---

Hallo,

zur gelegentlichen Fernwartung nutze ich den "TeamViewer" privat. Natürlich bleibt der PC auch mal den ganzen Tag an und der TeamViewer gestartet.

TV vergibt das Zugriffspasswort selbst beim starten des Clients, es hat nur vier numerische Stellen. Jetzt sagte mir jemand, das dies geardezu eine Einladung für Datenklau sei! Portscanner duchforsten das I-Net und hätten bei vier Zahlen leichtes Spiel. Der Hersteller von TV wirbt natürlich mit Sicherheit.
Wert hat Recht, ich mache mir Sorgen?!

Leider gibt es gerade über diese Themen viel Sche.. im Net zu lesen, jeder krönt sich da zum "Spezialisten"

------------------
Lutz

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von LK36:
Hallo,

zur gelegentlichen Fernwartung nutze ich den "TeamViewer" privat. Natürlich bleibt der PC auch mal den ganzen Tag an und der TeamViewer gestartet.

TV vergibt das Zugriffspasswort selbst beim starten des Clients, es hat nur vier numerische Stellen. Jetzt sagte mir jemand, das dies geardezu eine Einladung für Datenklau sei! Portscanner duchforsten das I-Net und hätten bei vier Zahlen leichtes Spiel. Der Hersteller von TV wirbt natürlich mit Sicherheit.
Wert hat Recht, ich mache mir Sorgen?!

Leider gibt es gerade über diese Themen viel Sche.. im Net zu lesen, jeder krönt sich da zum "Spezialisten"

---

Jetzt betreiben wir doch einmal Mathe bzw. Informationstheorie auf Grundschulniveau:

Vier numerische Stellen bedeuten eine Zifferkette mit vier Stellen, jede Ziffer von 0-9. Damit gibt es maximal einen Zahlenwert von 0 bis 9999. Damit können wir abschätzen, wie viele Bits wir maximal brauchen, um diesen Wert zu kodieren. 2^13=8192 < 9999 < 2^14=16394, setzen wir nun den Idealfall voraus, dann folgt daraus eine Entropie von 13 < log_2(9999) < 14, also eine vernachlässigbar kleine Länge des Kennwortes . Von daher kann diese kennwort-basierte Authentifizierung nur als absolut ungenügend angesehen werden.

Im Widerspruch dazu nimmt TeamViewer für sich in Anspruch, die Verbindung selbst zu verschlüsseln, ohne das Verfahren explizit zu benennen, sie lehnen sich an SSL und der RSA Vershlüsselung an. Wird ein Sicherungsverfahren nicht explizit dokumentiert, dann gehen bei mir alle Warnlampen an... insbesondere wenn man nicht sagt, wie man es macht, sonder nur ähnlich zu einem erprobten Ansatz.

Teamviewer gibt die Zertifizierung durch drei Organisationen an, keine dieser Organisationen stellte ein Zertifikat aus, das eine Vermutungswirkung hinsichtlich des deutschen Rechts (Datenschutz, Vertraulichkeit von ....) erzeugt. Insbesondere wird nicht angegeben, welche Randbdg. erfüllt sein müssen, um überhaupt den Gegenstand der Zertifizierung zu erfüllen (GAD: Keine Funktionalität, keine Fremdsoftware).....

Der Nachweis, dass mit Teamviewer ein standardisiertes Schutzprofil sichergestellt wird, wurde nirgends angestrebt, geschweige denn erbracht.

Da diese Software sich durch Firewalls verbindet, stellt sie ersteinmal eine erhebliche Gefährdung der durch die Firewalls zu schützende Infrastruktur dar.

mfg HA

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Okay, das ist einleuchtent, Danke!

Wenn man sich einen FTP-Server aufsetzt, ist das doch sicher?! Gibt es dabei etwas zu beachten?

------------------
Lutz

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von LK36:
Okay, das ist einleuchtent, Danke!

Wenn man sich einen FTP-Server aufsetzt, ist das doch sicher?! Gibt es dabei etwas zu beachten?

---

NUN JA!

Im FTP wird das Kennwort im Klartext übertragen.

Benutzt Du Authentifizierung in Deinem FTP-Server, dann müssen Deine Benutzer zwangsweise ihre KEnnworte selbst kompromittieren, da sie diese ja über ihren FTP-Klienten im Klartext an Deinen Server schicken.

Also: Nur anonym ... oder SFTP...

mfg HA

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo LK36,

wir legen bei TeamViewer extrem hohen Wert auf Sicherheit. Das Kennwort in TeamViewer kann beliebig "stark" gesetzt werden. Du kannst in den TeamViewer Optionen unter "Sicherheit" entweder das dynamische Kennwort (ändert sich nach jedem Start) auf 10 Stellen setzen oder ein noch stärkeres Kennwort selbst festlegen. Alphanumerische und case-sensitive Kennwörter werden ebenfalls akzeptiert.

Auch das 4-stellige Kennwort bietet übrigens einen ausreichenden Schutz, da TeamViewer zusätzlich über einen Brute-Force-Schutz verfügt. Für 24 Versuche das Kennwort einzugeben werden bereits 17 Stunden benötigt.

Zudem wird das Kennwort für die Übertragung verschlüsselt und wird auch niemals direkt übertragen, sondern nur per challenge-response Verfahren gesendet. Alle Verbindungen die über TeamViewer zustandekommen sind über eine 256 Bit AES-Verschlüsselung geschützt.

