Sicherheitsrisiko: Wie die Druckfunktion Passwort-Manager hackt
Eine, wenn auch selten benutzte, Passwort-Manager-Funktion birgt für Unternehmen, Organisationen und Behörden ein erhebliches Risiko, inklusive meldepflichtiger DSGVO-Ereignisse.
IT-technische Schutzmaßnahmen können noch so gut sein – aber wenn nachlässig oder sorglos mit Daten, Apps und Programmen umgegangen wird, helfen sie leider sehr wenig. Abgesehen von der Technik ist also die Berücksichtigung des menschlichen Faktors bei der IT-Sicherheit entscheidend. Denn Bedrohungen können längst nicht nur durch Angriffe von außen, sondern auch – ob bewusst oder unbewusst – durch Mitarbeiter selbst entstehen.
Ein perfektes Beispiel dafür sind Passwörter. Gedacht, um sensible Daten zu schützen und den Zugriff zu kontrollieren, erwiesen sie sich durch den falschen Umgang stattdessen als sicherheitskritisch. Jede Organisation setzt sich heutzutage mit dem Problem des richtigen Umgangs mit Passwörtern auseinander. Immer mehr Komplexität, eine hohe Frequenz der Änderung und Geheimhaltung sind somit immer lästige, dennoch notwendige Begleiterscheinungen. Und auch wenn das Ziel meist Single-Sign-On mit möglichst Zwei-Faktor-Authentifizierung ist, so sind doch noch sehr viele Systeme und Dienste dazu nicht kompatibel.
Passwort-Manager, die mit einem Master-Passwort diverse Dienste und Zugriffe verwalten, empfehlen sich hier als eine sinnvolle Ergänzung der Strategie. Es gibt eine ganze Reihe an Gründen dafür: Nutzer müssen sich nur ein Master-Passwort und nicht alle einzelnen Passwörter selbst merken, beim Login wird Zeit gespart, ein geschützter Überblick über alle verwendeten Passwörter ist jederzeit möglich und der Zugang ist oft über mehrere Geräte möglich. Da die einzelnen Passwörter nicht jedes Mal händisch eingegeben werden müssen, können sie sehr stark sein. „Passwort“, „123456“, „Admin“, oder Post-it-Zettel unter der Tastatur bis hin zu ganzen Passwort-Sammlungen in Textdateien im Dateisystem sollten damit der Vergangenheit angehören. Das Risiko, dass von einem potentiellen Angreifer letztlich nur ein Master-Passwort anstelle einer Reihe von Passwörtern geknackt werden muss, wird durch umfangreiche Sicherungsmaßnahmen wie dem Master-Passwort, Verschlüsselung oder die Zwei-Faktor-Authentifizierung minimiert.
Als Organisation, egal ob Unternehmen oder Behörde, möchte man sicherlich vermeiden, dass ein Angreifer, sei er intern oder extern, an eine Liste aller Passwörter gelangen kann. Dies käme der Offenlegung aller betrieblichen Daten gleich, inklusive personenbezogener Daten und wäre im Sinne der Datenschutz-Grundverordnung – sehr berechtigt – ein meldepflichtiges Ereignis:
Artikel 33 – Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Ausgesprochen heikel: Passwort-Manager im Unternehmen
Trotzdem bleibt der Einsatz von Passwort-Manager nicht ganz ohne Risiko. Dieses steigt insbesondere dann, wenn sogenannte Business-Versionen dieser Passwort-Manager zum Einsatz kommen. Denn dann hat der einzelne Anwender nicht nur Zugriff auf seine eigenen, sondern auch auf Passwörter, die in der Abteilung oder im Team geteilt werden, zum Beispiel für Online Tools und Dienste. Und mit dem Trend, solche Dienste immer öfter zu nutzen, wird dieses Szenario zukünftig nur noch häufiger vorkommen.
Wie aber kann es nun einem Hacker trotz aller oben erwähnten Sicherheitsmaßnahmen gelingen, an alle Passwörter heranzukommen? Die Antwort ist so erschreckend wie einfach: Er nutzt lediglich die Druckfunktion.
Passwort-Manager hacken sich selbst – und das ganz einfach per Druckauftrag
In Bezug auf den Sicherheitsaspekt wird häufig nicht an das Drucken gedacht, oder dass Druckgeräte oft mehr als nur einfache Ausgabe- und Kopiergeräte sind. Zum Beispiel, verfügen sie über eine eigene IP-Adresse, haben Zugriff aufs Netzwerk, sind über eine eigene E-Mail-Adresse erreichbar und können sogar über diese Adresse Daten versenden.
Und auch wenn wir als Unternehmer im Druckmanagement-Bereich aktiv sind und uns freuen sollten, wenn immer mehr innovative Lösungen das Drucken unterstützen, so wären wir nicht davon ausgegangen, dass Passwort-Manager dies tun – wozu auch? Durch ihr Grundkonzept wird das Merken diverser Passwörter überflüssig. Sie drucken aber tatsächlich und zwar gründlich. Mit nur wenigen Klicks lässt sich bei vielen Passwort-Managern die gesamte Liste von Logins inkl. der Passwörter im Klartext auf den Drucker senden. Und wer sich mit Drucken auskennt, weiß, dass Drucken von sensiblen Informationen ein heikles Thema ist.
Wir sind über die Funktion gestolpert, als wir eine Übersicht über die verwendeten Dienste machen wollten und waren sehr erschrocken, dass nicht, wie erwartet, eine Liste von Systemen und Login-Namen erscheint, sondern auch die jeweiligen Passwörter im Klartext. Und zwar nicht nur unsere, sondern auch die aus geteilten Ordnern anderer Teams. Dazu benötigten wir keinerlei Administratorrechte, sondern waren als ganz normaler Anwender eingeloggt. Direkt testen konnten wir die Funktion bei RoboForm und bei 1Password. Für den erweiterten Überblick haben wir die Online-Dokumentationen von LastPass und KeePass ausgewertet.
Passwort-Manager können drucken?
Warum sollte ein Passwort-Manager überhaupt drucken können? Als Antwort auf unsere per Twitter gestellte Frage erhielten wir die Auskunft, dass dies vor allem Kunden wünschen, um die Passwörter gesichert in einem Tresor ablegen zu können. Auch wenn es diesen Anwendungsfall sicherlich gibt, so bleibt die Frage, ob es deshalb jedem Anwender derart einfach möglich sein sollte, Passwortlisten zu drucken.
Drucken, die unbekannte Sicherheitslücke
Drucken ist auch weiterhin ein Sicherheitsproblem. Zwar ist es grundsätzlich möglich, eine Druckumgebung abzusichern, doch leider ist dies in der Praxis sehr selten der Fall. Drucker sind im Auslieferungszustand relativ offen konfiguriert, um möglichst kompatibel zu vielen Anwendungsfällen zu sein. Deshalb ist die Absicherung des Druckers Aufgabe der internen IT bzw. des Servicepartners. Geschieht dies nicht, werden Druckaufträge unverschlüsselt in Form von Postscript- oder PCL-Dateien über das Netzwerk zum Drucker gesendet. Analysiert man den Netzwerk-Traffic mit einem Analyse-Tool wie zum Beispiel Wireshark, dann lassen sich diese relativ einfach herausfiltern und nach Abtrennung des IP Headers mittels PCL oder Postscript Viewer anzeigen. Verfügt der Drucker über eine Festplatte, so kann es auch passieren, dass diese Druckdateien auf der Festplatte verbleiben. Dies ist insbesondere dann kritisch, wenn der Drucker das Unternehmen verlässt – und sei es auch nur zur Verschrottung.
Ein weiteres Problem sind Druckaufträge, die nicht abgeholt werden oder wegen fehlerhafter Druckerauswahl oder Druckermappings auf andere Drucker umgeleitet werden. Letztendlich stellt sich zusätzlich die Frage, ob es überhaupt wünschenswert ist, dass jeder Anwender im Unternehmen die gesamte Passwortliste in einer derart handlichen Form zur Verfügung gestellt bekommt, denn die meisten Angriffe auf die Unternehmens-IT geschehen von innen.
Doch muss sich der Hacker bei einigen Passwort-Managern nicht einmal die Mühe machen, den Druckauftrag abzufangen. Denn zur Erzeugung des Druckauftrages wird bei der Mac-Version von RoboForm, bei LastPass und KeePass eine HTML-Seite erzeugt und diese auf dem Desktop des Gerätes abgelegt. Dort verbleibt die Datei dann leider auch in einigen Fällen, wenn der Druckauftrag bereits beendet ist. Wenn jetzt Anwender einen Cloud-Service wie Dropbox oder iCloud aktiviert haben, dann wird diese Datei auch recht zügig in die Cloud verschoben. KeePass erläutert in seinen FAQ, dass ein Druckvorgang ohne die temporäre HTML-Datei nicht möglich wäre; diese soll bei KeePass unter bestimmten Voraussetzungen aber wieder automatisch gelöscht werden. Wer es anders haben möchte, den verweist KeePass darauf, dass man sich ja selbst ein Plug-In schreiben kann. Die HTML-Datei auf dem Desktop des Rechners ist zwar hoffentlich durch das Benutzerlogin geschützt, kann aber auch leicht von dem Anwender in andere, vielleicht ungeschützte Bereiche verschoben werden.
Folgen
Unternehmen sollten sich bewusst sein, dass Passwort-Manager über eine Druckfunktion verfügen, die auch dazu führen kann, dass die Passwörter in unverschlüsselten Dateien auf dem Desktop eines Anwenders liegen. Darüber hinaus sollte dies auch Anlass sein, seine Druckinfrastruktur in Bezug auf Sicherheit zu überprüfen.
Letztendlich hat RoboForm für die nächste Version Abhilfe versprochen und wird das Sperren der Druckfunktion einführen. Einem Beispiel, dem die anderen Hersteller zügig folgen sollten.
