Remote-Management und -Support

In 6 Schritten zur sicheren Fernwartung

02.03.2015 von Stuart Facey
Zugriffs- und Kontrollmöglichkeiten auf externe Rechner locken auch Hacker an. Ein sicheres Remote-Management und -Support in Unternehmen gehört deshalb zur Pflicht. Unsere Tipps helfen, die Fernwartung von IT-Systemen sicher zu betreiben.
 
  • was Helpdesk-Mitarbeiter leisten müssen
  • wie Systemadministratoren die Richtlinien einhalten
  • warum Remote-Access-Lösungen nicht nach dem Schwarz-Weiß-Prinzip arbeiten sollten
  • warum der Support nach standardisierten Verfahren ablaufen sollte

Wasser nimmt den Weg des geringsten Widerstands, um ans Ziel zu kommen. Mit der Flut nicht autorisierter Hackerzugriffe verhält es sich ganz ähnlich. Die Ausnutzung offener Kommunikationswege ist eine der erfolgreichsten Varianten, um sich Zugang zu fremden Rechnern und Unternehmensnetzen zu verschaffen. Größte Aufmerksamkeit sollte deshalb auf den eingesetzten Remote-Management-Lösungen liegen. Die zwangsläufig weitreichenden Features zur Fernsteuerung können für besondere Gefahr sorgen.

Bequeme Zugriffs- und Kontrollmöglichkeiten auf externe Rechner bedeuten nämlich auch, dass sie beliebte Einfallstore für Hackerangriffe sind. Wie beliebt? Eine aktuelle Verizon-Studie aus dem Jahr 2013 deckte auf, dass finanziell motivierte Lauschangriffe am häufigsten über Desktop-Sharing- oder Remote-Access-Dienste wie RDP (Remote Desktop Protocol) oder VNC (Virtual Network Computing) erfolgen. Höchste Zeit also, solchen Gefahren einen Riegel vorzuschieben.

Sicherheit
Fernwartung - so gehts!
Vom Smartphone oder Tablet remote auf den Rechner zugreifen - hier die Optionen.
NTR FreeCloud
Ein zusätzliches Passwort für die Verbindung ist in jedem Fall Pflicht.
NTR FreeCloud
Auf einem Tablet macht ein Fernwartungszugriff, hier NTR von einem iPad, durchaus noch Spaß. Auf einem 2.4“ Smartphone ist die Darstellung einfach zu klein.
NTR FreeCloud
An sich ist Platz für viele Rechnernamen – die kostenfreie Version von NTR begrenzt jedoch die Anzahl auf zwei Systeme, egal ob Server oder PC.
NTR FreeCloud
Die Installation der NTR-Software, hier auf einem Windows Server 2008 R2, ist in wenigen Minuten erledigt.
Teamviewer
Klassiker aus Deutschland: TeamViewer. Wie sich das „Kloning“ von virtuellen Maschinen auswirkt, lässt sich unschwer erkennen.
Teamviewer
TeamViewer ist schnell, unkompliziert und für viele Plattformen erhältlich.
Teamviewer
Immer eine gute Sache: Wie ging noch einmal der Rechtsklick? Hier die Erklärung von TeamViewer.
RDP mit 2x
Eine durchaus elegante Alternative: RDP-Weiterleitung über den Router mit einem RDP-Client, hier der 2X-Client.
RDP mit 2x
Achtung! 2X warnt vor der Verwendung der einfachen RDP-Verbindung über die eigene Software.
RDP mit 2x
Einfach und praktisch: RDP-Zugriffe vom iPad auf einen Windows Server 2012 R2.
LogMeIn
LogMeIn bietet alle Features, die eine professionelle Fernwartungssoftware braucht.

Hier sind sechs Maßnahmen, mit denen Sie berechtigte Sicherheitsbedenken beim Einsatz von Remote-Management-Technologie technisch beherrschen:

1. Architektur von Remote-Management-Tools untersuchen

Telearbeit und Mobile Computing haben das Koordinatensystem in den Unternehmen nachhaltig verändert. Konnten in der Vergangenheit noch viele Arbeitsprozesse durch "Management-by-Blickkontakt" gesteuert werden, verlangt der Markt jetzt nach flexiblen (und vor allem mobilen) Konzepten. Mitarbeiter erfüllen ihre Aufgaben nicht mehr unter einem Firmendach, sondern finden sich in verteilten Strukturen an unterschiedlichen Standorten wieder. Mit Telearbeitsplätzen, mobilen Rechnern und Home Offices setzen moderne Unternehmen unterschiedlichste Kunden- und Mitarbeiterwünsche um. Folge aus Sicherheitssicht: Die eingesetzten Systeme und Endgeräte befinden sich nicht mehr im Schutzbereich des lokalen Netzwerks.

