PrintNightmare · CVE-2021-34527 · von Buzzard AI

Wie der Windows-Druckdienst zum Generalschlüssel wird — und der eine Fix.

PrintNightmare verstehen, ohne Fachchinesisch: warum eine harmlose Druckfunktion zum Einfallstor wird — und welcher eine Fix die Kette unterbricht. Rein defensiv, kein Angriffs-Tutorial.

Rein defensiv · der eine Fix, keine Anleitung zum Angriff Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe
Was wirklich passiert

Vom Druckserver bis zur vollen Kontrolle.

PrintNightmare ist selten das Ziel — es ist der erste Schritt. Der Druckdienst läuft mit hohen Rechten, und genau die erbt ein Angreifer. So wird aus einem vergessenen Druckserver eine Kette bis zum Generalschlüssel. Tippen Sie auf einen Schritt, um den Fix zu sehen.

Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz

🖨️
Druck-Server
PRINT-01 · 10.10.10.50
PrintNightmare · CVE-2021-34527
✅ Fix: Microsoft-Sicherheitsupdate ab 06.07.2021 einspielen und den Druckspooler auf Servern deaktivieren, wo er nicht gebraucht wird — schon hier reißt die Kette.
💻
Höchste Rechte am Gerät
SYSTEM auf PRINT-01
Rechteübernahme
✅ Fix: Per Gruppenrichtlinie verbieten, dass Geräte eigenmächtig Druckertreiber von außen installieren — dem Druckdienst fehlt der Hebel.
🔑
Ausbreitung im Netz
svc_sql · weitere Server
Lateral Movement
✅ Fix: Netz segmentieren, eindeutige lokale Admin-Passwörter und eingeschränkte Service-Konten — der Sprung von Gerät zu Gerät stockt.
👑
Volle Kontrolle
Domain-Admin · DC01
Game Over
✅ Wäre einer der Schritte davor geschlossen — vor allem der Druckdienst — käme der Angreifer hier nie an.
Vom kleinen Drucker bis zur vollen Kontrolle — ein einziger Fix unterbricht die Kette. TULPAR sagt Ihnen, welcher Druckserver bei Ihnen offen ist.
Das Problem

Eine Lücke von 2021 — und doch noch offen.

🖨️

Der Druckdienst läuft fast überall

Der Print Spooler steckt auf nahezu jedem Windows-Rechner und -Server und läuft mit hohen Rechten. Genau das macht ihn zum lohnenden Ziel, wenn er nicht abgesichert ist.

📦

Vergessene Geräte bleiben ungepatcht

Microsoft brachte den Notfall-Patch ab dem 06.07.2021, CISA warnte schon Ende Juni 2021. Doch ein alter Server in der Ecke, der das Update nie bekam, reicht als Einstieg.

⏱️

Und meist zu spät bemerkt

Die offene Lücke fällt erst auf, wenn schon jemand drin war. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — oft über genau solche Altlasten.

Der eine Fix

So unterbricht ein Fix die Kette.

Gegen PrintNightmare gibt es keinen Zauberknopf, aber einen klaren Maßnahmen-Block — rein defensiv, in Ihrem eigenen Netz. Der wichtigste Schritt allein schließt oft schon den gefährlichsten Pfad.

  • Sicherheitsupdate einspielen. Der außerplanmäßige Microsoft-Patch ab dem 06.07.2021 ist die Grundlage — überall.
  • Druckspooler abschalten. Wo nicht gedruckt wird — vor allem auf Domänencontrollern und reinen Servern — bleibt der Dienst aus.
  • Per Gruppenrichtlinie absichern. Geräte dürfen keine Druckertreiber eigenmächtig von außen installieren.
So finden Sie verwundbare Server

In drei Schritten zum Lagebild.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Druckdienst aufspüren

🟢 Nur ansehen (empfohlen): Wo läuft der Spooler offen und ungepatcht? Aktiver Test nur mit Ihrer Freigabe.

3

Verstehen

Bericht mit Schulnote, Ampel und Klartext — welcher Server zuerst dran ist.

5Mangelhaft
Sicherheits-Zeugnis
Beispiel-Auswertung · Netzwerk „Musterfirma GmbH"
Druck-Server mit PrintNightmare-Lücke (CVE-2021-34527)kritisch
Druckdienst auf Domänencontroller aktivkritisch
Juli-2021-Update auf 2 Geräten fehltmittel
Treiber-Installation nicht per Richtlinie gesperrtmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Druckspooler auf dem Domänencontroller abschalten und den Juli-2021-Patch nachziehen — schließt allein den gefährlichsten Angriffspfad. Illustratives Beispiel.
Warum TULPAR

Sicherheit, die man versteht.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Genau benannt, welcher Druckserver bei Ihnen das Risiko trägt.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.

⚖️

Nachweise unterstützt

Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Weiterlesen

Wie der Angriffspfad weitergeht — und wo Sie ansetzen.

PrintNightmare ist meist nur der erste Schritt. Diese Seiten erklären die nächsten Glieder der Kette rein defensiv — und zeigen, wie Sie sich schützen.

Übergeordnet: Active Directory absichern für KMU →

Preis

Erst sehen, wo Sie stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Findet offene Druckdienste & PrintNightmare-Risiko im eigenen Netz
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Klartext-Bericht mit Schulnote, Ampel und Maßnahmen-Reihenfolge
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zu PrintNightmare.

PrintNightmare ist eine schwere Sicherheitslücke im Windows-Druckdienst, dem sogenannten Print Spooler — also genau dem Programm, das auf fast jedem Windows-Rechner und -Server im Hintergrund läuft, damit Drucken funktioniert. Microsoft hat die Lücke als CVE-2021-34527 geführt. Das Tückische: Aus einer völlig harmlos wirkenden Funktion wird ein Generalschlüssel. Ein Angreifer, der schon irgendwo im Netz Fuß gefasst hat, kann über den Druckdienst die höchsten Rechte auf dem Gerät bekommen und sich von dort weiter ausbreiten. Genau deshalb ist es so wichtig zu wissen, welche Ihrer Geräte den Druckdienst noch ungeschützt betreiben.

Der Druckdienst läuft mit sehr hohen Rechten, weil er Druckertreiber installieren darf — das ist eine ganz normale, erlaubte Funktion. PrintNightmare missbraucht genau diese erlaubte Funktion: Ein Angreifer bringt das System dazu, beim Drucken etwas auszuführen, das es nicht ausführen sollte, und erbt dabei die hohen Rechte des Druckdienstes (in der Fachsprache SYSTEM). Aus einem unscheinbaren Druckserver wird so ein Sprungbrett mit Vollzugriff auf das Gerät. Wir beschreiben das hier bewusst nur auf der Ebene des Prinzips, nicht als Anleitung — wichtig ist allein: Wo der Druckdienst offen und ungepatcht läuft, ist das Risiko real.

Es gibt nicht einen einzelnen Zauberknopf, aber einen klaren Maßnahmen-Block, der die Lücke schließt. Erstens: das Microsoft-Sicherheitsupdate einspielen, das ab dem 6. Juli 2021 außerplanmäßig veröffentlicht wurde und PrintNightmare adressiert. Zweitens: den Druckspooler überall dort komplett deaktivieren, wo nicht gedruckt werden muss — vor allem auf Domänencontrollern und reinen Servern. Drittens: per Gruppenrichtlinie festlegen, dass Geräte nicht eigenmächtig Druckertreiber von außen installieren. Schon das Deaktivieren des Spoolers auf einem zentralen Server kann den gefährlichsten Pfad allein unterbrechen.

Updates sind der wichtigste Baustein und sollten zuerst kommen — der außerplanmäßige Microsoft-Patch ab dem 6. Juli 2021 ist die Grundlage. Aber in der Praxis bleiben oft Geräte übrig, die das Update nie bekommen haben: ein alter Server in der Ecke, ein Gerät, das beim Patchen offline war, ein System, das niemand mehr auf dem Schirm hat. Genau diese vergessenen Geräte sind das Problem. Deshalb gehört zur Absicherung nicht nur das Einspielen, sondern auch das Nachprüfen: Läuft der Druckdienst irgendwo noch offen und ungepatcht? TULPAR macht genau das sichtbar.

TULPAR schaut sich Ihr eigenes Netzwerk als autorisierte Selbstprüfung an und erkennt, auf welchen Geräten der Druckdienst läuft und ob sie den bekannten Schutz haben. Standardmäßig läuft das im Modus „nur ansehen“ (read-only) — es wird nichts ausgenutzt und nichts angegriffen. Das Ergebnis ist eine verständliche Liste: Hier läuft der Druckdienst offen, dieser Server ist besonders kritisch, das ist Ihre wichtigste Maßnahme. Erst wenn Sie es ausdrücklich freigeben, wird in Ihrem eigenen Netz bestätigt, ob ein Gerät tatsächlich angreifbar ist.

Die Lücke wurde 2021 bekannt, Microsoft veröffentlichte den Notfall-Patch ab dem 6. Juli 2021 und die US-Behörde CISA warnte bereits Ende Juni 2021. Trotzdem ist sie in vielen Netzen bis heute nicht überall geschlossen — weil einzelne Geräte nie aktualisiert wurden oder der Druckdienst aus Bequemlichkeit überall an blieb. Alte, bekannte Lücken auf vergessenen Geräten gehören zu den häufigsten Einfallstoren überhaupt. Laut BSI-Lagebericht 2025 treffen rund 80 % der angezeigten Cyberangriffe kleine und mittlere Unternehmen — oft über genau solche Altlasten.

Ein offener Druckdienst ist selten das eigentliche Ziel — er ist das Sprungbrett. Über die hohen Rechte breitet sich ein Angreifer im Netz aus, und am Ende steht oft Ransomware mit Betriebsstillstand. Das BSI nennt Ransomware weiterhin die größte Bedrohung für Unternehmen, und nur rund 18 % der kleinen Unternehmen haben überhaupt einen Notfallplan. Hinzu kommt: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft, und Cyberversicherer verlangen heute belegtes Patch-Management und regelmäßige Schwachstellenprüfungen. Eine ungeschlossene Druckdienst-Lücke ist damit nicht nur ein technisches, sondern auch ein dokumentarisches Risiko.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks, kein Angriffswerkzeug. Standardmäßig wird nur angesehen (read-only): TULPAR erkennt, wo der Druckdienst läuft und ungeschützt sein könnte, ohne die Lücke wirklich auszunutzen. Ein aktiver Test, der eine Schwachstelle in Ihrem eigenen Netz bestätigt, erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe. Es wird nichts angegriffen, was Sie nicht freigeben — und niemals ein fremdes Netz.

Diese Seite erklärt PrintNightmare (CVE-2021-34527) rein defensiv — sie beschreibt das Prinzip und den Schutz, nicht die Durchführung eines Angriffs. TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Läuft bei Ihnen noch irgendwo ein offener Druckdienst?

Finden wir es gemeinsam heraus. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie TULPAR verwundbare Druckserver erkennt — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp