Fernwartungssoftware

Die Fernwartungssoftware (engl. Remote Administration Tool oder kurz RAT für wörtlich übersetzt „entferntes Verwaltungswerkzeug“) stellt eine Anwendung des Konzeptes Fernwartung für beliebige Rechner oder Rechnersysteme dar. Sie wird in der Regel genutzt, um sich von entfernten Orten auf anderen Rechnern anzumelden, um diese – für Reparatur- oder Wartungsarbeiten – fernzusteuern.

Computer vs. Embedded Systems[Bearbeiten | Quelltext bearbeiten]

Die Fernwartung von Computern gewinnt beim Support von Hard- und Software zunehmend an Bedeutung. Durch die immer stärkere Vernetzung der Computer über das Internet, den Aufbau von firmeninternen Intranets und herkömmliche Telekommunikationswege (ISDN, Telefon) erweitern sich die Möglichkeiten der direkten Unterstützung im Support. Nicht zuletzt wegen der Einsparmöglichkeiten bei Reisekosten und die bessere Ressourcennutzung (Personal und Technik) werden Produkte der Fernwartung zur Kostensenkung in Unternehmen genutzt.

Fernwartungsprogramme ermöglichen es dem entfernt sitzenden Servicetechniker, direkt auf den zu wartenden Rechnern Aktionen durchzuführen. Tastaturanschläge und Mausbewegungen können übertragen werden. Der Servicetechniker sieht die Bildschirmausgabe auf dem eigenen Bildschirm. Auf dem Markt gibt es mittlerweile ca. 200 Produkte mit unterschiedlichen technologischen Ansätzen und Leistungsparametern.

Eine andere, häufig verwendete Möglichkeit zur Fernwartung ist der Zugriff auf aktive Netzkomponenten zur Konfiguration oder Fehlerbehebung wie Switches oder Router. Dieser Zugriff erfolgt in den meisten Fällen aus dem internen Netzwerk, der Zugriff aus fremden Netzen (z. B. Internet) sollte eingeschränkt oder verboten werden.

Bei anderen Embedded Systemen (z. B. Maschinen, Maschinenparks, Aufzüge, Heizungsanlagen, kleine Endgeräte) gelten entsprechend andere Anforderungen.

Arten[Bearbeiten | Quelltext bearbeiten]

Es lassen sich verschiedene Verfahren der Fernwartung unterscheiden. Bei Unterstützung des sich weiter entfernt befindenden Anwenders wird oftmals der passive Übertragungsmodus verwendet. Dabei kann der Servicetechniker durch die Ansicht des entfernten Bildschirms Hilfestellungen geben. Tastatur- und Mauseingaben können nicht vorgenommen werden. Bei der aktiven Fernsteuerung kann der Servicetechniker auch die Maus und Tastatur des entfernten Rechners steuern und somit dem Anwender vor Ort direkte Unterstützung geben. Die aktive Fernsteuerung wird meist zur Fehlerbehebung eingesetzt.

Weiterhin unterschieden werden muss die Fernwartung von normalen benutzergesteuerten Endgeräten, wie z. B. PCs, sowie von reinen Embedded Systemen. Letzteres kann ein Mobiltelefon sein, aber auch beispielsweise eine Maschine in einem Industriebetrieb oder ein Aufzug in einem Gebäude. Für die Wartung der letzteren Geräte kommt häufig eine Direktverbindung zwischen Gerät und Fernwartungssystem (z. B. via Modem/ISDN) zum Einsatz. Die Umstellung auf IP-basierte Fernwartungssysteme ist hierbei eine aktuelle Zukunftsaufgabe.

Sicherheit[Bearbeiten | Quelltext bearbeiten]

Sicherheitsbedenken spielen bei der Entscheidung zum Einsatz von Fernwartungssoftware immer eine Rolle. Neben den rein technischen Parametern sollten organisatorische Regelungen bei dem Einsatz von Fernwartungssoftware in die Überlegungen einbezogen werden. Fernwartung heißt nicht zuletzt, dass ein Vertrauensverhältnis zwischen Sender und Empfänger bestehen muss. Sinnvoll sind vertragliche Vereinbarungen, die die Fernwartung regeln.

Folgende Sicherheitsfeatures sind beispielhaft denkbar und können, je nach Sicherheitsstufe bzw. Sensitivität des zu steuernden Computers umgesetzt werden:

Hilfesuchender muss der Fernwartung seines Rechners ausdrücklich vor Verbindungsaufbau zustimmen
innerhalb der Verbindung wird dauerhaft eine Fernwartungs-Information eingeblendet, die nicht versteckt werden kann
die Einstellungen bzw. Konfiguration der verwendeten Fernwartungssoftware ist gesperrt und kann nur von Personen verändert werden, die mit dem Fernwartungsprozess zu tun haben
der die Verbindung zur Fernwartung aufbauende Techniker muss sich authentifizieren
Fernwartungssitzung wird revisionssicher protokolliert (Text-Protokoll)
Fernwartungssitzung wird aufgezeichnet (Video-Protokoll)

Der Datenschutz muss in jedem Fall berücksichtigt werden, da schon mit der Einsichtnahme auf den entfernten Rechner unter Umständen vertrauliche Daten an den steuernden Techniker gelangen können. Computerkriminalität und der fahrlässige Umgang mit Daten können große Schäden verursachen, beispielsweise in Form des Technical Support Scam. Fernwartung und Sicherheit müssen sich aber nicht widersprechen. Eindeutige Identifizierungsverfahren, sichere Firewall-Einstellungen, hohe Verschlüsselungen (256 Bit) und Vertraulichkeitsvereinbarungen können einen hohen Sicherheitsstandard gewährleisten.

Ein bekanntes Beispiel für eine missbräuchliche Nutzung dieser Technologie war das Eindringen von Gary McKinnon auf US-amerikanische Regierungscomputer Anfang der 2000er Jahre.

Neue Technologien[Bearbeiten | Quelltext bearbeiten]

Neueste Technologien ermöglichen die gleichzeitige Nutzung von Chat, Dateiübertragung, Internet-Telefonie und Video, die Überwachung von Internetseiten und Helpdesk. Ein derartiges integriertes Live-Support-System erweitert die Leistungsfähigkeit des Supports und führt zusammenhängende Prozesse zu einem Workflow zusammen. Teilweise können derartige Online-Support-Systeme mit CRM-Systemen verbunden werden und bereits vor der eigentlichen Dienstleistung Daten zum Kunden und ggf. über das Netzwerk Systemdaten vom System abfordern. Dadurch ergeben sich erhebliche Vorteile für den Kundendienst, da dem Support-Mitarbeiter Zusatzinformationen zur Verfügung stehen, die die Unterstützung des Kunden wesentlich erleichtern können.

Damit stehen dem Benutzer, neben einer hochverschlüsselten Fernwartung (256 Bit), parallele Kommunikationswege zur Verfügung, welche die Möglichkeiten des Supports auf eine neue Ebene stellen. Da der Kundenbetreuer gesehen und/oder gehört werden kann (Voice/Video over IP), entsteht ein wesentlich „menschlicherer“ Kontakt zwischen beiden Seiten, welcher den Kundenbetreuer in die Lage versetzt, (fast) wie vor Ort Unterstützung zu geben. Da jedoch auch hier eine Software auf dem Client laufen muss (meist ActiveX oder Java), sollte zertifizierte Software bei sicherheitsrelevanten Anforderungen genutzt werden.

Plattformunabhängige Softwarelösungen ermöglichen die Fernwartung von Geräten mit unterschiedlichen Betriebssystemen.

Im Rahmen der Umstellung von veralteten Fernwartungssystemen auf Modem-/ISDN-Basis im Embedded-Bereich, z. B. für Maschinen oder Aufzüge, auf IP-basiertes Remote Management wird häufig auch eine Umstellung der zugrundeliegenden Software-Plattform des Clients angestrebt. Eine der Technologien, die hierbei zum Einsatz kommt, ist OSGi und dessen TCP/IP-basiertes Remote Management-Konzept. OSGi stellt dabei die Basis der Steuerungssoftware – oder läuft parallel zu dieser – und ermöglicht die Anbindung des Remote Management-Systems. Diese Umstellung erlaubt (nach Bedarf) die Weiterverwendung von GSM-/UMTS- oder ISDN-Verbindungen, erleichtert jedoch die Mitnutzung verfügbarer IP-Infrastruktur.

Eine weitere Möglichkeit ist die Cloud-basierte Fernwartung. In dieser Cloud werden ab Inbetriebnahme der Maschine die Daten der vernetzten Maschinen zusammengetragen und ausgewertet. Im Störungsfall meldet die betroffene Maschine an die Cloud, was defekt ist. Daraufhin können die an die Cloud angeschlossenen Fernwartungstechniker dieses Problem an der beschädigten Maschine beheben.^[1]

Programme zur unbeobachteten Fernsteuerung[Bearbeiten | Quelltext bearbeiten]

Einen Sonderfall bildeten Programme zur unbeobachteten Fernsteuerung von PC oder Servern. Hierbei ist es in der Regel erforderlich, als Administrator auf dem zu steuernden Rechnern eine entsprechende Software zu installieren, welche die Netzaktivitäten überwacht. Beim Einsatz derartiger Software sollten unbedingt die Sicherheitsparameter geprüft werden, da die menschliche Kontrolle wegfällt.

Beschaffung und Einsatz[Bearbeiten | Quelltext bearbeiten]

Die Entscheidung für eine Fernwartungssoftware sollte daher nicht nur der IT-Abteilung obliegen. Die Einbeziehung des Datenschutzbeauftragten und ggf. des Personalrates sollten obligatorisch sein. Es sollten der nötige Grad der Verschlüsselung, der Zugriffsschutz, die organisatorische Sicherheit (Identifizierbarkeit des Partners) und die Zuverlässigkeit der technischen Plattform berücksichtigt werden, da der mögliche Schaden bei fehlerhafter Software oder unsicheren Verbindungen auch durch Imageschäden oder monetäre Haftungen sehr hoch sein kann.

Vor dem Einsatz zu klärende Fragen:

Ermöglicht die Software eine verschlüsselte Übermittlung der Daten, welche Verschlüsselung wird verwendet?
Müssen Einstellungen an der Firewall verändert werden?
Muss eine Authentifizierung des Verbindungspartners erfolgen?
Werden Passwörter oder Schlüsselnummern offen transportiert?
Wird der Nutzer des zu wartenden Geräts über den Start der Fernwartung sowie die Auswirkungen informiert und muss ich der Ausführung zustimmen?
Verbleibt eine Software nach dem Schließen der Verbindung auf meinem PC?
Werden Daten im Rahmen der Fernwartung auf fremden Servern gespeichert?
Ist die Software zertifiziert?
Kenne ich den Dienstleister?
Wie schnell baut sich die Fernwartung auf?
Ist vom Anwender der Zugriff auf nur einzelne Applikationen eingrenzbar?
Wie viele unterschiedliche PC bzw. Server sind in absehbarer Zeit zu betreuen?
Wie viele PC bzw. Server sind maximal gleichzeitig zu betreuen?
Wie viele Lizenzen sind erforderlich, um die gewünschten Leistungen zu erbringen?
Sind die Lizenzen auf der Kundenbetreuerseite an bestimmte PC gebunden oder können sie von unterschiedlichen Arbeitsplätzen genutzt werden?
Wie hoch sind die Installationskosten (Personalkosten) und sonstige Folgekosten?
Stehen die Lizenzen als PC- bzw. Server-Lizenzen oder ausschließlich als ASP-Lizenzen zur Verfügung?

