19. März 2012 - Zugangskontrolle

Achtung, ferngesteuerte Handys!

Praktisch jedes internetfähige Endgerät lässt sich fernsteuern, nicht nur die Server im Rechnerraum. Gerade Smartphones und Tablet-PCs bieten sich aufgrund ihrer oft schlechten Absicherung dazu an, als Fernzugang missbraucht oder aus der Ferne ausspioniert zu werden.

ferngesteuerte-handys-kritische-fernzugange-nicht-nur-bei-servern.jpeg
Damit Fernzugriffe bei mobilen Endgeräten nicht zur Gefahr werden, sind hohe Sicherheitsstandards nötig (Bild: Thinkstock)

Eine alte Bekannte und eine neue Bedrohung

Für viele Datenschutzbeauftragte ist das Thema Fernwartung nicht neu, sondern eine bekannte Problemstelle der Datensicherheit.

Neu ist jedoch, dass sich Fernzugriffe nicht auf die Wartung von Servern oder die Fernadministration von Arbeitsplatzrechnern beschränken. Im Prinzip kann jedes Endgerät aus der Ferne gesteuert werden, wenn es zum Beispiel über das Internet angebunden ist. Das gilt auch für Drucker, Tablet-PCs oder Smartphones.

Missbrauch der Fernzugänge möglich

In der Regel sind auch die Fernzugänge bei Smartphones, Notebooks oder Druckern eine sinnvolle Möglichkeit für eine zentrale Administration. Doch diese Zugänge lassen sich missbrauchen.

Gerade bei mobilen Endgeräten, die meist nicht unter der gleichen Kontrolle stehen wie interne Server und PCs, besteht die Gefahr, dass eigentlich hilfreiche Funktionen für den Fernzugriff zur Gefahr werden. Ein gutes Beispiel sind Smartphone-Apps, die bei Verlust des mobilen Endgeräts helfen sollen.

Smartphone-Kamera als heimlicher Beobachter

Geht ein Smartphone verloren, lassen sich unter gewissen Bedingungen nicht nur die Daten aus der Ferne löschen (Remote Wipe). Manche Smartphone-Apps erlauben es auch, gleich ein Foto des möglichen Diebs zu machen.

Unter Umständen könnte es aber auch passieren, dass ein Unbefugter Zugriff auf die fernsteuerbare Smartphone-Kamera erhält und so den Nutzer ausspionieren könnte. Damit ein möglicher Dieb das heimliche Foto nicht merkt, meldet die Kamera den Zugriff nicht, allerdings auch dann nicht, wenn der Dieb selbst aus der Ferne zugreift.

Fernzugriff mit Schwachstelle

Wie riskant eine Schwachstelle bei Lösungen für Fernwartung, Fernsteuerung oder Fernzugriff sein kann, zeigen zum Beispiel die Warnungen wegen der inzwischen behobenen Sicherheitslücke bei der Fernzugangssoftware pcAnywhere von Symantec. Der Anbieter empfahl zeitweise, das Produkt nicht mehr zu verwenden, bis der Sicherheitspatch veröffentlicht wurde.

Schwachstellen in einer solchen Fernzugangssoftware sind deshalb besonders riskant, weil die damit aufgebauten Fernzugänge in der Regel hohe Systemprivilegien genießen. Dadurch könnte unter Umständen ein Unbefugter aus der Ferne zum Systemadministrator werden.

Fernzugangssoftware muss wirklich sicher sein

Eine Software für den Fernzugang muss deshalb erhöhten Sicherheitsanforderungen genügen, darunter

  • eine starke Verschlüsselung der Fernverbindung,
  • eine Absicherung gegen Manipulationen an den Systemeinstellungen,
  • ein starker Zugangsschutz (komplexe Passwörter, weitere Faktoren bei der Zugangsprüfung) und
  • eine automatische Aktualisierung, um mögliche Sicherheitsupdates sofort einspielen zu können.

Download:


Mobile Apps und Browser-Plug-ins besonders kritisch

Diese Anforderungen müssen auch dann gelten, wenn der Fernzugang über eine mobile App für Smartphones realisiert wird oder durch eine Browsererweiterung.

Da solche Anwendungen und Plug-ins oftmals von Dritten bereitgestellt werden, ist die Kontrolle entscheidend, ob die App bzw. das Plugin wirklich sicher ist und was die kleine Anwendung tatsächlich bewerkstelligt. Sonst könnte sich ein unseriöser Anbieter eine Hintertür ins System verschaffen, so dass nicht nur der legitime Nutzer aus der Ferne zugreifen kann, sondern auch der Datendieb, der die App oder das Plug-in in Umlauf gebracht hat.

Nehmen Sie die vielfältigen Möglichkeiten der Fernzugriffe in den Blick, sonst könnten Datendiebe ganz nah an die vertraulichen Daten kommen. Die Checkliste zur Prüfung von Fernzugriffen und Lösungen zur Fernsteuerung kann Ihnen behilflich sein.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln