Im Test: Kyocontrol
Vertraulichkeit beim Drucken
Netzwerkanwender kennen das Problem nur zu gut: Am gemeinsam genutzten Arbeitsgruppendrucker herrscht Hektik und Unübersichtlichkeit. Gelegentlich verschwindet auch ein Dokument versehentlich im Papierstapel eines Kollegen - keine gute Voraussetzung für die Ausgabe vertraulicher Dokumente. Zur Behebung dieses Problems bietet Kyocera Mita für ihre Drucker und Multifunktionsgeräte die Netzwerklösung Kyocontrol an.
Kyocontrol besteht aus Soft- und Hardwarekomponenten – das Grundprinzip ist jedoch einfach: Alle
Druckaufträge gehen an einen zentralen Spoolserver und werden dort so lange zwischengespeichert,
bis sie der Anwender an einem der beteiligten Netzwerkdrucker abruft. Zu diesem Zweck muss sich der
Benutzer direkt am Ausgabegerät mit seiner ID-Karte identifizieren. Damit ist nicht nur die
Vertraulichkeit der Ausgabe sichergestellt, sondern der Anwender hat im Prinzip auch die freie
Wahl, welchen Drucker er verwendet ("Print&Follow"-Funktion). Dank des zentralen Spoolings
bietet Kyocontrol zudem der Administration beziehungsweise dem Controlling die Möglichkeit, das
Druckgeschehen Benutzern und Kostenstellen seitengenau zuzuordnen und bei Bedarf sogar Budgets
vorzugeben, die einBenutzer nicht überschreiten kann.
Die aktuell vorliegende "Kyocontrol Business Edition" – eine Enterprise-Version soll noch in
diesem Jahr folgen – versteht sich laut Herstellerangaben als "Out-of-the-Box-Lösung" für kleine
und mittlere Betriebe sowie Abteilungen größerer Unternehmen. Zum Preis von 1299 Euro enthält das
Paket alles, was zur Anbindung eines einzelnen Kyocera-Druckers oder -Multifunktionsgeräts nötig
ist: Neben der Installations-CD sind dies im Wesentlichen eine Printserverkarte für den "KUIO"
-Erweiterungs-Slot des Druckers, ein RFID-Kartenleser mit seriellem Anschlusskabel sowie ein Satz
von 20 ID-Karten. Die "Business Edition" ist pro Spoolserver limitiert auf 25 Ausgabegeräte und
maximal 500 Benutzer.
An dieser Stelle lohnt ein Blick hinter die Kulissen: Der Printserver entpuppt sich als
IC109-Fast-Kyo-TX von SEH – allerdings mit einer speziellen Huckepackplatine und zusätzlichem
seriellen Port für den Kartenleser. Kein Geheimnis ist auch, dass die gesamte Kyocontrol-Lösung vom
deutschen Hersteller MSE (www.msegmbh.de) stammt.
Installation
Zur Installation der Lösung gilt es zunächst die Hardware an den Ausgabegeräten nachzurüsten.
Bei Druckern kann dies der Anwender selbst erledigen, bei Multifunktionsgeräten darf die
Installation aufgrund eines zusätzlichen internen Kabelanschlusses nur durch Fachpersonal erfolgen.
Im LANline-Test waren zwei Drucker einbezogen: ein FS-2000D (A4, SW, Duplex) sowie ein FS-C5015N
(A4, Farbe). Die Hardwaremontage ist kein Problem: Der selbstklebende Kartenleser wird an einer
geeigneten Stelle des Druckers außen am Gehäuse angebracht und mit dem Printserver verbunden. Das
Ganze sieht zwar etwas provisorisch aus, erweist sich aber als praxistauglich.
Kyocontrol ist ausschließlich auf Windows-Umgebungen ausgerichtet. Die Serversoftware setzt
Windows Server 2003 (System im Test) oder Windows 2000 (Server beziehungsweise Professional
Workstation) voraus. Der wesentliche Grund für diese Systemvoraussetzungen ist, dass Kyocontrol den
eigenen Spoolserver dem Windows-eigenen Druckserver lediglich nachschaltet und diesen als
Eingangs-Spooler mit Benutzerauthentifizierung nutzt. Aus der Sicht der Windows-Clients verhält
sich die Kyocontrol-Lösung daher genauso wie dies in Umgebungen mit einem Windows-Druckserver
üblich ist. Mit Kyocontrol kommen auf dem Windows-Server lediglich neue spezielle Druckerfreigaben
hinzu, auf die der Benutzer mit seinem Windows-Account Zugriffsberechtigung haben muss.
Die Erstinstallation von Kyocontrol auf dem Server ist rasch erledigt: Es handelt sich um zwei
Serverdienste sowie das Administrations-Tool. Zudem sind im Rahmen des Installations-Wizards
mindestens ein Ausgabegerät (IP-Adresse), eine Print-Queue (Drucker mit Freigabe – zum Beispiel:
A4, SW) sowie ein Benutzer (typischerweise der Administrator selbst) anzulegen. Für den
Druckertreiber sind – gemäß Handbuch – einige Feineinstellungen nötig, die sich auf das Spooling
auswirken. Beim Anwender fungieren als wichtigste Angaben der Windows-Login-Name, den Kyocontrol
zur internen Benutzeridentifikation verwendet, sowie die 12-stellige Nummer der zugeordneten
ID-Karte.
Alle weiteren Verwaltungsaufgaben lassen sich später über das passwortgeschützte
Administrations-Tool durchführen. Prinzipiell ist jetzt auch schon der erste Testausdruck möglich:
Der Anwender hält seine ID-Karte maximal fünf Zentimeter über den Kartenleser am Drucker, zwei
akustische und optische (LED) Signale verkünden die erfolgreiche Anmeldung und anschließend
übermittelt der Kyocontrol-Server alle anstehenden Druckjobs des Benutzers an den Drucker. Eine
explizite Abmeldung ist über die ID-Karte ebenfalls möglich, allerdings bei reinen Druckern nicht
zwingend erforderlich. Anders wäre dies bei Multifunktionsgeräten, da dort die Kopierfunktion bis
zu einer Abmeldung oder dem von der Administration eingestellten Timeout frei nutzbar ist. Will der
Anwender später generierte Druckjobs ausgeben, muss er sich auf jeden Fall neu anmelden. Bei
Anmeldung eines anderen Benutzers am Gerät wird der vorherige automatisch abgemeldet. Eine
technische Sicherheitslücke ist hier nirgends ersichtlich. Die einzige Gefahr besteht darin, dass
die ID-Karte in fremde Hände gerät: Solange der Anwender dies nicht bemerkt, lassen sich seine
Druckjobs damit von jedermann abrufen. Bei Verlust oder Diebstahl kann die Administration dem
Anwender problemlos eine neue ID-Karte zuordnen – die alte ist dann funktionslos.
Auf Seiten der Windows-Clients ist zur Druckerinstallation lediglich das Standardprozedere zum
Zugriff auf die passenden Druckerfreigaben des Windows-Servers durchzuführen. Optional lässt sich
dort auch ein Client-Tool installieren, was sehr empfehlenswert ist, da der Anwender damit die
eigenen Druckjobs auflisten und sich Details anzeigen lassen kann. Ebenso besteht die Möglichkeit,
Jobs zu löschen.
Administration
Das Kyocontrol-Administrations-Tool lässt sich nach der Erstinstallation auch auf anderen
Windows-Rechnern im Netz installieren – worauf das Handbuch leider nicht explizit hinweist. Es
bietet in vier "Datenbank"-Fenstern Übersicht über die verwalteten Geräte, Anwender, Anwenderkonten
(Zählerstände) sowie die aktuellen Druckjobs. Hier lassen sich insbesondere auch neue Anwender oder
Endgeräte in das System integrieren. Leider existieren dabei keine Import- oder
Exportmöglichkeiten. Bei den Endgeräten lassen sich insbesondere auch Sonderfunktionen wie Farbe,
A3 oder Duplex zuordnen, damit die entsprechenden Druckjobs nur an die tatsächlich geeigneten
Geräte übermittelt werden. Diese technischen Funktionsmerkmale setzen natürlich auch dem "
Print&Follow"-Prinzip Grenzen: Einen Druckjob in Farbe kann sich der Anwender nicht an einem
reinen Schwarzweißgerät ausgeben lassen, Entsprechendes gilt beispielsweise für Duplexdruck.
