Fernwartung und Compliance

Ratgeber - Remote-Control-Lösungen sicher einsetzen

Konfiguration vor Manipulation schützen

Die Verantwortlichen sollten darauf achten, den Funktionsumfang und die Sicherheitseinstellungen gegen Manipulationen abzusichern. So gibt es Lösungen, die beispielsweise die komplette Konfiguration in einer Datei beim Client ablegen und auch mehrfach gegen Manipulationen und Austausch absichern. Ebenfalls ist darauf zu achten, dass der Funktionsumfang anpassbar ist.

So sollte ein Anwender in der Regel nach seiner Erlaubnis gefragt werden, bevor ein IT-Administrator oder Servicetechniker auf sein Konto zugreifen kann. Der Zugriff auf den Server sollte hingegen ohne Zustimmung möglich sein, um die Vorteile des Remote-Zugriffs dadurch nicht zu torpedieren.

Auch sollten einzelne Funktionen, wie beispielsweise ein Dateitransfer, je nach Nutzergruppe aktiviert oder deaktiviert werden können. Es ist wichtig, den Umfang des Zugriffs nur auf das notwendige Maß der jeweiligen Aufgabe zu beschränken, um so wenige Daten wie möglich freizugeben. Die Lösung sollte letztendlich auch die Datenintegrität auf dem Zielsystem, also einen sogenannten View-Only-Modus, sicherstellen.

Vorsicht bei der Protokollwahl

Zudem muss zwischen den verschiedenen Protokollmechanismen differenziert werden, womit die Remote-Control-Zugriffe ausgeübt werden können. Hier wird danach unterschieden, wie offen oder proprietär beispielsweise die verwendeten Protokolle sind. Dieses Auswahlkriterium ist besonders wichtig, denn je nach Offenheit und Gängigkeit der verwendeten Protokolle sind die verwalteten Clients mehr oder weniger durch Schadcode und Eindringversuche gefährdet.

So müssen beispielsweise bei der Nutzung des Internet Protocol (IP) besonders sorgsame Schutzmechanismen verwendet werden, um die Lösung auch wirklich "compliant" zu gestalten. Verwendet die Lösung hingegen proprietäre Protokolle, ist sie von Grund auf sicherer. Doch wie genau unterscheiden sich die Lösungen in diesem Punkt?

Wenn eine Remote-Control-Lösung mit eigenen Protokollen (die aber durchaus auf dem TCP/IP-Protokollverbund aufsetzen können) arbeitet, kann sie in der Regel mit 256 Bit verschlüsselte Verbindungen über jeden beliebigen Port herstellen, ganz wie der Kunde es wünscht. Der Anwender hat hier zu jeder Zeit die Möglichkeit, den externen Zugriff durch Mausklick zu unterbrechen oder gänzlich zu stoppen. Ein Beispiel für diese Art von Lösungen sind die Produkte von NTRglobal oder NetSupport.

Wird von der Lösung ein VPN-Tunnel unter IPSec verwendet, also eine spezielle Appliance eingesetzt, sollte der Verkehr durch den Tunnel auf die gewünschten beziehungsweise notwendigen Ziele, Protokolle und Richtungen beschränkt werden. Allerdings kann sie herstellerunabhängig eingesetzt werden.

Wenn die Verbindung vom Remote-Control-Punkt (also beispielsweise dem Servicetechniker) zum Client geschaltet wird, sollten Unternehmen auf jeden Fall den eingehenden Verkehr auf das Allernotwendigste beschränken, um sicher zu sein, dass Compliance-Regeln nicht verletzt werden. Es ist zudem ratsam, auf dem VPN-Client des Endgeräts eine zusätzliche Firewall zu installieren und den Zugang von einer zeitlich begrenzten Freischaltung durch das Personal (Clientpersonal) abhängig zu machen, um vor Missbrauch durch den Remote-Control-Kanal zu schützen.

Manche Remote-Control-Lösungen integrieren sich auch in bestehende Firewalls und andere Sicherungsgeräte. So wird beispielsweise Netviewer über ein eigenes Verfahren abgewickelt, das auf http aufsetzt. Der Verbindungstunnel wird nur in der speziellen Applikation aufgemacht.

Es gibt auch ganz sichere Lösungen, die aber hochaufwendig sind. Bei der Lösung von GeNUA steht im Grenznetz (DMZ) beispielsweise ein sogenannter Rendezvous-Server. Auf diesen kann von außen zugegriffen werden. Gleichzeitig kann vom Client über SSH von innen aus dem Unternehmensnetz ein Tunnel zum Rendezvous-Server aufgebaut werden.