Flexible Unternehmensstrukturen können Helpdesk-Mitarbeiter nur mit professionellen Remote-Support-Lösungen bewältigen. Zur Erfüllung ihrer Aufgaben müssen auch die Mitarbeiter am Heimarbeitsplatz trotz geographischer Ferne jederzeit auf die Server des Unternehmensnetzes zugreifen können. Benutzer haben indes nicht immer das tiefe Wissen eines IT-Experten im Unternehmen und sind darauf angewiesen, dass sich eine Fehlerbehebung und Konfiguration jederzeit per Fernzugriff durchführen lässt. Das ist auch die wirtschaftlich kostengünstigste Option.

Ältere Fernzugriffslösungen nutzen Punkt-zu-Punkt-Verfahren, um eine direkte Verbindung zwischen zwei Rechnern über das Internet aufzubauen. Diese Produkte arbeiten nicht gut mit Firewalls zusammen und verleiten Administratoren dazu, Remote-Datenverkehr durch die zentrale Firewall durchzuleiten und zusätzliche Ports nach außen zu öffnen. Diese Vorgehensweise vereinfacht zwar die Arbeit des Support-Teams, aber die Abkürzung auf dem Weg zum Anwender führt auf schwieriges Terrain. Hacker beispielsweise können nach offenen Ports scannen und so einen Weg ins Firmennetz finden.

Sicherheit
Remote-Control-Apps für Android
Mit den richtigen Apps verwandeln Sie ihr Smartphone oder Tablet mit Android in eine Fernbedienung oder steuern andere PCs. Wir zeigen Ihnen die besten kostenlosen Remote-Apps für Ihr Android-Gerät.
Unified Remote
Die App Unified Remote verwandelt Ihr Android-Smartphone oder -Tablet in eine Universalfernbedienung für Windows, Mac oder Linux. Passwortschutz und Verschlüsselung sind bereits integriert. Gegenüber der kostenlosen Version bietet die 4,99 Euro teure "Full"-Version bietet zusätzlich Widgets, Sprachbefehle, die Erstellung eigener Fernbedienungen, sowie Infrarot- und NFC-Support.
Microsoft Remote Desktop
Mit “Microsoft Remote Desktop” verbinden Sie Ihren PC mit Ihrem Smartphone oder Tablet und spiegeln den Desktop auf das Android-Gerät, den Sie dann problemlos steuern können. Dafür erstellen Sie eine neue Verbindung und geben die IP-Adresse Ihres Computers ein. PC und Smartphone müssen dabei mit dem gleichen Netzwerk verbunden sein.
Remote Control Collection
Die App „Remote Control Collection“ enthält Fernbedienungen, mit denen Sie ihren Windows-PC drahtlos steuern können. Beispielsweise stellt die Fernbedienung „Maus Remote“ das Touchpad des Laptops auf dem Android-Gerät dar. Dabei werden auch Gesten wie Scrollen und Zoomen unterstützt. Mit „Media Remote“ steuern Sie den Windows Media Player, iTunes, VLC oder andere Mediaplayer über Ihr Smartphone. Praktisch ist die Funktion „Shortcut“ mit der Sie den PC auch vom Bett aus herunterfahren können.
TeamViewer für Fernsteuerung
Mit „TeamViewer für Fernsteuerung“ greifen Sie schnell und sicher auf den PC, Mac oder Linux-Computer aus der Ferne zu. Dazu geben Sie die ID und das Kennwort des gewünschten Computers ein. Danach können Sie über das Android-Gerät auf die Festplatte des PCs zugreifen und auch von unterwegs Kunden oder Kollegen Support geben oder Dokumente auf ihrem Arbeitsplatz-PC öffnen und bearbeiten. Voraussetzung ist, dass die Software TeamViewer auch auf dem Rechner installiert ist.
Remote for mac
Mit dieser App können Sie die Mediaplayer wie VLC, iTunes, iPhoto, Quicktime, Spotify, Keynote und weitere Player auf Ihrem Mac steuern. Hierfür benötigen Sie kein zusätzliches Programm auf Ihrem Computer. Um eine Verbindung herzustellen müssen sich PC und Android-Gerät im gleichen WLAN-Netzwerk befinden. Außerdem können Sie von der Ferne die Helligkeit und Lautstärke anpassen oder den PC herunterfahren.
Gmote 2.0
Auch mit der App “Gmote 2.0” steuern Sie Ihren PC fern. Hierfür benötigen Sie aber auch wieder die passende Software von gemote.org auf Ihrem PC. Videos, Musik und weitere Mediaplayer lassen sich problemlos per Android-Smartphone starten, das Sie zudem auch als Maus und Tastatur zweckentfremden können. Fotos oder Bilder können Sie leider nicht anzeigen lassen.
gPad remote touchpad/keyboard
Die App „gPad remote“ verwandelt Ihr Android-Smartphone oder –Tablet in ein kabelloses und personalisierbares Touchpad und Tastatur für Ihren PC oder Mac. Die Verbindung wird über Bluetooth, USB oder WLAN zwischen PC und Smartphone hergestellt. Die einzelnen Pads können selbst erstellt oder runtergeladen werden. Es gibt bereits erstellte Pads für Präsentationen, Media-Player, Ziffernblock und für Spiele. Neben der App benötigen Sie die Server-Anwendung für den PC oder Mac.
MultiRemote
Für diese App benötigen Sie den dazugehörigen Server „Multiremote“ auf Ihrem PC, den Sie auf android.collaud.net herunterladen können. Danach verbinden Sie das Smartphone und den PC und steuern Maus, Tastatur, Mediaplayer und Programme aus der Ferne.
PC Pointer
Die Gratis-App “PC Pointer” verwandelt Ihr Android-Smartphone in eine drahtlose Fernbedienung für Ihren Windows-PC. Mit der App steuern Sie die Maus, Tastatur und können Programme öffnen. Die App bietet zwei Modi: Pointer und Touchpad. Mit der Funktion Pointer können Sie Ihr Gerät wie eine Wii-Fernbedienung benutzen. Das Touchpad unterstützt die Gesten Swipe und Scrollen. Für die Nutzung der App benötigen Sie den dazugehörigen PC-Pointer-Server Ihrem Rechner. PC und Smartphone werden über WLAN oder Bluetooth miteinander verbunden.
PRemote Droid
Die Android-App RemoteDroid verwandelt das Smartphone in eine virtuelle Tastatur samt Maus.
Remote RDP Lite (No Ad)
Die kostenlose App “Remote RDP Lite” bietet Ihnen einen vollständigen und schnellen Zugriff auf Ihren Windows-PC. Über das WLAN oder das Mobilfunknetz stellt die App eine sichere Verbindung zum gewünschten PC her. Dadurch steuern Sie mit einem Android-Gerät nun auch unterwegs Ihren Heim- oder Büro-PC.
Home Remote Control
Mit der App „Home Remote Control“ können Sie von unterwegs auf Ihren Ubuntu-Desktop zugreifen. Dabei haben Sie die Möglichkeit die Lautstärke zu steuern, einen Screenshot aufzunehmen, Mediaplayer zu steuern, den PC zu sperren und herunterzufahren und Tasturbefehle zu senden. Um diese App zu benutzen benötigen Sie einen Standard-SSH-Server.
Remote Trackpad
Die App „Remote Trackpad“ ist ein drahtloses Trackpad für Ihr Smartphone, um Ihren PC zu steuern. Hierfür müssen Sie sich den Server von djsoft.com herunterladen und auf Ihrem PC installieren.
Splashtop 2 Remote Desktop
Mit der Gratis-App „Splashtop 2 Remote Desktop“ greifen Sie jederzeit und überall auf ihre Programme, Dokumente, den vollständigen Browser mit Flash und Java-Unterstützung und Spiele auf Ihrem Mac oder Windows zu. Zudem erhalten Sie vollen Zugriff auf ihre gesamte Medienbibliothek. Über ein Splashtop-Konto haben Sie Zugriff auf bis zu 5 PCs. Die Verbindung zwischen Rechner und Android-Tablet erfolgt über WLAN. Für eine kommerzielle Verwendung wird die speziell für den Arbeitsplatz entwickelte Splashtop-Business-App empfohlen.
WiFi Keyboard
Die App „WiFi Keyboard“ erlaubt es, die Tastatur Ihres PCs oder Macs über das Netzwerk als Eingabemethode für ein Android-Smartphone ohne physische Tastatur zu benutzen. Dies kann nützlich sein, wenn man längere SMS schreiben möchte oder am Terminal arbeitet. Die Verbindung zwischen PC und Smartphone erfolgt über WLAN oder USB.
WIN Remote Control
Die App “WIN – Remote Control PRO” verwandelt Ihr Smartphone in eine Universal-Fernbedienung für Ihren Windows-PC. Über Bluetooth oder eine WLAN-Verbindung greifen Sie drahtlos auf die Dateien Ihres Computers zu und steuern dazu Ihre Lieblingsprogramme, die Maus oder die Tastatur über das Smartphone. Sie können mit der App eine personalisierte Fernbedienung erstellen oder bereits erstellte Fernbedienungen herunterladen. Der Preis liegt bei 4,99 Euro.

