hagel IT-Services
Termin buchen
7 Min.

Drucker & Multifunktionsgeräte vor Hackern schützen — der Praxisleitfaden 2026

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Drucker sind 2026 das am häufigsten unterschätzte IT-System: Standardpasswörter, offene Ports, fehlende Firmware-Updates. Das BSI bezeichnet Drucker und MFPs explizit als eigenständige IT-Systeme mit eigenen Sicherheitsanforderungen.
  • Bei Audits in Hamburger KMU finden wir bei mehr als jedem zweiten Drucker mindestens eine kritische Schwachstelle — meist in unter zehn Minuten ausnutzbar.
  • Zehn konkrete Sofortmaßnahmen: vom Passwortwechsel über VLAN-Isolation bis Pull-Printing. Die ersten drei dauern 60 Minuten und schließen 80 % der Lücken.
  • Drucker gehören in ein eigenes VLAN, niemals ins Gäste-WLAN, und brauchen quartalsweise Patches. Wer Active Directory anbindet, muss die Berechtigungen härten.
  • Managed Print kostet 8–18 € pro Drucker und Monat — vergleichbar mit dem Schaden eines einzigen erfolgreichen Phishing-Angriffs über das Drucker-Webinterface.

Der gefährlichste Computer im Unternehmen steht oft im Flur. Klingt überzogen — ist 2026 aber Realität. Während IT-Teams Endpoints, Server und Firewalls hart absichern, läuft der Drucker im Erdgeschoss seit fünf Jahren mit Werkseinstellungen. Standardpasswort. Offenes Web-Interface. Firmware aus 2021.

Wir betreuen seit über 20 Jahren Hamburger Unternehmen — und sehen genau dieses Muster jede Woche neu. Dieser Artikel zeigt, was Drucker so anfällig macht und wie Sie Ihre Druckumgebung 2026 ohne großes Projekt absichern.

Warum Drucker das vergessene Sicherheitsrisiko sind

Drucker sind seit Jahren keine “Drucker” mehr. Ein modernes Multifunktionsgerät hat eine Festplatte, einen Webserver, SNMP, FTP, Cloud-Anbindungen, oft eine eigene App-Plattform und einen direkten Pfad ins Active Directory. Technisch ist das ein Server, der zufällig auch Papier ausspuckt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet Drucker und Multifunktionsgeräte ausdrücklich als eigenständige IT-Systeme — mit eigenen Schwachstellen und eigenem Patching-Bedarf. Genau das nehmen die wenigsten KMU ernst. Das BSI weist regelmäßig auf aktuelle Schwachstellen in Hardware und Firmware hin — auch Drucker stehen dort.

> 50 %
Drucker mit kritischer Lücke (Audit)
~10 Min.
durchschnittliche Übernahmezeit
~30 GB
Druckdaten auf MFP-Festplatte

Die fünf häufigsten Schwachstellen, die wir bei Audits finden

  • Standardpasswort am Web-Interface. "admin / admin", "0000", "1234". Wir öffnen damit in Audits regelmäßig Drucker innerhalb von 30 Sekunden.
  • Offene SNMP-Community-Strings. Public/Private — beides Klassiker. Damit lässt sich der Drucker fernsteuern, Firmware ändern, Logs abgreifen.
  • Gespeicherte Druckaufträge auf Festplatte. Steuererklärungen, Lohnabrechnungen, Verträge. Auf vielen MFPs liegen 20+ GB an Druckdaten — oft Monate alt.
  • Drucker im Gäste-WLAN. Klassiker bei kleinen Hamburger Büros. Jeder Gast hat eine Brücke ins interne Netz.
  • Active-Directory-Konto mit Domain-Admin-Rechten. Damit der Drucker "alles drucken kann". Ein gekaperter Drucker = Domain-Admin-Account.
Realer Vorfall:

Bei einem Hamburger Mittelständler (45 Mitarbeiter, Immobilienverwaltung) führte ein über das Drucker-Webinterface kompromittierter MFP zu einem lateralen Bewegungsmuster, das in zwei Tagen das ganze Netz erreichte. Schaden mittelhoher fünfstelliger Betrag plus Reputationsverlust. Das Webinterface war von außen erreichbar — Standardpasswort.

Zehn Schutzmaßnahmen — vom Sofortfix bis zum Managed Print

Diese zehn Punkte arbeiten wir bei jedem neuen Kunden im Audit ab. Die ersten drei dauern eine Stunde und decken den Großteil der Risiken.

  1. Standardpasswort sofort ändern. Web-Interface, SNMP, FTP, alle Service-Accounts. Mindestens 16 Zeichen, in einem Passwort-Manager (z.B. Keeper, Bitwarden). Nicht in einer Excel-Liste.
  2. Firmware aktuell halten. Hersteller-Portal prüfen, Updates einspielen. Wer dafür keinen Prozess hat, vergisst es. In unserem Managed Print automatisiert.
  3. VLAN-Isolation. Drucker in eigenes Netzwerk-Segment, getrennt vom Client-Netz. Zugriff per Firewall-Regel: Clients dürfen drucken, Drucker dürfen nichts.
  4. Nicht benötigte Dienste deaktivieren. FTP, Telnet, AppleTalk, IPv6 (falls nicht genutzt), AirPrint im Firmennetz. Weniger offene Ports = weniger Angriffsfläche.
  5. Sichere Verbindungen erzwingen. HTTPS für Web-Interface, SNMPv3 statt v1/v2, IPP-over-TLS. Zertifikat aus eigener PKI, nicht das Hersteller-Default.
  6. Pull-Printing einführen. Druckaufträge werden erst nach Identifikation am Gerät (Badge oder PIN) ausgegeben. Schützt vor "vergessene Ausdrucke im Drucker" und liefert nebenbei Audit-Logs.
  7. Festplatte verschlüsseln & löschen. Moderne MFPs unterstützen FIPS-140-Verschlüsselung der internen Festplatte. Beim Tausch oder Leasing-Ende: zertifizierte Löschung — nicht "Daten formatieren".
  8. Drucker-AD-Konto härten. Niemals Domain-Admin. Eigenes Service-Konto mit minimalen Rechten, regelmäßiger Passwort-Rotation, Monitoring auf ungewöhnliche Anmeldungen.
  9. Logs zentral sammeln. Drucker-Logs ins SIEM oder Managed XDR. Auffällige Druckaufträge (5.000 Seiten nachts) sind Indikatoren für Datenexfiltration. Mehr dazu: Sicherheitsprozess-Automatisierung.
  10. Lifecycle-Plan. Drucker älter als 7 Jahre erhalten oft keine Sicherheitsupdates mehr. Klare Tausch-Strategie statt "läuft ja noch".
Praxis-Tipp:

Wenn Sie mit vertraulichen Daten arbeiten (Anwaltskanzlei, Steuerberatung, Arztpraxis), ergänzen Sie Pull-Printing um eine Druckfreigabe-Workflow: Sensible Dokumente (z.B. Vertragsunterlagen, Diagnosen) müssen vor dem Druck von einer zweiten Person freigegeben werden. Das schließt versehentliches Drucken ans falsche Gerät — und ist DSGVO-konform.

Aus der Praxis: Drucker-Sicherheit bei Steuerkanzleien und Arztpraxen

Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.

Frank Schröder · Geschäftsführer, Maschinenbau/Hydraulik, 35 Mitarbeiter

Branchen, die mit besonders schützenswerten Daten arbeiten, brauchen Drucker-Sicherheit zwingend:

BrancheKritisches RisikoEmpfohlene Maßnahme
Steuerberatung / AnwaltschaftMandantengeheimnis (BRAO § 2, StBerG § 57)Pull-Printing + verschlüsselte Festplatte + Sensitivity Labels
ArztpraxenPatientendaten (DSGVO Art. 9, KBV)Eigenes VLAN + KIM-konforme Konfiguration + Audit-Logs
Architekten / EngineeringIP, Baupläne, VerträgeDrucker außerhalb Active Directory + Pull-Printing
Logistik / SpeditionFrachtbriefe, ZollunterlagenVLAN-Isolation + zentrale Print-Server statt Direkt-Druck

Mehr zur branchenspezifischen IT: IT für Steuerkanzleien, IT für Anwaltskanzleien, IT für Arztpraxen.

Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Drucker, die mit Standardpasswort online sind. Server-Räume mit 38 °C im Sommer. Das sind keine Einzelfälle — das ist der Schnitt bei KMU ohne dedizierten IT-Partner.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Drucker und NIS-2: Was die neuen Pflichten verlangen

Die NIS-2-Richtlinie gilt seit Dezember 2025 und betrifft Drucker explizit als Teil der IT-Infrastruktur. Konkret verlangt sie:

  • Asset-Inventar. Jeder Drucker mit Modell, Firmware-Stand, Standort, Verantwortlichem dokumentiert.
  • Patch-Management. Dokumentierter Prozess für Firmware-Updates inkl. Notfall-Patches bei kritischen CVEs.
  • Zugriffskontrolle. Wer darf Drucker administrieren? Dokumentierte Rollen, MFA für Admins, regelmäßige Reviews.
  • Incident-Response. Was tun, wenn ein Drucker auffällig wird? Wer wird informiert? Wer entscheidet?

Wer NIS-2-betroffen ist und Drucker nicht im Asset-Inventar führt, hat ein Problem. Bei der Geschäftsführerhaftung sind das die Punkte, die Auditoren als erstes prüfen.

Drucker-Sicherheit & Managed IT — der pragmatische Weg

Druckersicherheit ist keine Einzelmaßnahme. Sie ist Teil eines guten IT-Betriebs — Patch-Management, Netzwerk-Segmentierung, Identity, Backup. Bei hagel IT in Hamburg läuft das im Managed-IT-Vertrag ab ca. 50 € pro Arbeitsplatz/Monat als Standard mit:

  • Firmware-Monitoring & Patch-Management für alle Drucker
  • VLAN-Konfiguration & Firewall-Regeln
  • Pull-Printing mit Badge oder PIN
  • Audit-Reports für Compliance (DSGVO, NIS-2)
  • 24/7-Monitoring auf auffällige Druckaufträge

Wer eine eigene IT-Abteilung hat, nutzt unser Co-Managed-IT-Modell — wir bringen Plattform und 24/7, Sie behalten die Hoheit.

Das Wichtigste: Drucker sind 2026 kein peripheres Gerät, sondern ein vollwertiges IT-System mit eigenen Sicherheitsanforderungen. Wer Standardpasswörter, offene Ports und fehlende Patches duldet, hat eine offene Tür im Erdgeschoss — egal wie gut Server und Firewall gesichert sind.

Wie gut ist Ihre Druckumgebung wirklich abgesichert?

15 Minuten. Kostenlos. Wir prüfen mit Ihnen die häufigsten Lücken — ehrlich und ohne Vertriebsdruck.

Erstgespräch buchen →

Ihr nächster Schritt

Sie wissen nicht, wie sicher Ihre Drucker konfiguriert sind? Oder Sie haben gerade gemerkt, dass Standardpasswörter noch aktiv sind? Sprechen Sie mit uns. Wir prüfen pragmatisch, härten gemeinsam mit Ihnen — und zeigen, was als Managed Print sinnvoll ist.

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Logistik
IT-Betreuung Spedition Hamburg – Vom Ein-Mann-Risiko zur stabilen Struktur
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Unverbindlich anfragen Oder Termin buchen

Häufig gestellte Fragen

Ja — und zunehmend. Das BSI weist explizit darauf hin, dass Drucker und MFPs eigenständige IT-Systeme sind, die regelmäßig Updates und Härtung brauchen. Wir finden bei Audits in Hamburger KMU regelmäßig Drucker mit Standardpasswort 'admin/admin', offenen Web-Interfaces im Internet und nicht gepatchter Firmware. Genau diese Geräte werden in Massen-Scans gefunden.

Drei Sofortmaßnahmen: 1) Standardpasswort am Drucker-Web-Interface ändern, 2) Drucker aus dem Gäste-WLAN nehmen und ins interne Netz verlagern, 3) Firmware auf den aktuellen Stand bringen. Das schließt 80 % der typischen Drucker-Schwachstellen in 60 Minuten.

Klassische Wege: kompromittiertes Web-Interface (Standardpasswort), offene SNMP-Community-Strings, gespeicherte Druckaufträge auf der Festplatte, eingeschleuste Malware über USB-Anschlüsse, Pass-the-Hash-Angriffe über Active-Directory-Anbindung. Ein Drucker im Active Directory ist ein vollwertiger Angriffsvektor.

Nein, MFA ist am Drucker selbst nicht praktikabel. Aber: Drucker-Administratoren müssen über zentrale Identity-Provider (Entra ID) mit MFA arbeiten. Für die Druckfreigabe nutzen wir Pull-Printing mit Badge oder PIN — auch das eine Form der Zwei-Faktor-Authentifizierung.

Pull-Printing speichert den Druckauftrag im System, statt ihn sofort auszugeben. Erst wenn sich der Mitarbeiter am Drucker mit Badge oder PIN identifiziert, wird gedruckt. Verhindert vergessene Ausdrucke im Drucker, schützt vor unbefugter Einsicht und ist DSGVO-Best-Practice — gerade bei Steuerkanzleien, Kanzleien und Arztpraxen.

Mindestens quartalsweise prüfen, kritische Sicherheitsupdates sofort einspielen. Hersteller wie HP, Lexmark, Canon, Xerox veröffentlichen mehrmals pro Jahr Patches. In unserem Managed Print Service ist das automatisiert.

Niemals. Drucker gehören in ein eigenes Netzwerk-Segment (VLAN), das vom Client-Netzwerk isoliert ist. Gäste-WLAN ist tabu — wer dort einen Drucker findet, hat einen direkten Brückenkopf in Ihre interne IT.

Bei hagel IT typischerweise 8–18 € pro Drucker und Monat — abhängig von Modell und Druckvolumen. Inklusive Firmware-Updates, Toner-Management, Pull-Printing, Reporting. Vergleicht man die Kosten eines Datenpannenfalls (BSI: durchschnittlich >100.000 € für KMU), rechnet sich der Schritt sofort.

Das könnte Sie auch interessieren

IT-Sicherheit

Externer Datenschutzbeauftragter Hamburg: Die 10 besten Anbieter 2026 (ehrlicher Vergleich)
IT-Sicherheit

IT-Sicherheitsprüfung für den Mittelstand: So läuft ein Audit, das wirklich Schwachstellen findet
IT-Sicherheit

Disaster Recovery Plan: So schützen Sie Ihr Unternehmen vor dem Totalausfall