In nahezu jedem fünften Datenschutzvorfall der letzten Jahre waren dritte Parteien involviert. Das reicht von geteilten VPN-Zugängen über fehlende Segmentierung bis hin zu keiner Echtzeitüberwachung von Zugriffen. Insbesondere in der Fertigungsindustrie, wo externe Verbindungen zu Dienstleistern, Lieferanten und Partnern zum Alltag gehören, kann dies schnell zu einem strukturellen Risiko werden.
Leider werden diese Verbindungen häufig nur als betriebliche Notwendigkeit betrachtet, nicht jedoch als Einfallstor. CheckPoint hatte mich bereits Anfang des Monats auf das Thema hingewiesen. Laut dem Bericht von IBM Cost of a Data Breach Report, auf den mich CheckPoint verwies, dauern Sicherheitsvorfälle, bei denen dritte Parteien involviert sind, durchschnittlich 26 Tage länger – und kosten mehr als 4,46 Millionen US-Dollar (rund 3,9 Millionen Euro) je Vorfall. Der Schaden ist nicht nur finanziell Natur, sondern trifft die Unternehmen auch operativ: Produktionsausfälle, Datenabfluss und Reputationsverlust sind die Regel, nicht die Ausnahme.
Fremdzugriff als Teil der Angriffsfläche
Die Fertigung lebt von Vernetzung. Lieferanten sind in Planungssysteme eingebunden. Remote-Ingenieure beheben Fehler an Industrieanlagen. Externe Teams verwalten vieles, von Software-Updates bis zur Logistikverfolgung.
Das ergibt mehr Möglichkeiten für Angreifer, mehr Zeit, unentdeckt zu bleiben, und einen größeren potenziellen Schaden. Mit zunehmender Größe und Komplexität des Zugriffs durch Dritte steigt also auch das Cyber-Risiko.
Anzeige
Hinzu kommt: Sogar starke interne Schutzmechanismen sind wirkungslos, wenn der Eintrittspunkt ein Partner ist. Die hochvernetzte Struktur moderner Fertigung ermöglicht es Angreifern, sich seitlich durch die Systeme zu bewegen. Dies ist insbesondere kritisch zu betrachten, wenn IT und OT immer stärker verschmelzen und Produktionssysteme ebenso erreichbar werden wie Unternehmensnetzwerke.
Umdenken erforderlich
Ein Umdenken ist daher erforderlich. Immer mehr CISOs in der Fertigungsbranche richten ihr Augenmerk verstärkt auf das Management des Zugriffs durch Dritte als wesentlichen Bestandteil ihrer Sicherheitsstrategie. Der Fokus liegt auf vier zentralen Fragen:
- Wer greift zu? (verifizierte Identität und Kontext).
- Wozu? (Zugriff nur auf das Nötige, nur so lange wie nötig).
- Was passiert dabei? (lückenlose Session-Überwachung).
- Wie schnell lässt sich der Zugriff beenden? (umgehende Sperre ohne manuelle Prozesse).
In der Praxis bedeutet dies, dass Drittanbieterzugriffe genauso kontrolliert, begrenzt und überwacht werden müssen wie interne Verbindungen. Dazu gehören klare Rollen- und Rechtemodelle, eine Echtzeitüberwachung aller Sessions sowie die Möglichkeit, Zugriffe bei Bedarf sofort zu sperren. Das Ziel besteht darin, jede Verbindung nachvollziehbar und beherrschbar zu gestalten – nicht mehr, aber vor allem nicht weniger.
Fazit
In Zeiten globaler Lieferketten, vernetzter Produktionsanlagen und wachsender Angriffswellen ist es keine Option mehr, Zugriffe durch dritte Parteien stiefmütterlich zu behandeln, oder nur als Vereinfachung der Abläufe zu betrachten. Sie stellen eine zentrale Angriffsfläche dar, der entsprechend Beachtung geschenkt werden muss, denn Hacker brauchen ein Unternehmen nicht direkt treffen, sondern können einen Lieferanten oder Partner attackieren und den Drittparteienzugriff als Einfallstor missbrauchen.
Anzeige
MVP: 2013 – 2016
Danke Dir für diesen Artikel. In Deinem Blog hast Du ja bereits öfters über Vorfälle mit Anydesk, Teamviewer & Co geschrieben. Diese Remotezugriffs-Software sind ein Teil des Problems, weil der einfach Zugriff von außen genau darüber zustande kommt. Und Dienstleister gehen erfahrungsgemäß schludrig mit Zugangsdaten um – es läuft am Ende auf Exceldateien im SMB-Share für alle hinaus. Aber das ist nur ein Teil, ein Faktor.
Ein anderes Problem ist, dass Unternehmen i.d.R. einem Zoo an unterschiedlichen Dienstleistern und Lieferanten entgegen stehen, jeder mit seiner eigenen Remote-Lösung und Zwang zur Installation. Manche sogar dauerhaft um jederzeit auf die Systeme zu kommen. Unternehmen bzw. IT-Verantwortliche kapitulieren da oftmals. Die Gründe: Kein Sinn/Verständnis für diese Gefahr und wenn doch, dann meist keinen Support der Geschäftsführung, die diesem Problem keine Prio beimisst. Das ist ebenfalls ein Teil, ein Faktor.
Kommen wir zum letzten Faktor. Das Management externer Dienstleister ist mitunter Arbeit und erfordert Rückgrat. Gegenüber eigenwilligen (meist eh unprofessionell) arbeitenden externen Dienstleistern, die weiterhin auf Teamviewer & Co beharren. Gegenüber den eigenen Mitarbeitern und auch der Geschäftsführung, die es auf Augenhöhe "abzuholen" gilt.
Es ist ein Managment externer Zugriffe notwendig. Einfach in der Benutzung (im Webbrowser), mit 2FA (TOTP) und einer einfachen Übersicht und Kontolle inkl. Liveaufzeichnung. Wer hat wo, wann, was gemacht.
Auf technischer Seite sind alle Instrumente und Möglichkeiten längst da.
Es ist eine Kombination aus Guacamole als Gateway, einem Linux-Terminalserver als Jumphost und mit vLANs von anderen Teilen des Unternehmens segmentierte und vom Internet wegisolierte Netzwerkumgebungen nahelegen. Your milage may vary.
Hier der schamlose Verweis auf meinen Blog mit genau dieser Lösung, die ich seit vielen Jahrne so verbaue:
https://blog.jakobs.systems/blog/20231010-supplychain-management/
Hier das Follow-Up mit Fragen auf Antworten und der Empfehlung, für den internen Support Rustdesk mit einem eigenem Server zu nutzen:
https://blog.jakobs.systems/micro/20231017-rustdesk/
"Übersicht und Kontrolle inkl. Liveaufzeichnung. Wer hat wo, wann, was gemacht. "
Dein Linux-Jumphost und dein Guacamole machen genau sowas nicht.
Du weißt nicht, wer was wann wo auf welche Dateien im Netz zugegriffen hat. Du weißt nicht, wer was wann wo per Email verschickt hat. Du weißt nicht, wer was wann wo welche Webseiten von intern zugegriffen hat oder dort vielleicht sogar was hochgeladen hat. Du weiß nicht mal ob diese Dateien einer Klassifizierung unterliegen. Du weißt mit deinen Vorschlägen nicht, was in deinem Active-Directory vor geht, wer wann was wie wo welche Änderungen durchgeführt hat. Und du weiß vieles weitere aus dem Inneren deines Netzwerkes nicht. Und ein Linux als Jumphost kannst du für "normale Nutzer" eh vergessen. Die brauchen was, was sie kennen.
"Übersicht und Kontrolle inkl. Liveaufzeichnung. Wer hat wo, wann, was gemacht. " – das ist eine ziemliche Herausforderung, ein SIEM wäre ein Schritt in die richtige Richtung, das lückenlos von überall die Syslogs, Eventlogs, usw. einsammelt, auswertet und klassifiziert. Aber ein SIEM wird dich dann mit Informationen so sehr fluten, dass du da vor lauter Wald die Bäume nicht mehr siehst, weil es dir ungefiltert alles präsentiert, ohne das "normale/Harmlose" auszufiltern. Und ein SIEM kann keine Daten auf beliebigen Storages, Shares, Cloudsystemen usw. klassifizieren und monitoren – schonmal versucht, bei einem deiner Kunden in den Filsehares alle Dateien mit Klartextpasswörtern zu finden? Oder Klartextpasswörter im Firmeneigenen Sharepoint/Confluence/Wiki/…-Seiten? Und ein SIEM führt die Daten auch nicht wirklich zusammen, ja, irgendwie schon, aber wenn du ihm die Frage stellt, was hat User-XY im Zeitraum sowieso alles angestellt?" wird es an seine Grenzen stoßen, weil ein SIEM die Zusammenhänge nicht wirklich versteht. Und es kann dir die Frage "User-xy – wo kann der überhaupt überall zugreifen und liegt dort was, was ihn nichts angeht?" nicht beantworten.
Was du hier betreibst ist Augenwischerei, Sand in die Augen streuen, aber keine Lösung! Die IX hat im Heft 2/25 eine Kurzübersicht wirklich hilfreicher Software in dem Bereich "DSPM" (Data Security Posture Management) gegeben, da gehts in dieser Richtung richtig zur Sache, die Sachen werden per KI ausgewertet, es wird das Benutzervehalten analysiert, was macht der normalerweise, wo meldet der sich an, wo nicht, und erkennt so unter anderem untypisches Anmeldeverhalten, Zugriffe (user accessed first time xyz…, user read 50gb data and uploaded to abc), sowas ist halt auch nicht ganz billig zu bekommen.
Hier ein bisschen Einführung in dieses Thema:
https://www.ibm.com/de-de/topics/data-security-posture-management
Weitere Player in dem Spiel sind die Hersteller BigID, Forcepoint, Rubrik, Varonis und Wiz.
Und falls du ein IX/Heise+-Abo hast: https://www.heise.de/select/ix/2025/2/2426309471576823187
Überwachung auf Dateiebene könnte man z.B. bei jedem Windows aktivieren.
Die Ergebnisse landen dann im Ereignisprotokoll von Windows.
Das ist aber per Default deaktiviert, weil dann die Logs sehr sehr schnell sehr sehr groß werden. Schon bei einer rel. kleinen Benutzerzahl.
Ja, kann man. Jetzt stell dir aber vor, du hast einen Zwischenfall, einen Verdacht, und willst/musst(!) innerhalb von Minuten wissen, was passiert ist. Du hast 20 verschiedene Fileserver und das geht in die 2-3 stelligen Terrabytes oder größer, was da rumliegt.
Und jetzt liegt der Vorfall vielleicht schon ein paar Stunden/Tage zurück. Der Eventlog von Windows kann aber nur 4GB groß werden. Das ist bei vielfrequentierten Fileservern wenig.
externe Dienstleister am Arbeiten zu hindern ist aber auch keine Lösung, man kommt einfach nicht vorwärts und gibt irgendwann die Tätigkeit auf, wenn man administrative Mikroschritte orchestrieren muss. Diese Kunden säge ich konsequent ab, denn Arbeit muss Spaß machen. Mit ausreichender Sicherheitsfreigabe muss man eben vertrauen können.
Copy&Paste ist oft untersagt, da bekommt man wirklich die Krätze, wenn man noch nicht mal das 24 stellige PW als Text über den Remotezugang kopieren kann. Oder ellenlange PS 2 Zeiler oder gar Skriptschnipsel. Da kann man auch die Triumph Adler auspacken, das ist doch wirklich nonsens.
Zugänge über TV etc. sind allerdings ein nogo, 2-Faktor sind Pflicht, da stimme ich zu.
Die Passwörter innerhalb der Remotesitzung müssen halt innerhalb der Sitzung verwaltet werden können, und nicht außerhalb. Passwörter, die außerhalb der Sitzung verwaltet werden, sind schon abgeflossen. Dann klappts auch mit Copy&Paste.
Den Leuten auf dem Remote-Terminalserver ein Keepass zur Verfügung zu stellen ist nicht schwer.
copy&paste müssen funktionieren, oder tippst Du Einzeiler ein? Dafür braucht man kein hochqualifiziertes externes Personal, das können auch eigene Azubis sein.
Ohne C&P kein Arbeitsfluss, das lehne ich grundsätzlich ab.
Es geht ja nicht nur um PW Eingaben, es gibt ja remote noch anderes zu erledigen.
Hängt halt von der Tätigkeit ab, aber in unserem Umfeld hatte man zuletzt in den 90ern Code aus dem Heft abgetippt.
Das ist ja in der Theorie alles schön und gut. Aber was machst du als kleiner Mittelständler, wenn der Hersteller deines on-premises ERP-Systems (Millionenschwerer, internationaler Konzern) dir vorgibt, dass deren Support via fest installiertem TeamViewer-Host erfolgt? Der frühere VPN-Zugriff ist "aus Sicherheitsgründen" eingestellt worden, MFA gibt es nicht – und wo das fest vergebene Passwort bei denen abgelegt wird, will man gar nicht wissen (die weiter oben bereits erwähnte Excel-Datei auf einem SMB-Share ohne weitere Zugriffsbeschränkungen scheint da nicht so ganz fernliegend).
Das kannst du nur so annehmen, wie es dir angeboten wird – ansonsten gibt es halt keinen Support und keine Updates. Und mal eben wechseln wirst und kannst du eine solche Software schlicht nicht – zumal die Auswahl auf dem Markt jetzt auch nicht so riesengroß ist.
Bei uns gibts für sowas eine Citrix-Terminalserver-Farm mit aktuellen Netscaler und 2FA, in denen es auch zwei spezielle Terminalserver für externen IT-Support gibt. Die Nummer "Teamviewer" (u.ä.) tun wir uns nicht an. Wollen die uns als Kunden haben, müssen sie sich an unsere Spielregeln halten. Fertig.
"Wollen die uns als Kunden haben, müssen sie sich an unsere Spielregeln halten. Fertig."
Dann seid ihr wohl ein Konzern, der sich seine Partner relativ frei aussuchen kann.
Wenn du dir das leisten kannst und eine entsprechende Verhandlungsposition hast, kommt du damit in der Regel auch ganz gut durch – wir bekommen ja am Rande auch mit, was die große Konkurrenz teilweise an Extra-Würsten seitens der Softwareanbieter bekommt. Aber was machst du als KMU, der das branchenspezifische On-premis-ERP-System eines bestimmten Anbieters nutzt? Die Software wechseln? Das ist ein riesiger Akt, kostet gigantisch Geld, dauert mit Planung und Umsetzung Jahre – und wo willst du überhaupt hin wechseln? Alternativen mit vergleichbarem Leistungsspektrum gibt es nicht sehr viele. Und wer sagt dir überhaupt, dass die die Konkurrenz in diesem Bereich überhaupt besser ist? Letztlich ist die Frage, mit welcher Software der Anbieter seinen Support durchführt, auch kaum das entscheidende Kriterium, wenn es um die Auswahl einer branchenspezifischen ERP-Lösung geht. Am Ende des Tages müssen wir Geld verdienen, nicht die höchstmögliche IT-Sicherheit erreichen. Und das sage ich als jemand, dem IT-Sicherheit seit Jugendtagen immer am Herzen gelegen hat. Aber Fakt ist, dass wir mit IT-Sicherheit kein Geld verdienen. IT-Sicherheit kann einen davor schützen, Geld zu verlieren – aber dafür muss man erst mal welches verdient haben.
Du kannst nur Geld verdienen und einen Betrieb am Leben erhalten, in dem du die IT sicher hälst. Du musst dir die Frage stellen, wie lange du ohne IT deinen Betrieb aufrecht erhalten kannst, für den Fall, dass ein Angreifer über eine Schwachstelle in deinem Konstrukt rein kommt und dir alles lahmlegt.
Ja, der Wechsel der ERP-Software ist mitunter sehr schwierig, aber muss ja auch nicht. Du musst nur deinen Anbieter dazu befähigen, auf eine sichere Methode darauf zugreifen zu können. Für den ist es keine große Änderung, ob er mehr oder weniger unkontrolliert über Teamviewer rein kommt, oder ob du ihn z.B. auf eine Citrix-Login-Seite umleiten kannst. So ein Citrix-Login ist für den Benutzer nichts schwieriges, wenn man so eine Umgebung sowieso hat. Eine Alternative für solch eine komplexe/teure Citrix-Umgebung wäre vielleicht noch ein VPN-Zugang, und wenn man dem Anbieter dafür ein billiges Notebook dafür zur Verfügung stellen müsste, das man dafür auch gut härten müsste. Eins von beidem brauch man sowieso, wenn man seinen Mitarbeitern heute Homoeoffice ermöglichen will/muss.
"Du musst dir die Frage stellen, wie lange du ohne IT deinen Betrieb aufrecht erhalten kannst, für den Fall, dass ein Angreifer über eine Schwachstelle in deinem Konstrukt rein kommt und dir alles lahmlegt."
Genau das ist der Punkt: Ja, ein vollständiger Ausfall der IT wäre ärgerlich. Aber die Auswirkungen auf das operative Tagesgeschäft wären relativ überschaubar. Der Platz würde davon gar nichts mitbekommen, die Waage funktioniert übergangsweise problemlos auch ohne Netz (mit Stift und Papier), für die Dispo und Auftragsannahme wäre das Hauptproblem, dass man nicht an die bestehenden Daten herankommt – aber auch das ist für eine begrenzte Zeit verschmerzbar. Rechnungen könnte man in der Zeit nicht schreiben, aber auch das ist für ein paar Wochen kein existentielles Problem. Rechnungen buchen und bezahlen wäre sogar weiterhin möglich, die FiBu läuft inzwischen als SaS – mit Notebook und Hotspot wäre die reine FiBu außerhalb der WaWi also schon wieder hinreichend arbeitsfähig.
Wir haben ein funktionierendes und gesichertes Backup-System, wir haben funktionierende und getestete Wiederherstellungszenarien mit sehr überschaubarer Wiederherstellungsdauer, wir haben noch alte Server, die man problemlos als Übergangslösung wieder in Betrieb nehmen könnte – und die Clients hat man in wenigen Stunden platt gemacht und neu aufgesetzt. Alles in allem müsste schon sehr viel schief gehen, damit wir nicht innerhalb einer Woche wieder hinreichend arbeitsfähig sind. Die Vorgänge aus der Backup-Diskrepanz und der „Papier-Zeit" direkt nach dem Vorfall nachzuerfassen mag etwas länger dauern, aber ist m. E. ebenfalls in überschaubarer Zeit machbar.
Trotzdem lässt man es natürlich nicht darauf ankommen und sichert sich so weit wie möglich ab – aber am Ende eben immer auch mit dem Blick auf die Kosten-Nutzen-Abwägung. Natürlich hätte ich gerne maximale Sicherheit – aber wenn die Kosten dafür in keinem angemessenen Verhältnis zu dem realistischen (!) Risiko stehen, lässt sich das betriebswirtschaftlich nur sehr eingeschränkt vertreten.
So viel zum ersten Teil. Zu deinem Zweiten Absatz:
„Du musst nur deinen Anbieter dazu befähigen, auf eine sichere Methode darauf zugreifen zu können."
Es geht gar nicht darum, ob ich den Anbieter zu irgendwas befähigen könnte oder diese Methode für ihn zumutbar wäre. Es geht darum, dass mir der Anbieter sagt „Machen wir nicht. Entweder stellst du eine von uns unterstützte Lösung (TeamViewer) zur Verfügung, oder du lässt es (mit der Konsequenz, dass es halt keinen Support und keine Updates gibt). Punkt.". Das ist ein großer Konzern mit tausenden Kunden weltweit – die backen keine Extrawurst für ein KMU irgendwo in Deutschland, egal mit welchen Argumenten du da um die Ecke kommst. Und die stellen sicher kein extra Notebook für einen kleinen Mittelständler in NRW irgendwo in die Ecke – mal abgesehen davon, dass der Support u. A. in München, Berlin und Irland sitzt – zum Teil vielleicht auch in Indien. Solange die großen Kunden da keinen Druck machen, wird sich in der Hinsicht nichts bewegen. Und die scheinen sich irgendwie damit arrangiert oder eine Lösungen verhandelt zu haben.
Zur Praxis: Der Kompromiss ist aktuell, dass wir den TeamViewer nur einzelfallbezogen auf konkrete Anforderung des Supports zur Verfügung stellen. Das ist zwar manchmal etwas nervend, aber funktioniert insgesamt hinreichend. Und ansonsten ist das halt ohnehin ein Auslaufmodell, da die Software leider (oder vielleicht doch: zum Glück) ohnehin in in die Cloud geht und in eine SaS-Lösung migriert wird – damit hätte sich das Problem, dass der Support auf unsere Infrastruktur zugreifen muss, ohnehin erledigt. Ob das am Ende sicherer ist, mag dahinstehen – aber die Sache ist damit aus unserem Zugriff und (faktisch, nicht rechtlich) auch aus unserer unmittelbaren Verantwortung raus.
"Rechnungen könnte man in der Zeit nicht schreiben, aber auch das ist für ein paar Wochen kein existentielles Problem"
Wenn deine Firma genügend freies Kapital hat um Wochen oder gar Monate ohne Einnahmen auskommen zu können kannst Du den Punkt abhaken. Wenn nicht, wird es sehr schnell ungemütlich. Liquiditätsengpass kommt schnell und dann droht schon bald die Insolvenz.
Verstehe das bitte nicht als Kritik, sondern als gut gemeinter Hinweis. Ich habe dies selber nach einer ERP-Umstellung erlebt. Im Rahmen des Projektes wurden kundenspezifische Anpassungen vereinbart und realisiert. Ausgerechnet bei der Fakturierung hat es die Softwareentwicklung verbockt. 5 Wochen sind eine verdammt lange Zeit bis dann wieder Rechnungen raus gehen und nochmals 30 Tage später endlich wieder Kohle reinkommt.
"Verstehe das bitte nicht als Kritik, sondern als gut gemeinter Hinweis."
Genau so habe ich es aufgenommen. Ebenso bitte ich darum, meine nachfolgenden Ausführungen nicht als Kritik oder Widerspruch, sondern als Erklärung und Begründung meiner Sichtweise als Kaufmann und Unternehmer zu verstehen.
Meine Aussagen oben waren jetzt explizit und ausschließlich auf uns bezogen. Insofern: Ja, für uns wäre ein Monat ohne Zahlungseingänge gut machbar. Ich habe das gerade das mit unseren letzten Zahlen vergleichen, und das hat meine Einschätzung aus der Erinnerung nochmal bestätigt. Wir sind hinreichend liquide und haben eine einwandfreie Bonität, könnten also bei Bedarf auch jederzeit auf Fremdmittel zugreifen.
Trotzdem wäre ein Monat Ausfall natürlich sehr unschön, das möchte man nicht haben. Allerdings liegen wir bei der effektiven Wiederherstellungszeit eher bei Tagen als bei Wochen.
Aber es ist enorm wichtig, dass man sich diese Fragen offen und ehrlich stellt und sie auch immer wieder aufs Neue durchgeht, und zwar mit allen relevanten Beteiligten. Nur dann kann man guten Gewissens sagen: Wir haben ein akzeptables Niveau an Sicherheit erreicht, mit dem Restrisiko können wir gut leben. Das gilt nicht nur für IT-Risiken, sondern für ALLE RISIKEN. Denn genau das scheinen manche Fachexperten gerne zu vergessen: Dass es mehr gibt als nur IT, dass ein IT-Sicherheits-Vorfall nicht das einzige Risiko ist, mit dem ein Unternehmen umgehen muss, dass das Risiko eines IT-Ausfalls eben oft gar nicht das größte Risiko ist. Ich glaube, da würde mehr Verständnis auf beiden Seiten helfen, mehr "über den Tellerrand hinausschauen". Das ist der Grund, wieso ich, dem IT-Sicherheit immer ein großes Anliegen war und ist, als IT-Entscheider und Geschäftsführer am Ende einer Risiko-Abwägung manchmal sage: Ja, das Risiko existiert. Aber damit können, wollen und müssen wir leben. Dieses Risiko akzeptieren wir.
So sieht's aus und je "kleiner" das Unternehmen wird, desto mehr gewinnt diese Risikopriorisierung an Bedeutung für die betriebliche Existenz, bis eben auch die "IT-Sicherheit" bewußt als möglicher Kollateralschaden einkalkuliert wird.
"oder eine Lösungen verhandelt zu haben."
Na, das ist doch mal ein Ansatz. Einfach mal fragen, was da für Lösungen schon im Einsatz sind. Vielleicht ist da was besseres dabei, was ihr schon habt.
Ich betreue bei uns u.a. eine Monitoring-Software (sowas ähnliches wie ein SIEM, nur viel schlauer) im Sicherheitsbereich (DSPM), und wenn es da was zu machen gibt (die Updates sind manchmal ziemlich komplex durchzuführen), mache ich das dann per Desktopsharing in Teams (könnte auch Zoom, Webex, … sein), hat den Vorteil, dass ich immer dabei bin, wenn was gemacht wird, ich sehe also was passiert (und lerne dabei noch was), dokumentiere per Screenshots, und ich brauche auch keine zusätzlichen (Admin-)Accounts anzulegen (wir haben eh schon mehr als genug davon), und behalte so den Überblick, was da passiert.
Wie gesagt: Solche Extra-Lösungen mögen für die großen Konzerne bestehen, und selbst da bin ich mir nicht sicher. Uns bietet man das gar nicht erst an, mit uns diskutiert man gar nicht erst darüber. Wir haben das ja intensiv mit unserem ERP-Anbieter diskutiert, als das Thema TeamViewer aufgekommen, aber keine Chance.
Einen beaufsichtigten Zugang (z. B. als klassischer, beaufsichtigter TeamViewer-Zugriff) hat der ERP-Anbieter übrigens explizit abgelehnt, und zwar mit der Begründung -und jetzt haltet euch fest- "dass ein individueller TeamViewer-Zugang aufgrund der Verwendung sensibler Zugangsdaten und Tools nicht unterstützt wird und TeamViewer daher unbeaufsichtigt sein sollte."
Dazu fällt mir dann echt nichts mehr ein. Bei dem Selbstverständnis braucht man da auch nicht auf irgendwelche individuellen, sicheren Lösungen zu hoffen.
Wie gesagt: Mit der aktuellen Lösung, den TeamViewer nur anlassbezogen und stundenweise zu öffnen, können wir vorübergehend erst mal leben – und bis NIS2 in Deutschland in Kraft ist, sind wir hoffentlich schon längst in der Cloud. Nicht, dass das dann objektiv sicherer wäre – aber die Sicherheit des ERP-Systems ist dann nicht mehr unsere Baustelle, und lokal können wir unser eigenes Netzwerk entsprechend zunageln.
> Wir haben das ja intensiv mit unserem ERP-Anbieter diskutiert, als das Thema TeamViewer aufgekommen, aber keine Chance.
You tried not hard enough…
Auch ich komme hin und wieder mit Anbietern in Kontakt, die meinen nur mit Ihrem geliebten Teamviewer, Anydreck Zeugs arbeiten zu können.
Hier hilft ein klärender Blick in die AGB und den vorliegenden Support- oder Wartungsvertrag.
Meist fehlt eine derartige Regelung oder wird durch unzulässige Haftungsausschlüsse außer Kraft gesetzt. Winke einfach freundlich zurück, schmeiss seinen Dreck raus und verweise höflichst auf seinen Part der Vertragserfüllung mit der von Dir zur Verfügung gestellten Remote-Zugriffsplattform.
Sollte er weiterhin renitent anderer Meinung sein, schiebe ihm eine Risikoerklärung rüber. Wird niemand unterschreiben.
Sollte das endlich auf C-Level eskalieren kann man meist in zielführenden Gesprächen die Sache klären.
Da kommt meist was profanes dabei raus, dass z.B. Teamviewer nur wegen einer Session-Aufzeichnungen genutzt wird, zur Kontrolle der eigenen Mitarbeiter. Oder nur, um keine VPN oder Software Fremdinstallationen auf den eigenen Systemen vornehmen zu müssen.
In einem solchen Fall reicht oftmals ein tiefer Blick in die Augen des Gegenüber.
Der Hinweis, dass bei einer Nutzung im Webbrowser eine Client Installation entfällt bedarf es da noch nicht mal. Oder die Frage, wo genau diese Sitzungsaufzeichnungen inkl. Abfluß von Informationen geregelt sei und wie organisatorisch oder technisch verhindert wird, dass keine unberechtigte Dritte darauf Zugriff bekommen?
Spätestens hier ist der Drops gelutscht.
Klar, das alles braucht Kraft und Rückgrat und vor allem die volle Unterstützung der eigenen Geschäftsführung.
Dann sollte man auch mal über den Tellerrand schauen. Es gibt mehr Softwareprodukte als nur TeamViewer und AnyDesk!
Zum Beispiel Bomgar.
Bei uns im Konzern wird dies für die externen Dienstleister genutzt. Und es gibt für die externen Dienstleister *KEINE* Ausnahmn! – Auch wenn die rumheulen und meinen den Support zu verweigern.
*WIR* bestimmen wer / wie auf unsere Systeme sich draufschaltet. Und nicht der Dienstleister, weil der nur TeamViewer kennt!
Außerdem werden die Remotezugänge für die Dienstleister nur auf Anforderung via Ticketsystem freigeschaltet! Dann bekommen die Dienstleister das Passwort und die Anleitung, wie der Remotezugang mittels Bomgar funktioniert.
@Tomas:
Natürlich kann man das alles noch monatelang weiter diskutieren. Aber du stehst halt einfach irgendwann an dem Punkt, dass du eine konkrete Unterstützung des Supports brauchst. Und dann kannst du dich entscheiden: Zähneknirschend die angebotenen Wege akzeptieren oder weiterdiskutieren und bis auf Weiteres auf den Support verzichten (mit dem Effekt, dass man u. U. nicht mehr arbeitsfähig ist).
Ja, man kann da jede Menge Zeit und Energie reinstecken, um irgendwann vielleicht eine Teillösung zu erreichen. Aber in der Zeit bleiben jede Menge andere Dinge liegen – besonders eben auch im Bereich der IT-Absicherung. Damit hat man am Ende nichts gewonnen. Ganz ehrlich: Da ist mir wichtiger, dass wir für die kommende SaS-Lösung MFA implementiert wird. Kein Witz: Das ist kein Standard, das Thema ist inzwischen seit über einem Jahr offen.
Die Wahrscheinlichkeit hingegen, dass zufällig genau in den ein bis zwei Dutzend Stunden im Jahr, die mit dem aktuellen Konzept der TeamViewer-Zugang bereit steht (in der gesamten restlichen Zeit ist der TeamViewer gar nicht installiert), ein unberechtigter Zugriff erfolgt, während zeitgleich jemand vom Support auf dem System aktiv ist, ist verschwindend gering. Sorry, aber das ist ein absolut theoretisches Szenario. Sehr viel realistischer ist, dass ein Angriff auf aus dem Netz erreichbare Komponenten erfolgt oder dass irgendwo Social Engineering erfolgreich ist. Das sind reale Risiken, um die wir uns kümmern können.
@aus dem Rhein-Main Gebiet:
Bitte meine Ausführungen weiter oben lesen, deine Vorschläge gehen schon wieder ziemlich an der Praxis vorbei.
Es gibt keine Diskussion über das eingesetzte Tool. Du kannst akzeptieren, was dir angeboten wird – oder du kannst du den Support verzichten.
Zu Bomgar kannst du gerne mal eine kurze Abhandlung schreiben, was die ausmacht, weshalb die besser und sicherer sind als TeamViewer und Anydesk. Vielleicht veröffentlicht G. Born das ja als Gastbeitrag.
Das erste, was ich so zu Bomgar finde, sind Hinweis auf schwerwiegende Sicherheitslücken und dass die Firma hinter Bomgar (BeyondTrust) Ende 2024 gehackt wurde.
https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/
https://thehackernews.com/2025/02/beyondtrust-zero-day-breach-exposes-17.html