Direkt zum Hauptinhalt
+49 (0) 800 18 33 165Kostenlos testen
Close up of person typing on keyboard
SicherheitAus der Ferne arbeiten

Ist RDP sicher? Ein Gespräch mit Jerry Hsieh, CTO von Splashtop

6 Minute gelesen
Kostenlose Testversion jetzt starten
Kostenlos testen
Abonnieren
NewsletterRSS-Feed
Teilen

In den letzten Monaten haben Ransomware und Hacker weiterhin Schlagzeilen gemacht und wir hören immer mehr Fragen zu Sicherheitsprotokollen für Fernzugriffs-Lösungen sowie Fragen zu VPN (Virtual Private Network)-Schwachstellen und RDP (Remote-Desktop Protocol). In einigen Fällen haben wir gehört, dass die Benutzer RDP und das damit verbundene Risiko sogar mit den Lösungen von Splashtop vergleichen.

Unsere CMO, Michelle Burrows, hat sich mit Phil Sheu, Mitbegründer und CTO von Splashtop, zusammen mit Jerry Hsieh, dem Senior Director of Security and Compliance von Splashtop, getroffen, um zu prüfen, ob die Bedenken bezüglich RDP berechtigt sind, und um RDP mit Splashtop-Lösungen zu vergleichen.

Michelle: Ich habe in letzter Zeit viel über die Risiken bei der Verwendung von RDP gelesen, darunter auch diesen kürzlich erschienenenArtikel, in dem alle Gründe für die mangelnde Sicherheit von RDP dargelegt werden. Warum glauben Sie auch, dass RDP nicht die richtige Wahl für sicherheitsbewusste Unternehmen ist?

Jerry: Bevor wir darüber sprechen, warum RDP eine Bedrohung für Unternehmen und Unternehmen darstellt, die es nutzen, lass uns zuerst darüber sprechen, was es ist und warum es existiert. RDP ist eine ältere Technologie, die ursprünglich für IT-Mitarbeiter entwickelt wurde, um auf die Server zuzugreifen, ohne physisch in den Serverraum gehen zu müssen. Es wurde entwickelt, um ein ganz bestimmtes Problem zu lösen — der Serverraum wird normalerweise extrem kalt gehalten, und er ist auch laut, da er eine Menge Ausrüstung enthält. Es ist leicht zu verstehen, warum die IT-Abteilung nicht oft in diesen Raum gehen und ganz zu schweigen davon, darin zu arbeiten. Hinzu kommt RDP, das es IT-Mitarbeitern ermöglicht, RDP-Sitzungen zu starten, um remote auf Servern zu arbeiten, ohne dass eine Reise in einen kalten und lauten Serverraum erforderlich ist.

Im Laufe der Zeit wurde den IT-Mitarbeitern bewusst, dass RDP nicht besonders sicher war, sodass einige begannen, andere Sicherheitseinstellungen wie ACLs, Firewall-Richtlinien oder die Einrichtung eines VPN-Gateways hinzuzufügen, um eine weitere Sicherheitsebene zu schaffen, wenn der Zugriff auf RDP außerhalb des Unternehmensnetzwerks erfolgen sollte. Ich habe mit Teams gesprochen, die dies für sicher hielten, aber eine Fehlkonfiguration des Systems führt häufig zu einer Gefährdung.

Und wie wir vor ein paar Wochen in diesem Interview besprochen haben, sind VPNs aus mehreren Gründen nicht sicher. Was ich dann sehe, ist, dass Teams in dem Glauben, ihre Sicherheitsgrundlage um ein weiteres Element zu erweitern, stattdessen zwei ältere und anfällige Technologien miteinander kombinieren. Das ist so, als würde man einen Zaun um sein Haus errichten und dann den Zaun und die Haustür unverschlossen und offen lassen. Weder der Zaun noch die Tür schützen die Werte im Haus, wenn beide offen gelassen werden. Die Sicherheitsfunktionen in VPN kompensieren nicht die Schwachstellen von RDP.

Michelle: Da ich dir zuhöre und all die Gründe, warum ich RDP oder ein VPN nicht verwenden sollte, muss ich mich fragen, warum Teams diese Art von Technologie weiterhin verwenden?

Jerry: Der Hauptgrund, warum IT-Mitarbeiter RDP und RDP sowie ein VPN verwenden, ist, dass es quasi kostenlos und einfach ist. Es ist in Microsoft integriert und es liegt einfach da, damit du es als Teil des Windows-Hilfsprogramms verwenden kannst. Das bedeutet, dass IT-Teams nichts Besonderes kaufen müssen — es ist in deiner Microsoft-Lizenz enthalten, obwohl für RDS (Remote Desktop Services) zusätzliche Lizenzen erforderlich sind.

Michelle: Phil, möchtest du etwas zu RDP und seinen Sicherheitslücken hinzufügen?

Phil: RDP gibt es in der Tat schon lange — noch bevor HTTPS und TLS zum Goldstandard für die Sicherung des Internetverkehrs wurden. RDP wurde so konzipiert, dass es über einen bestimmten Port funktioniert und reagiert auf jeden, der ihn über den Port „anpingt“. Ein Computer, der mit dem Internet verbunden ist und dieser Port geöffnet ist und RDP aktiv ist, kann innerhalb von 90 Sekunden Angriffe erkennen. Angreifer sind unglaublich geschickt darin, nach anfälligen RDP-Endpunkten zu suchen und diese zu finden. Indem sie sich Zugriff auf einen RDP-Endpunkt verschaffen, können Angreifer dann auf das Unternehmensnetzwerk zugreifen, mit dem der Computer verbunden ist.

Michelle: Erzähl mir, wie sich Splashtop von RDP unterscheidet.

Phil: Zuerst haben wir Splashtop so konzipiert, dass escloud nativ ist und branchenübliche Sicherheitsprotokolle wie HTTPS und TLS verwendet. Daten werden über Port 443 übertragen, genau wie der gesamte standardmäßige verschlüsselte Webverkehr heute, und die Verbindungen werden von unseren Relay-Servern weltweit ermöglicht. Für unsere Kunden bedeutet das alles, dass keine speziellen Ports benötigt werden und Firewalls keine speziellen Ausnahmen zulassen müssen. Computer, die Splashtop verwenden, müssen nicht im Internet oder in der DMZ exponiert bleiben, damit böswillige Akteure sie einfach scannen und angreifen können.

Michelle: Bedeutet das, dass Splashtop seine eigene Technologie hat?

Phil: Ja, wir haben unsere eigene Technologie. Es gibt sehr wenig Gemeinsamkeiten zwischen den Architekturen von Splashtop und RDP für den Fernzugriff. Ich kann mir Unternehmen vorstellen, die sich dafür entschieden haben, auf RDP aufzubauen, aber wir haben beschlossen, aus Gründen der Sicherheit und der Benutzererfahrung etwas Einzigartiges zu entwickeln.

Neben der Sicherheit ermöglicht dieser Ansatz unseren IT- und Helpdesk-Kunden auch den Zugriff auf die große Anzahl von Geräten, die RDP nicht unterstützen (denken Sie an Macs, iOS, Android und sogar einige Versionen von Windows), alle mit derselben gleichbleibend hohen Leistung und Benutzerfreundlichkeit.

Als letzte Anmerkung zu RDP werde ich die Analogie, die Jerry darüber gemacht hat, deine Tür für Diebe offen zu lassen, etwas weiter führen. Nehmen wir an, du hast ein Haus auf der Straße und die Tür ist offen und all deine Sachen sind im Grunde ausgestellt. Die gesamte Umgebung würde zwar nicht wissen, dass deine Tür offen ist, aber jeder, der vorbeigeht, kann leicht erkennen, dass niemand zu Hause ist und deine Tür offen ist. Das ist wie RDP. Nun, nimm dasselbe Haus und stelle es hinter eine bewachte Wohnanlage. Aber lass die Tür weit offen und das Tor offen. Nun, das ist wie RDP plus ein VPN.

Lass uns diese Analogie nehmen, um zu vergleichen, wie Splashtop funktioniert. Nimm dasselbe Haus und lege es in eine bewachte Wohnanlage mit einem Wachmann. Jetzt mach die Tür zu und verschließ das Tor. Der Wachmann überprüft die Besuchserlaubnisse. Niemand vor dem Tor kann dein Haus sehen und was dazugehört. Tatsächlich ist das Haus möglicherweise nicht einmal hinter dem Tor sichtbar. Und niemand kann dein Haus sehen, seine Habseligkeiten oder ob du zu Hause bist. Nun, du kannst eine bestimmte Person einladen, aber du hast keine offene Einladung, in die jemand anderes hineinschauen kann. So funktioniert Splashtop auf hohem Niveau.

Michelle: Danke für die Analogien und dass du dir die Zeit nimmst, das durchzugehen. Kannst du mich weiterleiten, wo unsere Blogleser mehr über die Sicherheit von Splashtop erfahren können?

Phil: Ich würde gerne einige Sicherheitsressourcen mit unseren Kunden und zukünftigen Kunden teilen. Wir haben auf unserer Website einen Bereich eingerichtet, der der Sicherheit und den Fragen gewidmet ist, die die Leute haben könnten. Du kannst hier darauf zugreifen: https://www.splashtop.com/security

Verwandter Inhalt

Sicherheit

Verbessere Microsoft Intune mit Splashtop Autonomous Endpoint Management (AEM)

Mehr erfahren
Aus der Ferne arbeiten

Verwalte verteilte Teams mit Splashtop Fernzugriffslösungen

Sicherheit

IT Security Best Practices to Safeguard Your Business

Sicherheit

Was ist IT-Sicherheitsautomatisierung? Tools, Vorteile & Best Practices

Alle Blogs ansehen
Erhalten Sie die aktuellsten Splashtop-Neuigkeiten
AICPA SOC icon
  • Compliance
  • Datenschutzerklärung
  • Nutzungsbedingungen
Copyright © 2024 Splashtop, Inc. Alle Rechte vorbehalten. Alle angegebenen Preise verstehen sich ohne anfallende Steuern.