Ein über OctoPrint im Netz frei zugänglicher 3D-Drucker (Bild: Internet Storm Center)

Tausende OctoPrint-Installationen sind frei im Netz erreichbar und geben jedem Besucher Zugang zu angeschlossenen 3D-Druckern.

OctoPrint ist ein Web-Interface für 3D-Drucker. Die Software wird in der Regel auf einem Raspberry Pi installiert und ermöglicht es dem Anwender, einen angeschlossenen 3D-Drucker aus seinem lokalen Netz zu beobachten und zu steuern. Wie das Internet Storm Center (ISC) des SANS-Institutes in den USA nun berichtet, finden sich mehrere tausend OctoPrint-Installationen öffentlich im Netz, die Unbefugten vollen Zugriff auf angeschlossene 3D-Drucker erlauben. Deren Besitzer haben OctoPrint anscheinend selbst so konfiguriert, um von außen Zugriff auf ihren Drucker zu erhalten. Sie scheinen sich nicht des erheblichen Sicherheitsrisikos bewusst zu sein, das sie eingehen.

Wie das ISC berichtet, habe man 3759 öffentlich erreichbare OctoPrint-Installationen entdeckt; 357 dieser OctoPrint-Server befinden sich in Deutschland. Unbefugte können die angeschlossenen Drucker überwachen und Druckaufträge manipulieren oder beenden. Außerdem können die auf dem Server gespeicherten G-Code-Dateien heruntergeladen oder verändert werden. Dabei handelt es sich um die 3D-Objekte, die auf dem Drucker gedruckt werden sollen oder in der Vergangenheit gedruckt wurden.

Theoretisch könnten Angreifer über diesen Zugang proprietäre Designs finden und stehlen. Ist an den OctoPrint-Server eine Webcam angeschlossen können die Angreifer den Drucker sogar bei der Arbeit beobachten – oder eventuell die Umgebung des Gerätes ausspionieren. Sie könnten allerdings auch versuchen, den Drucker mit einem eigenen Druckauftrag so zu erhitzen, dass er Feuer fängt.

"Viele Nutzer da draußen sind sich der Risiken nicht bewusst"

Im Gespräch mit heise online zeigte sich OctoPrint-Entwicklungschefin Gina Häußge nicht besonders überrascht, dass tausende 3D-Drucker über ihre Open-Source-Software im Netz frei zugänglich sind. "Ich habe, seit ich das Projekt Ende 2012 gestartet habe, immer wieder deutlich davor gewarnt, Instanzen direkt in das öffentliche Internet zu stellen. Unsere FAQ Eintrag enthält auch einen entsprechenden Warnhinweis."

Häußge nimmt das Problem trotzdem nicht auf die leichte Schulter. "Es macht mich betroffen, wie viele User allen Warnhinweisen und Best Practices zum Trotz ihre Instanzen in Gefahr bringen. Leider hört man selbst nach dem ISC-Report noch vielerorts zweifelnde Kommentare, die in Frage stellen, dass es wirklich so eine schlechte Idee ist und man ja nichts zu verbergen hätte", sagte sie uns in einer E-Mail.

Dass die Drucker im Netz erreichbar sind, ist nicht die Schuld der OctoPrint-Entwickler. Häußge weist darauf hin, dass OctoPrint nicht selbstständig versucht, eine Verbindung ins öffentliche Netz herzustellen. Der Anwender selbst muss demnach die Firewall seines Routers selbst so konfigurieren, dass der OctoPrint-Server von außen erreichbar ist. Viele Nutzer tun dies anscheinend aus Bequemlichkeit und scheren sich wenig über die weitreichenden Konsequenzen, die das haben könnte.

Unter anderem warnt der ISC-Bericht davor, dass Angreifer manipulierte Druckaufträge hochladen könnte, die darauf zielen, die Temperatur des Druckers so weit in die Höhe zu treiben, dass dieser Feuer fängt – eine Möglichkeit, die auch Häußge nicht ausschließt. Ihr Fazit: "Viele Nutzer da draußen sind sich der Risiken nicht bewusst."

"OctoPrint gehört nicht ins öffentliche Internet"

Obwohl das Dilemma nicht ihre Schuld ist, wollen die OctoPrint-Entwickler weiter nach Möglichkeiten suchen, ihre Nutzer darüber aufzuklären, wie gefährlich es ist, ihre 3D-Drucker ins öffentliche Netz zu stellen. Ein kommendes Update soll zum Beispiel eine Warnmeldung anzeigen, wenn der Nutzer sich mit einer IP-Adresse anmeldet, die nicht aus dem lokalen Netz des OctoPrint-Servers stammt. Häußge erwartet, dass diese Funktion einige fehlerhafte Warnungen auslöst, sieht aber keine andere Möglichkeit Nutzer zu erreichen, die sich hartnäckig weigern, die Dokumentation des Open-Source-Projektes zu diesem Thema zu Rate zu ziehen. Der Installations-Assistent der Software warnt nun ebenfalls an mehreren Stellen vor den Gefahren.

Weitere Zugriffsbeschränkungen für einzelne Funktionen des Servers einzubauen, sei schwierig, so Häußge. So bette OctoPrint zum Beispiel die Webcam-Anzeige nur ein, könne diese Hardware aber nicht kontrollieren. Man überlege aber trotzdem weiter, wie man die Software noch sicherer machen könne, so die Projektchefin. Ein Blog-Eintrag auf der Projektwebseite gibt außerdem Tipps, wie man sicher von außen auf die Software zugreifen kann. Im Grunde sei OctoPrint allerdings "identisch zu jedem anderen (2D-) Druckserver, den man sich sonst so ins LAN stellt – sei es nun ein CUPS oder ein Out-of-the-Box netzwerkfähiger Drucker", so Häußge. Deshalb gehöre die Software "genauso wenig wie ein beliebiger Papierdrucker, eine Heimautomatisierungslösung oder der heimische Fileserver für jeden öffentlich zugänglich ins Internet." (fab)