Ein 3-Schritte-Leitfaden mit bewährten Sicherheitsmaßnahmen, den häufigsten Fallstricken und zusätzlichen Tipps, um Betrüger zu stoppen
Einleitung
In der heutigen digitalen Welt ist die Absicherung von Remote-IT-Supportsitzungen wichtiger denn je. Nicht weniger als 80 % der Ransomware-Angriffe beginnen über Kanäle mit Remotezugriff, und die Angreifer haben es auf diese Tools abgesehen. Es stand noch nie so viel auf dem Spiel wie heute, denn KI gibt Cyberkriminellen neue Möglichkeiten für überzeugendes Social Engineering, schnellere Aufklärung und automatisierte Malware-Erstellung. In diesem Umfeld muss jede Organisation Maßnahmen ergreifen, um ihre IT-Supportsitzungen abzusichern.
In diesem Leitfaden finden Sie die drei wichtigsten Schritte zur Absicherung des Remotezugriffs sowie Best Practices und häufige (und kostspielige) Sicherheitsfallstricke für jeden dieser Schritte. Außerdem erhalten Sie einen zusätzlichen Schritt, der sich speziell auf die Teilnahme an Supportsitzungen bezieht und Ihnen hilft, Ihre Benutzer vor Identitätsdieben und Betrügern zu schützen.
Warum ist IT-Remotesupport für Hacker so attraktiv?
Wenn Sie die Schlagzeilen zur IT-Sicherheit aufmerksam verfolgen, ist eines klar: Remote Access Tools (RATs) sind ein Hauptziel für Angriffe auf die Lieferkette – wobei Angreifer den Support-Anbieter als Einstiegspunkt in viele andere Organisationen kompromittieren. Vielleicht erinnern Sie sich noch daran, als Angreifer durch Ausnutzung einer Schwachstelle in BeyondTrust in das US-Finanzministerium eindrangen oder als 1.500 Unternehmen dank kompromittierter Kaseya-Server mit Ransomware infiziert wurden.
Um zu verstehen, warum diese Tools für Angreifer so attraktiv sind, ist es hilfreich, die Remoteunterstützung zunächst in zwei Haupttypen zu unterteilen, da beide einzigartige Sicherheitsaspekte aufweisen und für Hacker attraktiv sind:
- Unbeaufsichtigter Zugriff: Zugang zur Zentrale
- Beaufsichtigte Supportsitzungen: Trojanische Pferde für Social Engineers
Der unbeaufsichtigte Zugriff (auch Remotezugriff oder Remote Desktop genannt) ermöglicht es Technikern, sich mit Geräten zu verbinden, ohne dass ein Endbenutzer anwesend ist. Dies geschieht in der Regel über einen vorinstallierten Host auf verwalteten Endgeräten und mit Admin-Berechtigungen. Diese Tools, die sowohl von MSPs als auch von Remote-Mitarbeitern genutzt werden, sind eine echte Goldgrube für Hacker, da die Kompromittierung eines Satzes von Zugangsdaten bedeuten kann, dass man die Kontrolle über Hunderte oder Tausende von Endgeräten erlangt. Außerdem machen es die integrierten Automatisierungsfunktionen Angreifern leicht, Malware zu verbreiten oder Daten zu stehlen, ohne von Sicherheitstools markiert zu werden, sodass sie sich im Verborgenen halten können.
Für beaufsichtigte Sitzungen (oder Ad-hoc-Sitzungen) ist kein vorinstallierter Host erforderlich. Stattdessen muss der Endbenutzer einen temporären Zugang für einen Techniker einrichten, oft durch Eingabe einer PIN oder durch Klicken auf einen Link. Diese eignen sich perfekt für den Support nicht verwalteter Geräte, bieten aber auch Angreifern eine Chance. Indem sie sich als IT-Mitarbeiter oder Lieferanten ausgeben, können Hacker Benutzer dazu verleiten, ihnen direkten Zugriff zu gewähren – wodurch mit nur einem einzigen überzeugenden Angriff eine Kompromittierung in Echtzeit möglich wird..
3 Schritte zum abgesicherten Remotezugriff (+ 1 Bonusschritt für beaufsichtigten Zugriff)
Schritt 1: Sperren Sie Ihre Konten und Sitzungen
Im Idealfall wollen Sie Angreifer stoppen, bevor sie auf Ihre Konten oder Geräte zugreifen können. Best Practices sind unter anderem:
- Verschlüsselte Tools verwenden: Verwenden Sie immer Tools für den Remotesupport, die eine starke, getestete Verschlüsselung bei jedem Schritt der Verbindung bieten. Achten Sie auf Plattformen, die TLS 1.3-Transportsicherheit und die integrierte AES-256-Bit-Verschlüsselung verwenden, damit alle Daten geschützt sind.
- Implementierung der Multi-Faktor-Authentifizierung (MFA): Studien zeigen, dass MFA bis zu 99,9 % der automatisierten Angriffe auf Anmeldeinformationen abwehren kann, aber oft nicht durchgesetzt wird. Dabei ist MFA mit Sicherheit eine der wirksamsten Einstellungen, die Sie vornehmen können.
