HP: Schutz von Druckern mit Sicherheitslösungen der

HP: Schutz von Druckern mit
Sicherheitslösungen der
Enterprise-Klasse
Kurzfassung
In der heutigen Welt des Internet der Dinge (Internet of Things, IoT) ist Sicherheit nicht nur
wichtig, sondern unerlässlich. Durch neue IoT-Geräte wie Thermostate, Verkaufsautomaten,
HDTVs und Wearables entstehen einige der größten potenziellen Sicherheitslücken in der
IT-Infrastruktur. Angesichts der zunehmenden Forderung der Benutzer nach Mobilität,
cloudbasierten Anwendungen und Kooperation sowohl innerhalb als auch außerhalb ihrer
Unternehmens- oder Organisationsfirewalls ist die Gefahr von bösartigen Angriffen oder
Industriespionage allgegenwärtig.
Moor Insights & Strategy (MI&S) ist überzeugt, dass der Bereich „Drucken“ ein häufig
übersehenes Segment des IoT ist, von dem eine große potenzielle Gefahr ausgeht.
Dokumente, die gedruckt werden, sind häufig zeitkritisch und sehr wichtig, was ihren
Schutz unverzichtbar macht. Wir glauben außerdem, dass HP eine führende Position
einnimmt, und zwar sowohl, was weltweite Sicherheitsservices betrifft, als auch – mit den
LaserJet-Druckern und -Multifunktionsgeräten – auf dem Markt der Peripheriegeräte zum
Erstellen von Papierdokumenten. Als in beiden Segmenten führendes Unternehmen ist es
HP möglich, integrierte Services nicht nur für das Druckerportfolio, sondern für das
gesamte Spektrum der Organisationsinfrastruktur einschließlich Servern,
Speicherlösungen, Netzwerktechnik, PCs und Tablets bereitzustellen. Dieses breite
Angebot an Software, Hardware und Services ist das Fundament für die herausragende
Rolle, die HP auf dem Sicherheitsmarkt spielt.
1
Quocirca: Managed Print Services Landscape, 2014. Juni 2014.
Seite 1HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Durch die jüngste Erweiterung um wichtige neue Produktangebote, darunter die HP
Printing Security Advisory Services, sowie ein Upgrade der HP Imaging and Printing Security
Center-Software ist es HP möglich, seine führende Position im Bereich für sicheres Drucken
weiter auszubauen. Organisationen können nun Richtlinien für sicheres Drucken überwachen,
planen und implementieren, mit deren Hilfe sie nicht nur versehentliche Verstöße verhindern,
sondern auch ihre Umgebungen gegen bösartige Angriffe verteidigen können.
Ausgehend von den HP Sicherheitsinvestitionen im PC-, Server, Netzwerk-, Speicher- und
Softwaresegment ist außerdem zu erwarten, dass für HP Drucker und Druckservices mit den
aktuellsten Sicherheitsinnovationen kürzere Markteinführungszeiten realisiert werden
können.
Die Gefahr laxer Sicherheitsvorkehrungen bei Druckern
Heutzutage gehören Berichte über Sicherheitsverletzungen fast schon zum Alltag in den
Wirtschaftsnachrichten. Am 19. Dezember 2013 meldete die Target Corporation eine
gravierende Datenpanne, die über das HLK-System in ihrer POS-Umgebung verursacht worden
war und von der 40 Mio. Kredit- und Debitkartenkonten betroffen waren. Diese Datenpanne
kostete nicht nur den CEO und CIO den Job, sondern führte auch zu Gewinneinbrüchen von
46 % im vierten Quartal und einem Umsatzrückgang von 5,3 %, da viele Kunden durch diesen
Vorfall abgeschreckt wurden – von den möglichen Kosten aufgrund zu erwartender Klagen
ganz zu schweigen. Und vor nicht allzu langer Zeit meldet Home Depot eine Datenpanne in
seinen US-amerikanischen und kanadischen Filialen, die möglicherweise zu den größten in der
Geschichte gehört.
IoT-Sicherheitsverletzungen sind ein vergleichsweise neues Phänomen, das angesichts des
rasanten Tempos, mit dem neue Geräte mit dem Internet verbunden werden, weiter ansteigen
wird. Der erste dokumentierte große IoT-Sicherheitsvorfall wurde von
Proofpoint aufgedeckt und betraf eine Vielzahl von Geräten – angefangen bei Routern und
Smart-TVs bis hin zu mindestens einem smarten Kühlschrank. Bei diesem Angriff wurden
zwischen dem 26. Dezember 2013 und dem 6. Januar 2014 mehr als 750.000 bösartige
E-Mails an die Angriffsziele geschickt.
2
1 Ponemon Institute: Mega Trends in Cyber Security Expert Opinion Study. Mai 2013; 2 Ponemon Institute: 2014 Cost of a Data Breach: Global Analysis. Mai 2014.
Seite 2HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Von den vielen IoT-Verbindungen im geschäftlichen Umfeld ist die Sicherheit von Druckern ein
Bereich, der unserer Überzeugung nach in aktuellen Sicherheitssystemen noch viel zu wenig
Beachtung findet. Gedruckte Dokumente sind häufig zeitkritisch und enthalten sensible
Informationen, was sie als Angriffsziel besonders interessant macht. Das Risiko, das mit der
Preisgabe oder dem Verlust dieser Daten verbunden ist, kann gewaltig sein. Organisationen,
die das Thema Sicherheit vernachlässigen, riskieren Probleme aufgrund der Nichteinhaltung von
Vorschriften und Gesetzen, finanzielle Verluste, Verletzungen der Datensicherheit und
Bedrohungen aus den eigenen Reihen. Im Folgenden werden zwei reale Beispiel für
druckerbasierte Sicherheitsverletzungen vorgestellt:
Insider-Handel mithilfe von Informationen, die von einer anderen Person gedruckt
worden waren
•
Dem Mitarbeiter einer Investment-Bank gelang es, die Informationen zu lesen,
die seine Kollegen auf einem gemeinsam Drucker neben seinem Schreibtisch
druckten. Die Ausdrucke enthielten Daten zu anstehenden Fusionen und
Investitionsentscheidungen. Der Mitarbeiter konnte diese Informationen für
seine eigenen Handelsgeschäfte nutzen, ohne die Druckaufträge überhaupt aus
dem Drucker nehmen zu müssen, und bereicherte sich dadurch um ungefähr
7 Mio. US-Dollar. Die Bank wurde mit eine Bußgeld für Insider-Handel belegt
und der Mitarbeiter wurde zu einer mehrjährigen Haftstrafe verurteilt.
Missbrauch von Krankenakten
•
Im Palisades Medical Center in North Bergen, N.J, druckte eine Krankenschwester die vertrauliche Krankenakte von George Clooney versehentlich auf
einem Drucker auf einer anderen Etage aus. Anschließend druckte sie die
Unterlagen erneut aus, dieses Mal auf dem richten Drucker, ohne jedoch den
ursprünglichen Ausdruck abzuholen. Eine andere Krankenschwester nahm die
auf dem falschen Drucker ausgedruckten Unterlagen an sich und fertigte
Kopien an, die sie dann an weitere Personen verteilte. All dies führte dazu, dass
27 Krankenschwestern für einen Monat vom Dienst suspendiert wurden.
Die Vorfälle in beiden Beispielen hätten durch eine sichere Druckumgebung vermieden werden
können.
Neue Drucker – Neues Nutzungsmodell – Neue Sicherheitsmaßnahmen
Seite 3HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Da ein Drucker nicht mehr „nur ein Drucker“, sondern sich zu einem hoch funktionalen
Netzwerkdrucker/-scanner mit Cloud -und lokalem Speicher entwickelt hat, stellt der
potenzielle Schaden, der durch die unbefugte Nutzung eines Multifunktionsgeräts (MFP)
verursacht werden kann, eine große Bedrohung für eine Organisation dar. Durch neue
Features und Funktionen ähnelt ein moderner Drucker eher einem PC oder einem Server als
einem herkömmlichen Drucker. Folgendes kann zu einem modernen Drucker gehören:








Prozessor der PC-Klasse, der ein Windows- oder Linux-Betriebssystem ausführt
Interner Speicher
Display
Scanner
Netzwerk (verkabelt oder drahtlos)
Mobiler Zugriff
Cloudbasierter Zugriff
Integrierter HTML-basierter Browser und E-Mail-Client
MFPs haben jedoch nicht nur eine Hardwareveränderung durchlaufen; durch Digitalisierung
und Workflowautomatisierung sind sie mittlerweile wichtige unterstützende Komponenten in
Unternehmens- und Business-Prozessen und ermöglichen die problemlose Umwandlung von
Papier- in digitale Dokumente und zurück. MI&S ist überzeugt, dass Organisationen aufgrund
dieser Veränderungen nicht darauf verzichten können, diese Geräte zu „gleichberechtigten
Bürgern“ im Netzwerk zu machen und demzufolge auch wie jedes andere Gerät abzusichern.
Die Implementierung des hierfür erforderlichen Prozesses muss einfach und kostengünstig
sein, so wie die Maßnahmen zum Absichern von PCs, Laptops, Smartphones usw.
