In den letzten Monaten haben Ransomware und Hacker weiterhin Schlagzeilen gemacht und wir hören immer mehr Fragen zu Sicherheitsprotokollen für Fernzugriffs-Lösungen sowie Fragen zu VPN (Virtual Private Network)-Schwachstellen und RDP (Remote-Desktop Protocol). In einigen Fällen haben wir gehört, dass die Benutzer RDP und das damit verbundene Risiko sogar mit den Lösungen von Splashtop vergleichen.
Unsere CMO, Michelle Burrows, hat sich mit Phil Sheu, Mitbegründer und CTO von Splashtop, zusammen mit Jerry Hsieh, dem Senior Director of Security and Compliance von Splashtop, getroffen, um zu prüfen, ob die Bedenken bezüglich RDP berechtigt sind, und um RDP mit Splashtop-Lösungen zu vergleichen.
Michelle: Ich habe in letzter Zeit viel über die Risiken bei der Verwendung von RDP gelesen, darunter auch diesen kürzlich erschienenenArtikel, in dem alle Gründe für die mangelnde Sicherheit von RDP dargelegt werden. Warum glauben Sie auch, dass RDP nicht die richtige Wahl für sicherheitsbewusste Unternehmen ist?
Jerry: Bevor wir darüber sprechen, warum RDP eine Bedrohung für Unternehmen und Unternehmen darstellt, die es nutzen, lass uns zuerst darüber sprechen, was es ist und warum es existiert. RDP ist eine ältere Technologie, die ursprünglich für IT-Mitarbeiter entwickelt wurde, um auf die Server zuzugreifen, ohne physisch in den Serverraum gehen zu müssen. Es wurde entwickelt, um ein ganz bestimmtes Problem zu lösen — der Serverraum wird normalerweise extrem kalt gehalten, und er ist auch laut, da er eine Menge Ausrüstung enthält. Es ist leicht zu verstehen, warum die IT-Abteilung nicht oft in diesen Raum gehen und ganz zu schweigen davon, darin zu arbeiten. Hinzu kommt RDP, das es IT-Mitarbeitern ermöglicht, RDP-Sitzungen zu starten, um remote auf Servern zu arbeiten, ohne dass eine Reise in einen kalten und lauten Serverraum erforderlich ist.
Im Laufe der Zeit wurde den IT-Mitarbeitern bewusst, dass RDP nicht besonders sicher war, sodass einige begannen, andere Sicherheitseinstellungen wie ACLs, Firewall-Richtlinien oder die Einrichtung eines VPN-Gateways hinzuzufügen, um eine weitere Sicherheitsebene zu schaffen, wenn der Zugriff auf RDP außerhalb des Unternehmensnetzwerks erfolgen sollte. Ich habe mit Teams gesprochen, die dies für sicher hielten, aber eine Fehlkonfiguration des Systems führt häufig zu einer Gefährdung.
Und wie wir vor ein paar Wochen in diesem Interview besprochen haben, sind VPNs aus mehreren Gründen nicht sicher. Was ich dann sehe, ist, dass Teams in dem Glauben, ihre Sicherheitsgrundlage um ein weiteres Element zu erweitern, stattdessen zwei ältere und anfällige Technologien miteinander kombinieren. Das ist so, als würde man einen Zaun um sein Haus errichten und dann den Zaun und die Haustür unverschlossen und offen lassen. Weder der Zaun noch die Tür schützen die Werte im Haus, wenn beide offen gelassen werden. Die Sicherheitsfunktionen in VPN kompensieren nicht die Schwachstellen von RDP.
Michelle: Während ich Ihnen zuhöre und all die Gründe höre, warum man RDP oder ein VPN nicht nutzen sollte, frage ich mich, warum Teams weiterhin diese Art von Technologie verwenden?
Jerry: Der Hauptgrund, warum IT-Mitarbeiter RDP und RDP plus ein VPN verwenden, ist, dass es quasi kostenlos und einfach ist. Es ist in Microsoft integriert und steht Ihnen als Teil des Windows-Dienstprogramms zur Verfügung. This means IT teams don’t need to purchase anything special – it comes with your Microsoft license, although RDS (Remote-Desktop Services) requires additional licenses.
Michelle: Phil, gibt es noch etwas zu RDP und seinen Schwachstellen hinzuzufügen?
Phil: RDP gibt es in der Tat schon lange — noch bevor HTTPS und TLS zum Goldstandard für die Sicherung des Internetverkehrs wurden. RDP wurde so konzipiert, dass es über einen bestimmten Port funktioniert und reagiert auf jeden, der ihn über den Port „anpingt“. Ein Computer, der mit dem Internet verbunden ist und dieser Port geöffnet ist und RDP aktiv ist, kann innerhalb von 90 Sekunden Angriffe erkennen. Angreifer sind unglaublich geschickt darin, nach anfälligen RDP-Endpunkten zu suchen und diese zu finden. Indem sie sich Zugriff auf einen RDP-Endpunkt verschaffen, können Angreifer dann auf das Unternehmensnetzwerk zugreifen, mit dem der Computer verbunden ist.
Michelle: Erzähl mir, wie sich Splashtop von RDP unterscheidet.
Phil: Zuerst haben wir Splashtop so konzipiert, dass escloud nativ ist und branchenübliche Sicherheitsprotokolle wie HTTPS und TLS verwendet. Daten werden über Port 443 übertragen, genau wie der gesamte standardmäßige verschlüsselte Webverkehr heute, und die Verbindungen werden von unseren Relay-Servern weltweit ermöglicht. Für unsere Kunden bedeutet das alles, dass keine speziellen Ports benötigt werden und Firewalls keine speziellen Ausnahmen zulassen müssen. Computer, die Splashtop verwenden, müssen nicht im Internet oder in der DMZ exponiert bleiben, damit böswillige Akteure sie einfach scannen und angreifen können.
Michelle: Bedeutet das, dass Splashtop seine eigene Technologie hat?
Phil: Ja, wir haben unsere eigene Technologie. Es gibt sehr wenig Gemeinsamkeiten zwischen den Architekturen von Splashtop und RDP für den Fernzugriff. Ich kann mir Unternehmen vorstellen, die sich dafür entschieden haben, auf RDP aufzubauen, aber wir haben beschlossen, aus Gründen der Sicherheit und der Benutzererfahrung etwas Einzigartiges zu entwickeln.
Neben der Sicherheit ermöglicht dieser Ansatz unseren IT- und Helpdesk-Kunden auch den Zugriff auf die große Anzahl von Geräten, die RDP nicht unterstützen (denken Sie an Macs, iOS, Android und sogar einige Versionen von Windows), alle mit derselben gleichbleibend hohen Leistung und Benutzerfreundlichkeit.
Als letzten Hinweis zu RDP nehme ich das von Jerry gemachte Beispiel, die Tür für Diebe offen zu lassen, noch etwas weiter. Angenommen, Sie haben ein Haus an der Straße und die Tür ist offen und all Ihre Habseligkeiten sind im Grunde zur Schau gestellt. Während die gesamte Umgebung nicht wissen würde, dass Ihre Tür offen ist, kann jeder, der vorbeigeht, leicht erkennen, dass niemand zu Hause ist und Ihre Tür offen steht. Das ist wie RDP. Nehmen Sie nun dasselbe Haus und stellen Sie es hinter eine geschlossene Wohnanlage. Aber lassen Sie die Tür weit offen und das Tor offen. Das ist jetzt wie RDP plus ein VPN.
Lassen Sie uns dieses Beispiel verwenden, um zu vergleichen, wie Splashtop funktioniert. Nehmen Sie dasselbe Haus und stellen Sie es in eine geschlossene Wohnanlage mit einem Wachmann. Schließen Sie nun die Tür und verriegeln Sie das Tor. Der Sicherheitsdienst überprüft die Besuchsberechtigungen. Niemand außerhalb des Tores kann Ihr Haus und seine Habseligkeiten sehen. Tatsächlich ist das Haus möglicherweise nicht einmal hinter dem Tor sichtbar. Und niemand kann Ihr Haus, seine Habseligkeiten oder ob Sie zu Hause sind, sehen. Jetzt können Sie eine bestimmte Person einladen, aber Sie haben keine offene Einladung für andere, hineinzuschauen. So funktioniert Splashtop auf hoher Ebene.
Michelle: Danke für die Analogien und dass Sie sich die Zeit genommen haben, dies durchzugehen. Können Sie mich darauf hinweisen, wo unsere Blog-Leser mehr über die Sicherheit von Splashtop erfahren können?
Phil: Ich würde gerne einige Sicherheitsressourcen mit unseren Kunden und zukünftigen Kunden teilen. Wir haben einen Bereich auf unserer Website erstellt, der sich der Sicherheit und den Fragen widmet, die Menschen haben könnten. Sie können darauf hier zugreifen: https://www.splashtop.com/security
