Fernwartung und Compliance: Remote Control muss Daten schützen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.11.2011 Robert Korherr*

Fernwartung und Compliance: Remote Control muss Daten schützen

Remote-Control-Produkte zur Überwachung und Wartung sind hilfreich und sparen Geld. Sie müssen aber Compliance-Richtlinien erfüllen.

Durch die Verwendung von Remote-Control-Techniken lassen sich heutzutage Tausende von Clients unabhängig von Betriebssystem und Endgerätetyp aus der Ferne überwachen, inventarisieren oder auch warten. Dieser Vorgang spart zeitaufwendige und kostspielige Reisen und vermeidet hohe Personalkosten, da das Know-how immer an Ort und Stelle ist und sich remote einwählen kann. Doch welche Lösungen sind sicher und lassen sich mit den Unternehmensregeln vereinbaren? Und wie schaut es mit Kriterien wie Performance oder dem Einsatz in heterogenen IT-Landschaften aus?

Wenn Unternehmen ISO 27001, HIPAA, PCI, SOX oder den zukünftigen Basel-III-Kriterien unterliegen, müssen sie ganz besonders auf die Umsetzung der Informationssicherheit achten. Compliance, also die Einhaltung von Gesetzen und Richtlinien, ist hier das Stichwort. Doch auch die Umsetzung eines technischen Regelwerks sowie die Dokumentation von Sicherheitsregeln, die Revisionssicherheit und auch Nachhaltigkeit zählen zu den Compliance-Richtlinien. Um compliant zu sein, sollten Verantwortliche daher zuerst folgende Fragen klären.

• Wer darf eine Remote-Control-Lösung im Unternehmen überhaupt und zu welchem Zweck einsetzen?

• Wer darf über die Remote-Lösung auf das System zugreifen?

• Welche Aktivitäten werden innerhalb der Sessions aufgezeichnet und wer hat Zugriff auf diese Daten?

KRITERIEN BEI REMOTE-CONTROL-LÖSUNGEN Haben Unternehmen die Fragen für sich beantwortet, kann ein Produkt unter Berücksichtigung folgender Kriterien ausgewählt werden:

1. Verschlüsselung ist das A & O Die Remote-Control-Lösung muss gewährleisten können, dass die im Produkt verwendete Sicherheit hoch und skalierbar ist. Jegliche Kommunikation sollte nur verschlüsselt stattfinden. Algorithmen zur Verschlüsselung wie AES und 256-Bit-Schlüssellängen entsprechen den gängigen Compliance-Anforderungen. Des Weiteren sollte auch die Authentifizierung des Controls abgesichert sein.

Dies ist zum Beispiel über das Active Directory möglich. Der Benutzer muss den Zugriff erlauben können, und vor allem darf die Session, wenn mehrere Controls gleichzeitig auf dem Client laufen, nur unter Aufsicht des lokalen Benutzers stattfinden. Zudem sollte generell der Zugriff auf Remote-Systeme nur für berechtigte Personen möglich sein und der Zugriff auch nur auf die notwendigsten Systeme beschränkt werden.

Ferner ist ratsam, die Nutzung lediglich über entsprechende Zertifikate oder sichere Schlüssel zu ermöglichen. Darüber hinaus muss eine hohe Sicherheit bei Verbindungen über öffentliche Netze gewährleistet sein. Dies ist beispielsweise mit verschlüsselten Verbindungen möglich.

2. Konfiguration vor Manipulation schützen Die Verantwortlichen sollten darauf achten, den Funktionsumfang und die Sicherheitseinstellungen gegenüber Manipulationen abzusichern. So gibt es Lösungen, die beispielsweise die komplette Konfiguration in einer Datei beim Client ablegen und auch mehrfach gegen Manipulationen und Austausch absichern. Ebenfalls ist darauf zu achten, dass der Funktionsumfang anpassbar ist.

So sollte ein Anwender in der Regel nach seiner Erlaubnis gefragt werden, bevor ein IT-Administrator oder Servicetechniker auf sein Konto zugreifen kann. Der Zugriff auf den Server sollte hingegen ohne Zustimmung möglich sein, um die Vorteile des Remote-Zugriffs dadurch nicht zu torpedieren.

Auch sollten einzelne Funktionen, wie beispielsweise ein Dateitransfer, je nach Nutzergruppe aktiviert oder deaktiviert werden können. Es ist wichtig, den Umfang des Zugriffs nur auf das notwendige Maß der jeweiligen Aufgabe zu beschränken, um so wenige Daten wie möglich freizugeben. Die Lösung sollte letztendlich auch die Datenintegrität auf dem Zielsystem, also einen so genannten View-Only-Modus sicherstellen.

3. Vorsicht bei der Protokollwahl Zudem muss zwischen den verschiedenen Protokollmechanismen differenziert werden, womit die Remote-Control-Zugriffe ausgeübt werden können. Hier wird danach unterschieden, wie offen oder proprietär beispielsweise die verwendeten Protokolle sind. Dieses Auswahlkriterium ist besonders wichtig, denn je nach Offenheit und Gängigkeit der verwendeten Protokolle sind die verwalteten Clients mehr oder weniger durch Schadcode und Eindringversuche gefährdet.

So müssen beispielsweise bei der Nutzung des Internet Protocol (IP) besonders sorgsame Schutzmechanismen verwendet werden, um die Lösung auch wirklich "compliant" zu gestalten. Verwendet die Lösung hingegen proprietäre Protokolle, ist sie von Grund auf sicherer. Doch wie genau unterscheiden sich die Lösungen in diesem Punkt?

Wenn eine Remote-Control-Lösung mit eigenen Protokollen (die aber durchaus auf dem TCP/IP-Protokollverbund aufsetzen können) arbeitet, kann sie in der Regel mit 256 Bit verschlüsselte Verbindungen über jeden beliebigen Port herstellen, ganz wie der Kunde es wünscht. Der Anwender hat hier zu jeder Zeit die Möglichkeit, den externen Zugriff durch Mausklick zu unterbrechen oder gänzlich zu stoppen. Ein Beispiel für diese Art von Lösungen sind die Produkte von NTRglobal oder NetSupport.

Wird von der Lösung ein VPN-Tunnel unter IPSec verwendet, also eine spezielle Appliance eingesetzt, sollte der Verkehr durch den Tunnel auf die gewünschten, beziehungsweise notwendigen Ziele, Protokolle und Richtungen beschränkt werden. Allerdings kann sie herstellerunabhängig eingesetzt werden. Der Hersteller Innominate bietet diese Art Lösungsansatz an.

Wenn die Verbindung vom Remote-Control-Punkt (also beispielsweise dem Servicetechniker) zum Client geschaltet wird, sollten Unternehmen auf jeden Fall den eingehenden Verkehr auf das Allernotwendigste beschränken, um sicher zu sein, dass Compliance-Regeln nicht verletzt werden. Es ist zudem ratsam, auf dem VPN-Client des Endgeräts eine zusätzliche Firewall zu installieren und den Zugang von einer zeitlich begrenzten Freischaltung durch das Personal (Clientpersonal) abhängig zu machen, um vor Missbrauch durch den Remote-Control-Kanal zu schützen.

Manche Remote-Control-Lösungen integrieren sich auch in bestehende Firewalls und andere Sicherungsgeräte. So wird beispielsweise Netviewer über ein eigenes Verfahren abgewickelt, das auf http aufsetzt. Der Verbindungstunnel wird nur in der speziellen Applikation aufgemacht.

Es gibt auch ganz sichere Lösungen, die aber hochaufwendig sind. Bei der Lösung von GeNUA steht im Grenznetz (DMZ) beispielsweise ein so genannter Rendezvous-Server. Auf diesen kann von außen zugegriffen werden. Gleichzeitig kann von dem Client über SSH von innen aus dem Unternehmensnetz ein Tunnel zum Rendezvous-Server aufgebaut werden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: