DESKERIO Sicherheit

DESKERIO schützt Fernwartungssitzungen durch mehrstufige Sicherheitsmechanismen: Der Verbindungsaufbau erfolgt ausschließlich über eine zeitlich begrenzte Session-PIN, die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt (AES-256), und Windows-Apps sind mit einem Microsoft Code Signing Certificate signiert.

Verbindungsaufbau über 9-stellige Session-PIN

Bei On-Demand Sitzungen erfolgt der Verbindungsaufbau über eine 9-stellige, zufällige, rein numerische Session-PIN (Personal Identification Number/Persönliche Identifikationsnummer). Diese PIN kann sehr einfach telefonisch, per E-Mail oder Chat mit dem Sitzungspartner geteilt werden und ist im Grunde ein Einmalkennwort, das automatisch beim Starten einer Sitzung erzeugt wird. Sitzungen können nur von Mitarbeitern bei uns registrierter Unternehmen gestartet werden, die sich zuvor über die jeweilige App mit Benutzername, Passwort und zweitem Faktor (2FA) authentifiziert haben.

DESKERIO – zufällig generierte 9-stellige Session-PIN für sichere Fernwartungssitzung
Abb 1. - Zufällig generierte, 9-stellige Session-PIN

In der Standardeinstellung ist die Session-PIN maximal 5 Minuten gültig1. Sie verfällt jedoch, sobald der eingeladene Partner der Sitzung mit der PIN beigetreten ist. Dritte können dann mit dieser PIN nicht mehr an der Sitzung teilnehmen. Dadurch ist sichergestellt, dass selbst bei sehr langen Fernwartungssitzungen unbeteiligte Dritte durch das “Ausprobieren” von PINs keinen Zugang zu laufenden Sitzungen erhalten.

Optionales Session-Secret

Die von DESKERIO als Einmalkennwort generierten Session-PINs umfassen durch ihre 9 Stellen insgesamt eine Milliarde mögliche Zahlenkombinationen (1x109).

Um die Sicherheit beim Verbindungsaufbau noch weiter zu erhöhen, kann eine Sitzung zusätzlichen mit einem Session-Secret abgesichert werden. Ist diese Option aktiv, benötigt der Sitzungsparter zusätzlich zur 9-stelligen Session-PIN noch das zugehörige, 4-stellige Secret zur Teilnahme. Durch die Kombination dieser beiden Zufallszahlen erhöht sich die Anzahl möglicher Zahlenkombinationen auf 10 Billionen (1*1013).

DESKERIO Session-PIN mit zusätzlichem 4-stelligen Secret – 10 Billionen Kombinationen
Abb 2. - Session-PIN mit zusätzlichem, 4-stelligem Secret

Verzögerung nach Eingabe einer ungültigen PIN

Grundsätzlich kann sich jedermann eine DESKERIO-App herunterladen und dann versuchen, durch das Ausprobieren von Zahlenkombinationen eine gerade aktive, maximal 5 Minuten gültige1 Session-PIN zu erraten. Um den Missbrauch hier von vornherein einzuschränken, wird von allen DESKERIO-Apps mit jeder falsch eingegebenen PIN die Wartezeit verdoppelt, bevor eine erneute Eingabe möglich ist. So beträgt die Wartezeit nach bspw. sieben fehlerhaften Versuchen bereits mehr als zwei Minuten.

Wurde die Sitzung zusätzlich mit einem optionalen Session-Secret abgesichert, so wird die Wartezeit auch mit jeder Falscheingabe des Session-Secret entsprechend verdoppelt.

Website, Apps und API

TLS-Transportverschlüsslung

Die gesamte Kommunikation zwischen unseren Websites, Apps und unseren Web- und API-Servern (Backend) ist grundsätzlich TLS-Transportverschlüsselt. TLS steht für ‘Transport Layer Security’ und ist die Nachfolgebezeichnung des 2015 abgelösten Verschlüsselungsprotokolls ‘Secure Sockets Layer’ (SSL). Wie schon beim Vorgängerprotokoll SSL wird die Transportsicherheit bei TLS ebenfalls durchgängig durch die Verwendung des https:// Präfixes in Browsern und Anwendungen sichergestellt.

A+ Ranking für deskerio.com von den Qualys SSL-Labs

Unsere Website wird regelmäßig mit dem unabhängigen Prüfwerkzeug Qualys SSL Labs analysiert. Dieses weltweit anerkannte Tool bewertet die SSL/TLS-Konfiguration einer Website anhand sehr strenger Kriterien. Das von deskerio.com erzielte A+ Ranking bestätigt die exzellente state-of-the-art Konfiguration unserer Systeme und damit unser konsequentes Bestreben, die über unsere Infrastruktur übermittelten Daten jederzeit bestmöglich zu schützen. Das A+ Ranking wird dabei nicht nur für unsere Website sondern auch für DESKERIO-Launchpad, die DESKERIO-Webapp sowie unsere weltweit verfügbaren Relay-Server bestätigt.

A+ Ranking von deskerio.com bei den Qualys SSL Labs – TLS-Verschlüsselung für Fernwartung
Abb 3. - A+ Ranking unserer Website bei den Qualys SSL-Labs

Sicherheitsanforderungen ändern sich ständig und neue Herausforderungen entstehen jeden Tag. Von daher ist der oben gezeigte Screenshot natürlich nur eine Momentaufnahme. Hier kannst du jederzeit selbst eine aktuelle Analyse unserer Website bei den Qualys SSL-Labs abrufen.

A+ Ranking für deskerio.com von SecurityHeaders.com

Die TLS-Transportverschlüsselung ist nur ein Kriterium zur Bewertung der Sicherheit einer Website. Weitere wichtige Kriterien sind die korrekten Implementierungen wichtiger HTTP- Sicherheitsmechanismen wie Content Security Policy (CSP), HTTP Strict Transport Security (HSTS) oder auch den X-Frame-Options.

Zur regelmäßigen Überprüfung dieser Sicherheitsmechanismen nutzen wir deshalb auch das unabhängige Online-Tool Security Headers, das uns die Einhaltung der oben genannten Sicherheitsrichtlinien auf den DESKERIO Websites mit der Bestnote A+ bestätigt.

A+ Ranking von deskerio.com bei SecurityHeaders.com – HTTP-Sicherheitsheader
Abb 4. - A+ Ranking unserer Website bei SecurityHeaders.com

Auch in diesem Bereich ergeben sich natürlich ständig neue Sicherheitsanforderungen. Den aktuellen Stand in Sachen Security Headers kannst Du für DESKERIO jederzeit hier abrufen.

Ende-zu-Ende Verschlüsselung (E2EE)

Ergänzend zur TLS-Transportverschlüsselung, wird die gesamte Kommunikation zwischen DESKERIO-Apps und der privaten Client-API zusätzlich per Public Key-Verfahren in Verbindung mit AES-256 Ende-zu-Ende verschlüsselt (E2EE = englisch „end-to-end encryption“).

Dieses Verfahren stellt sicher, dass auch im Falle eines sogenannten Man-In-The-Middle-Angriffs die zwischen Apps und API über das öffentliche Internet ausgetauschten Informationen stets vertraulich bleiben. Dies gilt auch für alle im Rahmen einer DESKERIO-Session übertragenen Bildschirm-, Maus-, Tastatur-, Clipboard-Daten sowie für Dateien die per File-Transfer ausgetauscht werden.

Digitales App-Zertifikat von Microsoft

DESKERIO für Windows ist mit einem Code Signing Certificate von Microsoft signiert. Damit verfügt die App nach dem Download sofort über eine sehr hohe Windows Smartscreen Reputation, wodurch sie direkt und ohne Betriebssystem-Warnungen gestartet und vom Anwender genutzt werden kann.

Der Anwender kann sich dank der digitalen Signatur stets sicher sein, dass es sich bei der ausführbaren Datei um eine Original-DESKERIO Anwendung handelt und diese nicht durch Dritte verändert wurde.

Hohe Verfügbarkeit und Ausfallsicherheit

Unsere API sowie unsere Relay-Hubs werden derzeit in mehr als 30 Rechenzentren rund um die Welt gehostet. Dadurch ist DESKERIO weltweit hochverfügbar und der Anwender wird zudem auch im Hinblick auf geringe Latenzen immer zu einem Rechenzentrum in der Nähe seines aktuellen Standorts geführt.

Datenspeicherung in EU-Rechenzentren

Als Standard werden für alle Unternehmen mit Sitz in der Europäischen Union personenbezogene Daten ausschließlich in EU-Rechenzentren verarbeitet. Unternehmen mit Sitz außerhalb der EU können bei der Registrierung jedoch eine alternative Region zur Datenspeicherung auswählen. Die hierbei gewählte Region ist dann gleichzeitig auch der Standard-Speicherort für Daten die vom Unternehmen und seinen Mitarbeitern in der DESKERIO-Cloud abgelegt werden.

Für Sitzungen die über Relay-Server geführt werden ist zudem sichergestellt, dass auch hier für europäische Unternehmen nur Server in EU-Rechenzentren verwendet werden2.

Häufige Fragen zur Sicherheit von DESKERIO

Ist die Verbindung einer DESKERIO-Fernwartungssitzung verschlüsselt?

Ja, DESKERIO verwendet dabei eine zweistufige Verschlüsselung: TLS-Transportverschlüsselung für die gesamte Kommunikation sowie zusätzlich eine Ende-zu-Ende-Verschlüsselung (E2EE) per Public-Key-Verfahren in Kombination mit AES-256.

Wie lange ist eine Session-PIN gültig?

In der Standardeinstellung ist die Session-PIN maximal 5 Minuten gültig. Sie verfällt außerdem sofort, sobald der eingeladene Partner der Sitzung beigetreten ist – Dritte können danach mit derselben PIN nicht mehr teilnehmen. Administratoren können die Gültigkeitsdauer im Kundenportal auf bis zu 10 Minuten verlängern.

Kann sich jemand unbemerkt in eine Fernwartungssitzung einwählen?

Nein. Eine Session-PIN verfällt sofort nach dem ersten Beitritt. Zusätzlich wird nach jeder falschen PIN-Eingabe die Wartezeit verdoppelt.

Wo werden meine Daten gespeichert?

Für Kunden mit Sitz in der Europäischen Union, in der Schweiz sowie in Liechtenstein werden personenbezogene Daten ausschließlich in EU-Rechenzentren verarbeitet und gespeichert.

  1. Die Gültigkeitsdauer der Session-PIN kann bei Bedarf von Administratoren im Kundenportal auf bis zu 10 Minuten verlängert werden. ↩︎ ↩︎

  2. Entscheidend für die Region aus der ein Relay-Server ausgewählt wird, ist immer der physikalische Standort des Anwenders der die Session startet. Wenn ein Mitarbeiter eines europäischen Unternehmens bei Aufenthalt in den USA eine neue Session startet, dann wird für diese Sitzung auch ein Relay in den USA verwendet. ↩︎