Wasser nimmt den Weg des geringsten Widerstands, um ans Ziel zu kommen. Mit der Flut nicht autorisierter Hacker-Zugriffe verhält es sich ganz ähnlich. Die Ausnutzung offener Kommunikationswege ist eine der erfolgreichsten Varianten, um sich Zugang zu fremden Rechnern und Unternehmensnetzen zu verschaffen. Größte Aufmerksamkeit sollte deshalb auf den eingesetzten Remote-Management-Lösungen liegen. Die zwangsläufig weitreichenden Features zur Fernsteuerung können für besondere Gefahr sorgen.
Bequeme Zugriffs- und Kontrollmöglichkeiten auf externe Rechner bedeuten nämlich auch, dass sie beliebte Einfallstore für Hackerangriffe sind. Wie beliebt? Eine Verizon-Studie aus dem Jahr 2013 deckte auf, dass finanziell motivierte Lauschangriffe am häufigsten über Desktop-Sharing- oder Remote-Access-Dienste wie RDP (Remote Desktop Protocol) oder VNC (Virtual Network Computing) erfolgen. Höchste Zeit also, solchen Gefahren einen Riegel vorzuschieben.
Hier stellen wir sechs Maßnahmen vor, mit denen Sie berechtigte Sicherheitsbedenken beim Einsatz von Remote-Management-Technologie technisch beherrschen:
1. Architektur von Remote-Management-Tools untersuchen
Telearbeit und Mobile Computing haben das Koordinatensystem in den Unternehmen nachhaltig verändert. Konnten in der Vergangenheit noch viele Arbeitsprozesse durch "Management-by-Blickkontakt" gesteuert werden, verlangt der Markt jetzt nach flexiblen (und vor allem mobilen) Konzepten. Mitarbeiter erfüllen ihre Aufgaben nicht mehr unter einem Firmendach, sondern finden sich in verteilten Strukturen an unterschiedlichen Standorten wieder. Mit Telearbeitsplätzen, mobilen Rechnern und Home Offices setzen moderne Unternehmen unterschiedlichste Kunden- und Mitarbeiterwünsche um. Folge aus Sicherheitssicht: Die eingesetzten Systeme und Endgeräte befinden sich nicht mehr im Schutzbereich des lokalen Netzwerks.
Flexible Unternehmensstrukturen können Helpdesk-Mitarbeiter nur mit professionellen Remote-Support-Lösungen bewältigen. Zur Erfüllung ihrer Aufgaben müssen auch die Mitarbeiter am Heimarbeitsplatz trotz geografischer Ferne jederzeit auf die Server des Unternehmensnetzes zugreifen können. Benutzer haben indes nicht immer das tiefe Wissen eines IT-Experten im Unternehmen und sind darauf angewiesen, dass sich eine Fehlerbehebung und Konfiguration jederzeit per Fernzugriff durchführen lässt. Das ist auch die wirtschaftlich kostengünstigste Option.
Ältere Fernzugriffslösungen nutzen Punkt-zu-Punkt-Verfahren, um eine direkte Verbindung zwischen zwei Rechnern über das Internet aufzubauen. Diese Produkte arbeiten nicht gut mit Firewalls zusammen und verleiten Administratoren dazu, Remote-Datenverkehr durch die zentrale Firewall durchzuleiten und zusätzliche Ports nach außen zu öffnen. Diese Vorgehensweise vereinfacht zwar die Arbeit des Support-Teams, aber die Abkürzung auf dem Weg zum Anwender führt auf schwieriges Terrain. Hacker beispielsweise können nach offenen Ports scannen und so einen Weg ins Firmennetz finden.
Mitunter haben Administratoren schlichtweg vergessen, die standardmäßig festgelegten Berechtigungen für nach außen geöffnete Remote-Access-Ports zu ändern. Wenn das der Fall ist (und das ist nicht selten so), können sich Angreifer unbemerkt an der zentralen Firewall vorbeischleichen. Selbst wenn die Standard-Passwörter geändert wurden, sollten sie natürlich regelmäßig erneuert werden - und zwar durch starke Passwörter, nicht durch typische Begriffe.
