Kriterien bei Remote-Control-Lösungen II
3. Vorsicht bei der Protokollwahl
Zudem muss zwischen den verschiedenen Protokollmechanismen differenziert werden, womit die Remote-Control-Zugriffe ausgeübt werden können. Hier wird danach unterschieden, wie offen oder proprietär beispielsweise die verwendeten Protokolle sind. Dieses Auswahlkriterium ist besonders wichtig, denn je nach Offenheit und Gängigkeit der verwendeten Protokolle sind die verwalteten Clients mehr oder weniger durch Schadcode und Eindringversuche gefährdet.
So müssen beispielsweise bei der Nutzung des Internet Protocol (IP) besonders sorgsame Schutzmechanismen verwendet werden, um die Lösung auch wirklich "compliant" zu gestalten. Verwendet die Lösung hingegen proprietäre Protokolle, ist sie von Grund auf sicherer. Doch wie genau unterscheiden sich die Lösungen in diesem Punkt?
Wenn eine Remote-Control-Lösung mit eigenen Protokollen (die aber durchaus auf dem TCP/IP-Protokollverbund aufsetzen können) arbeitet, kann sie in der Regel mit 256 Bit verschlüsselte Verbindungen über jeden beliebigen Port herstellen, ganz wie der Kunde es wünscht. Der Anwender hat hier zu jeder Zeit die Möglichkeit, den externen Zugriff durch Mausklick zu unterbrechen oder gänzlich zu stoppen. Ein Beispiel für diese Art von Lösungen sind die Produkte von NTRglobal oder Net Support.
Wird von der Lösung ein VPN-Tunnel unter IPSec verwendet, also eine spezielle Appliance eingesetzt, sollte der Verkehr durch den Tunnel auf die gewünschten, beziehungsweise notwendigen Ziele, Protokolle und Richtungen beschränkt werden. Allerdings kann sie herstellerunabhängig eingesetzt werden. Der Hersteller Innominate (www.innominate.com/de) bietet diese Art Lösungsansatz an.
Wenn die Verbindung vom Remote-Control-Punkt (also beispielsweise dem Servicetechniker) zum Client geschaltet wird, sollten Unternehmen auf jeden Fall den eingehenden Verkehr auf das Allernotwendigste beschränken, um sicher zu sein, dass Compliance-Regeln nicht verletzt werden. Es ist zudem ratsam, auf dem VPN-Client des Endgeräts eine zusätzliche Firewall zu installieren und den Zugang von einer zeitlich begrenzten Freischaltung durch das Personal (Clientpersonal) abhängig zu machen, um vor Missbrauch durch den Remote-Control-Kanal zu schützen.
Manche Remote-Control-Lösungen integrieren sich auch in bestehende Firewalls und andere Sicherungsgeräte. So wird beispielsweise Netviewer über ein eigenes Verfahren abgewickelt, das auf http aufsetzt. Der Verbindungstunnel wird nur in der speziellen Applikation aufgemacht.
Es gibt auch ganz sichere Lösungen, die aber hochaufwendig sind. Bei der Lösung von GeNUA (www.genua.de) steht im Grenznetz (DMZ) beispielsweise ein so genannter Rendezvous-Server. Auf diesen kann von außen zugegriffen werden. Gleichzeitig kann von dem Client über SSH von innen aus dem Unternehmensnetz ein Tunnel zum Rendezvous-Server aufgebaut werden.
4. Session-Protokollierung schafft Revisionssicherheit
Zuletzt ist auch die Anfertigung von Protokollen sehr ausschlaggebend bei der Wahl des Produktes, denn dieser Punkt gewährleistet die Revisionssicherheit. Es sollte immer nachvollziehbar sein, wer wann auf welches System zugegriffen und was er dort umgesetzt hat. Hier ist die Aufzeichnung der Sessions mit Angabe von Datum und Uhrzeit zwingend notwendig.
Eine Möglichkeit ist die Logs optional in der Ereignisanzeige abzulegen. Darüber hinaus können Sie mit einer Log-Management-Lösung bei Bedarf analysiert werden. Ein weiterer Tipp: Damit die Logs nicht manipuliert werden können, ist die Speicherung in zugriffsgeschützten Ordnern eine sinnvolle Option. Erst ein gesicherter Zugang zu den Kontrollaufzeichnungen erfüllt die Anforderungen an den Datenschutz.
Fazit
Jedes Unternehmen muss unter Beachtung der genannten Kriterien individuell entscheiden, welche Lösung es nutzt. Generell ist es ratsam, sich im Vorfeld genau mit den Sicherheitsrichtlinien der Lösungen - die meist auf den Websites zu finden sind - auseinander zu setzen und diese auf die skizzierten Punkte in Hinblick auf die eigenen Compliance-Regeln hin zu prüfen. Das gilt auch für Cloud-basierendes oder Remote-Control On-Demand. (pg)