Hoffe ich konnte deine Bedenken ausräumen. Wenn du noch weitere Fragen hast, darfst du dich gerne direkt an uns wenden oder das TeamViewer Sicherheitsstatement konsultieren: http://www.teamviewer.com/images/pdf/TeamViewer_Sicherheitsstatement.pdf

Viele Grüße
Constantin Falcoianu
TeamViewer GmbH

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von TeamViewer:
Hallo LK36,

wir legen bei TeamViewer extrem hohen Wert auf Sicherheit.

....

http://www.teamviewer.com/images/pdf/TeamViewer_Sicherheitsstatement.pdf

Viele Grüße
Constantin Falcoianu
TeamViewer GmbH

---

Ich habe Ihre bunten Bildchen auch gesehen. Die Kernfragen haben Sie nicht beantwortet.

1) Welches Maß an Vertraulichkeit stellen Sie RECHTSWIRKSAM sicher?
1a) In Ihren Ausführungen geben Sie keine Maß an.
1b) Die von Ihnen referenzierten Zertifikate entwickeln keine Vermutugnswirkung in der EU.

2) Wo ist der Sicherheitsgewinn ggü. einer per TLS gesicherten Übertragung?

HA

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo adamsh,

ich versuche Ihre Fragen hier nachfolgend zu beantworten:

1) Welches Maß an Vertraulichkeit stellen Sie RECHTSWIRKSAM sicher?
-> Wir sind an die deutsche Gesetzgebung gebunden, insofern unterliegen wir den strengen Richtlinien zum Schutz der Daten und der Privatspähre die in Deutschland vorherrschen. Weiterhin wird ein hohes Maß an Vertraulichkeit durch diverse Zertifikate, wie z.B. der sicherheitstechnischen Überprüfung von TeamViewer durch die Fiducia IT AG und der damit verbundenen Freigabe für sensible Bankenarbeitsplätze, gewährleistet.

1a) In Ihren Ausführungen geben Sie keine Maß an.
-> Leider verstehe ich Ihre Frage nicht.

1b) Die von Ihnen referenzierten Zertifikate entwickeln keine Vermutugnswirkung in der EU.
-> Die Zertifikate von TeamViewer sind teils international (z.B. das ISO-Zertifikat), teils national anerkannt.

2) Wo ist der Sicherheitsgewinn ggü. einer per TLS gesicherten Übertragung?
-> Der Verschlüsselungsmechanismus in TeamViewer arbeitet vergleichbar zu TLS, durch die hybride Verschlüsselung per RSA und AES.

Ich hoffe das beantwortet Ihre Fragen zufriedenstellend.

Grüße
Constantin Falcoianu
TeamViewer GmbH

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von TeamViewer:
Hallo adamsh,

ich versuche Ihre Fragen hier nachfolgend zu beantworten:

1) Welches Maß an Vertraulichkeit stellen Sie RECHTSWIRKSAM sicher?
-> Wir sind an die deutsche Gesetzgebung gebunden, insofern unterliegen wir den strengen Richtlinien zum Schutz der Daten und der Privatspähre die in Deutschland vorherrschen. Weiterhin wird ein hohes Maß an Vertraulichkeit durch diverse Zertifikate, wie z.B. der sicherheitstechnischen Überprüfung von TeamViewer durch die Fiducia IT AG und der damit verbundenen Freigabe für sensible Bankenarbeitsplätze, gewährleistet.

---

Fiducia IT möge doch bitte belegen, dass sie selbst überhaupt berechtigt ist, RECHTSWIRKSAME Zertifikate bzgl. IT-Sicherheit zu erstellen..... Was die für einen Bankenverein leistet, ist ziemlich egal im öffentlichen Recht.

Sie dürfen sogar mit einem Auto ohne TÜV in ihrem Hof herumfahren .... Das darf sogar ich ihnen genehmigen, ohne dass damit IRGENDWELCHE EIGNUNG für die Teilnahme am öffentlichen Straßenverkehr verbunden wäre ...

Zitat:

---

1a) In Ihren Ausführungen geben Sie keine Maß an.
-> Leider verstehe ich Ihre Frage nicht.

---

In welchem Zertifikat wurde Ihnen mit welcher Prüftiefe bestätigt, welches Schutzprofil sie erreichen bzw. einhalten würden?

Für Details bitte in die CC/ITSEC gucken....

Zitat:

---

1b) Die von Ihnen referenzierten Zertifikate entwickeln keine Vermutugnswirkung in der EU.
-> Die Zertifikate von TeamViewer sind teils international (z.B. das ISO-Zertifikat), teils national anerkannt.

---

Gegenstandslos, siehe oben. ISO 900x ist nur ggf. eine notwendige Voraussetzung für die Eignung einer Organisation, sicherheitsgerichtetete Software zu erstellen und zu vertreiben, nicht mehr. 

Zitat:

---

2) Wo ist der Sicherheitsgewinn ggü. einer per TLS gesicherten Übertragung?
-> Der Verschlüsselungsmechanismus in TeamViewer arbeitet vergleichbar zu TLS, durch die hybride Verschlüsselung per RSA und AES.

---

Na, warum nutzen Sie dann nicht TLS direkt????

Bisher konnten Sie nirgends nachweisen (!), dass Sie die übertragenen Daten kryptografisch HART (!) sichern, sie behaupten es nur.

Zitat:

---

Ich hoffe das beantwortet Ihre Fragen zufriedenstellend.

Grüße
Constantin Falcoianu
TeamViewer GmbH

---

Sie haben KEINE der Fragen beantwortet, Sie haben sich gewunden.

HA

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP