabit Ethernet Einzug: So bietet
Hewlett-Packard mit dem Modell Jetdirect 625N ein Gerät für den internen EIO-Steckplatz an. Mit
seinem 10/100/- 1000Base-TX-Anschluss lässt sich der Printserver sowohl in Gigabit-Umgebung als
auch in gängigen Fast-Ethernet-Netzen betreiben. Bei Hochleistungsdruckern mit entsprechend rascher
Datenaufnahme- und Verarbeitung könnte die hohe Bandbreite des Netzwerkzugangs tatsächlich zum
Tragen kommen. Allerdings zählt der Jetdirect 625N noch nicht zur Standardausrüstung von
HP-Netzwerkdruckern, er stellt also eine Option für gehobene Ansprüche dar.
Ein breites Feld stellt bei Printservern natürlich die Palette der unterstützten Funktionen und
Protokolle mit ihren administrativen Feinheiten – bis hin zu den Sicherheits-Features – dar. Da
sich Unterschiede hier auch im Preis bemerkbar machen und nicht jeder alles benötigt, sind
Abstufungen sogar innerhalb der Produktpalette eines Herstellers durchaus sinnvoll, um
unterschiedliche Einsatzbereiche und Märkte zu adressieren. Hewlett-Packard unterscheidet
beispielsweise bei der Firmware zwischen einer Basis- (nicht unter dem Markennamen Jetdirect),
einer Standard- sowie einer Vollversion. Während die Standardversion kleine und mittlere
Unternehmen adressiert, zieht der Hersteller erst bei der Vollversion "alle Register" bis hin zu
Sicherheitsfunktionen wie SNMP v3, SSL/TLS (HTTPS), 802.1x-Authentifizierung (EAP-PEAP, EAP-TLS)
oder IPP über TLS.
SNMP v3 für sicheres Netzwerkmanagement ist eines der Protokolle, das – wie auch 802.1x –
verstärkt in der "Oberliga" der Printserver angeboten wird. Die Nachfrage im Markt scheint
allerdings noch nicht allzu groß zu sein, weshalb beispielsweise Hersteller SEH SNMP v3 noch auf
seiner To-do-Liste stehen hat. Wenn der Bedarf im Markt vorhanden ist, packen die Entwickler aber
durchaus auch proprietäre Lösungen mit in ihre Firmware: So findet etwa der Thinprint-Client des
gleichnamigen Herstellers immer mehr Verbreitung. Nach SEH unterstützt jetzt auch Troy diese
Technik. Sie bietet eine komprimierte und damit bandbreitenschonende Übertragung von Druckjobs,
setzt jedoch eine entsprechende serverseitige Thinprint-Installationsumgebung (Dotprint Engine)
voraus. SEH geht jetzt noch einen Schritt weiter und will den Thinprint-Client einschließlich SSL
unterstützen, womit dann Datenverschlüsselung bis zum Printserver möglich ist.
Drahtlos drucken
Für drahtloses Drucken eignen sich WLAN-Printserver gemäß IEEE 802.11. Solche Geräte stehen in
erster Linie als externe, teilweise aber auch als interne Printserver zur Verfügung.
Modellvarianten für Letzteres hat beispielsweise SEH im Angebot. Als interessantes Einsatzszenario
für WLAN-Printserver gilt vor allem die Flexibilität bei der Positionierung von Druckern. So lassen
sich Netzwerkdrucker – unabhängig von der vorhandenen strukturierten Verkabelung – dort aufstellen,
wo sie tatsächlich benötigt werden und die Wege kurz sind. Auch temporäre Lösungen etwa bei
Veranstaltungen oder Messen können so leicht realisiert werden. Es geht also hier meist um die
Mobilität des Druckers, nicht unbedingt um die des Anwenders. Der WLAN-Printserver ist dabei im
Infrastrukturmodus über vorhandene Access Points mit dem LAN verbunden und erhält in der Regel von
dort aus seine Druckaufträge. Natürlich sind auch reine Wireless-Netze ohne Verkabelung denkbar –
dieser Ansatz zielt aber eher auf den SOHO-Bereich. Für solche Umgebungen sind jedoch auch Access
Points oder Wireless Router mit integriertem Printserver auf dem Markt, mit denen sich die
Druckerintegration elegant lösen lässt.
Bei der Unterstützung von WLAN-Standards hinken Printserver der technischen Entwicklung
teilweise etwas hinterher: reines 802.11b (11 MBit/s) wird erst langsam durch 802.11g (54 MBit/s)
abgelöst. Der nur im professionellen Umfeld etablierte Standard 802.11a (54 MBit/s) findet sich
nach Kenntnis des Autors lediglich bei Troy: Die Modellfamilie Troy200 unterstützt dabei sogar alle
drei Standards in einem Gerät (Tri-Mode, Dual-Band) und bietet damit flexible Einsatzmöglichkeiten.
Auch in Bezug auf WLAN-Security sind diese Geräte mit WEP, WPA und WPA2/802.11i (Personal und
Enterprise Mode) auf dem aktuellen Stand der Technik, was sich nicht für alle Wireless Printserver
behaupten lässt. Allerdings ziehen auch andere Hersteller aktuell bei WPA2 nach: so etwa Axis mit
dem neuen Modell "Officebasic USB Wireless G" und SEH mit dem PS54-G.
Bei der Anbindung von Netzwerkdruckern über WLAN ist natürlich auch die relativ geringe
Bandbreite zu beachten. Mit Fast Ethernet oder gar Gigabit Ethernet lässt sich diese nicht
vergleichen. Sind weitere Clients im gleichen WLAN kann es bei großen Druckjobs für alle
Beteiligten eng werden. Insofern kann eine dedizierte Funkbrücke (WLAN-Bridge) zu einem dezentral
stationierten Netzwerkdrucker durchaus eine Alternative zu einem WLAN-Prinserver darstellen – zumal
dann, wenn das Gerät ohnehin mit einem Ethernet-Port ausgestattet ist.
Inkompatible Drucker
Früher galt einmal die Devise: Jeder Drucker ist ein Netzwerkdrucker. Spätestens durch den
Anschluss eines externen Printservers am parallelen oder seriellen Drucker-Port ließ sich jeder
Drucker in ein Netzwerk einbinden. Diese einfache Regel gilt heute leider nicht mehr. Bei vielen
modernen Low-cost-Laserdruckern oder Tintenstrahldruckern lagern die Hersteller die "
Druckintelligenz" aus dem Drucker aus und bürden die Rechenarbeit weitgehend dem Host-Rechner (PC)
auf. Die Datenströme und Kommunikationsmechanismen sind dabei nicht mehr kompatibel zu den
Übertragungsmechanismen traditioneller Printserver. Solche reinen Einzelplatzdrucker lassen sich
also in Netzwerken nicht nutzen.
Im professionellen Unternehmensumfeld dürften sich daraus dennoch nur selten Probleme ergeben,
da die angesprochenen Geräte eigentlich für den Consumer-Markt konzipiert sind. Allerdings sollten
auch Netzwerkadministratoren über diesen Problembereich Bescheid wissen – insbesondere dann, wenn
sie zusätzlich mit der Ausstattung von Home-Offices oder kleinen Unternehmensfilialen betraut sind.
Zu den "kritischen" Druckertechnologien zählen insbesondere GDI (Graphic Device/Display Interface,
verwendet von HP, Lexmark und anderen Herstellern), PPA (Printing Performance Architecture, HP)
sowie CAPT (Canon Advanced Printing Technology). Einen schnellen und informativen Überblick bietet
hier beispielsweise die Website von Axis.
Allerdings ist es in einigen Fällen den Printserver-Herstellern inzwischen gelungen, auch solche
inkompatiblen Drucker ins Netz einzubinden. So unterstützt das Spezialmodell Axis 1650 eine Reihe
betroffener Canon-Geräte. SEH wiederum versucht die GDI-Technik durch Firm- ware- und
Software-Updates ihrer Produkte in den Griff zu bekommen. Nach Angaben des Herstellers lassen sich
dadurch beispielsweise die GDI-Drucker 1300W und 2300W von Konica Minolta sowie der
GDI-Multifunktionsdrucker E-Studio161 von Toshiba Tec über SEH-Printserver vollwertig ins Netz
einbinden. Es handelt es sich jedoch nicht um eine universelle Lösung für beliebige GDI-Drucker,
die nach Angaben von SEH aufgrund unterschiedlicher proprietärer Kommunikationsprotokolle der
Hersteller derzeit nicht in Sicht ist.
