NIS-2 und Ihre Drucker: Warum Scanner und Kopierer jetzt Sicherheitsrisiken sind
Viele Unternehmen fragen sich aktuell, wie sich die neue NIS-2-Richtlinie (und das kommende deutsche Umsetzungsgesetz NIS2UmsuCG) konkret auf ihre IT auswirkt. Doch ein wichtiger Bereich wird dabei oft vergessen: die Infrastruktur für Drucker, Scanner und Kopierer.
Zwar tauchen die Begriffe „Drucker“ oder „Kopierer“ im Gesetzestext nicht wörtlich auf. Dennoch sind sie direkt betroffen. Denn als netzwerkfähige Endgeräte (IoT-Geräte) fallen sie vollständig unter die Definition von „Netz- und Informationssystemen“.
Deshalb haben wir hier eine detaillierte Aufschlüsselung für Sie erstellt, was NIS-2 für Ihre Geräteflotte bedeutet.
1. Executive Summary: Sind Drucker wirklich betroffen?
Ganz klar: Ja.
Fällt Ihr Unternehmen unter die NIS-2-Regulierung (als „wichtige“ oder „besonders wichtige Einrichtung“), gehört Ihre gesamte Drucker- und Multifunktionsflotte (MFP) zum Geltungsbereich dazu.
Warum ist das so? Moderne Drucker sind längst keine einfachen Ausgabegeräte mehr. Sie sind vollwertige Computer. Sie besitzen eigene Festplatten, Betriebssysteme und einen direkten Netzwerkzugriff. Folglich kann ein unsicherer Drucker als Einfallstor (Gateway) für Hacker dienen. Dadurch gelangen Angreifer relativ leicht in das restliche, gut geschützte Unternehmensnetzwerk.
2. Die konkreten Anforderungen der NIS-2 für Ihre Geräte
Die NIS-2-Richtlinie fordert in Artikel 21 konkrete Maßnahmen zum Risikomanagement. Diese müssen Sie zwingend auch auf Ihre Drucker und MFPs anwenden.
Hier sind die wichtigsten Punkte, die Sie beachten müssen:
A. Sicherheit der Lieferkette (Supply Chain Security)
Dies ist einer der wichtigsten neuen Aspekte von NIS-2. Das bedeutet: Sie sind dafür verantwortlich, dass die Produkte, die Sie einkaufen, sicher sind.
- Die Anforderung: Sie müssen sicherstellen, dass Ihr Hardware-Lieferant (z. B. HP, Kyocera, Konica Minolta) und Ihr Wartungsdienstleister sichere Prozesse nutzen.
- In der Praxis: Haben Sie beispielsweise einen Managed Print Services (MPS) Vertrag? Dann müssen Sie vertraglich regeln, dass der Dienstleister Sicherheitsupdates sofort einspielt. Außerdem müssen Fernwartungszugänge abgesichert sein (keine offenen Ports, sondern Nutzung von VPN oder Multi-Faktor-Authentifizierung).
B. Schwachstellenmanagement & Updates
Die NIS-2 verlangt einen strengen Umgang mit bekannten Sicherheitslücken.
- Das Problem: Drucker-Firmware wird in vielen Firmen oft jahrelang ignoriert („Installieren und Vergessen“).
- Ihre Pflicht: Sie müssen ein echtes Patch-Management für Drucker einführen. Firmware-Updates für diese Geräte sind genauso wichtig wie regelmäßige Windows-Updates auf einem Server.
C. Kryptografie und Verschlüsselung
Datenschutz spielt eine zentrale Rolle.
- Daten im Netzwerk (Data in Transit): Druckaufträge dürfen nicht ungeschützt im Klartext durch das Netzwerk gesendet werden. Nutzen Sie daher sichere Protokolle wie IPPS/TLS statt veralteter Standards.
- Daten auf dem Gerät (Data at Rest): Moderne Kopierer haben Festplatten, die gescannte Dokumente zwischenspeichern. Diese Festplatten müssen unbedingt verschlüsselt sein. Nur so verhindern Sie einen Datenabfluss bei Diebstahl oder der Entsorgung des Geräts.
D. Zugriffskontrolle (Authentifizierung)
NIS-2 fordert starke Systeme zur Zugriffskontrolle.
