Fernwatungszugang für Dienstleister und Software-Anbieter

Im Allgemeinen wird meiner Meinung nach mit Fernwartungen, die man für irgendwelche IT-Dienstleister oder Software-Anbieter einrichtet, relativ leichtfertig umgegangen. Die Konsequenzen daraus können gravierend sein. Im schlimmsten Fall könnte ein entlassener Mitarbeiter, der von irgendeinem Ort auf der Welt noch Zugriff auf die Kundensysteme des gehassten Ex-Arbeitgebers hat, einfach mal das ganze Produktivsystem löschen oder manipulieren. Vor einiger Zeit habe ich mal über so etwas berichtet.

Chefs haben meist keine Ahnung davon, wenn sie Verträge mit irgendwelchen Dienstleistern oder Software-Anbietern unterzeichnen und alles einfach absegnen. Um ihnen bzw. anderen unwissenden Nutzern die Risiken einer Fernwartung etwas näher zu bringen, kann man diesen eine (uneingeschränkte) Fernwartung wie folgt erklären:

Vergleichbar ist ein dauerhafter Fernwartungszugang übertragen auf die nicht-digitale Welt damit, dass man einem Mitarbeiter eines anderen Unternehmens einen „Schlüssel“ dauerhaft übergeben würde, der in eine Tür passt, die auch noch an der Alarmanlage (Firewall) vorbei führt und die Person direkt durch zu der zu wartenden Maschine führt.

Je nachdem welche Art von Fernwartung man nutzt, wird der „Schlüssel“ (in Form von Zugangsdaten, Zertifikaten, etc.) auch noch einfach an andere Mitarbeiter vervielfältigt (Client-To-Site, Team-Viewer-Passwort). Wenn diese Mitarbeiter gekündigt werden oder den Schlüssel (z. B. Firmen-Notebook mit den gespeicherten Zugangsdaten) verlieren, wird bestimmt nicht der Kunde informiert.

Aus Erfahrung kann ich sagen, dass in den seltensten Fällen der Software-Anbieter nach der Kündigung z. B. eines Support-Mitarbeiters hergehen wird und ALLE 200 Kunden auffordert die Kennworte für das VPN oder TeamViewer, durch welches man auf den Terminalserver, den SQL-Server und vielleicht noch andere Server in den Kundennetzwerken gelangt, zu ändern. Das passiert da draußen im Regelfall nicht!

Das einzige was ein bisschen Sicherheit bringt ist ein Site-To-Site-Tunnel, wodurch der Zugang zumindest auf das Gateway der Gegenseite eingeschränkt ist oder werden kann, oder wenn man mit White-Lists arbeitet. Ein Mitarbeiter müsste also immer noch Zugang in das Netzwerk des Arbeitgebers haben, was allerdings auch nicht auszuschließen ist. Der Tunnel muss natürlich auf die IP-Adressen und Ports der fernzuwartenden Maschinen eingeschränkt werden.

Client-To-Site sollte man meiner Meinung nach am besten NUR für interne Zwecke und nicht für externe Dienstleister nutzen. Denn nur intern hat man, gute interne Kommunikation vorausgesetzt, den vollen Überblick und kann schnell reagieren, wenn beispielsweise ein Kollege entlassen wird. Sußer man vergibt immer nur ein kurzfristig gültiges Kennwort und wohnt der Fernwartungssitzung bei.

Hierzu habe ich (versucht) eine Grafik zu erstellen und die verschiedenen Zugangsarten der meiner Meinung von kritisch bis unkritisch einzuordnen:

 

Schreibe einen Kommentar