Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physisch, digital oder organisatorisch – werden damit zur Achillesferse. Wer sie nur verwaltet, statt sie aktiv zu führen und zu prüfen, sammelt Risiken an genau den Stellen, die Angreifer lieben: dort, wo viele Pfade zusammenlaufen, Privilegien sich bündeln, Transparenz abnimmt und Verantwortung verschwimmt.

Dieser Beitrag blickt hinter die Buzzwords, ordnet typische Schwachstellen, zeigt konkrete Angriffswege – und vor allem: er macht greifbar, wie „Vertrauen, aber prüfen“ als Führungsprinzip funktioniert. Nicht als lähmendes Misstrauen, sondern als strukturierte, messbare Praxis, die Resilienz schafft.

Es gibt Momente, in denen Regulierung den Kurs einer ganzen Branche verändert. Der Cyber Resilience Act (CRA) ist so ein Moment. Er verschiebt Cybersicherheit vom „nice to have“ zum Marktzugangskriterium – und zwingt Hersteller, Integratoren und Importeure, das zu tun, was sie lange als Kür betrachtet haben: Lieferketten sichtbar machen, Updates beherrschbar ausrollen, Sicherheitslücken professionell managen und offen darüber reden. Wer den CRA auf „mehr Dokumentation“ reduziert, verkennt den Kern. In Wahrheit fordert er ein neues Betriebssystem für Produktorganisationen: kontinuierlich, datenbasiert, kollaborativ. Drei Bausteine entscheiden dabei über Erfolg oder Scheitern: SBOM, Patch-Logistik und Coordinated Vulnerability Disclosure (CVD).

Dieser Artikel erzählt, warum genau diese Bausteine den Unterschied machen, wie man sie so aufsetzt, dass sie nicht zur Bürokratie, sondern zur Wettbewerbsstärke werden, und wieso Transparenz in der Lieferkette künftig über Deals entscheidet – ganz unabhängig davon, ob Ihr Produkt ein Smart-Home-Router, eine industrielle Steuerung, eine Unternehmenssoftware oder ein medizinisches Gerät ist.

Es beginnt selten mit einer strategischen Entscheidung. Eher mit einem Link im Chat, einer Browser-Erweiterung, einem „Nur mal ausprobieren“ in der Mittagspause. Eine Kollegin lädt ein PDF in einen Online-Assistenten, um eine Zusammenfassung für das Weekly zu bekommen. Jemand anders installiert ein Add-on, das E-Mails „schnell in gut“ umformuliert. Ein drittes Team lässt eine automatisch generierte Präsentation gegen ein paar Stichpunkte entstehen. Und ehe man sich versieht, arbeitet ein Unternehmen mit einem unsichtbaren, wachsenden Geflecht aus generativen KI-Diensten, Prompt-Sammlungen, Agenten, Plugins, mobilen Apps, Browser-Extensions und eingebauten „Assistenz-Features“ in bestehender Software. Was als Bequemlichkeit begann, ist plötzlich ein Sicherheits-, Compliance- und Governance-Thema ersten Ranges: Schatten-IT 2.0.

Schatten-IT war lange ein bekanntes Muster: private Cloud-Speicher, inoffizielle Chat-Gruppen, selbst beschaffte SaaS-Abos. Die neue Welle unterscheidet sich in drei entscheidenden Punkten. Erstens: Reibungslosigkeit. Generative KI ist nur einen Prompt entfernt – ohne Onboarding, ohne Integration, ohne Anleitung. Zweitens: Einbettung. KI-Funktionen sind nicht nur eigene Produkte, sie tauchen als Schalter in den Tools auf, die ohnehin genutzt werden. Drittens: Wirkungstiefe. Wo Schatten-IT früher „nur“ Daten bewegte, entscheidet Schatten-IT 2.0 mit: Sie schreibt, priorisiert, bewertet, plant, antwortet, generiert Code, schlägt Workflows vor. Sie ist nicht nur Datentransport, sondern Handlungsapparat. Und genau deshalb verlangt sie einen anderen, reiferen Blick.

Sicherheit riecht nach Serverraum, nach kalter Luft und blau blinkenden LEDs. Sicherheit klingt nach Alarmen, Logfiles, SIEM-Dashboards und Patches. Und Sicherheit sieht aus wie ein Login-Bildschirm, der nach Multi-Factor fragt. Das alles ist richtig – und doch gefährlich unvollständig. Denn die meisten Vorfälle beginnen nicht am Bildschirm. Sie beginnen an Türen, Drehkreuzen, in Aufzügen, an Lieferzonen, in Abstellräumen, bei Paketannahmen, in Parkhäusern, auf Flughäfen, an Hotelrezeptionen – und in Koffern. Wer heute über Resilienz spricht, muss Sicherheit von außen nach innen denken: vom Gehweg bis zum Kernel, von Kabeln bis Koffern. Physische Sicherheit ist nicht das Nebenfach der Cyber-Disziplin, sondern ihre erste Grenze und ihr letzter Beweis. Sie entscheidet darüber, ob Ihre kryptographisch perfekte Welt der Zugangscodes und Zertifikate in der Wirklichkeit standhält – wenn jemand die Tür offenhält, den Patchschrank aufhebelt, den Koffer stiehlt oder die falsche Person mit Warnweste durchwinkt.

Der alte Perimeter – Zäune, Pförtner, Zutrittskarten – war für eine Welt gemacht, in der Menschen fünf Tage die Woche in ein Büro kamen, Akten in einem Archiv lagen, Server in einem Raum brummten. Diese Welt gibt es nicht mehr. Heute entstehen dynamische Perimeter: Co-Working-Flächen neben dem Stammhaus, Außenlager in Drittländern, Field-Service im Kundenwerk, Homeoffice in Mietwohnungen, Meetings im Flughafenhotel, Notebooks im Bordgepäck. Gebäude sind vernetzte Maschinen – mit Aufzugsteuerungen, Video-Management, Zutrittskontrolle, Heizung, Klima, Beleuchtung. Jedes System hat eine IP, ein Update-Fenster, Protokolle, Passwörter. Wer physische Sicherheit weiter als „Schloss und Riegel“ betrachtet, übersieht die Konvergenz: Gebäudetechnik, Menschen, Prozesse und IT sind heute ein einziges, zusammenhängendes System. Und genau so muss man es steuern.