Sicherheit beim Drucken
Dem Sicherheitsaspekt beim Netzwerkdruck kommt zunehmend mehr Bedeutung zu. Druckdokumente
enthalten oft hochvertrauliche Informationen oder Firmengeheimnisse, die keinesfalls für Dritte
gedacht sind und daher ein lohnendes Angriffsziel darstellen. Dies gilt nicht nur für externe
Spione sondern durchaus auch innerhalb des Unternehmens. Dabei können zum einen Druckdaten heute
weite Wege (zum Beispiel über WAN, Internet, WLAN) zurücklegen. Zum anderen fördert der Trend weg
vom Arbeitsplatzdrucker und hin zum (eventuell multifunktionalen) Abteilungsgerät die Stationierung
solcher Druckstationen im halböffentlichen Bereich, der sich nicht mehr perfekt kontrollieren
lässt. Angriffspunkt ist einerseits der Datenstrom im Netz, der sich gegebenenfalls "sniffen" und –
bei typischen Druckdaten – unschwer dekodieren lässt. Andererseits ist der Drucker selbst die
Schwachstelle: "Herrenlose" Ausdrucke, die nicht sofort vom Absender abgeholt werden, sind bei
vertraulichen Dokumenten nicht akzeptabel. Doch auch der Diebstahl der internen Festplatte, über
die viele Netzwerkdrucker und Multifunktionsgeräte verfügen, ist nicht ausgeschlossen. Dort
zwischengespeicherte oder abgelegte Druckdaten lassen sich dann womöglich komplett oder in
Fragmenten rekonstruieren.
Die Datenübertragung über den öffentlichen Bereich (Wireless LAN, Internet) sollte natürlich
stets durch die jeweiligen spezifischen Sicherheitsmechanismen (insbesondere VPN) abgesichert
werden. Die gezielte Verschlüsselung von Druckdaten auf dem Übertragungsweg stellt vor allem auch
unternehmensintern einen guten Schutz dar. Beim Hersteller Thinprint, dessen Drucklösungen auf
Server Based Computing (zum Beispiel Citrix Metaframe oder Microsoft Terminal Server einschließlich
64-Bit-Windows) zielen, bildet Verschlüsselung eher eine sinnvolle Abrundung der
Gesamtfunktionalität.
Doch auch andere Hersteller bieten recht interessante Lösungen für die angesprochenen
Sicherheitsprobleme. So bietet beispielsweise Druckerhersteller Lexmark auf neueren Gerätemodellen
die Möglichkeit, vertrauliche Druckaufträge beim Versand mit einem vierstelligen Code zu
verschlüsseln. Die Ausgabe erfolgt erst nach Eingabe des richtigen Codes am Drucker. Nicht
ausgedruckte Dokumente werden auf Wunsch nach einer vorgegebenen Zeitspanne von der Festplatte des
Druckers gelöscht. Letztere lässt sich nach Angaben des Herstellers so verschlüsseln, dass sich die
Daten auf keinen Fall von Unbefugten auslesen lassen. Für höchste Sicherheitsansprüche auf der
Netzwerkstrecke bietet Lexmark auch eine AES-basierende Verschlüsselungskarte (Printcryption) als
internes Steckmodul an.
Auch Toshiba Tec bietet für ihre Multifunktionsdrucker der E-Studio-Familie eine spezielle
128-Bit-Verschlüsselungskarte (Scrambler Board) an, die sicherstellt, dass die Druck-, Kopier- oder
Scan-Daten auf der internen Festplatte vor unbefugtem Lesen geschützt sind. Dies gilt nach Aussage
des Herstellers sogar beim Diebstahl von Festplatte und Board oder bei der Entsorgung des Geräts.
