HP: Verchipte Druckerpatronen sind Sicherheitsrisiko

HP: Verchipte Druckerpatronen sind Sicherheitsrisiko

Tintenpatronen mit Chips seien ein Sicherheitsrisiko, behauptet HP. Auf den Einsatz von Chips will HP aber nicht verzichten. Im Gegenteil.​

“Wir haben gesehen, dass man Viren in (verchipte) Druckerpatronen einbauen kann”, berichtete HP-Chef Enrique Lores im US-Fernsehen, “(Der Virus geht) von der Patrone in den Drucker, vom Drucker ins Netzwerk, sodass er viel mehr Schwierigkeiten machen kann.” In der freien Wildbahn wurde das bislang nicht beobachtet; vielmehr hat HP selbst durch die Auslobung einer Belohnung (Bug Bounty) entsprechende Laborversuche angeregt.

Tatsächlich ist es einem Forscher 2022 gelungen, in einem HP-Drucker einen Buffer Overflow zu finden und diesen durch Einsatz einer manipulierten Patrone eines anderen Herstellers auszunutzen. Diese von HP angeregten Labordemonstration nutzt der Druckerhersteller inzwischen als Argument, um bereits verkaufte HP-Drucker mittels Firmwareupdate stillzulegen, wenn der Kunde eine (häufig preisgünstigere) Druckerpatrone eines anderen Anbieters nutzen möchte. Solche Kunden möchte HP gar nicht erst haben.

Denn Kunden, die nicht genug druckten oder keine HP-Tinte respektive HP-Toner oder -Tinte kauften, seien eine “schlechte Investition für HP”, sagte der CEO beim selben Auftritt in CNBC TV. Das vorgebrachte Sicherheitsproblem ließe sich natürlich leicht lösen, in dem HP seine Druckerpatronen wieder ohne Chip verkauft. Dann bräuchten auch Patronen alternativer Anbieter keine Chips, und die Gefahr der Manipulation wäre gebannt. Das wäre sicherer, günstiger und würde den Rohstoffverbrauch senken, passt aber nicht zum Geschäftsmodell des Konzerns.

Alles von HP wird zum Abo

“Unser langfristiges Ziel ist, Drucken zu einem Abonnement(geschäft) zu machen”, verdeutlichte Lores, “Das haben wir vorangetrieben. Es reduziert die Hürden beim Drucken.” Und dazu müssen die Patronen verchipt sein. Auf die Frage, ob der Zwang des Einsatzes verchipter Tintenpatronen aus HP-Produktion nicht die Tintenkosten erhöhe, antwortete der CEO: “Ich glaube, (ja). Aber das ist das Geschäftsmodell, das über die Zeit entwickelt wurde.”

Kurz darauf fügte er hinzu: “Wir verlieren Geld bei der Hardware, wir verdienen Geld bei den Verbrauchsmitteln.” Wie viel Geld HP pro Drucker typischerweise verliert, sagt Lores nicht: “Wir legen die Einzelheiten unseres Geschäftsmodells nicht offen.”

Allerdings macht Lores kein Hehl daraus, dass er es nicht bei Drucken bewenden lassen wird: HP verschiebe sein Geschäftsmodell “nicht nur für Drucker, sondern (auch) für PCs und den Rest der Produkte, die wir herstellen” hin zu Abonnements.

Typischer Angriff: “Übernahme oder Betriebsstopp”

Ars Technica weist auf HP-Aussagen aus dem Herbst hin. “Wir können nicht garantieren, dass jede Verbindung mit einer Nicht-HP-Patrone in unseren Geräten frei von Bugs und Sicherheitslücken sein wird”, sagte Shivaun Albright, HPs Cheftechniker für Druckersicherheit, damals zu Actionable Intelligence. Das kann Albright natürlich auch für Original-HP-Patronen nicht garantieren; doch kann sie diesbezüglich auf eine Zertifikation nach ISO 20243 verweisen, die das Risiko mildern soll (“mitigate”). Diese Zertifikation hat HP für die Lieferkette für gemanagte Drucker für Großkunden (Enterprise) und passende Patronen durchlaufen.

Alternative Anbieter von Tinte oder Toner haben keine solche Zertifizierung; doch selbst wenn, würden einschlägige HP-Drucker dennoch die Zusammenarbeit versagen. HPs Digital Restriction Management schafft also keinen Anreiz für branchenweite Zertifizierungen.

Vielmehr möchte der Konzern, dass Inhaber von HP-Druckern nur HP-Patronen einsetzen, und immer die neuste Drucker-Firmware verwenden. “Typische Angriffe auf Drucker können ältere Firmware-Versionen ausnutzen und die Übernahme des Geräts ermöglichen oder dessen Betrieb anhalten”, warnte Albright. Letzteres kennen manche sparsamen Verbraucher von HP-Firmwareupdates.