Angreifbar. Die neu entdeckten Sicherheitslücken betreffen vor allem Brother-Drucker. © Stiftung Warentest
Forschende haben Sicherheitslücken in Hunderten von Druckermodellen gefunden, die meisten in solchen von Brother. Was Sie jetzt tun können.
Der Internet-Sicherheitsdienstleister Rapid7 hat acht Sicherheitslücken in insgesamt 748 Netzwerkdrucker-Modellen entdeckt. Mit 689 Modellen stammen die allermeisten von Brother, die übrigen von Fujifilm, Konica Minolta, Ricoh und Toshiba.
Einige der Lücken wurden von den Anbietern bereits durch neue Versionen der Drucker-Firmware geschlossen – die Updates sollten umgehend installiert werden. Für Brother-Modelle funktioniert das zum Beispiel über eine mobile App oder über ein Firmware-Update-Tool für den PC, das man für sein jeweiliges Modell herunterladen kann.
Tipp: Richten Sie netzwerkfähige Geräte wie Netzwerkdrucker, smarte Lautsprecher oder Fernseher stets so ein, dass sie Updates automatisch laden und installieren.
Tückisches Lückentrio führt zu Handlungsbedarf
Besonders gefährlich ist eine Kombination von drei der Lücken – die sich laut Brother nicht bei allen Modellen per Update schließen lassen: Über die erste Lücke können Angreifer die Seriennummer des Druckers herausfinden. Mithilfe der zweiten Lücke können sie aus der Seriennummer das voreingestellte Gerätepasswort ermitteln. Mit dem so generierten Passwort können sie dank der dritten Lücke den Drucker komplett übernehmen, darauf Schadcode ausführen und das übrige lokale Netzwerk angreifen.
Nutzer von betroffenen Netzwerkdruckern sollten das voreingestellte Passwort deshalb unbedingt durch ein eigenes, sicheres ersetzen. Das geht bei Brother-Modellen zum Beispiel über die mobile Drucker-App von Brother. Oder auch am heimischen PC: Dafür muss man im Web-Browser die lokale Netzwerkadresse (IP-Adresse) des Druckers eingeben, um dort seine Benutzerschnittstelle aufzurufen.
Es gibt verschiedene Wege, die IP-Adresse eines Druckers herauszufinden. So kann man das Gerät etwa über eine Tastenkombination dazu bringen, den Netzwerk-Konfigurationsbericht auszudrucken. Bei Druckern mit Display kann man sich die Adresse im Bedienmenü anzeigen lassen. Brother gibt weitere Hinweise, wie es sonst noch geht.
Tipp: Testergebnisse zu 282 Laser- und Tintenruckern finden Sie im großen Druckertest der Stiftung Warentest.
-
Richtig gute Bilder machen – mit System!
- Mit dem Kamera-Test der Stiftung Warentest finden Fotobegeisterte die beste Kamera für ihre Zwecke – von der kleinen Kompaktkamera bis zur hochwertigen Systemkamera.
-
Die Druckkosten unterscheiden sich enorm
- Tintenstrahldrucker und Laserdrucker, mit oder ohne Scan-, Kopier- und Fax-Funktion: Der Drucker-Test zeigt deutliche Unterschiede in Qualität und Folgekosten.
-
Updates sperren Fremdtinte aus
- Anbieter nutzen Software-Updates, um ihre Drucker für Fremdtinte zu sperren. HP bewirbt das sogar als „dynamische Sicherheitsfunktion“. Wir nennen mögliche Auswege.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
So alt bin ich noch nicht, aber wer kennt noch MS-DOS 3.3? Die heutige/n Hardware bzw. Systeme sind so schnell, dass kein User mehr mitbekommt, welche Prozesse im Hintergrund ablaufen bis ein "Unfall" passiert. Meine Empfehlungen in Kurzform:
- Die Firmware/Bios der Hardware immer aktuell halten.
- Neue PCs, Laptops usw. von Bloatware säubern.
- Eine gute Firewall benutzen.
- Den Router mit einem Passwort sichern. Alle "Komfort-Funktionen" deaktivieren.
- Passwörter NICHT auf der Festplatte bzw. im Browser speichern.
- Regelmäßige Backups machen. Images extern und OFFLINE speichern.
- Einen Virenscanner im Hintergrund laufen lassen.
- Mit einem zweiten Virenscanner regelmäßig alle Festplatten prüfen.
- Zwei-Faktoren-Zugänge einrichten/verwenden.
- Mehrere und verschiedene Browser benutzen.
- Einen PC für das "normale" Internetsurfen und einen PC/Laptop für das Internetbanking usw. verwenden.
Aber wer bitte macht das? Und auch das ist keine Garantie dafür, dass kein Unfall passiert.
@Thorsten.Maverick: Vielen Dank für die Ergänzungen. Sie haben Recht, tatsächlich ist der Drucker hinter einem Router gut geschützt. Dazu ist nicht einmal eine konfigurierte Firewall notwendig, da das NAT (Network Address Translation) des Routers bereits interne Geräte vor dem Zugriff durch außen versteckt. Trotzdem sollte man aber aktiv werden. Denn wenn man Angreifer bereits im Netzwerk haben sollte, zum Beispiel durch einen Virus auf dem Rechner oder Smartphone, oder ein anderes bereits länger kompromittiertes Gerät, schützt auch das NAT nicht mehr und die Firewall nur noch begrenzt, sofern man sie überhaupt entsprechend konfiguriert hat. Daher ist es im Sinne der IT-Sicherheit wichtig, möglichst auch Sicherheitslücken auf Geräten im internen Netzwerk zu schließen um so einen "Patienten 0" im Netzwerk zu verhindern. Denn wenn dieser Fall erst einmal eingetreten ist, kann das infizierte Gerät potenziell leicht Schwachstellen anderer Geräte ausnutzen, um sich zum Beispiel selbst zu verteilen oder sogar durch Virenupdates versorgt werden, ohne dass man etwas bemerkt. Bei so einem IoT-Befall kann einem im schlechten Fall dann nur noch ein Experte helfen.
Die in der Meldung genannten Lücken werden bereits aktiv für Angriffe ausgenutzt.
www.heise.de/news/Multifunktionsdrucker-verschiedener-Hersteller-Aktive-Angriffe-auf-Juni-Luecken-10495931.html
Wenn man im Router eine Firewall aktiviert hat, die den Zugriff von außen auf das lokale Netz generell sperrt, hat man nicht viel zu befürchten. Ich würde dem Drucker auch Verbindungen nach außen verbieten, auch wenn er dann nicht automatisch nach Updates suchen kann. Im Normalbetrieb reicht es, wenn er im lokalen Netz kommunizieren kann.
Die Sache mit der IP-Adresse könnte man sich sparen, wenn die Drucker endlich auch ihre Konfigurationsoberfläche per Bonjour im lokalen Netz anpreisen würden. In der Fritz!Box gibt es eine Übersicht aller Geräte im lokalen Netz. So kommt man einfach an die IP-Adresse.