Drucker-Sicherheit (Teil 2): SSL-Verschlüsselung, Zertifikate und Port-Härtung

EWS per HTTPS, Zertifikate, Port-Härtung (Telnet/FTP/SNMP), IPPS für sicheres Drucken. Security-Audit-Checkliste.

10. Februar 20252 Min. LesezeitCompana Redaktion

Hochsicherheitszone Drucker: IT-Härtung für Netzwerkgeräte

Nachdem wir im ersten Teil die Basissicherheit behandelt haben, widmen wir uns nun der technischen Absicherung auf Protokollebene. Ein moderner Office-Drucker ist oft das Einfallstor für Ransomware-Attacken. Wer die Kommunikation nicht verschlüsselt und offene Ports ignoriert, gefährdet das gesamte Firmennetzwerk.

1. SSL/TLS-Zertifikate installieren

Die meisten Anwender greifen auf das Webinterface (EWS) über ungesichertes HTTP zu. Dabei werden Passwörter im Klartext übertragen. * Die Maßnahme: Erzeugen Sie im Drucker-Webinterface eine Certificate Signing Request (CSR). Lassen Sie diese von Ihrer internen Zertifizierungsstelle signieren oder nutzen Sie ein selbstsigniertes Zertifikat mit hoher Verschlüsselung (min. RSA 2048-Bit). * Effekt: Die Kommunikation zwischen PC und Drucker findet nun über HTTPS (Port 443) statt.

2. Port-Härtung: Unnötige Dienste deaktivieren

Ein Drucker bietet ab Werk oft dutzende Protokolle an, die im modernen Büro nicht mehr benötigt werden. Jeder aktive Port ist eine potenzielle Sicherheitslücke. Schließen Sie konsequent folgende Dienste: * Telnet (Port 23) & FTP (Port 21): Veraltet und unsicher. * SNMP v1/v2 (Port 161): Ersetzen Sie diese durch SNMP v3, das Verschlüsselung und Authentifizierung unterstützt. * WSD (Web Services for Devices): Bequem, aber oft instabil und schlecht dokumentiert. Nutzen Sie stattdessen den Standard TCP/IP-Port (9100).

3. IPPS: Sicher drucken über das Internet

Wenn Sie aus dem Home-Office über ein VPN auf den Bürodrucker zugreifen, nutzen Sie das Internet Printing Protocol over HTTPS (IPPS). Im Gegensatz zum Standard-IPP werden hier die Druckdaten verschlüsselt, was das Abfangen von Dokumenteninhalten im Transit verhindert.

4. Checkliste: Technisches Security-Audit

Passwort-Komplexität: Ist das EWS-Passwort mindestens 12 Zeichen lang und enthält Sonderzeichen?
Admin-Access: Ist der Zugriff auf das Webinterface auf bestimmte IP-Bereiche (Administrator-VLAN) beschränkt?
Inaktive Schnittstellen: Sind physische USB-Hosts am Drucker deaktiviert, um den Datenabfluss per Stick zu verhindern?
Update-Zyklus: Wird die Firmware mindestens quartalsweise auf Sicherheits-Patches geprüft?

Compana Experten Tipp: Nutzen Sie für Ihre Netzwerkdrucker eine statische IP-Reservierung im Router und binden Sie diese fest in die Firewall-Regeln ein. Wenn Sie Windows-Server nutzen, erzwingen Sie die RPC-Verschlüsselung (Remote Procedure Call) über die Registry (Key: RpcAuthnLevelPrivacyEnabled auf 1), um die Gefahr durch Man-in-the-Middle-Angriffe beim Spooling zu eliminieren.