Mitunter haben Administratoren schlichtweg vergessen, die standardmäßig festgelegten Berechtigungen für nach außen geöffnete Remote-Access-Ports zu ändern. Wenn das der Fall ist (und das ist nicht selten so), können sich Angreifer unbemerkt an der zentralen Firewall vorbeischleichen. Selbst wenn die Standard-Passwörter geändert wurden, sollten sie natürlich regelmäßig erneuert werden - und zwar durch starke Passwörter, nicht durch typische Begriffe.

Sicherheitsmaßnahme Nummer eins ist also, Standardeinstellungen und -passwörter grundsätzlich zu vermeiden. Das "Durchgangsproblem" lässt sich allerdings auch an der Wurzel packen, wenn eine Remote-Support-Lösung zum Einsatz kommt, die keine offenen Listening-Ports einsetzt. Unabhängig von der eingesetzten Lösung empfiehlt es sich in jedem Fall, die Logdateien häufiger zu durchforsten, um den Einsatz von Remote-Access-Tools zu überwachen.

2. Zuständigkeiten nachverfolgen

Ein zweites Feld, das man in puncto Sicherheit nicht aus den Augen verlieren sollte, ist das Lizenz-Management. Servicetechniker teilen häufig Lizenzen für einfache Wartungsarbeiten, um beispielsweise Passwörter zurückzusetzen. Viele Remote-Support-Werkzeuge nutzen dafür "Named"-Lizenzen pro Arbeitsplatz, die eine Lizenz an einen ganz bestimmten User-Account binden. Häufig werden deshalb Passwörter gemeinsam genutzt und User-Namen geteilt, um Kosten zu sparen. Folge: Es lässt sich nicht mehr nachverfolgen, wer was über welche Remote-Verbindung durchgeführt hat.

Durch die gemeinschaftliche Nutzung einer Lizenz von "Techniker1", Techniker 2" und "Techniker 3" wird es bei einigen Lösungen unmöglich, die von einem Support-Mitarbeiter begleiteten Aktionen direkt zuzuordnen. Andere Remote-Access-Lösungen wiederum lassen eine gemeinsame Nutzung von Lizenzen durchaus zu, ohne die Auditierung aller Vorgänge zu vernachlässigen. Dafür verwenden sie individuelle Login-Verfahren mit eigenen Passwörtern.

Noch eleganter ist es, wenn die Support-Einwahl gleich über Identitätsverzeichnisse wie Active Directory erfolgt. Auf diese Weise steht einem zentralen Management aller Systemzugriffe der Support-Techniker nichts im Wege. Selbst bei der Übergabe von Support-Fällen an eine andere Person lassen sich diese Vorgänge über die individuellen Login-Daten präzise und lückenlos dokumentieren.

3. Systemzugriffe unter Kontrolle halten

Alles oder nichts. Viele Remote-Access-Lösungen arbeiten nach dem Schwarz-Weiß-Prinzip, haben also entweder vollen Zugriff auf jedes System im Netzwerk und jede Anwendung auf dem Rechner - oder sie haben gar keinen Zugriff. Das ist zwar bequem, birgt aber die Gefahr, dass diese Konfigurationsmöglichkeiten in den falschen Händen für den größtmöglichen Schaden sorgen können.

Sinnvoller ist es, eine Remote-Access-Lösung zu implementieren, die eine granulare Kontrolle der Zugriffsmöglichkeiten von Support-Technikern erlaubt. Anstatt einen Freifahrtschein für alle auszustellen, sollte konfigurierbar sein, welcher individuellen Mitarbeiter und welche Support-Teams tagtäglich welche IT-Systeme und Funktionen einsetzen dürfen. Ganz besonders wichtig ist eine solche Unterscheidung für Organisationen, die ihren IT-Support vollständig oder teilweise an externe Dienstleister ausgelagert haben. Einige Enterprise-Anbieter lösen dieses Problem, indem sich verschiedene Berechtigungen und eine Feineinstellung des Zugriffsniveaus einstellen lassen.