Sicherheitsmaßnahme Nummer eins ist also, Standardeinstellungen und -passwörter grundsätzlich zu vermeiden. Das "Durchgangsproblem" lässt sich allerdings auch an der Wurzel packen, wenn eine Remote-Support-Lösung zum Einsatz kommt, die keine offenen Listening-Ports einsetzt. Unabhängig von der eingesetzten Lösung empfiehlt es sich in jedem Fall, die Logdateien häufiger zu durchforsten, um den Einsatz von Remote-Access-Tools zu überwachen.
2. Zuständigkeiten nachverfolgen
Ein zweites Feld, das man in puncto Sicherheit nicht aus den Augen verlieren sollte, ist das Lizenzmanagement. Servicetechniker teilen häufig Lizenzen für einfache Wartungsarbeiten, um beispielsweise Passwörter zurückzusetzen. Viele Remote-Support-Werkzeuge nutzen dafür "Named"-Lizenzen pro Arbeitsplatz, die eine Lizenz an einen ganz bestimmten User-Account binden. Häufig werden deshalb Passwörter gemeinsam genutzt und User-Namen geteilt, um Kosten zu sparen. Folge: Es lässt sich nicht mehr nachverfolgen, wer was über welche Remote-Verbindung durchgeführt hat.
Durch die gemeinschaftliche Nutzung einer Lizenz von "Techniker1", Techniker 2" und "Techniker 3" wird es bei einigen Lösungen unmöglich, die von einem Support-Mitarbeiter begleiteten Aktionen direkt zuzuordnen. Andere Remote-Access-Lösungen wiederum lassen eine gemeinsame Nutzung von Lizenzen durchaus zu, ohne die Auditierung aller Vorgänge zu vernachlässigen. Dafür verwenden sie individuelle Login-Verfahren mit eigenen Passwörtern.
Noch eleganter ist es, wenn die Support-Einwahl gleich über Identitätsverzeichnisse wie Active Directory erfolgt. Auf diese Weise steht einem zentralen Management aller Systemzugriffe der Support-Techniker nichts im Wege. Selbst bei der Übergabe von Support-Fällen an eine andere Person lassen sich diese Vorgänge über die individuellen Login-Daten präzise und lückenlos dokumentieren.
3. Systemzugriffe unter Kontrolle halten
Alles oder nichts. Viele Remote-Access-Lösungen arbeiten nach dem Schwarz-Weiß-Prinzip, haben also entweder vollen Zugriff auf jedes System im Netzwerk und jede Anwendung auf dem Rechner - oder sie haben gar keinen Zugriff. Das ist zwar bequem, birgt aber die Gefahr, dass diese Konfigurationsmöglichkeiten in den falschen Händen für den größtmöglichen Schaden sorgen können.
Sinnvoller ist es, eine Remote-Access-Lösung zu implementieren, die eine granulare Kontrolle der Zugriffsmöglichkeiten von Support-Technikern erlaubt. Anstatt einen Freifahrtschein für alle auszustellen, sollte konfigurierbar sein, welche individuellen Mitarbeiter und welche Support-Teams tagtäglich welche IT-Systeme und -Funktionen einsetzen dürfen. Ganz besonders wichtig ist eine solche Unterscheidung für Organisationen, die ihren IT-Support vollständig oder teilweise an externe Dienstleister ausgelagert haben. Einige Enterprise-Anbieter lösen dieses Problem, indem sich verschiedene Berechtigungen und eine Feineinstellung des Zugriffsniveaus einstellen lassen.
4. Alle Aktivitäten der Support-Sessions protokollieren
Zur Einhaltung von Best-Practice-Vorgaben ist es für IT-Abteilungen entscheidend, alle Änderungen auf gewarteten Rechnern auditieren zu können. Wird eine Sitzung nicht aufgezeichnet, ist das möglicherweise schon ein Indikator dafür, dass gerade eine Hacker-Attacke erfolgt. Es könnte auch sein, dass im Rahmen der Support-Sitzung unternehmensinterne Vorgaben gebrochen werden und dieser Vorgang vertuscht werden soll.
Chat-Dialoge und übertragene Dateien jeder Support-Sitzung müssen also mitgeschnitten werden und jederzeit einsehbar sein. Viele Legacy-Produkte unterstützen die Auditierung von Helpdesk-Dienstleistungen in dieser Form indes nicht. Ohne eine zwischengeschaltete Stelle gehen viele Point-to-Point-Verbindungen im Laufe des Tages (oder der Nacht) komplett unter. Es lässt sich noch nicht einmal nachweisen, dass sie stattgefunden haben. Für Angreifer von außen ist das die beste aller möglichen Rechnerwelten.
5. Support-Technologie standardisieren
Wenn Unternehmen sich für eine Remote-Support-Lösung entscheiden, ist die Hauptsache, dass sie sich für eine entscheiden - und nicht für mehrere. Zunächst einmal ist es erheblich einfacher, Fernzugriffe zu begleiten und zu protokollieren, wenn nur eine ganz bestimmte Lösung installiert ist. Denn die Standardisierung von Support-Technologien erhöht das Sicherheitsniveau. Setzt dagegen jeder Support-Techniker seine individuelle Tool-Sammlung ein, ist die Überwachung und Nachverfolgung durchgeführter Maßnahmen viel schwieriger als beim Einsatz einer einheitlichen Lösung. Probleme treten auch auf, wenn ein bestimmter Mitarbeiter die Firma verlässt, seine Kollegen aber den Support-Status nicht nachverfolgen und auch nicht über die entsprechenden Zugriffsmöglichkeiten verfügen. Oder umgekehrt gedacht: Hat der ehemalige Mitarbeiter möglicherweise noch Zugriffsrechte im Unternehmensnetz?
Je mehr Plattformen im Einsatz sind, desto komplexer sind zudem die Administrationsarbeiten - vor allem, wenn nicht alle Endgeräte (egal ob Android, iOS, Mac oder Windows) unterstützt werden. In vielen Netzwerken schlummern immer noch Remote-Support-Lösungen, die eigentlich längst hätten abgelöst werden sollen. Mir ist ein Beispiel aus dem Finanzdienstleistungssektor bekannt, wo eine Organisation vorgab, aktuell nur eine überschaubare Zahl an Remote-Support-Werkzeugen einzusetzen. In Wirklichkeit entdeckten wir eine zweistellige Zahl an verschiedenen Programmen für den Fernzugriff, von denen viele längst nicht mehr gepflegt wurden.
6. Gesamte Kommunikation verschlüsseln
Entscheidend für die Absicherung jeder Remote-Support-Lösung ist die Gewährleistung, dass alle Komponenten auf sichere Weise miteinander sowie mit der Außenwelt kommunizieren können. Um dies zu erreichen, sollte jegliche Kommunikation zwischen den Support-Mitarbeiter-Konsolen und den kundenseitigen Clients verschlüsselt werden. Auch dieser Punkt ist besonders brisant, wenn der Support über Drittanbieter läuft.
Vertrauliche Daten und persönliche Informationen in den Händen von Unbefugten sind für jedes Unternehmen ein Horrorszenario. Im Verlauf einer typischen Support-Sitzung werden nun einmal eine Vielzahl schützenswerter Daten ausgetauscht. Dazu zählen Bildschirmdaten des supporteten Benutzers, Anmeldedaten und Remote-Control-Befehle, die Support-Techniker an den Kundenrechner schicken.
Fazit
Die Aufmerksamkeit für die Sicherheitsfunktionen von Fernwartungslösungen wird künftig noch wichtiger. Unter dem Oberbegriff "Bring your own Device" (BYOD) wird der Trend zusammengefasst, dass immer mehr Anwender ihre persönlichen Mobilgeräte auch im Geschäftsbereich nutzen. Das wiederum hat erhebliche Folgen für die Support-Abteilung einer Organisation, die sowohl den Datenschutz als auch die Kontrolle und den Gesamtüberblick über alle Support-Aktivitäten behalten muss. Für Helpdesk-Systeme bedeutet das, neben Wirtschaftlichkeitskriterien auch Sicherheitsvorgaben einzuhalten, wenn neue Fernwartungsdienste für die Hard- und Softwareunterstützung von Anwendern integriert werden. (hal)