Nachdem wir nun die einzelnen Sicherheitseinstellungen der TeamViewer Software überprüft haben, möchten wir Ihnen einige Hintergrundinformationen zu den Rechenzentren und dem Backbone unserer Infrastruktur sowie einige Informationen zu Verschlüsselung, Authentifizierung und Validierung geben.
Wir möchten, dass Sie sich sicher fühlen und wissen, dass TeamViewer sich auf die höchsten Standards konzentriert und eine starke und sichere Plattform für Sie bereitstellt.
Datacenter und Backbone
Die zentralen TeamViewer Server befinden sich in nach ISO 27001 zertifizierten hochmodernen Rechenzentren mit multiredundanter Carrier-Anbindung und redundanter Stromversorgung. Diese umfassen Datensicherung mittels RAID-fähigen Arrays, Datenspiegelung, Daten-Backups, hochverfügbare Serverspeicher sowie Router-Systeme mit Mechanismen für die Notfallwiederherstellung und Verfahren, die die Bereitstellung eines ununterbrochenen Service sicherstellen. Darüber hinaus befinden sich alle unsere Server, auf denen sensible Daten gespeichert werden, in Deutschland oder Österreich.
Die Rechenzentren verfügen über Kontrollmechanismen auf dem heutigen Stand der Technik, wie Zutrittskontrollen für Mitarbeiter, Videoüberwachung, Bewegungserkennung und 24-h-Überwachung. Sicherheitspersonal am Standort sorgt dafür, dass nur autorisiertes Personal Zugang zum Rechenzentrum hat und garantieren die bestmögliche Sicherheit für Hardware und Daten. Am einzigen Zugangspunkt zum Rechenzentrum findet eine ausführliche Personenüberprüfung und -identifikation statt.
Code Signing
Als zusätzliche Sicherheitsfunktion werden alle unsere Programme mittels DigiCert Code Signing signiert.
Dadurch ist der Herausgeber der Software immer zuverlässig identifizierbar. Wird die Software nachträglich verändert, wird die digitale Signatur automatisch ungültig.
TeamViewer Sitzungen
Wie TeamViewer Verbindungen aufgebaut werden
Bei der Herstellung einer Sitzung wählt TeamViewer die optimale Art der Verbindung. Nach dem Handshake über unsere Masterserver findet in 70 % der Fälle (selbst hinter Standard-Gateways, NAT-Routern und Firewalls) eine Direktverbindung über UDP oder TCP statt. Die restlichen Verbindungen werden über unser hochredundantes Router-Netzwerk via TCP oder http-Tunneling geleitet.
Sie müssen also keinerlei Ports öffnen, um mit TeamViewer arbeiten zu können.
Verschlüsselung und Authentifizierung
TeamViewer Verbindungen laufen über komplett gesicherte Datenkanäle, die mit einem RSA Public/Private Key Exchange aufgebaut und mit 256-Bit-AES verschlüsselt sind. Diese Technik wird in vergleichbarer Form auch bei https/SSL eingesetzt und gilt nach heutigem Stand der Technik als vollständig sicher.
Da der Private Key niemals den Clientcomputer verlässt, ist durch dieses Verfahren technisch sichergestellt, dass zwischengeschaltete Computer im Internet den Datenstrom nicht entziffern können, das gilt somit auch für die TeamViewer Routingserver. Nicht einmal TeamViewer als Betreiber der Routingserver kann den verschlüsselten Datenverkehr lesen.
Jegliche Datenübertragung der Management Console findet über einen sicheren Kanal mit TLS-Verschlüsselung (Transport Layer Security) statt, dem Standard für sichere Netzwerkverbindungen im Internet. Für Autorisierung und Passwort-Verschlüsselung wird das Secure Remote Password Protocol (SRP) verwendet, ein erweitertes, passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren (PAKE). Dadurch wird verhindert, dass ein Eindringling oder Man-in-the-Middle ausreichend Informationen erhält, um ein Passwort durch Brute-Force Angriffe zu erraten. Somit kann selbst mit schwachen Passwörtern eine hohe Sicherheit gewährleistet werden. TeamViewer empfiehlt dennoch, die branchenübliche Best Practice für die Erstellung von Passwörtern anzuwenden, um ein Höchstmaß an Sicherheit sicherzustellen.
Jeder TeamViewer Client hat bereits den Public Key unseres Masterclusters implementiert und kann so Nachrichten an den Mastercluster verschlüsseln bzw. dessen Signatur überprüfen. Die Public Key-Infrastruktur (PKI) verhindert effektiv „Man-in-the-Middle-Attacken“ (MITM). Trotz der Verschlüsselung wird das Passwort nie direkt gesendet, sondern über ein Challenge-Response-Verfahren, und es wird ausschließlich auf dem lokalen Rechner gespeichert. Bei der Authentifizierung wird das Kennwort aufgrund der Verwendung des Secure Remote Password Protokolls (SRP) niemals direkt übertragen. Lediglich ein Passwort-Verifier wird auf dem lokalen Computer gespeichert.
Validierung von TeamViewer IDs
TeamViewer IDs werden direkt von TeamViewer automatisch anhand von diversen Hardware- und Softwaremerkmalen generiert. Vor jeder Verbindung kontrollieren die TeamViewer Server diese IDs auf ihre Gültigkeit.
Brute-Force-Schutz
Wenn Interessenten uns zur TeamViewer Sicherheit befragen, spielt das Thema Verschlüsselung eine große Rolle. Verständlicherweise ist die Möglichkeit, dass Dritte eine Verbindung einsehen oder die TeamViewer Zugangsdaten abgegriffen werden können, gefürchtet. In der Praxis sind es dann aber oft ganz primitive Angriffe, die am gefährlichsten sind.
Eine detaillierte Beschreibung des Brute-Force-Schutzes finden Sie hier:
TeamViewer Ports
TeamViewer wurde so entwickelt, dass er ohne das Öffnen bestimmter Ports für den Verbindungsaufbau funktioniert und Sie auch Ihre Firewall nicht abschalten müssen.
TeamViewers leistungsstarke Software ermöglicht Ihnen die vollständige Absicherung Ihres Gerätes während Sie Fernsteuerungssitzungen herstellen oder durchführen.
Eine detaillierte Beschreibung der TeamViewer Ports und weitere Informationen finden Sie hier:
Ziel-IP-Adressen
Die TeamViewer-Software verbindet Sie mit Ihrem Partner über den am besten geeigneten Router. Der Standort des Routers hängt von vielen Parametern ab, vor allem aber von der Verfügbarkeit und Leistung. Unsere Master-Server-Infrastruktur befindet sich in Deutschland. Diese Server verwenden eine Reihe unterschiedlicher IP-Adressbereiche, die sich zudem häufig ändern. Daher können wir keine Liste mit den IP-Adressen unserer Server zur Verfügung stellen. Unsere IP-Adressen verfügen jedoch über PTR Resource Records, die *.teamviewer.com zugeordnet sind. Sie können damit die Ziel-IP-Adressen einschränken, für die Sie Ihre Firewall oder den Proxy-Server öffnen.
Allerdings sollte dies unter dem Sicherheitsaspekt nicht wirklich notwendig sein, denn TeamViewer initiiert ausgehende Verbindungen nur über eine Firewall. Daher reicht es aus, einfach sämtliche eingehende Verbindungen an Ihrer Firewall zu blockieren und ausgehende Verbindungen nur über Port 5938, zuzulassen, unabhängig von der Ziel-IP-Adresse.