Sofern ein Support-System aufgebaut wird, das z. B. über ein Live-Support-System die Kommunikation organisieren und per Helpdesk die Zuordnung der Supporter organisieren, Fehler in entsprechende Datenbanken speichern und dann auch noch mehrere Spezialisten zusammenführen soll, ist es sinnvoll, die Integrationsfähigkeit des Produktes zu prüfen. Bei entsprechend hohem Nutzungsumfang ist ein Integriertes zu bevorzugen. Von der Fehlermeldung bis zur Fehlerbeseitigung kann die Kundenbetreuung ohne System- und Medienbrüche erfolgen. Gleichzeitig können Maßnahmen zur Fehleranalyse, zur Leistungsüberwachung und zur Rechnungsstellung bedient werden.

Eine konkrete Bedarfsanalyse einschließlich der Untersuchung organisatorischen Abläufe, technischer Parameter und rechtlicher Rahmenbedingungen können Fehlinvestitionen verhindern. Eine hohe Unabhängigkeit der Software vom Standort und dem Gerät des Kundenbetreuers sowie der Anzahl und dem Standort der fernzuwartenden PC bzw. Server bringen entscheidende Vorteile bei größeren Kundenzahlen.

Mögliche Aktionen[Bearbeiten | Quelltext bearbeiten]

Es sind zum Beispiel folgende Aktionen möglich:

Bildschirmerfassung (Screenshot, Screen-Sharing)
Dateiverwaltung (Hoch- und Runterladen, Umbenennen und Erstellen von Dateien usw.)
Kontrollieren
Registrierungsverwaltung
andere Funktionen

Direkte Verbindung[Bearbeiten | Quelltext bearbeiten]

Bei einer direkten Verbindung verbinden sich ein oder mehrere Client-Rechner direkt mit dem Server:

  [Client]       [Client]     |    [Client]  \     |      /	  /     |     /   __/     |    /  /     |   / /   [Server]-----[Client]

Entgegengesetzte Verbindung[Bearbeiten | Quelltext bearbeiten]

Alternativ kann sich der Server auch mit dem Client verbinden. Auf diese Art können beispielsweise Beschränkungen von Internet-Routern bei der Portweiterleitung umgangen werden. Durch automatisierte Verbindungen mehrerer Administrations-Server zu einem Client werden zudem z. B. Massenupdates möglich.

Funkt. Funkt.   \    /   Funkt. Funkt.   [SERVER]   \    /     |    [SERVER]     |      /     |     /     |    /   Funkt. Funkt.AKK     |   /      \     /   [CLIENT]-----[SERVER]

Missbrauch, Schadsoftware[Bearbeiten | Quelltext bearbeiten]

Viele trojanische Pferde und ähnliche Schadsoftware haben Fernwartungs-Funktionen. Oft muss erst eine Datei geöffnet oder gestartet werden, bevor ein Trojaner Zugriff auf den PC bekommt. Trojaner verbreiten sich gewöhnlich durch P2P-Netzwerke, E-Mail-Anhänge oder unbedachte Downloads.

Die meisten Trojaner tarnen sich durch gefälschte Fehlermeldungen. Manche schalten auch die Firewall und das Antivirusprogramm aus, damit sie nichts mehr am Zugriff hindern kann. Beispiele für die mögliche Schadwirkung derartiger Programme sind

Download, Upload, Löschen und Ändern von Dateien
Öffnen/Schließen des CD-ROM Laufwerks
Einschleusung von Würmern und Viren auf den PC
Protokollierung von Tastendrücken (Keylogger-Funktion)
Diebstahl von Kennwörtern (z. B. aus dem Internet Explorer)
Überwachung des Bildschirminhalts
Beendigung, Start, Überwachung von Prozessen
Maskierung von Desktop-Icons, Taskbar Dateien
Textausgabe
Ausgabe von Geräuschen über die Soundkarte
Kontrolle und Steuerung von Maus und Tastatur
Aufnahme und Übertragung von Audiosignalen z. B. eines angeschlossenen Mikrofons
Mitschnitt von Webcam-Signalen.

Ein solches trojanisches Pferd zu entfernen, ist meistens nicht einfach, da diese durch ihr Design häufig so ausgelegt sind, sich Zugriffen durch den Administrator bzw. Nutzer zu entziehen.