- Einschränkungen bei der Anmeldung: Verlangen Sie starke, eindeutige Passwörter, indem Sie Passwortrichtlinien für Komplexität und Rotation einrichten oder Single Sign-On (SSO) für verbesserte Sicherheit verwenden (einschließlich passwortloser Optionen). Sie können ggf. auch den Konsolenzugriff auf vertrauenswürdige Netzwerksegmente beschränken, indem Sie IP-Einschränkungen verwenden.
⚠️ Vermeiden: Legacy-Tools wie RDP oder VNC. Diese Protokolle werden häufig von Angreifern ins Visier genommen, da sie häufig nicht über moderne Sicherheitskontrollen verfügen, standardmäßig schwach oder gar nicht verschlüsselt sind und anfällig für Brute-Force- und Exploit-basierte Angriffe sind – vor allem, wenn sie dem Internet ausgesetzt sind. Wenn diese Tools nicht über sichere Kanäle wie ein VPN getunnelt und durch Firewall-Regeln stark eingeschränkt sind, können sie Ihre Systeme für Angriffe anfällig machen.
Schritt 2: Reduzieren Sie das Risiko im Falle von kompromittierten Zugangsdaten oder Insider-Bedrohungen
Eine gute Sicherheitsstrategie konzentriert sich nicht nur auf die Sicherung von Konten, sondern auch auf die Minimierung des Schadens, wenn Zugangsdaten kompromittiert werden. Zu den Best Practices gehören:
- Rollenbasierte Zugriffskontrollen und das Prinzip der geringsten Rechte: Die Beschränkung der Zugriffsrechte von Benutzern auf das für ihre Rolle erforderliche Minimum reduziert die Möglichkeiten, die Hacker mit einem beliebigen Satz kompromittierter Zugangsdaten haben. Dies kann so aussehen, dass Sie bewusst festlegen, wer über Admin-Zugang verfügt, Techniker-Gruppen erstellen und Sitzungsrechte einschränken.
- Zero-Trust-Architektur: Einige Tools (wie LogMeIn Resolve) verwenden Zero-Trust-Modelle, die vor sensiblen Aktionen eine zusätzliche Überprüfung auf Geräteebene erfordern. Für diese Überprüfungen ist ein spezieller Schlüssel erforderlich, der nicht vom Anbieter gespeichert wird, sodass die Geräte auch im Falle eines Einbruchs beim Anbieter sicher sind.
- Richtlinien zur Datenspeicherung und -aufbewahrung: Speichern Sie nur die minimal benötigten Daten. Wenn Sie Chat-Protokolle, IPs oder andere persönliche Daten nicht benötigen, deaktivieren Sie sie oder automatisieren Sie die Löschung. Verkürzen Sie die Aufbewahrungsfristen, damit alte Daten für Angreifer nicht verfügbar sind.
⚠️ Vermeiden: Tools, die einen unbeaufsichtigten Zugriff ohne Passwort oder nur mit einem tool-spezifischen Passwort für Remotesitzungen erlauben. Kein Passwort zu verwenden, ist besonders riskant, da Angreifer nur Ihre Remote-Support-Zugangsdaten benötigen, um vollständigen Zugriff auf Ihre Endgeräte zu erhalten. Tool-spezifische Passwörter sind etwas besser, aber oft nicht so sicher oder gut geschützt, wie es Ihre Unternehmensrichtlinien erfordern, und können wiederverwendet, leicht erraten oder bei einer Sicherheitsverletzung beim Anbieter kompromittiert werden. Entscheiden Sie sich stattdessen für Tools, die eine Zero-Trust-Prüfung oder die lokalen oder Admin-Zugangsdaten des Geräts erfordern. Auf diese Weise wird der Zugriff durch die bestehenden Sicherheitsstandards Ihres Unternehmens geschützt.
Schritt 3: Bereiten Sie sich auf eine schnelle Erkennung und Reaktion vor
Selbst die beste Abwehr kann nicht garantieren, dass es nie zu einem Vorfall kommt. Daher ist die Fähigkeit, verdächtige Aktivitäten schnell zu erkennen und effektiv zu reagieren, entscheidend für die Schadensminimierung. Zu den Best Practices gehören:
- Warnmeldungen in Echtzeit: Aktivieren Sie Sofortbenachrichtigungen für kritische Kontobewegungen wie fehlgeschlagene Anmeldeversuche, Passwortänderungen oder neue Admin-Aktivitäten, damit Sie sofort handeln können, wenn etwas Verdächtiges auftritt.
- Umfassende Audit-Berichte und Protokolle: Verwenden Sie Tools, die detaillierte, manipulationssichere Berichte erstellen , die sowohl die Konto- als auch die Sitzungsaktivitäten protokollieren, z. B. Anmeldeinformationen, Aktionen von Technikern, Gerätezugriffe, Dateiübertragungen und Berechtigungsänderungen. Exportieren Sie Protokolle zur Einhaltung von Vorschriften, speichern Sie sie an einem sicheren Ort und bewahren Sie sie zur Unterstützung von Untersuchungen oder Audits auf.
