Zwei IEEE-Schutzprofile für Multifunktionsdrucker von atsec information security GmbH evaluiert
2010-09-21München – Sicherheitslücken durch Bürodrucker? Die Möglichkeiten eines Multifunktionsgerätes, das im Büroalltag zum Drucken, Scannen, Kopieren und auch Faxen eingesetzt wird, sind oftmals weitaus vielfältiger, als manch Anwender vermuten mag. Je nach Bauart verfügen diese Geräte über eindrucksvolle Funktionen, wie beispielsweise das Speichern und Ausdrucken vertraulicher Schriftstücke, die vorher per Mail oder Druckauftrag an den Drucker gesendet wurden. Die Autorisierung erfolgt am Gerät durch eine Passwort- oder PIN-Eingabe. Das sich daraus ergebende Sicherheitsriskio macht sich kaum ein Mitarbeiter bewusst, vor allem wenn man bedenkt dass diese vertraulichen Dokumente von dem Drucker auf einer Festplatte zwischengespeichert werden. Ist dieser Multifunktionsdrucker doch Druck-, Mail- und FTP-Server in einem, also höchstwahrscheinlich mächtiger, als jeder andere Server in den Geschäftsräumen.
Angesichts dieser Problematik entwickelte das Institute of Electrical and Electronics Engineers (IEEE) in Zusammenarbeit mit Sponsoren aus der Drucker-Herstellerbranche sogenannte Schutzprofile, in denen die Sicherheitsanforderungen, die ein solches Multifunktionsgerät in unterschiedlichsten Umgebungen erfüllen sollte, definiert sind. Durch die Beteiligung aller großen Hersteller von Multifunktionsdruckern entstanden nützliche, sinnvolle und von der Industrie akzeptierte Sicherheitsstandards in Bezug auf Funktionalität und Vertrauenswürdigkeit der Geräte. Diese Standards beziehen sich auf alle Aspekte der IT-Sicherheit, wie beispielsweise Authentifizierung, Autorisierung, Geheimhaltung, Datenschutz, Integrität, Gerätemanagement, physikalische Sicherheit und Informationssicherheit.
Alle vier dieser Schutzprofile, sogenannte PPs (Protection Profiles), mit der Bezeichnung PP 2600.1 bis PP 2600.4 wurden nun von der atsec information security GmbH im Auftrag der IEEE evaluiert, und die Schutzprofile PP 2600.1 und PP 2600.2 wurden durch die Zertifizierungsstellen NIAP und BSI zertifiziert. Durch ihre Akkreditierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), der amerikanischen NIAP CCEVS sowie der schwedischen CSEC war atsec für diese Aufgabe prädestiniert.
Für den sicherheitsbewussten Verbraucher bedeutet dies, dass ihm die Anschaffung eines nach diesen Standards qualifizierten Multifunktionsgeräts die größtmögliche Sicherheit in den vorher erwähnten Bereichen, wie beispielsweise der Datensicherheit, bietet..
Helmut Kurth, Chief Scientist bei atsec und Autor der Empfehlungen zur Erstellung von Schutzprofilen und Sicherheitsvorgaben bei der ISO/IEC TR 15446 stand der IEEE bei der Entwicklung der Schutzprofile zur Seite und bemerkte hierzu: „Diese Familie der von IEEE ausgearbeiteten PPs stellt ein weiteres Beispiel für ein Industriekonsortium dar, das zum einen die Sicherheitsfunktionalität für eine bestimmte Art von Produkten (in diesem Fall Multifunktionsdrucker) und zum anderen die Spezifizierung dieser Funktionen in Form eines Common Criteria Schutzprofils in Einklang bringt. Zum ersten Mal wurde auch das Gesamtkonzept, das in den Common Criteria verankert ist, auf alle Funktionen des Produkts ausgedehnt. Die Smartcard-Industrie hat gezeigt, dass Schutzprofile, die von einem Industriekonsortium entwickelt wurden, eine weit größere Akzeptanz finden, als die von Regierungsstellen entworfenen. Deutlich wird auch, dass die Industrie den Vorteil in der Abstimmung dieser Vorgaben auf Basis der Common Criteria erkennt.“
Weitere Informationen über die Schutzprofile PP 2600.1 bis PP 2600.4 können auf der Webseite der IEEE http://standards.ieee.org/getieee/2600 eingesehen werden.
Über atsec information security
Die atsec information security GmbH (www.atsec.com) steht für unabhängige, an internationalen Standards orientierte Beratung und Prüfung auf dem Gebiet der Informationssicherheit. Umfassende technische Expertise und langjährige internationale Erfahrung sowie eine individuelle, auf das Geschäft der Kunden zugeschnittene Methodik befähigen die Mitarbeiter, punktgenau das richtige Maß an IT-Sicherheit umzusetzen. Nach einer erfolgreichen Geschäftsentwicklung in Deutschland ist das Unternehmen auch in Schweden, USA und China präsent, wodurch die Mitarbeiter über umfassende Kenntnisse der lokalen Märkte, Sicherheitsanforderungen und Risiken verfügen. In internationalen Projekten wird dieses Wissen erfolgreich angewendet und die Klienten werden in allen Themen des Sicherheitsmanagements begleitet und unterstützt. Es wird den Kunden somit ermöglicht, integrierte Verfahren für das Sicherheitsmanagement zu implementieren, um Sicherheitsrisiken zu minimieren und die Zuverlässigkeit von Daten, Produkten und Geschäftsverfahren zu optimieren. atsec unterstützt führende internationale Konzerne wie IBM, Apple, Microsoft, Hewlett-Packard, Oracle, Cray und Red Hat.
