HP hat ein sogenanntes "Bug-Bounty"-Programm aufgelegt, mit dem das Auffinden von Sicherheitslücken in HP-Druckern belohnt werden soll. Der Konzern kooperiert für die Arbeitsabläufe (Detektion und Überprüfung eventueller Schwachstellen) mit dem Spezialisten Bugcrowd. HP zufolge ist es das erste derartige Programm für Drucker überhaupt. Es umfasst alle für den Business-Einsatz gedachte HP-Drucker.
Foto: HP Inc.
Mit dem Schritt setzt HP die 2017 bereits intensivierten Bemühungen fort, die Sicherheit der eigenen Produkte stärker in den Vordergrund zu rücken. 2017 war dieser Aspekt Teil mehrerer Marketingkampagnen und zu diesem Zweck wurden diverse technische Neuerungen vorgestellt. Mit Shivaun Albright hat HP zudem eine technisch sehr beschlagene Managerin zum "Chief Technologist of Print Security" ernannt.
Das Prämienprogramm für Sicherheitslücken in Druckern begründet Albright auch mit dem Hinweis auf den aktuellen Bericht des Partners Bugcrowd. Demnach konzentrieren sich Angreifer zunehmend auf Endgeräte im Allgemeinen. Bei Druckern im Besonderen habe die Zahl der aufgefundenen Schwachstellen im vergangenen Jahr um 21 Prozent zugenommen.
Sicherheitslücken in Druckern von HP, Xerox, Lexmark, Samsung, Brother und Kyocera
In der bei Sicherheitsexperten bekannten CVE-Datenbank (Common Vulnerabilities and Exposures) sind für HP-Drucker und HP-MFPs 32 respektive 18 Einträge vorhanden. Die jeweils letzten stammen von 2014 beziehungsweise 2017. Mit insgesamt 50 Einträgen ist HP neben Xerox (63 Einträge) der am häufigsten in der Schwachstellendatenbank aufgeführte Anbieter. Für Drucker von Samsung sind dort lediglich zwei Einträge zu finden, ebenso für Printer von Kyocera. Lexmark ist in der Datenbank mit 20 Sicherheitslücken vertreten, für Brother-Druckgeräte werden 25 aufgeführt. Dazu gehört mit der Kennung CVE-2018-11581 auch die einzige Lücke, die bei den genannten Herstellern 2018 entdeckt und veröffentlicht wurde.
Der Großteil der Einträge ist dagegen schon mehrere Jahre alt. Bei einigen Anbietern gab es in den vergangenen Jahren keine Neuzugänge mehr. Sie scheinen alle sorgfältiger zu arbeiten und stärker auf Security zu achten als früher. HP stellt den Aspekt allerdings als einziger aggressiv in den Vordergrund.
Andere Anbieter versuchen ihn eher zu umschiffen. Sie betonen auf Nachfrage in der Regel, dass es in der Natur der Druckgeräte liege, dass sie vergleichsweise unsicher sind. Dies stelle aber bei einem guten Sicherheitskonzept für das Netzwerk, in das sie eingebunden sind, kein grundlegendes Problem dar.
Bereits 2012 startete Xerox Bemühungen, Druckgeräte zusammen mit McAfee über spezielle Software abzusichern. Der Security-Anbieter hat seine Tätigkeiten inzwischen auch auf andere Bereiche ausgedehnt und bietet die damals vorgestellte Software McAfee Embedded Control mittlerweile für jedwede Art von IoT-Geräten an.
Bisherige HP-Bemühungen um sichere Drucker
Schon Ende 2016 hatte HP seine Managed Print Services (MPS) neu konzipiert und dabei den Schwerpunkt von Kostensenkung und Effizienzsteigerung auf höhere Sicherheit von Netzwerkdruckern und der damit verarbeiteten Dokumente verschoben. In der Folge stellte das Unternehmen auch neue Sicherheitsservices und -Software für Drucker vor. Dazu gehören seitdem etwa automatisierte Updates der Firmware und verbessertes Passwortmanagement.
Ein wichtiges Element gegen bösartigen Code ist auch die Validierung der Software-Integrität durch die Geräte selbst. Inzwischen unterstützen zahleiche HP-Drucker diese Funktion. Darüber hinaus bietet HP eine ganze Reihe von Services rund um die Sicherheit von Netzwerkdruckern in Firmen an.