Dieser Artikel richtet sich an alle, die TeamViewer nutzen.
Zusammenfassung
Alle TeamViewer Versionen nutzen vollständige Verschlüsselung. Die Verschlüsselung basiert auf 4096bit RSA Private/Public Key Exchange und 256 Bit AES-Verschlüsselung. Dies bietet dieselbe Sicherheit wie https/SSL und gilt nach heutigen Maßstäben als vollkommen sicher.
Der Austausch von Schlüsseln gewährleistet zudem, dass die Datenübermittlung von Gerät zu Gerät vollständig sicher ist und dass die dazwischen liegenden Router oder Server (einschließlich TeamViewer Router) die übermittelten Daten nicht auslesen oder analysieren können.
Sicherheit und Datenschutz haben bei der Entwicklung für uns stets höchste Priorität.
Weitere Informationen finden Sie in unserem Sicherheitshandbuch.
Das Unternehmen und die Software
Über uns
Die TeamViewer GmbH wurde 2005 gegründet und hat ihren Sitz in Süddeutschland, in der Stadt Göppingen (bei Stuttgart), mit Niederlassungen in Australien und den USA. Wir entwickeln und vertreiben ausschließlich sichere Systeme für die webbasierte Zusammenarbeit. Innerhalb kürzester Zeit hat unsere Freemium-Lizenzierung mit mehr als 200 Millionen Nutzern der TeamViewer Software auf mehr als 2,5 Milliarden Geräten, in mehr als 200 Ländern rund um den Globus zu einem rasanten Wachstum geführt. Die Software ist in mehr als 30 Sprachen verfügbar.
Unser Verständnis von Sicherheit
TeamViewer wird täglich von bis zu 45 Millionen Nutzern gleichzeitig eingesetzt.
Diese Nutzer leisten spontanen Support über das Internet, greifen auf unbeaufsichtigte Computer zu (z.B. Remote Support für Server) und veranstalten Online Meetings.
Je nach Konfiguration kann mit TeamViewer ein anderer Computer ferngesteuert werden, so als säße man direkt davor.
Ist der Nutzer, der auf einen entfernten Computer aufgeschalten ist, ein Windows, Mac oder Linux Administrator, erhält er auch auf diesem Computer Administratorrechte. Selbstverständlich muss eine derart mächtige Funktionalität über das potenziell unsichere Internet mit großer Sorgfalt gegen Angriffe geschützt werden.
Das Thema Sicherheit dominiert alle unsere Entwicklungsziele und wird bei allem gelebt, was wir tun. Wir wollen einen sicheren Zugang zu Ihrem Computer gewährleisten und unsere eigenen Interessen schützen: Millionen von Anwendern weltweit vertrauen nur einer sicheren Lösung und nur eine sichere Lösung sichert unseren langfristigen Unternehmenserfolg.
Qualitätsmanagement
Nach unserem Verständnis ist Sicherheitsmanagement ohne ein etabliertes Qualitätsmanagementsystem nicht denkbar.
Die TeamViewer GmbH ist einer der wenigen Anbieter am Markt, der ein zertifiziertes Qualitätsmanagement nach ISO 9001 praktiziert. Unser Qualitätsmanagement folgt international anerkannten Standards. Jährlich lassen wir unser QM-System durch externe Audits überprüfen.
Externe Expertenbewertung
Unsere TeamViewer Software wurde vom Bundesverband der IT- Sachverständigen und Gutachter e.V. (BISG e.V.) mit einem Fünf-Sterne-Qualitätssiegel (Höchstwert) ausgezeichnet. Die unabhängigen Gutachter des BISG e.V. prüfen Produkte von qualifizierten Herstellern auf ihre Qualitäts-, Sicherheits- und Serviceeigenschaften.
Referenzen
Führende globale Unternehmen aus verschiedenen Branchen - wie Finanzdienstleister, Gesundheitswesen, Behörden und andere Sektoren mit hochsensiblen Daten - nutzen TeamViewer für sicheren Fernzugriff und Support, Customer Engagement, IoT und industrielle Augmented Reality Lösungen. Um zu sehen, wie TeamViewer weltweit in diesen Unternehmen eingesetzt wird, lesen Sie unsere Kundenerfolgsgeschichten, die Sie auf unserer Website finden TeamViewer Erfolgsgeschichten & Kundenberichte
TeamViewer Verbindungen
Erstellen einer Sitzung und Verbindungstypen
Beim Aufbau einer Sitzung ermittelt TeamViewer die optimale Verbindungsart. Nach dem Handshake durch unsere Master-Server wird in 70% aller Fälle eine direkte Verbindung über UDP oder TCP aufgebaut (auch hinter Standard-Gateways, NATs und Firewalls).
Der Rest der Verbindungen wird über unser hochredundantes Routernetzwerk per TCP oder http-Tunneling geleitet.
Sie müssen keine Ports öffnen, um mit TeamViewer arbeiten zu können!
Wie im nächsten Abschnitt Sichere Verbindungen beschrieben, können nicht einmal wir als Betreiber der Routing-Server, den verschlüsselten Datenverkehr mitlesen.
Sichere Verbindungen
TeamViewer Verbindungen laufen über komplett gesicherte Datenkanäle, die mit einem RSA Public/Private Key Exchange aufgebaut und mit 256-Bit-AES verschlüsselt sind. Diese Technik wird in vergleichbarer Form auch bei https/SSL eingesetzt und gilt nach heutigem Stand der Technik als vollständig sicher.
Da der Private Key den Client-Rechner nie verlässt, ist sichergestellt, dass die zwischengeschalteten Rechner, einschließlich der TeamViewer-Routing-Server, den Datenstrom nicht entschlüsseln können.
Jeder TeamViewer Client verfügt über ein Zertifikat des Master-Clusters, mit dem er Zertifikate des TeamViewer Systems verifizieren kann. Diese Zertifikate werden in einem Handshake zwischen den Teilnehmern des TeamViewer Netzwerks verwendet.
Eine vereinfachte Übersicht über den Handshake-Schlüsselaustausch finden Sie in der folgenden Abbildung
Passwortauthentifizierung
Bei der Passwortauthentifizierung von TeamViewer werden keine passwortgleichen Daten weitergegeben, da das Secure Remote Password (SRP) Protokoll Version 6 verwendet wird.
Auf dem lokalen Computer wird lediglich ein Passwort-Verifier gespeichert. Weitere Details finden Sie im Abschnitt TeamViewer Konto.
Validierung von TeamViewer IDs
TeamViewer IDs werden direkt von TeamViewer automatisch anhand von diversen Hardware- und Softwaremerkmalen generiert. Vor jeder Verbindung kontrollieren die TeamViewer Server diese IDs auf ihre Gültigkeit.
Brute-Force-Schutz
Wenn Interessenten uns zur TeamViewer Sicherheit befragen, spielt das Thema Verschlüsselung eine große Rolle. Verständlicherweise ist die Möglichkeit, dass Dritte eine Verbindung einsehen oder die TeamViewer Zugangsdaten abgegriffen werden können, gefürchtet. In der Praxis sind es dann aber oft ganz primitive Angriffe, die am gefährlichsten sind.
Im Kontext der Computersicherheit ist ein Brute-Force-Angriff meist der Versuch, ein Kennwort, welches den Zugriff auf eine Ressource schützt, durch Ausprobieren zu erraten. Mit der steigenden Rechenleistung handelsüblicher Computer wird der Zeitaufwand für das Ausprobieren auch längerer Kennwörter immer weiter reduziert.
Zur Abwehr von Brute-Force-Angriffen erhöht TeamViewer exponentiell die Wartezeit zwischen Verbindungsversuchen. Für 24 Versuche werden so bereits 17 Stunden benötigt. Die Wartezeit für Verbindungsversuche wird erst nach der erfolgreichen Kennworteingabe zurückgesetzt.
TeamViewer bietet seinen Kunden nicht nur Schutz vor Angriffen eines bestimmten Computers, sondern auch vor sogenannten Botnetz-Angriffen, bei denen versucht wird, von mehreren Computern aus auf eine spezielle TeamViewer ID zuzugreifen.
Code Signing
Als zusätzliche Sicherheitsfunktion werden alle unsere Programme mittels DigiCert Code Signing signiert. Dadurch ist der Herausgeber der Software immer zuverlässig identifizierbar. Wird die Software nachträglich verändert, wird die digitale Signatur automatisch ungültig.
Datacenter und Backbone
Um die bestmögliche Sicherheit und Verfügbarkeit der TeamViewer Services zu garantieren, befinden sich die zentralen TeamViewer Server in nach ISO 27001 zertifizierten hochmodernen Rechenzentren mit multiredundanter Carrier-Anbindung und redundanter Stromversorgung. Außerdem wird ausschließlich modernste Hardware eingesetzt. Darüber hinaus befinden sich alle unsere Server, auf denen sensible Daten gespeichert werden, in Deutschland oder Österreich.
Die ISO27001-Zertifizierung bedeutet, dass persönliche Zugangskontrollen, Videokameraüberwachung, Bewegungsmelder, 24x7-Überwachung und Sicherheitspersonal vor Ort dafür sorgen, dass nur autorisierte Personen Zugang zum Rechenzentrum erhalten und die bestmögliche Sicherheit für Hardware und Daten gewährleistet ist. Am einzigen Zugangspunkt zum Rechenzentrum findet eine ausführliche Personenüberprüfung und -identifikation statt.
TeamViewer Konto
TeamViewer Konten werden auf dedizierten TeamViewer Servern gehostet. Informationen zur Zugriffskontrolle finden Sie unter Datacenter und Backbone oben. Für die Autorisierung wird das Secure Remote Password Protokoll (SRP) Version 6 verwendet. Dieses Protokoll vereint die Vorteile der gebräuchlichen Möglichkeiten der Passwortspeicherung. Wir speichern keine Informationen auf unseren Servern, die von einem Angreifer dazu verwendet werden könnten, sich als das angegebene Konto zu authentifizieren. Außerdem wird während der Authentifizierung niemals ein Passwort an unsere Server gesendet. Stattdessen wird ein Nachweis verwendet, der nur für den einmaligen Authentifizierungslauf gültig ist und danach nicht wiederverwendet werden kann.
Die im Konto gespeicherten Daten, wie z. B. Passwörter, Schlüssel, Chatprotokolle usw., werden mit einer Kombination aus RSA und AES verschlüsselt, wobei der Root Key für die Verschlüsselung vom Passwort des Nutzers abgeleitet wird. Dadurch wird sichergestellt, dass ein Angreifer ohne das Passwort nicht auf die im Konto gespeicherten Daten zugreifen kann.
Management Console
Die TeamViewer Management Console ist eine webbasierte Plattform für die Benutzerverwaltung, Verbindungsprotokollierung und die Verwaltung der Computer & Kontakte Liste.
Sie wird in ISO-27001-zertifizierten, HIPAA-konformen Rechenzentren gehostet. Die gesamte Datenübertragung erfolgt über einen sicheren Kanal mit TSL (Transport SecurityLayer) Verschlüsselung, dem Standard für sichere Internet Netzwerkverbindungen. Sensible Daten werden mit denselben Verschlüsselungs- und Authentifizierungsmechanismen gespeichert, die für den TeamViewer Account beschrieben sind.
Richtlinienbasierte Einstellungen
Von der TeamViewer Management Console aus können Nutzer Richtlinien für TeamViewer Einstellungen definieren, verteilen und auf Geräten durchsetzen, die speziell ihnen gehören.
Die Richtlinien werden von dem Konto, das sie erstellt, digital signiert. Dadurch wird sichergestellt, dass das einzige Konto, das eine Richtlinie einem Gerät zuweisen darf, das Konto ist, zu dem das Gerät gehört.
Anwendungssicherheit im TeamViewer
Block- und Allowlist
Besonders wenn TeamViewer zur unbeaufsichtigten Wartung eines Rechners eingesetzt wird (d.h. niemand ist vor dem Rechner), kann mit der Allowlist die Sicherheit erhöht werden.
Durch das Hinzufügen von TeamViewer IDs oder Konten zu Ihrer AllowList können Sie die Anzahl der Personen, die auf bestimmte Rechner zugreifen können, auf die explizit genannten IDs oder Konten beschränken.
Und selbst wenn ein Passwort verloren geht oder kompromittiert wird, können unberechtigte Dritte nicht auf das Gerät zugreifen. Die Einschränkungen können entweder so vorgenommen werden, dass nur bestimmte TeamViewer IDs oder TeamViewer Konten auf das Gerät zugreifen dürfen.
AllowLists können über die im Abschnitt "Management Console" beschriebenen Richtlinien verwaltet werden.
Mit der BlockList können Sie verhindern, dass bestimmte Partner oder Geräte eine Verbindung zu Ihrem Computer aufbauen. TeamViewer Konten oder TeamViewer IDs auf der Block List können sich nicht mit Ihrem Computer verbinden.
📌Hinweis: Sie können weiterhin ausgehende TeamViewer Sitzungen mit Partnern auf der BlockList aufbauen.
Chat
Chat Nachrichten und deren Verlauf werden Ende-zu-Ende-verschlüsselt und mit RSA/AES im TeamViewer Konto gespeichert, wie im Kapitel TeamViewer Konto beschrieben. Nur die Teilnehmer eines Gruppenchats oder eines 1:1 Chats können auf die Nachrichten und den Verlauf zugreifen.
Kein Spionagemodus
Es gibt keine Funktion, mit der Sie TeamViewer komplett im Hintergrund laufen lassen können.
Auch wenn die Anwendung als Windows Dienst im Hintergrund läuft, ist TeamViewer immer über ein Symbol im Traymenü sichtbar. Nach einem Verbindungsaufbau ist immer ein kleines Bedienfeld oberhalb des Traymenüs sichtbar.
TeamViewer ist somit ganz bewusst nicht für die heimliche Überwachung von Geräten oder Mitarbeitern geeignet.
So kann der Anwender sicherstellen, dass während einer TeamViewer Sitzung keine sensiblen Daten auf seinem Bildschirm angezeigt werden.
Vertrauenswürdige Geräte
Die Funktion Vertrauenswürdige Geräte ist eine Alternative zur Zwei-Faktor-Authentifizierung und bietet eine zusätzlichen Schutz für Ihr TeamViewer Konto.
Wenn Sie die Zwei-Faktor-Authentifizierung nicht einrichten, wird die Funktion Vertrauenswürdige Geräte automatisch angewendet. Als vorbeugende Maßnahme zur Gewährleistung der Sicherheit Ihres Kontos müssen Sie neue Geräte oder Browser bei der ersten Anmeldung manuell autorisieren, um auf Ihr TeamViewer Konto zugreifen zu können.
Als Teil des Autorisierungsprozesses wird eine E-Mail an die mit Ihrem TeamViewer Konto verknüpfte E-Mail-Adresse gesendet. Ohne ein Gerät, einen Browser oder eine IP zu Ihren vertrauenswürdigen Geräten hinzuzufügen, können Sie sich nicht anmelden. Dies schützt Ihr Konto davor, dass andere sich unbefugt mit Ihrem Konto anmelden können, da zur Autorisierung der Anmeldung ebenfalls der Zugriff auf Ihr E-Mail-Postfach benötigt wird.
Erfahren Sie mehr über vertrauenswürdige Geräte und deren Verwaltung:
1. Vertrauenswürdige Geräte
2. Verwaltung der vertrauenswürdigen Geräte
Passwortschutz
Für den spontanen Kundensupport generiert TeamViewer (TeamViewer QuickSupport) ein zufälliges Passwort, das jederzeit geändert werden kann. Wenn Ihr Kunde Ihnen sein Passwort mitteilt, können Sie sich mit seinem Computer verbinden, indem Sie seine ID und sein Passwort eingeben. Je nach Einstellung wird ein neues Passwort auf dem Kundenrechner entweder nach einem Neustart von TeamViewer, nach der Fernsteuerungssitzung oder bei manueller Anforderung generiert.
Wenn Sie TeamViewer zur unbeaufsichtigten Fernwartung (z.B. von Servern) verwenden, empfehlen wir
Mehr zu diesem Thema können Sie in unserem Sicherheitshandbuch nachlesen.
In Kombination mit der Zwei-Faktor-Authentifizierung deckt dieser Schutz sowohl den Zugriff auf das Konto als auch auf jede Maschine ab, die Sie über TeamViewer unterstützen.
Alle Passwörter werden mit dem gleichen SRP-Protokoll verifiziert, das im Abschnitt TeamViewer Konto beschrieben ist.
Eingehende und ausgehende Zugriffskontrolle
Sie können die Verbindungsmodi von TeamViewer individuell konfigurieren. So können Sie z.B. Ihren Fernwartungs- oder Meetingrechner so konfigurieren, dass keine eingehenden Verbindungen möglich sind.
Die Beschränkung auf die tatsächlich benötigten Funktionen bedeutet immer auch die Einschränkung möglicher Schwachstellen für potentielle Angriffe.
Zwei-Faktor-Authentifizierung
TeamViewer unterstützt Unternehmen bei der Erfüllung ihrer HIPAA- und PCI-Compliance-Anforderungen. Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, um TeamViewer Konten vor unberechtigtem Zugriff zu schützen.
Zusätzlich zu Benutzername und Passwort muss der Nutzer einen Code eingeben, um sich zu authentifizieren. Dieser Code wird über den zeitbasierten One-Time-Password-Algorithmus (TOTP) generiert. Daher ist der Code nur für einen kurzen Zeitraum gültig.
Durch die Zwei-Faktor-Authentifizierung und die Zugriffsbeschränkung mittels Whitelisting hilft TeamViewer, alle notwendigen Kriterien für die HIPAA- und PCI-Zertifizierung zu erfüllen.
Sicherheitstests
Sowohl die TeamViewer Infrastruktur als auch die TeamViewer Software werden regelmäßigen Penetrationstests unterzogen. Die Tests werden von unabhängigen, auf Sicherheitstests spezialisierten Unternehmen durchgeführt.