Fernwartung und Compliance

Ratgeber - Remote-Control-Lösungen sicher einsetzen

Remote-Control-Lösungen zur Überwachung und Wartung von IT-Systemen sind hilfreich und sparen Geld. Sie bergen aber auch viele Sicherheitsrisiken für die IT. Um Remote-Control-Systeme in einem Unternehmen sicher einzusetzen, müssen sie deshalb definierte Compliance-Richtlinien erfüllen.

Durch die Verwendung von Remote-Control-Techniken lassen sich heutzutage Tausende von Clients und Server unabhängig von Betriebssystem und Endgerätetyp aus der Ferne überwachen, inventarisieren und auch warten. Dieser Vorgang spart zeitaufwendige und kostspielige Reisen und vermeidet hohe Personalkosten, da das Know-how immer an Ort und Stelle ist und sich remote einwählen kann. Doch welche Lösungen sind sicher und lassen sich mit den Unternehmensregeln vereinbaren? Und wie schaut es mit Kriterien wie Performance oder dem Einsatz in heterogenen IT-Landschaften aus?

Wenn Unternehmen ISO 27001, HIPAA, PCI, SOX oder den künftigen Basel-III-Kriterien unterliegen, müssen sie ganz besonders auf die Umsetzung der Informationssicherheit achten. Compliance, also die Einhaltung von Gesetzen und Richtlinien, ist hier das Stichwort. Doch auch die Umsetzung eines technischen Regelwerks sowie die Dokumentation von Sicherheitsregeln, die Revisionssicherheit und auch Nachhaltigkeit zählen zu den Compliance-Richtlinien. Um compliant zu sein, sollten Verantwortliche daher zuerst folgende Fragen klären:

  • Wer darf eine Remote-Control-Lösung im Unternehmen überhaupt und zu welchem Zweck einsetzen?

  • Wer darf über die Remote-Lösung auf das System zugreifen?

  • Welche Aktivitäten werden innerhalb der Sessions aufgezeichnet, und wer hat Zugriff auf diese Daten?

Haben Unternehmen die Fragen für sich beantwortet, kann ein Produkt unter Berücksichtigung folgender Kriterien ausgewählt werden:

Verschlüsselung ist das A & O

Die Remote-Control-Lösung muss gewährleisten können, dass die im Produkt verwendete Sicherheit hoch und skalierbar ist. Jegliche Kommunikation sollte nur verschlüsselt stattfinden. Algorithmen zur Verschlüsselung wie AES und 256-Bit-Schlüssellängen entsprechen den gängigen Compliance-Anforderungen. Des Weiteren sollte die Authentifizierung des Controls abgesichert sein.

Dies ist zum Beispiel über das Active Directory möglich. Der Benutzer muss den Zugriff erlauben können, und vor allem darf die Session, wenn mehrere Controls gleichzeitig auf dem Client laufen, nur unter Aufsicht des lokalen Benutzers stattfinden. Zudem sollte generell der Zugriff auf Remote-Systeme nur für berechtigte Personen möglich sein und der Zugriff auch nur auf die notwendigsten Systeme beschränkt werden.

Ferner ist es ratsam, die Nutzung lediglich über entsprechende Zertifikate oder sichere Schlüssel zu ermöglichen. Darüber hinaus muss eine hohe Sicherheit bei Verbindungen über öffentliche Netze gewährleistet sein. Dies ist beispielsweise mit verschlüsselten Verbindungen möglich.