Bei NIS2 Drucker, Scanner und MFPs nicht vergessen

NIS2 soll auch Cyberrisiko durch Druckgeräte reduzieren

Sicherheitslücken in der Firmware vernetzter Druckgeräte stellen ein erhebliches Problem dar. Sie können durchaus ein Einfallstor für Angreifer sein – auch wenn viele Hersteller sich inzwischen große Mühe geben, die Basis-Sicherheit der Geräte zu erhöhen. Sie setzen dazu entweder auf Technologiepartnerschaften mit etablierten Anti-Malware-Experten (wie Sharp mit Bitdefender oder Canon mit McAfee) oder eigene Security-Konzepte (wie HP mit »HP Wolf Security«).

Noch wenig verbreitet ist allerdings das Patch-Management für Druckgeräte – also dokumentierte Mechanismen zum Update der Firmware, sobald neue Versionen vorliegen. Was bei Windows-PCs inzwischen fest etabliert ist, hat bei Druckgeräten noch Seltenheitswert. Die NIS2-Richtline, deren finale Fassung endlich auch für Deutschland vorliegt, soll das jetzt ändern. Ziel der europäischen Richtlinie ist es generell, das Sicherheitsniveau in Unternehmen zu heben.

Zwar sind zunächst nur rund 30.000 Unternehmen davon betroffen, da die aber mit der Zeit Anforderungen an ihre Lieferanten und Dienstleister stellen werden, ist damit zu rechnen, dass mittelfristig sehr viel mehr Unternehmen die Anforderungen aus der Richtlinie erfüllen müssen. Es ist also in jedem Fall ratsam, sich daran zu orientieren.

Vorgaben für vernetzte Geräte aus NIS2

Ein Teil der Anforderung ist, dass Unternehmen die Software der von ihnen verwendeten Geräte auf den neuesten Stand bringen müssen. Das gilt für alle Geräte, Maschinen und Anlagen in Büro, Labor, Produktion und Logistik – aber eben auch für Druckgeräte.

»Mit dem Inkrafttreten von NIS2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cybersicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind«, sagt Jan Wendenburg, CEO des deutschen Cybersicherheitsunternehmens ONEKEY. Als typische Beispiele im Bürobereich nennt der Cybersicherheitsexperte neben Druckern auch Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungs­systeme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutritts­kontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme.

Wer unter die NIS2-Richtlinie fällt

Die EU-Richtlinie »Network & Information Security 2 (NIS2)« ist auf alle Unternehmen anwendbar, die als Kritische Infrastruktur (KRITIS) eingestuft werden. Dazu zählen Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfall­wirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -ver­arbeitung und -vertrieb, Herstellung von Medizin­produkten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten und Forschungs­einrichtungen.

Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von knapp 30.000 betroffenen Unternehmen aus und bietet Firmen online eine Möglichkeit an zu prüfen, ob sie der Richtlinie unterliegen. Allerdings gibt Wendenburg zu bedenken: »NIS2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das beispielsweise Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS2 vorbereiten.«

Warum es sinnvoll ist, dass NIS2 Druckgeräte erfasst

Nach Einschätzung des Experten für die Cybersicherheit »haben die wenigsten Firmen die Resilienz gegenüber Hackerangriffen außerhalb der IT-Netzwerke im Blick«. Auch die Druckersoftware stehe oft nicht im Fokus, solange der Drucker reibungslos arbeite. »Tatsächlich aber können sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen. Die Hacker gehen vom Drucker aus, finden ein Active Directory, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.«

Was Firmen tun sollten

Seine Empfehlung lautet daher: »Von NIS2 betroffene Unternehmen sollten sich schnellstmöglich von den Lieferanten aller vernetzter Geräte im weitesten Sinne, die im betrieblichen Einsatz sind, eine Software-Stückliste aushändigen lassen.« Diese Stückliste (Software Bill of Materials / SBOM), listet alle im Unternehmen eingesetzten Programme vollständig auf. Da es bei älteren Geräten wie einem Drucker, der seit Jahren seinen Dienst verrichtet, schwierig sein kann, an die Firmware heranzukommen, empfiehlt Jan Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Softwarekomponenten und Generierung einer entsprechenden Software-Stückliste. »Das ist nicht nur für die NIS2-Konformität von Bedeutung, sondern auch für den kommenden EU Cyber Resilience Act (CRA).«