4. Alle Aktivitäten der Support-Sessions protokollieren

Zur Einhaltung von Best-Practice-Vorgaben ist es für IT-Abteilungen entscheidend, alle Änderungen auf gewarteten Rechnern auditieren zu können. Wird eine Sitzung nicht aufgezeichnet, ist das möglicherweise schon ein Indikator dafür, dass gerade eine Hacker-Attacke erfolgt. Es könnte auch sein, dass im Rahmen der Support-Sitzung unternehmensinterne Vorgaben gebrochen werden und dieser Vorgang vertuscht werden soll.

Chat-Dialoge und übertragene Dateien jeder Support-Sitzung müssen also mitgeschnitten werden und jederzeit einsehbar sein. Viele Legacy-Produkte unterstützen die Auditierung von Helpdesk-Dienstleistungen in dieser Form indes nicht. Ohne eine zwischengeschaltete Stelle gehen viele Point-to-Point-Verbindungen im Laufe des Tages (oder der Nacht) komplett unter. Es lässt sich noch nicht einmal nachweisen, dass sie stattgefunden haben. Für Angreifer von außen ist das die beste aller möglichen Rechnerwelten.

5. Support-Technologie standardisieren

Wenn Unternehmen sich für eine Remote-Support-Lösung entscheiden, ist die Hauptsache, dass sie sich für eine entschieden - und nicht für mehrere. Zunächst einmal ist es erheblich einfacher, Fernzugriffe zu begleiten und zu protokollieren, wenn nur eine ganz bestimmte Lösung installiert ist. Denn die Standardisierung von Support-Technologien erhöht das Sicherheitsniveau. Setzt dagegen jeder Support-Techniker seine individuelle Tool-Sammlung ein, ist die Überwachung und Nachverfolgung durchgeführter Maßnahmen viel schwieriger als beim Einsatz einer einheitlichen Lösung. Probleme treten auch auf, wenn ein bestimmter Mitarbeiter die Firma verlässt, seine Kollegen aber den Support-Status nicht nachverfolgen und auch über die entsprechenden Zugriffsmöglichkeiten nicht verfügen. Oder umgekehrt gedacht: Hat der ehemalige Mitarbeiter möglicherweise noch Zugriffsrechte im Unternehmensnetz?

Je mehr Plattformen im Einsatz sind, desto komplexer sind zudem die Administrationsarbeiten - vor allem, wenn nicht alle Endgeräte (egal ob Android, iOS, Mac oder Windows) unterstützt werden. In vielen Netzwerken schlummern immer noch Remote-Support-Lösungen, die eigentlich längst hätten abgelöst werden sollen. Mir ist ein Beispiel aus dem Finanzdienstleistungssektor bekannt, wo eine Organisation vorgab, aktuell nur eine überschaubare Zahl an Remote-Support-Werkzeugen einzusetzen. In Wirklichkeit entdeckten wir eine zweistellige Zahl an verschiedenen Programmen für den Fernzugriff, von denen viele längst nicht mehr gepflegt wurden.

6. Gesamte Kommunikation verschlüsseln

Entscheidend für die Absicherung jeder Remote-Support-Lösung ist die Gewährleistung, dass alle Komponenten auf sichere Weise miteinander sowie mit der Außenwelt kommunizieren können. Um dies zu erreichen, sollte jegliche Kommunikation zwischen den Support-Mitarbeiter-Konsolen und den kundenseitigen Clients verschlüsselt werden. Auch dieser Punkt ist besonders brisant, wenn der Support über Drittanbieter läuft.

Vertrauliche Daten und persönliche Informationen in den Händen von Unbefugten sind für jedes Unternehmen ein Horrorszenario. Im Verlauf einer typischen Support-Sitzung werden nun einmal eine Vielzahl schützenswerter Daten ausgetauscht. Dazu zählen Bildschirmdaten des supporteten Benutzers, Anmeldedaten und Remote-Control-Befehle, die Support-Techniker an den Kundenrechner schicken.

Fazit

Die Aufmerksamkeit auf die Sicherheitsfunktionen von Fernwartungslösungen wird zukünftig noch wichtiger. Unter dem Oberbegriff "Bring your own Device" (BYOD) wird der Trend zusammengefasst, dass immer mehr Anwender ihre persönlichen Mobilgeräte auch im Geschäftsbereich nutzen. Das wiederum hat erhebliche Folgen für die Support-Abteilung einer Organisation, die sowohl den Datenschutz als auch die Kontrolle und den Gesamtüberblick über alle Supportaktivitäten bewahren muss. Für Helpdesk-Systeme bedeutet das, neben Wirtschaftlichkeitskriterien auch Sicherheitsvorgaben einzuhalten, wenn neue Fernwartungsdienste für die Hard- und Software-Unterstützung von Anwendern integriert werden. (hal)