- Sitzungsaufzeichnung: Ziehen Sie in Erwägung, die automatische Sitzungsaufzeichnung zu aktivieren, um ein visuelles Audit-Protokoll der Sitzungsaktivitäten zu erhalten. Je nach Datenschutz- oder Compliance-Anforderungen kann diese Praxis zusätzlichen Einschränkungen unterliegen, z. B. der Benachrichtigung der Benutzer und der Festlegung angemessener Aufbewahrungsfristen. Wenn Sie sich für diese Funktion entscheiden, konfigurieren Sie Ihr Tool so, dass die Aufzeichnungen im Ruhezustand verschlüsselt werden und nicht von Technikern angehalten oder deaktiviert werden können. So wird eine kontinuierliche, zuverlässige Aufzeichnung gewährleistet.
⚠️ Vermeiden: Die Verwendung gemeinsam genutzter Agentenkonten. Dies mag zwar kostengünstig erscheinen, aber gemeinsame Anmeldeinformationen machen es unmöglich, verdächtige Aktivitäten genau zu verfolgen, Vorfälle zu untersuchen oder die richtigen Personen für ihre Handlungen verantwortlich zu machen. Eine kostengünstige und ebenso flexible Alternative sind Lösungen, die Concurrent-Lizenzierung anbieten, bei denen mehrere Agenten Lizenzen gemeinsam nutzen können, aber dennoch individuelle Zugangsdaten für Audit und Nachvollziehbarkeit behalten.
Bonusschritt: Schützen Sie Endbenutzer vor Imitatoren
Die Sicherung des Remotezugriffs ist zwar von entscheidender Bedeutung, aber manchmal müssen Angreifer Ihre Konten nicht hacken – sie müssen nur Ihre Benutzer austricksen. Im Folgenden finden Sie einige Taktiken, die Sie zum Schutz der Benutzer während der Teilnahme an Sitzungen einsetzen können.
- Einmalige PINs und Applets: Verwenden Sie Tools, die einmalige , zeitlich begrenzte Codes für jede Sitzung generieren und temporäre, sich selbst entfernende Applets für beaufsichtigten Support starten. Dies minimiert das Risiko, indem es einen dauerhaften Zugriff nach Beendigung der Sitzung verhindert.
- Branding-PIN-Seiten mit Validierung: Wenn Sie einen PIN-Code verwenden, um eine beaufsichtigte Sitzung zu starten, betten Sie Ihre PIN-Eingabeseite auf Ihrer eigenen Website oder als Desktop-Verknüpfung ein und konfigurieren Sie sie so, dass sie nur Codes von Ihrem Konto akzeptiert. Dies macht es für Angreifer viel schwieriger, sich als Ihr Team auszugeben.
- IP-/Geräteeinschränkungen für Endbenutzer: Einige Tools für den Remotesupport ermöglichen es Ihnen, bestimmte IPs und Geräte so einzuschränken, dass nur Ihr Konto darauf zugreifen kann, wobei Sitzungsversuche von anderen Konten blockiert werden. Die Implementierung dieser Funktion und die Blockierung anderer Remote-Tools über die Firewall kann eine besonders effektive Methode sein, um Betrüger abzuwehren, die versuchen, ihre eigenen Tools zu verwenden oder einen unbefugten, unbeaufsichtigten Zugriff einzurichten.
⚠️ Vermeiden: Tools, die von Endbenutzern verlangen, eine permanente App mit einer wiederverwendbaren ID und einem Passwort zu installieren. Solche dauerhaften Zugangsdaten können von Angreifern missbraucht oder wiederverwendet werden, wodurch das Risiko eines unbefugten Zugriffs noch lange nach dem Ende der ersten Supportsitzung steigt. Denken Sie daran: Das sicherste Schloss ist keine Tür.
Fazit
Wenn Sie diese Best Practices befolgen, können Sie das Risiko von Datenschutzverletzungen beim IT-Remotesupport drastisch reduzieren. Gleichzeitig sollten Sie bedenken, dass Sie nicht nur die richtigen Einstellungen vornehmen müssen, um Remote-Supportsitzungen abzusichern. Echter Schutz bedeutet, sich sowohl gegen technische Angriffe – wie Brute-Force-Angriffe, Schwachstellen oder Malware – als auch gegen vom Menschen ausgehende Bedrohungen wie Social Engineering, Insider-Bedrohungen oder gestohlene Zugangsdaten zu verteidigen. Der Aufbau echter Resilienz erfordert eine Sicherheitskultur, die durch kontinuierliche Sensibilisierungsschulungen, klare Pläne zur Reaktion auf Vorfälle und eine sorgfältige Evaluierung der Anbieter gefördert wird. Bleiben Sie wachsam, machen Sie Sicherheit zur Gewohnheit, und Ihre Organisation wird immer einen Schritt voraus sein – ganz gleich, wie weit Ihr Support entfernt ist.
Sie möchten mehr erfahren? Entdecken Sie, wie die Zero-Trust-Architektur von LogMeIn Ihnen helfen kann, jede Remotesupport-Sitzung abzusichern, Ihre Daten zu schützen und das Vertrauen der Benutzer zu gewinnen.