Die vergessene Schwachstelle: Drucker, Scanner & Co. im Visier

Die vergessene Schwachstelle: Drucker, Scanner & Co. im Visier

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

• Breite Protokolloberfläche: RAW 9100/JetDirect, LPD, IPP/IPP-over-HTTPS, SMB/FTP für Scan-to-Share, SMTP/POP/IMAP für Scan-to-Mail, SNMP für Management, oft Telnet/HTTP noch aktiv, dazu mDNS/Bonjour, SLP, Web-Services, Web-Admin.
• Dauerpräsenz: Immer an, immer im Netz, oft mit statischen IPs, selten neu aufgesetzt.
• Hohe Berechtigungen: Service-Konten für Scan-to-SMB, LDAP-Bind gegen AD, SMTP-Konto, manchmal Domänenmitgliedschaft (!) oder weitreichende ACLs auf Fileservern.
• Schwache Härtung: Werkseinstellungen, Default-Community „public“, veraltete TLS-Stacks, deaktivierte Zertifikatsprüfung, offene USB-Ports, aktive Wi-Fi-Direct/WPS-Funktionen.
• Geringe Aufmerksamkeit: Kaum Logging an SIEM angeschlossen, selten Inventar-Agenten, niedrige Patch-Priorität, „läuft doch“-Mentalität.

Kurz: Drucker sind unspektakulär – und genau deshalb gefährlich. Wer hier landet, kann sich seitlich bewegen, Daten abfließen lassen, Persistenz schaffen oder schlicht eine perfekte Tarnung nutzen, während EDR-Sensoren auf Servern und Notebooks Alarm schlagen.

Angriffsflächen im Detail: Wo es knackt, wenn niemand hinschaut

1) Offene Druckprotokolle und anfällige Parser

Drucken wirkt trivial: Daten an Port 9100 und fertig. In der Praxis landen PostScript, PCL, PJL, PDF und proprietäre Formate in komplexen Parsern. Parser sind Code – und Code hat Fehler. Mehr noch: RAW 9100 ist verbindungsorientiert ohne Authentisierung. Wer an das Gerät spricht, ist der Nutzer. In internen Netzen genügt ein Skript, um bösartige Druckjobs zu schicken, die Parser zum Absturz bringen, Speicher korrupt machen oder Statuskanäle missbrauchen. IPP über TLS entschärft manches, aber nicht, wenn Zertifikate nicht geprüft oder Selbstsignierer akzeptiert werden.

2) Admin-Weboberflächen und Standardpasswörter

Viele Geräte liefern moderne Web-UIs – leider oft ohne erzwungenen Passwortwechsel, mit HTTP statt HTTPS, mit Werkspasswörtern in Quick-Start-Guides. Angreifer scannen interne Netze nach typischen Banner-Signaturen, probieren Standard-Creds – und sind drin. Von dort aus lassen sich E-Mail-Relays konfigurieren, Adressbücher auslesen, SMB-Zugänge setzen, Zertifikate importieren oder Firmware einspielen.

3) SNMP-Lecks und Community „public“

SNMP v1/v2c mit „public“/„private“ ist immer noch weit verbreitet. Ergebnis: Jeder kann Gerätenamen, Standort, Seriennummer, Konfig, teils auch Passwörter im Klartext oder Netzwerk-Topologien abgreifen, bei manchen Modellen sogar Parameter setzen. Ohne SNMPv3 (Auth/Priv), abgeschaltete v1/v2c-Profile und restriktive ACLs bleibt das Gerät durchlässig.

4) Fax- und Zusatzmodule

Viele MFPs haben Faxkarten oder T.38-Gateways. Alte Faxprotokolle sind unkompliziert, aber unkontrolliert – eine analoge, später IP-Welt mit wenig Authentisierung. Schwachstellen in Bilddecodern oder Faxstacks öffneten bereits den Sprung von der Telefonleitung ins LAN. Wer Fax braucht, muss die Karte wie einen unvertrauenswürdigen Edge behandeln und strikt isolieren.

5) Scan-to-E-Mail und Scan-to-SMB

Bequemlichkeit vs. Sicherheit: Ein globales AD-Konto für alle Geräte mit breit gefassten Share-Rechten („Scan“ hat Vollzugriff) ist Alltag. Gerät kompromittiert? Willkommen im Fileserver. Noch schöner: Adressbücher auf Geräten mit Personenbezug (DSGVO) oder SMTP-Relays ohne Authentisierung über Interne – perfekter Phishing-Multiplikator.

6) Interne Datenträger und Speicherreste

Viele MFPs haben HDD/SSD/Flash, auf denen Druck-/Scan-Jobs, Adressbücher, Zertifikate, Schlüssel, Faxspeicher, Job-Logs liegen. Ohne Kryptografie und sichere Löschung bleiben Daten jahrelang erhalten – bis zur Entsorgung. Zu oft verlassen Geräte das Haus ohne Datenträgerwipe oder Kassettenausbau – ein gefundenes Fressen für Datenjäger.

7) Drahtlos- und Direktdruckfunktionen

Wi-Fi Direct, WPS, Bluetooth, NFC – praktisch für Besucher, katastrophal ohne Segmentierung. Viele Geräte spannen eigene WLANs auf oder bewerben Dienste via mDNS/Bonjour. Wer hier rein kommt, landet schnell im Produktions-VLAN, wenn keine Trennung existiert.

8) Cloud- und Fernwartung

Managed Print Services (MPS), Cloud-Print, Fernwartungs-Tunnel – alles bequem, aber oft mit breiten Rechten, fehlender Telemetrie und Subdienstleister-Ketten. Ein kompromittiertes MPS-Portal kann Flotten massengesteuert umkonfigurieren. Ohne vertragliche Meldefristen, Audit-Rechte, Exit-Szenarien und Echtzeit-Transparenz steuert der Dienstleister blind – und Sie noch blinder.

9) Betriebssystem-Altlasten

Viele Geräte laufen auf angepassten Linux-/BSD-/RTOS-Varianten. Patches kommen spät, manchmal nie. TLS-Stacks, OpenSSL-Versionen, Webserver – was im Serverumfeld tagesaktuell ist, altert auf Druckern jahrelang. Wer Firmware nicht planvoll aktualisiert, sammelt CVEs wie Briefmarken.

10) Physische Realität: Papier und Menschen

Manchmal ist die attack surface ein Ablagefach. Vertrauliche Ausdrucke liegen stundenlang im Ausgabefach, Scan-Kopien werden auf USB exportiert, Fehldrucke landen ungeschreddert im Papierkorb. Sicherheit scheitert oft vor dem Netzwerk.

Die typische Kompromittierungskette – so läuft’s wirklich

1. Erster Schritt: Angreifer finden ein Gerät mit HTTP aktiv und Default-Creds oder hijacken RAW 9100.
2. Ausbau: Zugriff auf Adressbuch, SMTP-/SMB-Konfig, Zertifikate, LDAP-Bind.
3. Pivot: Mit Scan-Account auf Fileserver, von dort lateral zu weiteren Systemen.
4. Persistenz: Hintertür via geplanter Skriptdruckjobs, Manipulation von Job-Routinen oder Firmware-„Update“.
5. Impact: Exfiltration gedruckter Dokumente, Phishing über legitime Geräte-Absender, Sabotage (Druckausfälle), Ransomware mit gezielter Zerstörung von Adressbüchern/Scankonfigurationen, um Wiederanlauf zu bremsen.

Wer das verhindern will, muss die Geräte wie Server behandeln – mit Inventar, Härtung, Segmentierung, Logging, Patch-Prozess, Identitäten, Tests.

Governance trifft Geräte: Warum Drucker in jedes Sicherheitsframework gehören

Drucker & Co. sind keine Sonderlinge, sondern normale IT-Assets – und müssen in Ihre Governance greifen:

• Asset-Management: Jedes Gerät im CMDB/Inventar, inkl. Modell, Seriennummer, Firmware, IP/MAC, Standort, Eigentümer, Protokolle, Zertifikate, Datenträger, Anschluss (kabel/wireless), Support-Status.
• Secure Configuration: Baselines für alle Protokolle, TLS-Zwang, SNMPv3, Admin-Lockdown, Logging-Ziele, USB-Policies, Wi-Fi-Off (wo nicht zwingend), IPv6 aus, wenn ungenutzt; Zertifikatsprüfung an. Baselines als erzwingbare Checklisten – nicht als PDF.
• Vulnerability Management: Firmware-Track, CVE-Abgleich, Rolloutfenster pro Quartal, Rollback vorgesehen. Geräte ohne Sicherheitsupdates → Risikoeinstufung, Segmentierung, Ablöseplan.
• Access Control: Keine gemeinsamen Servicekonten. Pro Gerät eigene Geräteidentität, für Scans dedizierte least-privileged Servicekonten mit Ablaufdatum, kein interaktiver Login möglich, SMBv3, NTLMv2/ Kerberos. Adminzugriff nur via PAM/JIT mit MFA und Sitzungsaufzeichnung.
• Network Security: Eigenes VLAN für Druck/Scan, Layer-7-Firewall zwischen Druckern und Printservern, deny all Richtung Internet (Ausnahmen streng per Proxy/Allowlist), mDNS/Bonjour nur in kontrollierten Segmenten, 802.1X (EAP-TLS) für Portzugang, MAB nur befristet als Fallback.
• Logging & Monitoring: Syslog an SIEM, SNMPv3-Traps, Use-Cases: ungewöhnliche Admin-Logins, Retention/Config-Änderungen, neue Freigaben, Fail-Rate-Spikes, massenhafte RAW-Jobs, unübliche SMTP-Zieladressen, Beaconing ins Internet. Zeitquellen (NTP) konsistent.
• Data Protection: Disk-Encryption aktiv, sichere Löschung bei Decommission, Adressbücher minimieren, Scan-Ziele zentral (keine lokalen Pfade), USB-Export verbieten, „Follow-Me-Print“ mit PIN/Badge.
• Service Provider Management: Verträge mit MPS/Cloud-Print: Telemetrie statt PDF, Meldezeiten, Audit-/Prüfrechte, Subdienstleister-Transparenz, Exit-/Portabilität (Daten & Konfigs), Probe-Restore/Config-Rollback als vertragliche Pflicht.
• Incident Response: Runbooks: Gerät kompromittiert → Port sperren, Config sichern, Forensik (Logs/Konfig), Servicekonten rotieren, Adressbücher prüfen, Kommunikation an betroffene Fachbereiche. Tabletop-Übungen: „Phishing von unserem MFP-Absender“, „Fileshare über Scan-Konto missbraucht“, „Firmware-Backdoor aufgetaucht“.

Härtung in der Praxis: Von „läuft“ zu „geführt“

Baselines, die wirken

• Protokolle: Deaktivieren Sie Telnet, FTP, HTTP, LPD, RAW 9100, wenn nicht zwingend. Nutzen Sie IPP-over-HTTPS.
• TLS: Nur 1.2+, starke Ciphers, Zertifikate aus Ihrer PKI; Reject bei ungültig.
• SNMP: Nur v3 (authPriv); v1/v2c aus; ACL nur von Management-Netz.
• Admin: Zwang zu MFA, Timeouts, „Lock after x fails“, keine lokalen Standardkonten aktiv.
• Speicher: HDD/SSD verschlüsseln, temporäre Jobs nach Release löschen, Fax-Speicher regelmäßig leeren.
• Adressbuch: Zentral managen, keine privaten Einträge am Gerät, Gruppen statt Personen, minimal halten.
• USB/SD: Deaktivieren; Ausnahmen dokumentieren und befristen.
• Wi-Fi/BT: Aus – außer in dedizierten, isolierten Setups.
• IPv6/Services: Alles aus, was nicht gebraucht wird (SLP, Web-Services, Bonjour an Gateways).

Identität & Printserver

• Pull-Printing: „Follow-Me“ mit Badge/PIN verhindert Ablage-Lecks und ermöglicht zentrale Policies.
• Printserver: Zentralisieren, Treiberverwaltung konsolidieren, Signing der Treiber, Sicherheitskonfiguration per GPO/Mobile-Mgmt.
• Clientless: Für BYOD eine gesicherte Print-Appliance oder E-Mail-to-Print mit S/MIME/Signaturen statt direkter RAW-Ports.

Segmentierung & 802.1X

• NAC: 802.1X (EAP-TLS) an Switchports; Geräte mit Zertifikaten, kein „allow all“ bei Fehler.
• VLAN: Trennung von Benutzer, Server, Drucker, Gast. Firewall-Regeln granular: Drucker ↔ Printserver nur benötigte Ports; Drucker ↛ Internet.
• Inspection: L7-Firewalls erlauben IPPS, blocken RAW/LPD; Proxy für Update-Domains mit FW-Pinning.

Monitoring, das Drucker ernst nimmt

Use-Cases, die im SIEM Sinn ergeben:

• Admin-Login außerhalb Wartungsfenster.
• Konfig-/Firmware-Änderung → Alarm + Ticket.
• Neue/ungewöhnliche SMTP-Targets oder Massen-E-Mails vom Gerät.
• SMB-Fehler (NTLM-Abweisungen, Permission Denied) häufen sich → möglicher Brute-Force via Gerät.
• RAW-9100-Traffic in Netzen, wo IPPS Standard ist.
• SNMP-Queries aus unbekannten Netzen → Aufklärung/Block.
• Beaconing des Geräts zu externen IPs/Domains.
• Job-Anomalien: Plötzliche große Datenmengen zu einem Gerät außerhalb Peak, viele Abbrüche, ungewöhnliche Formate.

Log-Hygiene zählt: Zeitsynchronisation, eindeutige Hostnamen/Tags, einheitliches Facility/Severity-Schema.

Recht & Risiko: Papier hat Paragraphen

• DSGVO: Adressbücher mit Personendaten, gescannte Dokumente mit Personendaten auf lokalen Speichern → Verzeichnis der Verarbeitungstätigkeiten, Schutzmaßnahmen, Löschkonzepte.
• Aufbewahrung: Was in Archive gehört, darf nicht als „Backup“ auf Geräten „ewig“ liegen.
• Forensik: Logs müssen unveränderlich und zuordenbar sein (WORM/Hash-Kette) – auch bei Geräten.
• Entsorgung: Zertifizierte Datenträgervernichtung, Chain of Custody, Löschprotokolle – insbesondere bei Leasingrücklauf.

Drei Fallbeispiele, die näher sind, als man denkt

1) Die Kanzlei und der Leasing-Rückläufer
Ein MFP geht zurück. Monate später tauchen Fallakten auf – vom Datenträger extrahiert. Ursache: keine Verschlüsselung, kein Wipe. Konsequenz: DSGVO-Meldung, Reputationsschaden, Vertragsärger. Lehre: Storage verschlüsseln, Wipe dokumentiert, Platte ausbauen, Entsorgung belegen.

2) Phishing im Kleid der Vertrautheit
Ein Angreifer kompromittiert ein Gerät, stellt Scan-to-Mail auf einen externen SMTP-Relay, schickt Mitarbeitern „Scans“ mit Link – Absender ist die legitime Geräte-Adresse, Signatur stimmt. Klickrate hoch. Lehre: SMTP-Ziele beschränken, Signaturen erzwingen, Anomalien alarmieren, Device-Absender nur intern nutzen.

3) Der Fileserver über den Seiteneingang
Globales „Scan“-Konto hat Schreibrechte auf breite Ordnerbäume. Gerät gekapert → Massenschreiben von Droppern, danach lateral movement. Lehre: Servicekonten least privilege, nur Ziel-Share, kein Durchwandern; Konten nicht interaktiv, Passwörter rotieren, Events auf NTLM/Kerberos-Fehlschläge auswerten.

Kennzahlen, die Führung erzeugen – nicht nur Beruhigung

• Inventar-Abdeckung: % Geräte mit vollständigem Datensatz (Firmware, Zertifikate, Protokolle, Eigentümer).
• Baseline-Compliance: % Geräte ohne RAW/LPD/Telnet/HTTP; Drift-Rate pro Monat.
• SNMPv3-Quote: Anteil Geräte mit v3 (authPriv) und ACL; v1/v2c = 0.
• TLS-Gesundheit: % IPPS mit gültigem, vertrauenswürdigem Zertifikat (ohne Warnungen).
• 802.1X-Abdeckung: % Ports mit EAP-TLS aktiv; MAB-Fallbacks befristet.
• Firmware-Aktualität: Median Alter (Tage) seit letztem Sicherheitsupdate; Anzahl CVEs pro Gerät.
• Identity-Disziplin: # Geräte mit lokalen Admins vs. IdP-Bind; JIT-Nutzung bei Admins.
• SaaS/MPS-Telemetrie: % Dienstleister mit monatlicher Scorecard (SLAs, Security-Events, Exit-Proben).
• Follow-Me-Quote: Anteil freigegebener Jobs, die mit Badge/PIN abgeholt werden; Orphan-Pages pro Monat.
• Internet-Egress: % Geräte ohne direkten Internetzugang; Ausnahmen dokumentiert/befristet.

Jede Kennzahl braucht Schwelle, Owner, Eskalation, Frist und Re-Check. Erst dann wird aus einem Dashboard Steuerung.

100-Tage-Programm: vom grauen Kasten zum geführten Asset

Tage 1–30 – Sicht schaffen
Automatisiertes Discovery (Netz-Scan, DHCP/DNS, Switch-CAM), exakte Gerätelisten mit Firmware, aktiven Protokollen, Zertifikaten, SNMP-Status. Sofortmaßnahmen: HTTP→HTTPS, Standardpasswörter ändern, Telnet/FTP/RAW/LPD aus, SNMPv1/v2c aus, Syslog an SIEM.

Tage 31–60 – Baseline erzwingen
Baselines als Checklisten je Modellfamilie; Massen-Rollout. TLS mit PKI, SNMPv3, Admin-Lockdown, Wi-Fi/BT aus, USB aus (wo möglich). Servicekonten neu: pro Gerät, least privilege, Ablaufdatum, kein interaktiver Login. VLAN für Druck/Scan, erste Firewall-Regeln.

Tage 61–80 – Identität & Segmentierung
802.1X (EAP-TLS) an Ports, Zertifikate per SCEP/ACME. Pull-Print pilotsieren, Ablagefächer entlasten. SaaS/MPS Scorecards definieren, Meldezeiten und Telemetrie vertraglich fixieren. Use-Cases im SIEM fertigstellen (Admin-Login, Config-Change, SMTP-Anomalie, RAW-Traffic).

Tage 81–100 – Üben & verstetigen
Tabletop „Gerät kompromittiert“ und „Phishing via MFP“. Decommission-Prozess mit Wipe/Entsorgung testen. Firmware-Fenster quartalsweise einplanen. Kohärenz-Review: Inventar, Baselines, Logs, Incidents, Lieferkette – Widersprüche → Tickets mit Frist. Awareness nachziehen: „Hol-Druck“, keine Scans an private Mails, saubere Scanziele.

Kultur & Verhalten: Technik allein rettet keine Seiten

Alles steht und fällt mit Gewohnheiten:

• Sofortige Abholung: Pull-Print erzwingt gutes Verhalten.
• Kein Wildwuchs: Keine lokalen Adressbücher, keine privaten USB-Exporte.
• Meldewege: Unerwartetes Druckverhalten? Admin-Login-Prompt am Gerät? Melden, nicht ignorieren.
• Disziplin: „Nur mal kurz freischalten“ gibt es – mit Befristung, Dokumentation und Rücknahme.

Fazit: Der Flur ist Teil des Perimeters

Drucker, Scanner & Co. sind keine Randnotiz – sie sind Produktivsysteme mit direkter Berührung zu Daten, Identitäten, Infrastruktur. In ihnen vereinen sich Netzwerk-, Identitäts-, Daten-, Lieferketten- und physische Risiken – und genau deshalb müssen sie in jede Sicherheitsstrategie, in jedes Risikoregister, in jede Resilienz-Übung. Die gute Nachricht: Wer sie wie Server behandelt – inventarisiert, härtet, segmentiert, überwacht, patcht, identitätsbasiert steuert und im Ernstfall geübt wiederherstellt – dreht die Gleichung um. Aus der vergessenen Schwachstelle wird ein geführtes Asset. Aus dem stillen Risiko wird ein sichtbarer Bestandteil Ihrer Verteidigung. Und aus dem grauen Kasten im Flur wird das, was er in einer reifen Organisation sein soll: unspektakulär – aber sicher.