Ähnliche Zielrichtungen verfolgen auch andere Hersteller: Xerox bietet beispielsweise ein
automatisches "Image Overwrite" nach Beendigung jedes Ausdrucks.
Einen übergreifenden Ansatz für das Problem vertraulicher Ausdrucke hat AK-Industrieinformatik
(AKI) mit ihrem Kartenlesegerät "PMC Followprint" auf den Markt gebracht. Das System ist eine
Zusatzoption zu der recht umfassenden Windows-basierenden Druckmanagement-Lösung "Print Management
Control" (PMC), die auch Unix sowie SAP integriert. Vertrauliche Dokumente verbleiben bei PMC
Followprint so lange auf dem Serverrechner, bis sich der Anwender vor Ort am Kartenlesegerät
identifiziert. Erst dann wird der Druckjob vom Spooler an den Drucker übertragen und ausgegeben.
Zur Identifikation lassen sich berührungslose Ausweiskarten verwenden, die auch für andere Zwecke
im Unternehmen zum Einsatz kommen. Serverseitig kann eingestellt werden, ob mehrere Dokumente
jeweils einzeln oder im Stapel abzurufen sind. Insgesamt sieht der Hersteller PMC Followprint als
Beitrag zur Konsolidierung von Druckerlandschaften und zur Verlagerung der Privatsphäre eines
lokalen Druckers auf einen Abteilungsdrucker.
Eine Lösung mit etwas anderer Ausrichtung bietet der Hersteller MSE unter der Bezeichnung "Card?n
?Print/Copy" für (Multifunktions-)Drucker von Kyocera Mita. Auch diese ermöglicht vertraulichen
Ausdruck an öffentlichen Endgeräten über persönliche Identifikation, verbindet die Gerätenutzung
jedoch mit unmittelbarer Kostenabrechnung. Dies zielt auch auf Einsatzgebiete wie beispielsweise
Hochschulen, wo Drucken und Kopieren als kostenpflichtige Dienstleistung angeboten wird.
Druckkostenmanagement und Accounting
Neben den eher technisch orientierten und auf Installation, Wartung und Fehlerbehebung
ausgerichteten Druckeradministrations-Tools wie beispielsweise HP Web Jetadmin rücken
Accounting-Lösungen in den Vordergrund, die auch in großen Umgebungen mit vielen Druckstationen
zentrale Auswertungen insbesondere für die Kostenkontrolle ermöglichen. Detaillierte Nutzungs- und
Auslastungsdaten pro Gerät sowie flexible Auswertungsmöglichkeiten sind hier gefragt. Kyocera Mita
bietet hier mit Kyocount beispielsweise eine entsprechende Softwarelösung an. Auch die Tools "Print
Control" und "Print Supervision" von Druckerhersteller Oki gehen teilweise in diese Richtung.
Herstellerübergreifendes Drucker-Controlling für Kosten und Auslastung bietet beispielsweise die
Java-Applikation "County" von Datec. Die Geräteabfrage erfolgt über SNMP und PJL (Printer Job
Language) und ermöglicht auch die getrennte Erfassung von Print-, Copy-, Scan- und Color-Zählern.
Die Lösung bietet unter anderem Echtzeitanalyse, statistische Auswertungen, Reports und
Exportfunktionen wie XML. In Kooperation mit SEH ist diese Lösung unter der Bezeichnung "Output
Monitoring Device" (OMD) inzwischen auch als kompakte Hardwarebox auf dem Markt. Im Lieferumfang
ist eine Lizenz für 100 Output-Geräte enthalten, maximal lassen sich bis zu 2100 pro OMD
verwalten.
Info: AKI: www.aki-gmbh.de Axis: www.axis.com/de Canon: www.canon.de Datec:
www.datec-gmbh.de HP: www.hewlett-packard.de Lexmark: www.lexmark.de MSE: www.msegmbh.de Konica
Minolta: www.konica-minolta.de Kyocera Mita: www.kyoceramita.de Oki: www.okiprintingsolutions.de
SEH: www.seh.de Thinprint: www.thinprint.de Toshiba Tec: www.toshiba.de/tec Troy: www.troy.de
Xerox: www.xerox.de
Lesen Sie mehr zum Thema
