HP wegen Sicherheitslücke von Druckern verklagt

Eine Klage wirft Hewlett-Packard vor, Laserjet-Drucker mit schweren Sicherheitsproblemen verkauft zu haben, obwohl es über sie informiert war. Eine Schwachstelle hätte es Hackern erlauben können, Daten zu entwenden, Netzwerke unter ihre Kontrolle zu bringen und sogar den Drucker durch Überhitzung zu beschädigen.

Die Klage wurde letzte Woche im kalifornischen San Jose eingereicht und behauptet, dass die Drucker durch eine fehlerhafte Konstruktion „äußerst anfällig für Angriffe durch Hacker“ seien. Kläger David Goldblatt aus New York erklärte, dass er zwei Drucker von HP nicht erworben hätte, sofern ihm die Probleme bekannt gewesen wären, und beantragte den Status einer Sammelklage. HP habe gegen kalifornische Gesetze zum Schutz der Verbraucher verstoßen, die betrügerische und irreführende Geschäftspraktiken untersagen.

HP Laserjet Enterprise 500 Color M551n (Bild: CBS Interactive)

„Weil die HP-Drucker über keinen Wärmeschutzschalter verfügen, können sie selbst beschädigt werden“, behauptet die Klageschrift weiter. Sie bezieht sich außerdem auf eine von HP selbst in Auftrag gegebene und im April 2010 veröffentlichte Studie mit dem Titel „Think Print, Think Security“. Sie hatte ausgeführt, dass „Daten mit verschiedenen Methoden abgefangen und an Dritte gesandt“ werden können: „Die Software einiger Drucker könnte angepasst werden, um ihnen diese Fähigkeit oder andere Funktionen wie die eines Network-Sniffers zu verleihen. Dies könnte durch das Einspielen modifizierter Software geschehen, aber auch durch das Einsetzen eines modifizierten Chips auf der Druckerplatine.“

Die Probleme wurden vor kurzem von Forschern der Columbia University in New York aufgedeckt und öffentlich gemacht. Sie entstehen durch Firmware-Updates, die sich bei älteren Modellen über das Internet vornehmen lassen, ohne dass sie durch digitale Signaturen authentifiziert werden. Nach einem Bericht von MSNBC nutzten sie die Sicherheitslücke aus, indem sie eine präparierte Software einspielten. Anschließend führten sie vor, wie eine Steuererklärung über den infizierten Computer ausgedruckt wurde – dieser leitete das Dokument an einen zweiten Computer weiter, der wiederum die enthaltene Sozialversicherungsnummer über Twitter veröffentlichte. In einer zweiten Demonstration soll es ihnen sogar gelungen sein, die Fixiereinheit des Druckers – eine Komponente, die den aufgebrachten Toner trocknen soll – so zu überhitzen, dass das Papier zu rauchen begann und sich braun verfärbte.

HP bestätigte die Probleme zwar, nannte die Darstellung der Forscher jedoch zunächst „sensationsheischend und ungenau“. Tatsächlich verhindere eine Hardwaresicherung verlässlich eine Überhitzung. In einer späteren Erklärung informierte das Unternehmen mit weiteren Einzelheiten: „Obwohl HP eine potenzielle Sicherheitslücke bei einigen Druckern seiner Modellreihe Laserjet ermittelt hat, hat noch kein Kunde von einem nicht autorisierten Zugriff berichtet. Die genannte Schwachstelle besteht bei einigen dieser Drucker, wenn sie ohne Firewall an das Internet angebunden sind. In einem internen Netzwerk könnten einige Drucker anfällig sein, wenn eine Vertrauensperson innerhalb des Netzwerk in böswilliger Weise versucht, die Firmware des Geräts zu modifizieren. In einigen Mac- und Linux-Umgebungen könnte ein korrumpierter und besonders formatierter Druckauftrag ein solches Firmware-Update auslösen.“

HP kündigte außerdem ein Firmware-Update an, das die Drucker gegen die Gefahren absichern soll, nannte aber noch keinen Termin für dessen Bereitstellung. Zur jetzt eingereichten Klage erklärte ein Sprecher gegenüber ZDNet, das Unternehmen kommentiere grundsätzlich keine anhängigen Verfahren.