Faxgeräte sind trotz ihrer mehr als veralteten Kommunikationstechnologie heute immer noch in vielen Büros zu finden. Besonders im Gesundheitswesen und in Behörden werden noch gerne Faxe verschickt. Auch viele All-in-one-Drucker besitzen eine Faxfunktion. Die überraschende Allgegenwärtigkeit von Geräten mit Faxfunktion hat Forscher von Check Point Research dazu animiert, diese hinsichtlich ihrer Informationssicherheit zu untersuchen. Dazu verschickten die Forscher Faxe mit schädlichem Code, welcher als Bilddatei getarnt war, an All-in-One-Drucker mit Faxfunktion.
Der Clou dabei ist, dass dieser Code das Faxgerät "aus dem Takt“ bringt und ein Speicherüberlauf provoziert wird. Dadurch kann die angebrachte Schadsoftware ausgeführt werden und öffnet den Forschern somit den ungehinderten Zugriff in das gesamte Netzwerk. Am Gerät kann man das „Empfangen“ dieses Faxes nicht unbedingt erkennen. Auch Warntöne werden nicht abgegeben.
Das erschreckende Ergebnis: Diese Art des Angriffs ist auch deshalb für sehr viele Faxgeräte anwendbar, da die Telefonleitungen, anders als die anderen Datenleitungen, nicht durch spezielle Schutzmechanismen geschützt oder überwacht werden.
„An diesem Beispiel ist gut erkennbar, dass alle möglichen Kommunikationswege in einem Sicherheitskonzept betrachtet und bewertet werden müssen. Dieses Sicherheitskonzept muss periodisch überprüft und gegebenenfalls überarbeitet werden, da es immer wieder zu neuen Erkenntnissen und Angriffsszenarien kommt. Ebenso müssen alte Systeme (Geräte und verwendete Kommunikations-Protokolle) immer wieder bewertet werden, ob Sie noch den Anforderungen entsprechen“, erklärt Alexander Matheus, Senior Expert im Bereich Smarte Technologien im VDE-Institut.
Das VDE-Institut empfiehlt daher, nicht genutzte Faxgeräte oder die Faxfunktion bei All-in-one-Geräten zu deaktivieren. Dazu muss lediglich die Telefonverbindung getrennt werden. Ist es nicht möglich, das Faxgerät vom Rest des Netzes zu trennen, sollte man unbedingt auf Updates der Hersteller warten und diese dann zügig einspielen.