Informatikstudierende decken Sicherheitslücken auf

Studierende der Hochschule Albstadt-Sigmaringen (Studiengang IT Security) haben sich mit Sicherheitslücken eines Druckers von einem bekannten japanischen Hersteller befasst. Die Ergebnisse waren überraschend.

IT-Schwachstellen betreffen nicht nur Computer, Smartphones oder Software, sondern können auch von Druckern ausgehen – damit hat sich jetzt eine Studierendengruppe des Studiengangs IT Security an der Hochschule Albstadt-Sigmaringen beschäftigt. Geleitet wurde das Projekt von Prof. Holger Morgenstern und Simon Malik in Zusammenarbeit mit der Tübinger SySS GmbH. Die Studierenden erhielten ein aktuelles Multifunktionsgerät eines bekannten japanischen Herstellers und prüften es mithilfe eines sogenannten Penetrationstest auf Schwachstellen.

Die 13-köpfige Gruppe teilte sich in ein Software- und ein Hardwareteam auf. „Wir waren überrascht, wie einfach es ist, eine Schwachstelle zu finden“, sagt einer der Studierenden, Bastian Buck. Neben üblichen Webangriffen war es beispielsweise möglich, Daten von eingesteckten USB-Sticks abzufangen und an sich selbst zu senden. „So konnten wir selbst Daten einsehen, die eigentlich gar nicht gedruckt werden sollten.“

Die aus solchen Sicherheitsrisiken resultierende Bedrohung sei groß. Erschwerend komme hinzu, dass „Multifunktionsgeräte bei der Sicherheitsanalyse in Organisationen meistens gar nicht berücksichtigt werden“, sagt Bastian Buck. „Sie werden vergessen, haben aber großes Schadenspotential, da sie meist von überall aus im Unternehmen erreichbar sind.“

Auch nach einem Upgrade waren die meisten Schwachstellen nicht behoben.

Aus Sicherheitsgründen informierten die Studierenden daher frühzeitig den Hersteller und gaben ihm eine angemessene Zeit bis zur Veröffentlichung ihrer Erkenntnisse. „So hat der Hersteller Zeit, die Probleme zu beheben und Lösungen zu veröffentlichen“, sagt Bastian Buck. „Er antwortete zügig und interessiert auf unseren Bericht.“ Zudem habe er zugesichert, eine der Schwachstellen schnell zu beheben und eine weitere in zukünftigen Geräten berücksichtigen zu wollen.

„Für uns Studierende war dieses Projekt eine sehr interessante Erfahrung“, sagt Bastian Buck. „Keiner von uns hat zuvor Drucker auf Schwachstellen untersucht, und wir hätten auch nicht gedacht, dass wir derart fündig werden.“

Wissenschaftliche Ansprechpartner:

Prof. Holger Morgenstern
Mail: morgenstern@hs-albsig.de

Weitere Informationen:

Die Veröffentlichung mit den Ergebnissen der Studierenden gibt es im Internet: https://github.com/bstnbuck/Epson-Printer-vulnerabilities

http://www.hs-albsig.de