(openPR) München – Sicherheitslücken durch Bürodrucker? Die Möglichkeiten eines Multifunktionsgerätes, das im Büroalltag zum Drucken, Scannen, Kopieren und auch Faxen eingesetzt wird, sind oftmals weitaus vielfältiger, als manch Anwender vermuten mag. Je nach Bauart verfügen diese Geräte über eindrucksvolle Funktionen, wie beispielsweise das Speichern und Ausdrucken vertraulicher Schriftstücke, die vorher per Mail oder Druckauftrag an den Drucker gesendet wurden. Die Autorisierung erfolgt am Gerät durch eine Passwort- oder PIN-Eingabe. Das sich daraus ergebende Sicherheitsriskio macht sich kaum ein Mitarbeiter bewusst, vor allem wenn man bedenkt dass diese vertraulichen Dokumente von dem Drucker auf einer Festplatte zwischengespeichert werden. Ist dieser Multifunktionsdrucker doch Druck-, Mail- und FTP-Server in einem, also höchstwahrscheinlich mächtiger, als jeder andere Server in den Geschäftsräumen.
Angesichts dieser Problematik entwickelte das Institute of Electrical and Electronics Engineers (IEEE) in Zusammenarbeit mit Sponsoren aus der Drucker-Herstellerbranche sogenannte Schutzprofile, in denen die Sicherheitsanforderungen, die ein solches Multifunktionsgerät in unterschiedlichsten Umgebungen erfüllen sollte, definiert sind. Durch die Beteiligung aller großen Hersteller von Multifunktionsdruckern entstanden nützliche, sinnvolle und von der Industrie akzeptierte Sicherheitsstandards in Bezug auf Funktionalität und Vertrauenswürdigkeit der Geräte. Diese Standards beziehen sich auf alle Aspekte der IT-Sicherheit, wie beispielsweise Authentifizierung, Autorisierung, Geheimhaltung, Datenschutz, Integrität, Gerätemanagement, physikalische Sicherheit und Informationssicherheit.
Alle vier dieser Schutzprofile, sogenannte PPs (Protection Profiles), mit der Bezeichnung PP 2600.1 bis PP 2600.4 wurden nun von der atsec information security GmbH im Auftrag der IEEE evaluiert, und die Schutzprofile PP 2600.1 und PP 2600.2 wurden durch die Zertifizierungsstellen NIAP und BSI zertifiziert. Durch ihre Akkreditierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), der amerikanischen NIAP CCEVS sowie der schwedischen CSEC war atsec für diese Aufgabe prädestiniert.
Für den sicherheitsbewussten Verbraucher bedeutet dies, dass ihm die Anschaffung eines nach diesen Standards qualifizierten Multifunktionsgeräts die größtmögliche Sicherheit in den vorher erwähnten Bereichen, wie beispielsweise der Datensicherheit, bietet..
Helmut Kurth, Chief Scientist bei atsec und Autor der Empfehlungen zur Erstellung von Schutzprofilen und Sicherheitsvorgaben bei der ISO/IEC TR 15446 stand der IEEE bei der Entwicklung der Schutzprofile zur Seite und bemerkte hierzu: „Diese Familie der von IEEE ausgearbeiteten PPs stellt ein weiteres Beispiel für ein Industriekonsortium dar, das zum einen die Sicherheitsfunktionalität für eine bestimmte Art von Produkten (in diesem Fall Multifunktionsdrucker) und zum anderen die Spezifizierung dieser Funktionen in Form eines Common Criteria Schutzprofils in Einklang bringt. Zum ersten Mal wurde auch das Gesamtkonzept, das in den Common Criteria verankert ist, auf alle Funktionen des Produkts ausgedehnt. Die Smartcard-Industrie hat gezeigt, dass Schutzprofile, die von einem Industriekonsortium entwickelt wurden, eine weit größere Akzeptanz finden, als die von Regierungsstellen entworfenen. Deutlich wird auch, dass die Industrie den Vorteil in der Abstimmung dieser Vorgaben auf Basis der Common Criteria erkennt.“
Weitere Informationen über die Schutzprofile PP 2600.1 bis PP 2600.4 können auf der Webseite der IEEE http://standards.ieee.org/getieee/2600 eingesehen werden.
