Request Demo Kostenlos Testen
Video Demo Kostenlos Testen
Request Demo Free Trial

Drucksicherheit, die bei der Architektur beginnt

Druckserver, lokale Print spooler und eingehende Firewall-Pfade sind die Angriffsvektoren beim Drucken. ezeep macht diese Komponenten nicht sicherer, sondern schafft sie ab. Cloud rendering läuft auf Microsoft Azure, ist unabhängig nach ISO 27001 und SOC 2 geprüft, Druckaufträge werden erst nach der Authentifizierung der Nutzenden am Gerät freigegeben, und nach dem Druck werden keine Dokumentendaten gespeichert. Die Lösung basiert auf ThinPrint-Technologie, der Fortune‑500-Unternehmen vertrauen.

Kostenlos TestenMit Expert:innen sprechen
cloud-based-printing-dashboard
Sicherheit

Sicherheitskontrollen für moderne Druckumgebungen

Verschlüsselung, identitätsbasierter Zugriff und auditfähige Protokollierung – in jeden Druckauftrag integriert.

Ende-zu-Ende-verschlüsselt und nur so lange wie nötig gespeichert

Dokumentendaten werden bei der Übertragung über HTTPS (TLS 1.3 unterstützt, mindestens TLS 1.2) sowie im Ruhezustand mit AES‑256 durch Azure Storage Service Encryption verschlüsselt. Nicht freigegebene Pull Printing-Druckaufträge werden nach 72 Stunden gelöscht. Freigegebene Aufträge werden gelöscht, sobald der Druck abgeschlossen ist.

Identität steuert jeden Schritt

Nutzende authentifizieren sich vor dem Drucken über deinen Identity-Provider. Der Druckerzugriff ist richtliniengesteuert, sodass Nutzende nur die Geräte sehen, für die sie berechtigt sind. Pull Printing hält jeden Druckauftrag zurück, bis sich Nutzende am Gerät authentifizieren. Niemand druckt oder holt einen Ausdruck ab, ohne sich vorher zu identifizieren.

Kein Weg hinein, kein Weg daran vorbei

Der ezeep Hub stellt nur ausgehende Verbindungen her. Keine eingehenden Firewall‑Ports. Kein Druckserver in deinem Netzwerk. Kein exponierter Print spooler auf Endgeräten. Und kein direkter Netzwerkpfad von Nutzenden zum Drucker, sodass niemand ezeep umgehen und direkt mit der Hardware kommunizieren kann. Die klassische Angriffsfläche beim Drucken entfällt.

DSGVO-konform

DSGVO und internationale Datenübermittlungen

ezeepCampus ist unser eigenständiges Campus-Add-on für Pay-to-Print Szenarien. Es verbindet ezeepezeep arbeitet nach den Grundsätzen der DSGVO, einschließlich Datenminimierung, definierter Aufbewahrungsfristen und rechtmäßiger Verarbeitung. Für Daten, die den EWR, das Vereinigte Königreich oder die Schweiz verlassen, ist ezeep Inc. im Rahmen des EU–U.S. Data Privacy Framework, des Swiss–U.S. Data Privacy Framework und des UK Data Privacy Framework selbstzertifiziert, wobei Standardvertragsklauseln als Rückfallmechanismus dienen. Die ThinPrint GmbH (Berlin) ist die verantwortliche Stelle für Kund:innen aus dem EWR, dem Vereinigten Königreich und der Schweiz; ezeep Inc. (Denver) ist die verantwortliche Stelle für alle anderen Regionen. 

Datenschutzbeauftragte:n kontaktieren
ezeepCampus
Sicherheit

Nachweisbare Compliance

Vertragsbedingungen und Governance-Kontrollen für deinen Sicherheitsfragebogen.

Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag (AVV) ist Teil der Standardvertragsbedingungen und umfasst technische und organisatorische Maßnahmen, Meldepflichten bei Datenschutzverletzungen, Verpflichtungen von Unterauftragsverarbeiter:innen sowie Standardvertragsklauseln (SCCs) für internationale Datenübermittlungen. AVV und Datenschutzerklärung sind veröffentlicht unter ezeep.com/legal.
Auftragsverarbeitungsvertrag

ISO/IEC 27001

ezeep betreibt ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001. Die Zertifizierung durch eine akkreditierte Stelle ist in Vorbereitung; Umfang und Zertifikatdetails werden hier nach Ausstellung veröffentlicht. In der Zwischenzeit ist die Microsoft Azure‑Plattform, auf der ezeep betrieben wird, bereits unabhängig nach ISO 27001 und SOC 2 auditiert und erfüllt die Anforderungen der DSGVO.
ISO/IEC 27001

Security-Governance

Der Zugriff auf Produktionsumgebungen ist rollenbasiert und folgt dem Least-Privilege-Prinzip. Produktions- und Nicht-Produktionsumgebungen sind voneinander getrennt. Protokollierung und Überwachung sind auf der Azure‑Plattform zentralisiert. Verfahren zur Vorfallreaktion sind dokumentiert und werden regelmäßig geübt.
Security-Governance

Dokumenteninhalte werden nicht zum Training von KI-Modellen verwendet.

Inhalte aus Kundendokumenten werden nicht zum Trainieren von KI- oder Machine-Learning‑Modellen verwendet und auch nicht für Produktanalysen wiederverwendet. Operative Telemetriedaten, wie Fehlerraten und Leistungsdaten des Dienstes, dienen der Überwachung der Zuverlässigkeit und der Verbesserung des Produkts.
Dokumenteninhalte werden nicht zum Training von KI-Modellen verwendet.
Unterauftragsverarbeiter

Unterauftragsverarbeiter für ezeep

ezeep greift zur Bereitstellung des Dienstes auf eine kurze, gepflegte Liste von Unterauftragsverarbeitern zurück:

  • Microsoft Corporation - Azure-Hosting in der Region Nordeuropa (Irland)
  • HubSpot Inc. - Website, Marketing und Kundenbeziehungsmanagement
  • Freshworks Inc. - Kundensupport (Freshdesk) und CRM (Freshworks CRM)
  • Cortado Holding AG - Muttergesellschaft von ezeep, zuständig für die gruppenweite Geschäftsverwaltung

Änderungen werden Kund:innen vor ihrem Inkrafttreten gemäß dem AVV (Auftragsverarbeitungsvertrag) mitgeteilt.

ezeep-campus
Sicherheit & Compliance

Unser Ansatz für Drucksicherheit

ezeep ist dafür gebaut, das Drucken in deinem Unternehmen sicher zu machen.

Einblick ohne Risiko

Jeder Druckauftrag erzeugt einen Prüfprotokolleintrag mit folgenden Angaben: Nutzende, Drucker, Dokumentname, Seitenzahl, Zeitstempel und Ergebnis. Diese Einträge sind in der ezeep Console zur Überprüfung, zum Export und fürs Reporting verfügbar. Die Protokolle erfassen Metadaten, keine Inhalte. Dokumentname und Routing‑Details werden aufgezeichnet – das Dokument selbst jedoch nie. Compliance‑Teams erhalten so die notwendige Transparenz, und der Audit‑Trail wird nie zu einer Quelle, aus der sensible Inhalte entweichen könnten.

Was das Endgerät nicht enthält

Der ezeep‑Client installiert einen einzigen virtuellen Treiber. Nutzende können damit auf jedem Drucker drucken, auf den sie Zugriff haben – unabhängig von Marke oder Modell. Es gibt keine Treiberpakete pro Drucker, keine auf der Festplatte wartenden Spool‑Dateien und keine zwischengespeicherten Dokumente, die bereinigt werden müssten. Sobald eine Anwendung den Druckauftrag an ezeep übergibt, wird das Dokument in die Cloud verschoben und das Endgerät ist damit fertig. Ein verlorenes oder kompromittiertes Gerät enthält das Dokument nicht, weil es sich nie darauf befunden hat.

Kein angreifbarer Print Spooler

Windows‑Administrator:innen erinnern sich an PrintNightmare (CVE‑2021‑34527). Den meisten ist nicht bewusst, dass seit 2021 über fünfzig weitere Schwachstellen im Print Spooler bekannt geworden sind. Das ist kein Zufall. Der Windows Print Spooler läuft als SYSTEM, akzeptiert Remote Procedure Calls und lädt bei der Installation Treibercode von Drittanbietern. Ein Dienst mit diesem Profil lässt sich zwar patchen, aber nicht vollständig sicher machen. ezeep entfernt ihn. Kein Print Spooler auf dem Endgerät, kein Druckserver im Netzwerk, kein zu installierender Treiber. Die gesamte Angriffs­klasse ist damit eliminiert, nicht nur der einzelne Bug.

Kein angreifbarer Herstellertreiber

Druckertreiber werden mit Sicherheitslücken ausgeliefert. Canon hat Anfang 2025 die Schwachstelle CVE‑2025‑1268 offengelegt, und ähnliche Hinweise anderer Druckerhersteller erscheinen regelmäßig. Das Muster bleibt bestehen, weil die Architektur gleich bleibt: Jeder Hersteller liefert eigenen Treibercode, der mit erhöhten Rechten auf jedem Endgerät läuft, das auf das Gerät drucken will. ezeep entfernt diese Ebene. Ein einzelner virtueller Treiber übergibt Druckaufträge an die Cloud, wo das Rendering für den Zieldrucker stattfindet. Das Endgerät installiert nie einen herstellerspezifischen Druckertreiber, und CVEs in Herstellertreibern sind nicht länger dein Problem.

Häufig gestellte Fragen

Wie schützt ezeep Druckdaten während der Übertragung und im Ruhezustand?

Druckdaten werden während der Übertragung über HTTPS verschlüsselt, wobei TLS 1.3 unterstützt und TLS 1.2 als Mindestversion über alle öffentlichen Endpunkte hinweg durchgesetzt wird. Im Ruhezustand werden die Daten mittels Microsoft Azure Storage Service Encryption mit AES-256 verschlüsselt; die Schlüsselverwaltung erfolgt über die Azure‑Plattform unter unabhängig geprüften Kontrollen. Beide Schutzmaßnahmen gelten für jeden Druckauftrag während seines gesamten Lebenszyklus in der ezeep Cloud.

Wie authentifiziert ezeep Nutzer:innen, steuert den Druckerzugriff und schützt das Netzwerk?

Nutzer:innen authentifizieren sich vor dem Drucken über den Identitätsanbieter ihres Unternehmens — entweder Microsoft Entra ID oder Google Workspace. Der Druckerzugriff ist richtliniengesteuert, sodass Nutzer:innen nur die Drucker sehen, für die sie berechtigt sind. Pull Printing verifiziert Nutzer:innen am Gerät erneut per QR code oder per RFID-/NFC‑Karte, bevor ein Dokument freigegeben wird. Der ezeep Hub verwendet ausschließlich ausgehende Verbindungen zur Cloud; dadurch müssen im Kundennetzwerk keine eingehenden Firewall‑Ports geöffnet werden, und es gibt keinen Druckserver oder Print spooler, der für Angreifer:innen erreichbar wäre.

Ist ezeep von PrintNightmare oder anderen Schwachstellen des Windows Print spooler betroffen?

Nein. ezeep betreibt keinen Windows Print spooler auf Endgeräten und keinen Druckserver im Kundennetzwerk, sodass die Angriffsfläche des Print spooler, die PrintNightmare (CVE-2021-34527) und mehr als fünfzig nachfolgende Print spooler‑Schwachstellen ausgenutzt haben, in einer ezeep‑Umgebung nicht existiert. Der Windows Print spooler läuft als SYSTEM, akzeptiert Remote Procedure Calls und lädt bei der Installation Code von Drittanbieter‑Treibern. ezeep entfernt diese gesamte Schicht, statt sie nur zu patchen.

Welche Compliance‑Frameworks und vertraglichen Absicherungen unterstützt ezeep?

ezeep arbeitet nach den Grundsätzen der DSGVO, einschließlich Datenminimierung, festgelegter Aufbewahrungsfristen und rechtmäßiger Verarbeitung. Für Daten, die den EWR, das Vereinigte Königreich oder die Schweiz verlassen, ist ezeep Inc. im Rahmen der EU–U.S., Swiss–U.S. und UK Data Privacy Frameworks selbstzertifiziert; als Fallback gelten Standard Contractual Clauses. Ein Data Processing Addendum, das technische und organisatorische Maßnahmen, Meldepflichten bei Datenschutzverletzungen und Verpflichtungen für Unterauftragsverarbeiter regelt, ist Teil der Standardvertragsbedingungen und zusammen mit der Datenschutzerklärung verfügbar unter ezeep.com/legal. ezeep betreibt ein Informationssicherheits‑Managementsystem (ISMS) nach ISO/IEC 27001; die Zertifizierung befindet sich in Bearbeitung. Die zugrunde liegende Microsoft Azure‑Plattform ist bereits unabhängig nach ISO 27001, SOC 2 und DSGVO geprüft.

Welche Audit‑Trails und Berichtsfunktionen bietet ezeep?

Jeder Druckauftrag erzeugt einen Audit‑Eintrag, der Nutzer:in, Drucker, Dokumentenname, Seitenzahl, Zeitstempel und Ergebnis erfasst. Die Einträge sind über die ezeep Console zur Überprüfung und für die Berichterstellung zugänglich; sie können über die ezeep API als CSV exportiert oder per Webhooks in Echtzeit an externe Systeme gestreamt werden. Audit‑Protokolle enthalten nur Metadaten — Dokumenteninhalte werden niemals darin gespeichert, sodass der Audit‑Trail selbst nicht zur Quelle für das Lecken sensibler Informationen werden kann.

Back to top

Drucksicherheit ohne den Druckserver

ezeep ersetzt die veraltete Druckinfrastruktur durch eine cloud‑native Architektur, die den Fragen von Security‑Teams in Unternehmen standhält. Fordere die Sicherheitsdokumentation an oder sprich mit dem Team, das sie entwickelt hat.

ezeep-chart (1)