Der Bedarf an Fernwartung in Unternehmen steigt. Immer mehr vernetzte Geräte verlangen nach Wartung und Support. Dabei sollte auch immer die Sicherheit im Blick behalten werden. In diesem Beitrag zeigen wir, wie Sie bei Zugangssicherung, Authentifizierung und Datenschutz richtig handeln.
 

Einheitliche Lösung finden

In vielen Firmen scheitert ein konsequentes Management von Sicherheit und Datenschutz jedoch an der Vielzahl unterschiedlicher Tools, die in den verschiedenen Bereichen der IT-Infrastruktur für die Fernwartung zum Einsatz kommen. Die damit verbundene Unübersichtlichkeit der Zugriffsmöglichkeiten eröffnet potenziellen Angreifern Möglichkeiten. Der erste Schritt auf dem Weg zu einer sicheren Fernwartung ist hier die Einführung einer einheitlichen Lösung. Dazu ist eine Technologie erforderlich, die auf allen wichtigen Betriebssystemplattformen einsetzbar ist. Im Unternehmensumfeld sind das neben Windows und Linux natürlich OS X und iOS. Auch Android gewinnt hier an Bedeutung – und das nicht nur als Smartphone-Betriebssystem: Immer öfter kommt das von Google in den Markt eingeführte Betriebssystem in Verkaufssystemen, Geldautomaten, öffentlichen Displays oder Waren-Automaten zum Einsatz. Darüber hinaus sollte die gewählte Lösung sowohl die unbeaufsichtigte als auch die beaufsichtigte Fernwartung und den Support von Anwendern unterstützen, damit die Administratoren bei ihrer Arbeit nicht dauernd zwischen verschiedenen Oberflächen mit unterschiedlichen Sicherheitssystemen wechseln müssen. Denn die Erfahrung zeigt, dass Sicherheitsfunktionen dann am wirkungsvollsten sind, wenn sie für ihre Benutzer möglichst einfach anzuwenden sind.
 

Verschlüsselung ist ein Muss

Die Basis für eine sichere Fernwartung wird beim Aufbau der Verbindung zwischen dem Rechner des Administrators und dem zu wartenden Gerät gelegt. Idealerweise ermittelt dabei die Software zunächst die optimale Verbindungsart. Üblicherweise ist das eine Direktverbindung. So muss der Benutzer in der Regel keine Ports öffnen, um mit der Lösung zu arbeiten. Eine mehrfach redundante Serverinfrastruktur auf Seiten des Lösungsanbieters stellt dabei die Stabilität der Verbindungen sicher. In jedem Fall sollte der Aufbau der Verbindung durch eine Public-/Private-Key-Infrastruktur gesichert sein.
Wichtig hierbei: Damit auch der Betreiber der Verbindungsserver die während des Wartungsvorgangs ausgetauschten Daten nicht einsehen kann, ist eine Ende-zu-Ende-Verschlüsselung nach dem aktuellen Stand der Technik erforderlich.
Egal ob Fernwartung oder Fernsupport: Die Verschlüsselung der Daten muss den gängigen Sicherheitsansprüchen genügen. Das ist unter normalen Umständen bei Verbindungen gewährleistet, die per RSA Public-/Private-Key-Exchange aufgebaut und mit AES verschlüsselt sind. Diese Technik wird in vergleichbarer Form auch bei HTTPS/SSL eingesetzt, was nach heutigem Stand der Technik als sicher gilt. Da der Private Key das zu wartende Gerät nicht verlässt, stellt dieses Verfahren sicher, dass die übermittelten Daten von zwischengeschalteten Servern nicht entziffert werden können – auch nicht von den Verbindungsservern des Anbieters der Lösung. Der Public Key sorgt für die Überprüfung der Signatur des Servers. Durch die Public-/Private-Key-Infrastruktur lassen sich Fernwartungsvorgänge gegen gefährliche Man-in-the-middle-Attacken wirkungsvoll absichern. Um bei der Authentifizierung sicherzustellen, dass das Kennwort nie direkt übertragen wird, verwenden geeignete Fernwartungslösungen üblicherweise das Remote Password Protocol (SRP) bei dem lediglich ein Passwort-Verifier auf dem lokalen Computer gespeichert wird.

 
Hacker abschrecken

Obwohl die Raffinesse der Angreifer bei Attacken auf IT-Systeme ständig zunimmt, kommt es immer noch vergleichsweise häufig zu Brute-Force-Angriffen. Der Grund: Die zunehmende Leistungsfähigkeit der Standard-Hardware senkt den Zeitaufwand für das Knacken von Kennwörtern durch einfaches Ausprobieren. Allerdings lässt sich die Gefahr derartiger Angriffe drastisch reduzieren, indem das System bei der Authentifizierung die Wartezeit zwischen den Verbindungsversuchen exponentiell erhöht. Wenn beispielsweise für 20 Versuche volle 15 Stunden benötigt werden, verlieren auch hartnäckige Hacker die Lust. Zumal dann, wenn die Wartezeit für Verbindungsversuche nicht nach einem Tag, sondern erst nach der erfolgreichen Kennwort-Eingabe zurückgesetzt wird.
 

Anforderungen an die Infrastruktur

Neben den funktionalen Sicherheitsmerkmalen muss eine wirklich sichere und den strengen deutschen Datenschutzrichtlinien entsprechende Fernwartungslösung auch über eine gesicherte Infrastruktur verfügen. So sollte sichergestellt sein, dass die Server des Anbieters innerhalb der Europäischen Union stehen – in Rechenzentren, die nach ISO 27001 zertifiziert und mit multiredundanter Carrier-Anbindung sowie redundanter Stromversorgung ausgestattet sind. Personenbezogene Zutrittsüberwachung gehört dazu ebenso wie Videokameras, Bewegungsmelder, 24/7-Überwachung und qualifiziertes Sicherheitspersonal vor Ort. Diese infrastrukturellen Sicherheitseigenschaften sind besonders wichtig zum Schutz der zentralen Steuerungseinheit für das Benutzermanagement, die Verwaltung der Geräte und Kontakte sowie die Protokollierung der Verbindungen.
 

Sicherheit zum Standard machen

Eine Beschränkung der Zugriffsmöglichkeit ist vor allem dort sinnvoll, wo Geräte unbeaufsichtigt gewartet werden. Dabei wird die Fernwartung als Systemdienst im Betriebssystem verankert. Da hier im einzelnen Wartungsfall keine Kontrolle durch einen Mitarbeiter stattfindet, ist es umso wichtiger, über Black- und Whitelisting festzulegen, welcher Account überhaupt auf das System zugreifen darf (Whitelist).
Dabei gilt: Je feiner die Einstellungen vorgenommen werden können, desto besser lassen sich Effizienz und Sicherheit der Lösung miteinander verbinden.
 

Mitarbeiter frühzeitig einbeziehen

Werden Fernwartungs- und -Supportlösungen in einem Unternehmen eingesetzt, weckt dies bei den Mitarbeitern häufig die Befürchtung, unbemerkt überwacht zu werden. Bei der Einführung ist deshalb von Anfang an darauf zu achten, die Belegschaft einzubeziehen. Darüber hinaus ist es in der Praxis hilfreich, wenn die Lösung eine unsichtbare Verbindung gar nicht zulässt, weil sie immer als Icon am Bildschirm des verbundenen Gerätes sichtbar ist – auch dann, wenn die Applikation als Systemdienst im Hintergrund läuft.
Eine weitere vertrauensbildende Maßnahme zum Schutz vor unberechtigtem Fernzugriff oder einem Ausspähen von Anwendern, insbesondere beim spontanen Kunden-Support, ist der Kennwortschutz des Clients. Dabei wird durch die Vergabe von Einmal-Kennwörtern sichergestellt, dass der Benutzer vor jedem Zugriff auf sein Endgerät explizit zustimmen muss. Wird die Verbindung unterbrochen, muss beim Wiederaufbau ein neues Kennwort vergeben werden.
 

Fazit:

Bei der Fernwartung spielen Sicherheit und Datenschutz eine entscheidende Rolle. Nur so bewahren Sie sich das Vertrauen Ihrer Kunden und Mitarbeiter. Zudem sichern sie den Erfolg Ihrer digitalen Geschäftsmodelle.
CompuSafe arbeitet seit Jahren mit IT-Experten zusammen. Wenn Sie Ihr Unternehmen jetzt in der IT zukunftsfähig machen wollen, können wir gemeinsam eine Lösung für Sie finden. Kontaktieren Sie uns am besten gleich!
 
 
Quellen:
Sichere Fernwartung für Unternehmen
Fernwartung 4.0 – was ist aus rechtlicher Sicht neu?

Bleiben Sie auf dem Laufenden rund um Agile Sourcing, Zukunft der Arbeit, New Leadership im Zeitalter der Digitalen Transformation und vieles mehr
Jetzt abonnieren
Ich habe die Datenschutzerklärung gelesen und stimmme dieser zu.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *