Branchenübliche Sicherheitsmaßnahmen schützen ezeeps Infrastruktur und Software, zusätzliche Sicherheitsfunktionen sorgen für vertrauliches Drucken. ezeeps Cloud Printing ist DSGVO-konform.
Cloud-gemanagtes Drucken mit ezeep ist sicher. Die an unseren Server gesendeten Dateien werden über eine verschlüsselte Verbindung übertragen. Unmittelbar nach dem erfolgreichen Ausdruck werden die Dateien von unserem Server gelöscht. Keine.r unserer Mitarbeiter.innen kann auf die über die ezeep-Cloud ausgedruckten Dateien zugreifen oder sie einsehen. Alle Dateien werden über HTTPS gesendet. Somit erfolgt die Kommunikation vom Computer oder mobilen Gerät eines.einer Anwender.in zum Server und vom Server zum Client verschlüsselt.
Penetrationstests: ezeep führt jährlich und auf Kundenanfrage Penetrationstests durch.
Server-Standort: Microsoft Azure – Region Nordwesteuropa (Irland)
Rechenzentrum-Zertifizierungen von Microsoft:
Organisatorische Maßnahmen
Kein internes Team hat Zugang zu Anmeldedaten, die uneingeschränkten Zugriff ermöglichen. Stattdessen werden die entsprechenden Zugangsdaten in einem speziellen Authentifizierungsspeicher sicher verwahrt, so dass sie bei Bedarf kontrolliert, abgerufen und genutzt werden können.
Verschlüsselungsstandards: Alle ezeep-Blue-Komponenten unterstützen TLS 1.3 und sind abwärtskompatibel zu TLS 1.2 (Mindeststandard 1.2).
Eine Lösung, die TLS 1.3-Verschlüsselung einsetzt, bietet verbesserte Sicherheit durch stärkere kryptografische Algorithmen und perfekte Forward Secrecy, wodurch das Risiko des Abhörens und Abfangens von Daten reduziert und somit die Vertraulichkeit und Integrität der Datenkommunikation gestärkt wird. Darüber hinaus minimiert die reduzierte Handshake-Latenzzeit die Anfälligkeit für potenzielle Angriffe während der Verbindungsaufbauphase, was die allgemeine Sicherheitslage weiter verbessert.
Schutz vor Man-in-the-Middle-(MITM)-Angriffen
Die Verwendung von öffentlichen Zertifikaten trägt dazu bei, Man-in-the-Middle-Angriffe abzuwehren, indem sie eine sichere Kommunikation durch die kryptografische Verifizierung einer vertrauenswürdigen dritten Partei ermöglicht und es böswilligen Akteuren sehr schwer macht, die zwischen zwei Parteien ausgetauschten Daten unentdeckt abzufangen und zu manipulieren.
Einsatz von Cloudflare
Die Sicherung der Verbindungen zur Cloud erfolgt mit Cloudflare. Cloudflare arbeitet als Layer-7-Proxy. IP-Pakete werden entschlüsselt, analysiert und anschließend wieder verschlüsselt. Erst dann werden sie an die ezeep-Blue-Server weitergeleitet.
Die 2-Faktor-Authentifizierung erfordert zwei verschiedene Methoden zur Identitätsbestätigung, bevor Zugriff gewährt wird. Typischerweise kombiniert sie etwas, das der Benutzer weiß (z. B. ein Passwort), mit etwas, das der Benutzer besitzt (z. B. einen Code aus einer Smartphone-App oder einem Hardware-Token) oder mit etwas, das dem Benutzer eigen ist (z. B. ein Fingerabdruck). Durch diese doppelte Authentifizierung wird es für Unbefugte deutlich schwieriger, Zugang zum Drucker zu erhalten, was das Risiko eines unbefugten Dokumentenzugriffs oder von Datenverletzungen verringert.
Integration mit Verzeichnisdiensten (Azure AD, Google): ezeep unterstützt das Login über Azure AD und Google. Anwender.innen haben daher die Möglichkeit, sich sowohl mit ihren Microsoft- als auch ihren Google-Credentials anzumelden. Der.die Anwender.in muss sich somit keine zusätzlichen Login-Daten merken.
Üblicherweise aktivieren die Hersteller gängige Kommunikationsprotokolle und Schnittstellen wie WLAN, Ethernet und manchmal Bluetooth, SNMP, Bonjour usw. standardmäßig auf den Druckern. Es ist ratsam, nicht benötigte Protokolle, wie z. B. Bluetooth, zu deaktivieren, wenn sie für deinen speziellen Anwendungsfall nicht unerlässlich sind. Denn jedes aktivierte Protokoll stellt ein Einfallstor für Hacks und Malware dar. Bei der Cloud-Drucklösung ezeep Blue sind Drucker nur über den ezeep Hub oder den ezeep Connector erreichbar.