Kyocontrol wacht exakt über diese Merkmale.
Zudem kann der Administrator bei jedem Gerät Seitenpreise für verschiedene Kategorien (Farbe/SW,
A3/A4, Druck/Kopie) festlegen, die sich dann bei den Anwenderkonten niederschlagen. Die
Benutzereinstellungen wiederum bieten eine Reihe von individuellen Beschränkungsmöglichkeiten
beispielsweise auf bestimmte Endgeräte (IP-Adressen), oder den Ausschluss der Kopierfunktion
beziehungsweise des Farbdrucks. Möglich ist auch die Festlegung eines Budgets in Euro. Dies dürfte
jedoch nur in speziellen Fällen sinnvoll sein, da die Überschreitung für den Anwender eine
automatische Nutzungssperre bedeutet, die nur der Administrator wieder aufheben kann.
Darüber hinaus bietet Kyocontrol für die Administration noch weitere Funktionen: So überwacht
das System via SNMP die Fehlermeldungen (zum Beispiel "Papierstau") der einzelnen Geräte und kann
optional auch entsprechende E-Mail-Notifikationen absetzen. Ebenso lassen sich in definierbaren
Abrechnungsintervallen detaillierte Reports (CSV-Format) generieren und gewünschten Empfängern per
E-Mail zusenden.
Auch für den Spool-Bereich sind Einstellungen möglich: etwa eine maximale Lebensdauer von
Druckjobs und eine globale Kapazitätsgrenze. Zudem lässt sich eine Verschlüsselung der Jobs auf der
Festplatte aktivieren. Zwar sollten normale Benutzer auf einem sauber verwalteten Serverrechner
eigentlich keinen Zugriff auf den Spool-Bereich genießen, aber im Zweifelsfall ist Verschlüsselung
der sicherste Weg, um die Vertraulichkeit der Druckdateien zu garantieren. Im Test konnte diese
Funktion leider nicht überzeugen: Die Dokumente wurden zwar offensichtlich verschlüsselt, die
Entschlüsselung funktionierte aber nicht immer (Ergebnis: "Zeichensalat" am Drucker). Zwar ließ
sich die Ursache für diese Fehlfunktion bis Redaktionsschluss nicht klären, der Hersteller MSE
konnte LANline jedoch versichern, dass dieses Phänomen bei anderen Installationen nicht
auftritt.
Fazit
Allerdings war dies das einzige nennenswerte Defizit, das sich im Test ergab. Insgesamt
hinterlässt Kyocontrol einen durchaus gereiften Gesamteindruck. Die Benutzer- und Geräteverwaltung
der "Business Edition" erscheint jedoch tatsächlich nur für kleinere Umgebungen geeignet – eine
künftige "Enterprise"-Version dürfte an einer Unterstützung von Verzeichnisdiensten (LDAP) sowie
Im- und Exportfunktionen nicht vorbeikommen.
Eine deutliche Arbeitsumstellung bedeutet Kyocontrol für die Anwender: Die permanente Mitführung
einer ID-Karte beim Drucken ist gewöhnungsbedürftig. Ist die Karte "verlegt", heißt dies Druckstopp
für den Benutzer und in Folge auch Ärger für die IT-Administration. Für Benutzer mit sehr
umfangreichen Druckjobs erfordert Kyocontrol zudem mehr Wartezeit, da der Ausdruck erst startet,
wenn der Anwender vor Ort ist. Aus solchen Praxisaspekten heraus eignet sich Kyocontrol
wahrscheinlich nicht für alle Anwendungsszenarien und für den pauschalen Einsatz. Empfehlenswert
erscheint daher eher die sukzessive Einführung im Betrieb, um eigene Praxiserfahrungen zu
sammeln.
Lesen Sie mehr zum Thema
