Zugriffsversuch

Hallo,

diesmal wende ich mich in eigener Sache an Euch. Auf meinem Rechner, Windows 7 Pro, läuft Teamviewer. Nun habe ich mal wieder das Passwort geändert und mir heute das Log angeschaut. Und siehe da, da hatte jemand versucht, über Teamviewer auf meinen Rechner zu zu greifen. Nun habe ich auch gesehen, dass dies in der näheren Vergangenheit nicht der erste Zugriffsversuch gewesen ist, früher offenbar erfolgreich. Zwischenzeitlich habe ich auch schon Teamviewer angeschrieben und um Nennung der dazu gehörigen IP-Adresse gebeten. Da es aber fraglich ist, ob ich diese Information erhalte, stellt sich mir folgende Frage: Der Rechner hängt per WLAN an der Fritzbox 7272, Firmware 6.20. Werden in Windows oder in der Fritzbox bei einem Zugriff über Teamviewer die Netzwerkdaten mit protokolliert, wo finde ich diese und wie werte ich sie aus?
Versteht mich bitte nicht falsch, aber ich brauche hier weder eine Diskussion über Online-Sicherheit noch über weitergehende Maßnahmen. Das weiß ich selbst. Aber wenn selbst gut geschützte Systeme wie Staaten, Atomanlagen oder Banken infiltriert werden können, muss einem klar sein, dass es keine hundert prozentige Sicherheit gibt. Ich bin mir sogar fast sicher, dass der Zugriff aus meinem persönlichen Umfeld kommt. Daher bitte nur sachdienliche Antworten. Danke

The undertaker

 

Auf meinen Servern habe ich zum Teil Unmengen ein Einlogversuchen. Das ist erst mal nichts Schlimmes. Die Ursache sind in der Regel automatische Skripts, die IP-Bereiche wahllos nach offenen Ports absuchen und auf diese dann Standardpasswörter los lassen.

Bei Teamviewer ist die Sache schwieriger, da dieses nicht mit nach außen geöffneten Ports arbeitet, sondern die Ports von innen frei hält, in dem es fortlaufend mit einem externen "Verzeichnisserver" kommuniziert. Das ist auch einer der großen Knackpunkte der Software. Sie hebelt sämtliche Sicherheitsebenen des lokalen Netzwerkes aus und man hat faktisch keine Möglichkeit unabhängig - sprich außerhalb der Software selbst - den Datenstrom (und damit auch unberechtigte Zugriffe) zu kontrollieren. Will sagen: was dir Teamviewer nicht selbst verrät, bekommst du auch nicht heraus. Die Logs des Verzeichnisservers könnten Aufschluss geben, an die kommst du aber nicht heran. Ich gehe mal davon aus, dass dir der Support eine Standardmail schickt alla: man prüft das, aber man kann dir leider aus Datenschutzgründen keine Daten geben. Ich rate schon seit Jahren von solchen Programmen ab.

Du setzt die Tatsache voraus, dass diese Systeme ausnahmslos "gut geschützt" sind. Dem ist aber mitnichten so. Viele Steuerungen von Anlagen aller Art sind ganz frei über das Internet oder über lokale Funknetze erreichbar. Man muss nur wissen, wonach man suchen muss. Dazu kommt noch, dass viele Administratoren verlernt haben, ihre Systeme als Außenstehender zu betrachten und zu überlegen, was passiert eigentlich wenn... Manchmal reicht schon ein "unwichtiges" Detail, um ein ganzes Netz zu übernehmen.

 

Ich hatte es mir fast schon gedacht. Da ich aber von einigen Freunden und Verwandten immer wieder mit Problemchen zu den einzelnen Rechner kontaktiert werde (incl. meiner Frau), nutze ich Teamviewer, damit ich nicht immer zu den Leuten hin muss. Den meisten Kram kann man so schnell erledigen. Das es ein automatischer Versuch gewesen sein soll glaub ich nicht, da in dem Log ja erfolgreiche Logins verzeichnet sind. Warten wir mal den Support ab. Sonst kann ich ja nichts machen. Der Rechner, den es betrifft, läuft nur für den schnellen Internetzugriff (mal ein Rezept oder die Nachrichten, Youtube und Co. etc.). Insofern besteht kein akuter Handlungsbedarf, da hier keinerlei sicherheitsrelevanten Daten vorhanden sind. Trotzdem wüsste ich schon gern, wer hier versucht, mir auf den Teller zu schauen.

 

So lange der Rechner per DMZ im Router vom restlichen Netz getrennt ist, kann man das so stehen lassen. Sollte er aber mit anderen Rechnern/Geräten (z.B. NAS) vernetzt sein, musst du halt wissen, dass eine Teamviewer-Session mindestens über die selben Rechte verfügt, wie der lokal angemeldete Windows-Benutzer, sie also ohne Nachfrage die selben Zugriffsmöglichkeiten hat.

 

Das ist mir klar. Der betroffene Rechner ist aber "alleine". Es ist ein ältere Lapi, der nur für den schnellen Blick ins Internet gedacht ist und somit mit dem Rest nichts zu tun hat.

 

Grundsätzlich eine gute Idee. Aber da derjenige am 6. bei seinem Loginversuch am Passwort gescheitert ist stellt sich die Frage, ob er es nochmal versuchen wird.