In Bezug auf Wartung und Sicherheit sind zentrale und lokale Printserver in der Regel eine Herausforderung für die IT-Abteilung. Neben regelmäßigen Sicherheitsupdates des Betriebssystems müssen auch die Druckertreiber auf dem neuesten Stand gehalten und auf Kompatibilität untereinander überprüft werden. Darüber hinaus müssen lokale Druckserver über VPN erreichbar sein, um aus der Cloud oder einer zentralen Infrastruktur vor Ort zu drucken. Oft werden diese VPNs nur zum Drucken unterhalten.
Auf diese Weise erhöht der ezeep Hub die Sicherheit beim Drucken:
Welche Risiken eingehende Verbindungen, also der direkte Zugriff auf Drucker aus dem Internet darstellen, haben wir oben bereits erwähnt. Dieses Risiko schließt unsere Drucklösung aus, da Drucker nur über den ezeep Hub oder den ezeep Connector erreichbar sind.
ezeep-Lösungen zur Absicherung:
Es werden nur ausgehende, sichere Verbindungen verwendet, auch für das Remote-Hub-Management. Ausgehende Verbindungen minimieren die Exposition interner Ressourcen gegenüber externen Bedrohungen, reduzieren die potenzielle Angriffsfläche und machen es böswilligen Akteuren schwerer, das Netzwerk zu infiltrieren. IT-Administrator.innen können außerdem ausgehende Verbindungen effektiver verwalten und überwachen und so sicherstellen, dass nur autorisierter Datenverkehr das Netzwerk verlässt, wodurch sie eine bessere Kontrolle über den Datenfluss und die Sicherheitsrichtlinien erhalten.
Die temporäre Speicherung von Druckaufträgen ist in der Regel auf die Firmware des Herstellers zurückzuführen. Hier muss dafür gesorgt werden, dass eingebaute Festplatten physisch abgesichert oder verschlüsselt werden, so dass die Daten beim Ausbau der Festplatten nicht gelesen werden können. Die meisten Hersteller haben dafür Lösungen, die i.d.R. nur aktiviert werden müssen.
Standardmäßig sind alle Protokolle aktiv, wie bereits erklärt.
ezeep-Lösungen für eine sichere Druckerkommunikation:
Bei ezeep erfolgt die Kommunikation zum Drucker über TCPIP/RAW Port 9100. Darüber hinaus können bis zu 4 USB-Drucker direkt an den ezeep Hub angeschlossen werden. Auf diese Weise lassen sich reine USB-Drucker netzwerkfähig machen. Eine Separierung der Drucker und des Hubs in VLANS schotten die Drucker vom Rest des Netzwerks ab. Einziger Zugriffspunkt ist dann der Hub.
Hintergrund und Problematik:
https://blog.thinprint.com/de/printnightmare-so-schutzen-sie-ihre-it/
und
Wie ezeep das Problem löst:
Mit der ezeep PrintApp wird der virtuelle Druckertreiber ThinPrint Output Gateway installiert. Beim Zuweisen der Drucker wird dieser Treiber standardmäßig verwendet. Somit sind keine erweiterten Rechte für die Nutzer.innen bzw. Eingriffe durch Administrator.innen notwendig. Das Risiko der Installation von Schadsoftware durch manipulierte Druckertreiber oder das Ausnutzen von Sicherheitslücken in selbigen wird damit minimiert bzw. ausgeschlossen.
Identifizierung von Nutzer.innen
Secure Follow-Me Printing ist integraler Bestandteil von ezeep Blue und wird vom.von der Administrator.in per Policy aktiviert. Dadurch erhalten die Benutzer.innen ein Druckobjekt (AnyPrinter), welches Druckjobs bis zur Authentifizierung am Drucker speichert. Für diese Druckoption wird die gleiche Nutzeranmeldung verwendet wie generell für ezeep Blue. Die Auswahl des Druckers erfolgt per QR-Code-Scan in der App. Der.die Administrator.in kann den QR-Code aus dem ezeep-Portal herunterladen.
Authentifizierungsmethoden
Die Authentifizierung für sicheres Follow-Me-Drucken kann über eine Smartphone-App (iOS/Android) erfolgen. Das Login in die App entspricht der ezeep-Anmeldung. Alternativ ist eine Authentifizierung mit gängigen RFID-/Chipkarten möglich. Diese kann der.die Nutzer.in selbst registrieren. Bei der erstmaligen Verwendung der Karte erhält der.die Nutzer.in am Drucker eine Registrierungsseite, die einen eindeutigen Token für die Karte enthält. Dieser Token wird nach der Anmeldung mit dem Benutzerlogin im ezeep-Portal eingegeben. Damit ist die Karte eindeutig dem Konto des.der Benutzer.in zugeordnet.