- Die Maßnahme: Eine bewährte Methode ist das „Follow-Me-Printing“. Hierbei muss sich der Nutzer erst am Gerät (per Karte oder PIN) authentifizieren, bevor der Druck startet. Dadurch liegen sensible Dokumente nicht mehr unbewacht im Ausgabefach.
- Admin-Zugang: Ein weiterer kritischer Punkt sind Standardpasswörter (wie
admin/0000). Diese sind unter NIS-2 ein klarer Compliance-Verstoß. Deshalb müssen alle Administratorenzugänge individuell und stark geschützt sein.
3. Visualisierung der Bedrohungslage
Warum ist ein scheinbar harmloser Drucker für die NIS-2 relevant? Um das zu verstehen, hilft ein Blick auf die Angriffsfläche, die diese Geräte bieten.
4. Checkliste zur Umsetzung (Best Practice nach BSI)
Für die Umsetzung der NIS-2-Anforderungen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) oft die Orientierung am IT-Grundschutz. Für Drucker ist dabei der Baustein SYS.4.1 „Drucker, Kopierer und Multifunktionsgeräte“ entscheidend.
Hier ist eine kurze Checkliste basierend auf diesen Standards:
| Bereich | Konkrete Handlungsempfehlung für NIS-2 Compliance |
| Netzwerk trennen | Isolieren Sie Drucker in ein eigenes Netzwerksegment (VLAN). Sie sollten keinen direkten Internetzugriff haben und nicht direkt mit sensiblen Servern kommunizieren können. |
| Protokolle | Deaktivieren Sie unsichere, veraltete Protokolle (wie Telnet, FTP, HTTP). Nutzen Sie stattdessen nur sichere Varianten (SSH, SFTP, HTTPS, SNMPv3). |
| Festplatten | Aktivieren Sie die automatische Datenüberschreibung nach jedem Job. Zudem ist die Festplattenverschlüsselung (TPM) Pflicht. |
| Bestandsaufnahme | Führen Sie ein lückenloses Inventar aller Geräte. Denn Sie können keine Geräte schützen, die Sie nicht kennen (Stichwort: Schatten-IT oder alte Drucker im Lager). |
| Monitoring | Binden Sie die Drucker in Ihre Sicherheitsüberwachung (SIEM) ein. Fehlgeschlagene Logins am Drucker müssen genauso Alarm schlagen wie am Server. |
5. Was ist mit externen Dienstleistern (Wartung)?
Viele Unternehmen kaufen ihre Drucker nicht, sondern leasen sie. Gerade hier greift die NIS-2-Regel zur Sicherheit bei Erwerb und Wartung.
Stellen Sie sich diese Fragen:
- Wenn ein Techniker zum Reparieren kommt: Hat er Zugriff auf die gespeicherten Daten der Festplatte?
- Wenn das Gerät am Ende der Laufzeit zurückgegeben wird: Wer garantiert die sichere Löschung der Daten?
Aus diesem Grund benötigen Sie von Ihrem Dienstleister ein Löschzertifikat. Zudem brauchen Sie eine vertragliche Zusicherung, dass die Sicherheitsstandards eingehalten werden (Service Level Agreement – SLA).
Zusammenfassung
Das Fazit lautet: Unter NIS-2 ist der Drucker kein einfaches „Büromöbel“ mehr. Er ist ein kritischer IT-Endpunkt.
Es reicht nicht mehr aus, dass das Gerät nur funktioniert. Vielmehr müssen die Integrität und Vertraulichkeit der Daten, die das Gerät verarbeitet, nach dem „Stand der Technik“ abgesichert sein. Denn Verstöße können (sobald das Gesetz in Kraft ist) zu denselben hohen Bußgeldern führen wie bei unsicheren Servern.
💡 Die Lösung mit der Prima GmbH
Die gute Nachricht: Sie müssen diese komplexe Aufgabe nicht allein bewältigen. Als Experten für sichere Output-Infrastrukturen unterstützt Sie die Prima GmbH bei der NIS-2-konformen Umsetzung.
Ob Bestandsaufnahme, die Implementierung modernster, sicherer Hardware (z.B. von Canon) oder die Etablierung eines laufenden Patch-Managements – wir liefern Ihnen die notwendigen Konzepte und Lösungen, um Ihre Druckerflotte „compliant“ zu machen.
Jetzt Beratungstermin vereinbaren