PrintNightmare verstehen, ohne Fachchinesisch: warum eine harmlose Druckfunktion zum Einfallstor wird — und welcher eine Fix die Kette unterbricht. Rein defensiv, kein Angriffs-Tutorial.
PrintNightmare ist selten das Ziel — es ist der erste Schritt. Der Druckdienst läuft mit hohen Rechten, und genau die erbt ein Angreifer. So wird aus einem vergessenen Druckserver eine Kette bis zum Generalschlüssel. Tippen Sie auf einen Schritt, um den Fix zu sehen.
Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz
Der Print Spooler steckt auf nahezu jedem Windows-Rechner und -Server und läuft mit hohen Rechten. Genau das macht ihn zum lohnenden Ziel, wenn er nicht abgesichert ist.
Microsoft brachte den Notfall-Patch ab dem 06.07.2021, CISA warnte schon Ende Juni 2021. Doch ein alter Server in der Ecke, der das Update nie bekam, reicht als Einstieg.
Die offene Lücke fällt erst auf, wenn schon jemand drin war. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — oft über genau solche Altlasten.
Gegen PrintNightmare gibt es keinen Zauberknopf, aber einen klaren Maßnahmen-Block — rein defensiv, in Ihrem eigenen Netz. Der wichtigste Schritt allein schließt oft schon den gefährlichsten Pfad.
TULPAR im Netzwerk einrichten — startklar in Minuten.
🟢 Nur ansehen (empfohlen): Wo läuft der Spooler offen und ungepatcht? Aktiver Test nur mit Ihrer Freigabe.
Bericht mit Schulnote, Ampel und Klartext — welcher Server zuerst dran ist.
Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Genau benannt, welcher Druckserver bei Ihnen das Risiko trägt.
Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.
Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
PrintNightmare ist meist nur der erste Schritt. Diese Seiten erklären die nächsten Glieder der Kette rein defensiv — und zeigen, wie Sie sich schützen.
Übergeordnet: Active Directory absichern für KMU →
PrintNightmare ist eine schwere Sicherheitslücke im Windows-Druckdienst, dem sogenannten Print Spooler — also genau dem Programm, das auf fast jedem Windows-Rechner und -Server im Hintergrund läuft, damit Drucken funktioniert. Microsoft hat die Lücke als CVE-2021-34527 geführt. Das Tückische: Aus einer völlig harmlos wirkenden Funktion wird ein Generalschlüssel. Ein Angreifer, der schon irgendwo im Netz Fuß gefasst hat, kann über den Druckdienst die höchsten Rechte auf dem Gerät bekommen und sich von dort weiter ausbreiten. Genau deshalb ist es so wichtig zu wissen, welche Ihrer Geräte den Druckdienst noch ungeschützt betreiben.
Der Druckdienst läuft mit sehr hohen Rechten, weil er Druckertreiber installieren darf — das ist eine ganz normale, erlaubte Funktion. PrintNightmare missbraucht genau diese erlaubte Funktion: Ein Angreifer bringt das System dazu, beim Drucken etwas auszuführen, das es nicht ausführen sollte, und erbt dabei die hohen Rechte des Druckdienstes (in der Fachsprache SYSTEM). Aus einem unscheinbaren Druckserver wird so ein Sprungbrett mit Vollzugriff auf das Gerät. Wir beschreiben das hier bewusst nur auf der Ebene des Prinzips, nicht als Anleitung — wichtig ist allein: Wo der Druckdienst offen und ungepatcht läuft, ist das Risiko real.
Es gibt nicht einen einzelnen Zauberknopf, aber einen klaren Maßnahmen-Block, der die Lücke schließt. Erstens: das Microsoft-Sicherheitsupdate einspielen, das ab dem 6. Juli 2021 außerplanmäßig veröffentlicht wurde und PrintNightmare adressiert. Zweitens: den Druckspooler überall dort komplett deaktivieren, wo nicht gedruckt werden muss — vor allem auf Domänencontrollern und reinen Servern. Drittens: per Gruppenrichtlinie festlegen, dass Geräte nicht eigenmächtig Druckertreiber von außen installieren. Schon das Deaktivieren des Spoolers auf einem zentralen Server kann den gefährlichsten Pfad allein unterbrechen.
Updates sind der wichtigste Baustein und sollten zuerst kommen — der außerplanmäßige Microsoft-Patch ab dem 6. Juli 2021 ist die Grundlage. Aber in der Praxis bleiben oft Geräte übrig, die das Update nie bekommen haben: ein alter Server in der Ecke, ein Gerät, das beim Patchen offline war, ein System, das niemand mehr auf dem Schirm hat. Genau diese vergessenen Geräte sind das Problem. Deshalb gehört zur Absicherung nicht nur das Einspielen, sondern auch das Nachprüfen: Läuft der Druckdienst irgendwo noch offen und ungepatcht? TULPAR macht genau das sichtbar.
TULPAR schaut sich Ihr eigenes Netzwerk als autorisierte Selbstprüfung an und erkennt, auf welchen Geräten der Druckdienst läuft und ob sie den bekannten Schutz haben. Standardmäßig läuft das im Modus „nur ansehen“ (read-only) — es wird nichts ausgenutzt und nichts angegriffen. Das Ergebnis ist eine verständliche Liste: Hier läuft der Druckdienst offen, dieser Server ist besonders kritisch, das ist Ihre wichtigste Maßnahme. Erst wenn Sie es ausdrücklich freigeben, wird in Ihrem eigenen Netz bestätigt, ob ein Gerät tatsächlich angreifbar ist.
Die Lücke wurde 2021 bekannt, Microsoft veröffentlichte den Notfall-Patch ab dem 6. Juli 2021 und die US-Behörde CISA warnte bereits Ende Juni 2021. Trotzdem ist sie in vielen Netzen bis heute nicht überall geschlossen — weil einzelne Geräte nie aktualisiert wurden oder der Druckdienst aus Bequemlichkeit überall an blieb. Alte, bekannte Lücken auf vergessenen Geräten gehören zu den häufigsten Einfallstoren überhaupt. Laut BSI-Lagebericht 2025 treffen rund 80 % der angezeigten Cyberangriffe kleine und mittlere Unternehmen — oft über genau solche Altlasten.
Ein offener Druckdienst ist selten das eigentliche Ziel — er ist das Sprungbrett. Über die hohen Rechte breitet sich ein Angreifer im Netz aus, und am Ende steht oft Ransomware mit Betriebsstillstand. Das BSI nennt Ransomware weiterhin die größte Bedrohung für Unternehmen, und nur rund 18 % der kleinen Unternehmen haben überhaupt einen Notfallplan. Hinzu kommt: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft, und Cyberversicherer verlangen heute belegtes Patch-Management und regelmäßige Schwachstellenprüfungen. Eine ungeschlossene Druckdienst-Lücke ist damit nicht nur ein technisches, sondern auch ein dokumentarisches Risiko.
Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks, kein Angriffswerkzeug. Standardmäßig wird nur angesehen (read-only): TULPAR erkennt, wo der Druckdienst läuft und ungeschützt sein könnte, ohne die Lücke wirklich auszunutzen. Ein aktiver Test, der eine Schwachstelle in Ihrem eigenen Netz bestätigt, erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe. Es wird nichts angegriffen, was Sie nicht freigeben — und niemals ein fremdes Netz.
Finden wir es gemeinsam heraus. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie TULPAR verwundbare Druckserver erkennt — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.