Seite 4HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Druckersicherheit: der ganzheitliche Ansatz von HP
Das Portfolio der HP JetAdvantage-Sicherheitslösungen unterstützt einen ganzheitlichen Ansatz bei der unternehmensweiten Absicherung von Geräten, Daten und
Dokumenten. Die von HP verfügbaren Lösungen zielen auf die folgenden
Schlüsselbereiche ab:
 Netzwerksicherheit
 Datensicherheit
o HP Secure Content Management and Monitoring
 Zugriffssteuerung
 Gerätesicherheit
 Überwachung und Verwaltung
o HP Printing Security Advisory Services
o HP ArcSight SIEM-Druckerintegration
o HP Imaging and Printing Security Center (IPSC)
 Dokumentensicherheit
o HP JetAdvantage Pull Print
Seite 5HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Da es in diesem Bericht primär um die Bewertung der Sicherheit von HP Druckern geht, werden
wir uns auf die Neuerungen in den Bereichen Datenschutz, Überwachung und Verwaltung und
Dokumentensicherheit konzentrieren.
HP Printing Security Advisory Services
HP bietet unter dem Namen HP Printing Security Advisory Services (PSAS) einen neuen Service
an. HP Sicherheitsberater unterstützen Organisationen bei der Überprüfung ihres aktuellen
Sicherheitsstatus im Druckerbereich, klären über den aktuellen Sicherheitsstatus und Risiken
auf, stellen Informationen zu Best Practices bereit und unterstützen die Organisationen bei
der Entwicklung umfassender Sicherheitsrichtlinien und -pläne.
Nach Einschätzung von MI&S hebt sich HP durch seine Fähigkeit zur Bereitstellung erfahrener
Sicherheitsberater, die Unternehmen beim Schutz ihrer wichtigsten Assets unterstützen,
deutlich von anderen Unternehmen ab. Zum einen ist es HP hierdurch möglich, seine große
Knowledge Base zu Sicherheitsfragen für alle Kunden (und potenziellen Kunden) zu nutzen.
Auf diese Weise kann nicht nur eine stetig wachsende Datenbank mit Best Practices weiter
ausgebaut werden, sondern es wird auch auch die Entwicklung zukünftiger Lösungen
ermöglicht, die Kundenanforderungen noch besser gerecht werden. Darüber hinaus bietet die
Überprüfung der aktuellen Infrastruktur von Organisationen die Möglichkeit, sich ein
umfassendes Bild von der vorhandenen Hardware und Software zu machen. Hierdurch bietet
sich nicht nur eine Fülle an Gelegenheiten, um ggf. geeignete HP Software und Hardware zu
empfehlen, sondern auch die Möglichkeit, andere Geräte zu identifizieren, die nicht das
gleiche Maß an Sicherheit bieten. Natürlich erhält HP mit PSAS nicht nur die Chance, sein
Sicherheits-Know-how kontinuierlich weiter auszubauen, sondern auch die Möglichkeit,
sicherere Umgebungen für Kunden bereitzustellen und dadurch der Konkurrenz einen Schritt
voraus zu sein.
Seite 6HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
HP ArcSight Security Information and Event ManagementDruckerintegration und HP Secure Content Management and
Monitoring
Da HP im gesamten Hardware- und Softwaresegment sehr gut aufgestellt ist, war es möglich,
MFPs so weit wie möglich in das IT-Sicherheitsgesamtkonzept einzubinden. Diese Integration
bietet HP unserer Meinung nach einen deutlichen Wettbewerbsvorteil gegenüber Anbietern
konkurrierender Produkte.
Zum einen hat HP die Druckerüberwachung in ArcSight Security Information and Event
Management (SIEM) integriert. Hierdurch wird es Organisationen möglich, in Echtzeit die
gesamte IT-Infrastruktur einschließlich der Druckersicherheit zu überwachen.
Zum anderen wurden Druckgeräteinhalte in die HP Lösung für Enterprise Content
Management (ECM), HP Autonomy, integriert. Dank dieser Integration kann HP das
Compliance und Records Management verbessern, indem das Angebot auf die
Druckumgebung ausgeweitet wird.
HP nutzt einen ganzheitlichen Sicherheitsansatz, bei dem Software- und Hardwareprodukte
miteinander verknüpft werden, um das Gesamtsystem zu stärken und seinen Nutzen für
Organisationen zu erhöhen. Eine zentrale Überwachung ermöglicht die Nutzung vorhandener
Ressourcen, trägt zur Kostensenkung bei und verringert die Gefahr von ComplianceVerstößen.
HP Imaging and Printing Security Center 2.1
HP Imaging and Printing Security Center (IPSC) ist das Kernstück der HP Strate
gie für Druckersicherheit. IPSC bietet eine kostengünstige Methode für das
Sicherheitsmanagement des HP Geräteparks jeder Organisation. Der wesentliche
Seite 7HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Nutzen des IPSC-Systems besteht nach Meinung von MI&S darin, dass es Konsistenz bietet
und Sicherheitsmanagement und -pflege für einen ganzen HP Druckerpark bei minimalem
Aufwand ermöglicht. Die wichtigsten Leistungsmerkmale:




Automatisierte Bereitstellung von Sicherheitsrichtlinien für das Drucken
Fortlaufende Überwachung des Druckerparks, um Compliance sicherzustellen
HP Instant-On Security für sofort verfügbare Sicherheitsfeatures
Automatisierte Erzeugung und Bereitstellung eindeutiger Identitätszertifikate
IPSC ist eine enorm leistungsfähige Lösung, die nun auch die Möglichkeit bietet,
die Verwaltung von Identitätszertifikaten zu automatisieren. In Kombination mit der
automatisierten Bereitstellung von Richtlinien sind Organisationen dank IPSC in der Lage,
ihre (personellen und finanziellen) Ressourcen optimal zu nutzen. Dadurch können unserer
Einschätzung nach nicht nur sicherere Systeme bereitgestellt, sondern auch der zeitliche
Aufwand für die Bereitstellung neuer Systeme und die Arbeitskosten für IT und Sicherheit
insgesamt reduziert werden.




Automatisierte Zertifikate und Richtlinienbereitstellung sorgen für hohe und
einheitliche Sicherheit.
Die Zeit zum Hinzufügen von Knoten wird reduziert, da die Bereitstellung unmittelbar
beim Hinzufügen eines neuen Knotens zum Netzwerk erfolgen kann.
Ressourcen können reduziert werden, da kein IT-Personal für die manuelle
Konfiguration jedes neuen Druckers erforderlich ist.
Aktualisierte Richtlinien können sofort für den gesamten Druckerpark bereitgestellt
werden.
HP JetAdvantage Pull Print
JetAdvantage Pull Print wird nun mit den neuen Druckern und MFPs von HP als
Komplettlösung ausgeliefert. Pull Print ist ein Verfahren, das es Organisationen ermöglicht,
cloudbasierte Druckaufträge sicher zu speichern und abzurufen und auf MFPs zu drucken
(derzeit nur in den USA und Kanada verfügbar; eine Erweiterung in andere Regionen ist für
2015 geplant). Auch der mobile Zugriff wird unserer Einschätzung nach weiter zunehmen.
Durch die Bereitstellung eines Verfahrens, um Druckaufträge in die Cloud zu schicken und sie
später auf sichere Weise von dort abzurufen, kann HP der fortschreitenden Veränderung der
Arbeitswelt durch mobile Technologien auch weiterhin Rechnung tragen.
Seite 8HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Zusammenfassung: Handlungsaufforderung
Drucker, ein wichtiges Element der IoT-Unternehmensinfrastruktur, werden beim Thema
Sicherheit oft nachrangig behandelt. Neue Features und Funktionen haben dazu geführt, dass
MFPs PCs oder Servern immer ähnlicher werden. Organisationen müssen daher aktiv werden,
um für ihren Druckerpark die gleichen Sicherheitsstandards einzuführen, die für die übrigen
Komponenten ihrer Infrastruktur längst gelten.
MI&S empfiehlt Organisationen daher die Durchführung von Sicherheitsprüfungen, um Lücken
in ihren Druckersicherheitsprozessen zu identifizieren, und die zukünftige Aufnahme von
Druckern in das Sicherheitskonzept des Unternehmens. Für die Sicherheit neuer und auch
bestehender Implementierungen sowie für Software-, Firmware- und Geräte-Upgrades
müssen finanzielle Mittel bereitgestellt werden, um die bestehenden Ressourcen auf einen
aktuellen (und sicheren) Stand zu bringen und bestehende Sicherheitslücken zu schließen.
Großen Organisationen und Unternehmen, die dem Aspekt Sicherheit einen hohen
Stellenwert einräumen, empfiehlt MI&S, Drucker und Sicherheitslösungen von HP unbedingt
in Erwägung zu ziehen. Das HP JetAdvantage-Sicherheitsportfolio ist eine wohlüberlegt
zusammengestellte Sammlung aus Software und Services, die Kunden ein hohes Maß an
Zuverlässigkeit und Sicherheit nicht nur für ihre Druckumgebung, sondern für die gesamte
vernetzte Infrastruktur bietet.
Die aktuellen HP Features für sicheres Drucken sind äußerst leistungsfähig und die jüngste
Einführung der Printing Security Advisory Services sowie der Ausbau des Imaging and Printing
Security Center sind interessante Erweiterungen eines bereits überzeugenden und
leistungsstarken Portfolios.
Durch die Nutzung der restlichen Angebotspalette kann HP die Sicherheitssoftware und services außerdem mit Servern, Speicherlösungen, Netzwerktechnik, PCs, Tablets und
Sicherheitsappliances verknüpfen, wodurch eine integrierte, benutzerfreundliche und
kostengünstige Sicherheitslösung für die gesamte vernetzte Infrastruktur geschaffen wird.
Andere Unternehmen mögen über einzelne Puzzleteilchen verfügen, aber keine andere
Organisation verfügt über die Fähigkeit, Sicherheitssoftware für eine derart breite Palette an
Unternehmensprodukten bereitzustellen.
Seite 9HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy
Wichtige Hinweise zu diesem Bericht
Autor
Patrick Moorhead, President und Principal Analyst bei Moor Insights & Strategy
Mike Krell, Analyst bei Moor Insights & Strategy
Überprüfung
Patrick Moorhead, President und Principal Analyst bei Moor Insights & Strategy
Rückfragen
Kontaktieren Sie uns, wenn Sie Fragen, Kommentare oder Anregungen zu diesem Bericht haben. Moor Insights &
Strategy wird sich umgehend mit Ihnen in Verbindung setzen.
Zitierung
Dieser Hinweis oder dieses Dokument darf von anerkannten Pressevertretern und Analysten zitiert werden.
Zitate sind nur im Kontext zulässig und müssen den Namen des Autors, dessen Titel und den Namen Moor
Insights & Strategy enthalten. Andere Personenkreise benötigen für Zitate eine vorherige schriftliche
Genehmigung von Moor Insights & Strategy.
Lizenzierung
Dieses Dokument sowie alle unterstützenden Materialien sind Eigentum von Moor Insights & Strategy. Diese
Publikation darf ohne vorherige schriftliche Genehmigung durch Moor Insights & Strategy in keiner Form
vervielfältigt, verbreitet oder weitergegeben werden.
Hinweis
Moor Insights & Strategy bietet Dienstleistungen wie Forschung, Analyse, Beratung und Consulting für viele in
diesem Dokument genannten Hightech-Unternehmen, darunter auch HP, an. Dieses Whitepaper wurde von HP in
Auftrag gegeben. Kein Mitarbeiter von Moor Insights & Strategy besitzt Aktienanteile an den in diesem
Dokument genannten Unternehmen.
Haftungsausschluss
Die Informationen in diesem Dokument dienen nur zu Informationszwecken und können technische
Ungenauigkeiten, Auslassungen und Druckfehler enthalten. Moor Insights & Strategy übernimmt keine Gewähr
für die Richtigkeit, Vollständigkeit oder Angemessenheit dieser Informationen und haftet nicht für Fehler,
Auslassungen oder unzulängliche Informationen. Diese Publikation gibt die Auffassungen von Moor Insights &
Strategy wieder und ist nicht als Darstellung von Tatsachen auszulegen. Änderungen vorbehalten.
Die Prognosen und zukunftsgerichteten Aussagen von Moor Insights & Strategy sind als richtungsanzeigende
Informationen und nicht als präzise Vorhersagen kommender Ereignisse zu sehen. Unsere Prognosen und
zukunftsgerichteten Aussagen basieren auf unserer eigenen aktuellen Einschätzung zukünftiger Entwicklungen
und unterliegen Risiken und Unsicherheiten, die zu deutlichen Abweichungen von den tatsächlichen Ergebnissen
führen können. Es wird ausdrücklich darauf hingewiesen, dass kein unangemessenes Vertrauen in diese Prognosen
und zukunftsgerichteten Aussagen gesetzt werden darf, die unsere eigene Meinung zum Zeitpunkt der
Veröffentlichung dieses Dokuments widerspiegeln. Es zu beachten, dass Moor Insights & Strategy nicht
verpflichtet ist, Überarbeitungen und Änderungen an diesen Prognosen und zukunftsgerichteten Aussagen
aufgrund neuer Informationen oder kommender Ereignisse zu prüfen oder zu veröffentlichen.
Unternehmens- und Produktnamen dienen nur zu Informationszwecken und können Markenzeichen ihrer
jeweiligen Eigentümer sein.
Seite 10HP: Schutz von Druckern mit Sicherheitslösungen der Enterprise-Klasse22.
September 2014 Copyright © 2014 Moor Insights & Strategy