Ist RDP sicher? Ein Gespräch mit dem CTO/Mitgründer von Splashtop und Jerry Hsieh, Sr. Direktor, Sicherheit & Compliance bei Splashtop

eine Computertastatur

In den letzten Monaten, in denen Ransomware und Hacker immer wieder für Schlagzeilen sorgen, hören wir immer mehr Fragen zu Sicherheitsprotokollen für Fernzugriffslösungen, zusammen mit Fragen zu VPN (Virtual Private Network) Schwachstellen und RDP (Remote Desktop Protocol). In einigen Fällen haben wir gehört, dass Leute sogar RDP und die damit verbundenen Risiken mit den Lösungen von Splashtop vergleichen.

Unsere CMO, Michelle Burrows, hat sich mit Phil Sheu, Mitbegründer und CTO von Splashtop, und Jerry Hsieh, Senior Director of Security and Compliance bei Splashtop, zusammengesetzt, um herauszufinden, ob die Bedenken gegenüber RDP berechtigt sind und um RDP mit den Splashtop-Lösungen zu vergleichen.

Michelle: Ich habe in letzter Zeit viel über die Risiken bei der Verwendung von RDP gelesen, darunter auch diesen kürzlich erschienenenArtikel, in dem alle Gründe für die mangelnde Sicherheit von RDP dargelegt werden. Warum glauben Sie auch, dass RDP nicht die richtige Wahl für sicherheitsbewusste Unternehmen ist?

Jerry: Bevor wir darüber sprechen, warum RDP eine Bedrohung für Firmen und Unternehmen darstellt, die es verwenden, sollten wir zuerst darüber sprechen, was es ist und warum es existiert. RDP ist eine ältere Technologie, die ursprünglich entwickelt wurde, um IT-Mitarbeitern den Zugriff auf Server zu ermöglichen, ohne dass sie den Serverraum betreten müssen. Sie wurde entwickelt, um ein ganz bestimmtes Problem zu lösen: Der Serverraum ist in der Regel sehr kalt und außerdem laut, da sich dort viele Geräte befinden. Es ist leicht zu verstehen, warum die IT-Abteilung diesen Raum nicht sehr oft betreten möchte, ganz zu schweigen von der Arbeit dort. Mit RDP können IT-Mitarbeiter RDP-Sitzungen starten, um aus der Ferne an Servern zu arbeiten, ohne in einen kalten und lauten Serverraum gehen zu müssen.

Im Laufe der Zeit wurde den IT-Mitarbeitern bewusst, dass RDP nicht besonders sicher war, sodass einige begannen, andere Sicherheitseinstellungen wie ACLs, Firewall-Richtlinien oder die Einrichtung eines VPN-Gateways hinzuzufügen, um eine weitere Sicherheitsebene zu schaffen, wenn der Zugriff auf RDP außerhalb des Unternehmensnetzwerks erfolgen sollte. Ich habe mit Teams gesprochen, die dies für sicher hielten, aber eine Fehlkonfiguration des Systems führt häufig zu einer Gefährdung.

Und wie wir vor ein paar Wochen in diesem Interview besprochen haben, sind VPNs aus mehreren Gründen nicht sicher. Was ich dann sehe, ist, dass Teams in dem Glauben, ihre Sicherheitsgrundlage um ein weiteres Element zu erweitern, stattdessen zwei ältere und anfällige Technologien miteinander kombinieren. Das ist so, als würde man einen Zaun um sein Haus errichten und dann den Zaun und die Haustür unverschlossen und offen lassen. Weder der Zaun noch die Tür schützen die Werte im Haus, wenn beide offen gelassen werden. Die Sicherheitsfunktionen in VPN kompensieren nicht die Schwachstellen von RDP.

Michelle: Wenn ich Ihnen zuhöre und all den Gründen, die gegen die Verwendung von RDP oder VPN sprechen, muss ich mich fragen, warum Teams weiterhin diese Art von Technologie verwenden.

Jerry: Der Hauptgrund, warum IT-Mitarbeiter RDP und RDP plus VPN verwenden, ist, dass es kostenlos und einfach ist. Es ist in Microsoft integriert und steht Ihnen als Teil des Windows-Dienstprogramms zur Verfügung. Das bedeutet, dass IT-Teams nichts Besonderes kaufen müssen - es ist in der Microsoft-Lizenz enthalten, obwohl RDS (Remote Desktop Services) zusätzliche Lizenzen erfordert.

Michelle: Phil, haben Sie etwas zu RDP und seinen Schwachstellen hinzuzufügen?

Phil: RDP gibt es in der Tat schon lange - noch bevor HTTPS und TLS zum Goldstandard für die Sicherung des Internetverkehrs wurden. RDP wurde so konzipiert, dass es über einen bestimmten Port funktioniert und auf jeden reagiert, der es über diesen Port "anpingt". Ein Computer, der mit diesem offenen Port und aktivem RDP ins Internet gestellt wird, kann bereits nach 90 Sekunden angegriffen werden. Angreifer sind unglaublich geschickt darin, nach anfälligen RDP-Endpunkten zu suchen und diese zu finden. Indem sie sich Zugang zu einem RDP-Endpunkt verschaffen, können die Angreifer dann auf das Unternehmensnetz zugreifen, mit dem der Computer verbunden ist.

Michelle: Erklären Sie mir, wie sich Splashtop von RDP unterscheidet.

Phil: Zunächst haben wir Splashtop so konzipiert, dass es Cloud-nativ ist und branchenübliche Sicherheitsprotokolle wie HTTPS und TLS verwendet. Die Daten werden über Port 443 weitergeleitet, genau wie der gesamte verschlüsselte Standard-Webverkehr heutzutage, und die Verbindungen werden von unseren Relay-Servern auf der ganzen Welt unterstützt. Für unsere Kunden bedeutet dies, dass keine speziellen Ports benötigt werden und dass Firewalls keine besonderen Ausnahmen zulassen müssen. Computer, die Splashtop nutzen, müssen nicht im Internet oder in der DMZ stehen bleiben, damit böswillige Akteure sie leicht scannen und angreifen können.

Michelle: Heißt das, dass Splashtop über eine eigene Technologie verfügt?

Phil: Ja, wir haben unsere eigene proprietäre Technologie. Die Architekturen von Splashtop und RDP für den Fernzugriff haben sehr wenig gemeinsam. Ich kann mir vorstellen, dass es Unternehmen gibt, die auf RDP aufbauen, aber wir haben uns entschieden, aus Gründen der Sicherheit und der Benutzerfreundlichkeit etwas Einzigartiges zu entwickeln.

Abgesehen von der Sicherheit ermöglicht dieser Ansatz unseren IT- und Helpdesk-Kunden auch den Zugriff auf eine große Anzahl von Geräten, die RDP nicht unterstützen (z. B. Macs, iOS, Android und sogar einige Windows-Versionen), und das bei gleichbleibend hoher Leistung und Benutzerfreundlichkeit.

Als letzte Bemerkung zum Thema RDP möchte ich die Analogie, die Jerry über das Offenlassen der Tür für Diebe gemacht hat, noch ein wenig weiterführen. Nehmen wir an, Sie haben ein Haus an der Straße, dessen Tür offen steht und in dem alle Ihre Besitztümer zur Schau gestellt werden. Während die gesamte Umgebung nicht weiß, dass Ihre Tür offen ist, kann jeder, der vorbeigeht, leicht erkennen, dass niemand zu Hause ist und Ihre Tür offen steht. Das ist wie RDP. Nehmen Sie nun dasselbe Haus und stellen Sie es hinter eine bewachte Wohnanlage. Aber lassen Sie die Tür weit offen und das Tor offen. Das ist wie RDP, nur mit einem VPN.

Nehmen wir diese Analogie, um zu vergleichen, wie Splashtop funktioniert. Nehmen Sie dasselbe Haus und stellen Sie es in eine bewachte Wohnanlage mit einem Wachmann. Nun schließen Sie die Tür und verriegeln das Tor. Der Wachmann prüft die Besuchsberechtigung. Niemand außerhalb des Tores kann Ihr Haus und dessen Eigentum sehen. Es kann sogar sein, dass das Haus hinter dem Tor gar nicht zu sehen ist. Und niemand kann Ihr Haus, seine Besitztümer oder Ihre Anwesenheit sehen. Sie können eine bestimmte Person einladen, aber Sie haben keine offene Einladung für andere Personen, die hereinschauen können. So funktioniert Splashtop auf einem hohen Niveau.

Michelle: Vielen Dank für die Analogien und dass Sie sich die Zeit genommen haben, dies zu erläutern. Können Sie mir sagen, wo unsere Blog-Leser mehr über die Sicherheit von Splashtop erfahren können?

Phil: Ich würde unseren Kunden und zukünftigen Kunden gerne einige Sicherheitsressourcen zur Verfügung stellen. Wir haben auf unserer Website einen Bereich eingerichtet, der sich mit dem Thema Sicherheit und den Fragen, die unsere Kunden möglicherweise haben, befasst. Sie können ihn hier aufrufen: https://www.splashtop.com/security

Ähnliche Artikel

Banner zur kostenlosen Testversion auf dem Blog unten