Fernwartung: Verschlüsselung ist nicht alles
Für die aktuelle Warnung, die Verschlüsselung bei Fernwartungszugängen könne unsicher sein, gibt es gute Gründe. Doch alleine eine sichere Verschlüsselung reicht nicht aus, um die Fernwartung datenschutzgerecht zu organisieren.
Jeder Kommunikationskanal muss geschützt werden
Die Medien sind voller Berichte über Schwachstellen bei verschlüsselten Verbindungen. Die Sicherheitslücken resultieren entweder daraus, dass die digitalen SSL-Zertifikate gestohlen oder gefälscht sein könnten, oder aber das Verschlüsselungsverfahren selbst ist unsicher. Jedes Unternehmen muss sich fragen, ob die genutzten Verbindungen ins Internet wirklich sicher sind. Dabei muss jede Art von Verbindung in den Blick genommen werden.
Es ist also mehr als sinnvoll, wenn auf mögliche Schwachstellen in der Verschlüsselung bei Fernwartungszugängen hingewiesen wird. Denn die Fernwartung wird leider oftmals vergessen, wenn es um Fragen der Netzwerksicherheit geht.
Fernwartung als Auftragsdatenverarbeitung
Die aktuellen Sicherheitshinweise, die daran erinnern wollen, auch bei den Fernwartungszugängen auf mögliche Verschlüsselungslücken zu achten, sollten Sie gleich mehrfach beachten: Erstens sollten Sie die Systemadministration fragen, wie die Fernwartungszugänge denn verschlüsselt werden, welches Verfahren dabei zum Einsatz kommt, ob bei diesem Verfahren Sicherheitsprobleme bekannt sind und wer die Kontrolle über die Schlüssel zur Entschlüsselung der Verbindungen hat. Da Fernwartungszugriffe in aller Regel administrativen Charakter haben, können die übertragenen Daten sehr geschäftskritisch sein.
Alleine mit den möglichen Verschlüsselungsproblemen sollten Sie es aber nicht bewenden lassen. Eine Fernwartung ist als Auftragsdatenverarbeitung zu werten und muss deshalb einer Auftragskontrolle unterzogen werden. Die Verschlüsselung ist zwar eine elementare Sicherheitsmaßnahme, aber bei weitem nicht alles, was bei einer Auftragskontrolle betrachtet werden soll.
Vollständige Auftragskontrolle für alle Fernwartungszugänge
Um die Datensicherheit und den Datenschutz bei Fernwartung zu prüfen, sollten Sie zuerst einmal einen Überblick gewinnen, welche Fernwartungszugänge bereits regelmäßig genutzt werden und welche geplant sind. Für alle diese Fernwartungszugänge sollte sichergestellt sein, dass Ihr Unternehmen jeweils die Kontrolle über den Zugang hat, die Fernwartung also jederzeit abbrechen kann. Neben der bereits erwähnten, wichtigen Verschlüsselung der Fernwartungsverbindung muss eine Zugangskontrolle über starke Passwörter oder noch besser Zwei-Faktor-Authentifizierungen für das Fernwartungspersonal vorgesehen werden. Die Zugänge müssen zeitlich genau befristet sein, die Zugangsdaten müssen nach der Fernwartung jeweils geändert werden.
Die Auswirkungen auf andere Systeme, die nicht gewartet werden sollen, und auf die Netzwerksicherheit insgesamt müssen so gering wie möglich gehalten werden. Dazu gehört zum Beispiel eine separate Verschlüsselung nicht betroffener Datenbereiche. Die Berechtigungen für die Fernwartung sind nach dem Need-to-know Prinzip zu vergeben, also so gering wie möglich. Alle Fernwartungsprozesse müssen genau protokolliert werden. Schließlich gilt es, nur zuverlässige Fernwartungsdienstleister zu nutzen, die zudem auf das Datengeheimnis verpflichtet werden.
Bereits diese Beschreibung der notwendigen Datenschutzkontrolle zeigt, dass eine sichere Verschlüsselung zwingend erforderlich, aber nicht ausreichend ist.