TeamViewer Trust Center

Ihre zentrale Quelle für aktuelle Informationen über Sicherheit, Konformität und Systemleistung.

AKTUELLER SYSTEMZUSTAND

Datacenter und Backbone

Die zentralen TeamViewer Server befinden sich in nach ISO 27001 zertifizierten hochmodernen Rechenzentren mit multiredundanter Carrier-Anbindung und redundanter Stromversorgung. Diese umfassen Datensicherung mittels RAID-fähigen Arrays, Datenspiegelung, Daten-Backups, hochverfügbare Serverspeicher sowie Router-Systeme mit Mechanismen für die Notfallwiederherstellung und Verfahren, die die Bereitstellung eines ununterbrochenen Service sicherstellen. Darüber hinaus befinden sich alle unsere Server, auf denen sensible Daten gespeichert werden, in Deutschland oder Österreich.

Die Rechenzentren verfügen über Kontrollmechanismen auf dem heutigen Stand der Technik, wie Zutrittskontrollen für Mitarbeiter, Videoüberwachung, Bewegungserkennung und 24-h-Überwachung. Sicherheitspersonal am Standort sorgt dafür, dass nur autorisiertes Personal Zugang zum Rechenzentrum hat und garantieren die bestmögliche Sicherheit für Hardware und Daten. Am einzigen Zugangspunkt zum Rechenzentrum findet eine ausführliche Personenüberprüfung und -identifikation statt.

Code Signing

Als zusätzliche Sicherheitsfunktion werden alle unsere Programme mittels VeriSign Code Signing signiert. Dadurch ist der Herausgeber der Software immer zuverlässig identifizierbar. Wird die Software nachträglich verändert, wird die digitale Signatur automatisch ungültig.

TeamViewer Sitzungen

HERSTELLUNG EINER SITZUNG UND VERBINDUNGSARTEN

Bei der Herstellung einer Sitzung wählt TeamViewer die optimale Art der Verbindung. Nach dem Handshake über unsere Masterserver findet in 70 % der Fälle (selbst hinter Standard-Gateways, NAT-Routern und Firewalls) eine Direktverbindung über UDP oder TCP statt. Die restlichen Verbindungen werden über unser hochredundantes Router-Netzwerk via TCP oder http-Tunneling geleitet.

Sie müssen also keinerlei Ports öffnen, um mit TeamViewer arbeiten zu können.

VERSCHLÜSSELUNG UND AUTHENTIFIZIERUNG

TeamViewer Verbindungen laufen über komplett gesicherte Datenkanäle, die mit einem RSA Public/Private Key Exchange aufgebaut und mit 256-Bit-AES verschlüsselt sind. Diese Technik wird in vergleichbarer Form auch bei https/SSL eingesetzt und gilt nach heutigem Stand der Technik als vollständig sicher.

Da der Private Key niemals den Clientcomputer verlässt, ist durch dieses Verfahren technisch sichergestellt, dass zwischengeschaltete Computer im Internet den Datenstrom nicht entziffern können, das gilt somit auch für die TeamViewer Routingserver. Nicht einmal TeamViewer als Betreiber der Routingserver kann den verschlüsselten Datenverkehr lesen.

TeamViewer encryption and authentication

Jegliche Datenübertragung der Management Console findet über einen sicheren Kanal mit TSL-Verschlüsselung (Transport Security Layer) statt, dem Standard für sichere Netzwerkverbindungen im Internet. Für Autorisierung und Passwort-Verschlüsselung wird das Secure Remote Password Protocol (SRP) verwendet, ein erweitertes, passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren (PAKE). Dadurch wird verhindert, dass ein Eindringling oder Man-in-the-Middle ausreichend Informationen erhält, um ein Passwort durch Brute-Force Angriffe zu erraten. Somit kann selbst mit schwachen Passwörtern eine hohe Sicherheit gewährleistet werden. TeamViewer empfiehlt dennoch, die branchenübliche Best Practice für die Erstellung von Passwörtern anzuwenden, um ein Höchstmaß an Sicherheit sicherzustellen.

Jeder TeamViewer Client hat bereits den Public Key unseres Masterclusters implementiert und kann so Nachrichten an den Mastercluster verschlüsseln bzw. dessen Signatur überprüfen. Die Public Key-Infrastruktur (PKI) verhindert effektiv „Man-in-the-Middle-Attacken“ (MITM). Trotz der Verschlüsselung wird das Passwort nie direkt gesendet, sondern über ein Challenge-Response-Verfahren, und es wird ausschließlich auf dem lokalen Rechner gespeichert. Bei der Authentifizierung wird das Kennwort aufgrund der Verwendung des Secure Remote Password Protokolls (SRP) niemals direkt übertragen. Lediglich ein Passwort-Verifier wird auf dem lokalen Computer gespeichert.

Validierung von TeamViewer IDs

TeamViewer IDs werden direkt von TeamViewer automatisch anhand von diversen Hardware- und Softwaremerkmalen generiert. Vor jeder Verbindung kontrollieren die TeamViewer Server diese IDs auf ihre Gültigkeit.

Brute-Force-Schutz

Wenn Interessenten uns zur TeamViewer Sicherheit befragen, spielt das Thema Verschlüsselung eine große Rolle. Verständlicherweise ist die Möglichkeit, dass Dritte eine Verbindung einsehen oder die TeamViewer Zugangsdaten abgegriffen werden können, gefürchtet. In der Praxis sind es dann aber oft ganz primitive Angriffe, die am gefährlichsten sind.

Im Kontext der Computersicherheit ist ein Brute-Force-Angriff meist der Versuch, ein Kennwort, welches den Zugriff auf eine Ressource schützt, durch Ausprobieren zu erraten. Mit der steigenden Rechenleistung handelsüblicher Computer wird der Zeitaufwand für das Ausprobieren auch längerer Kennwörter immer weiter reduziert.

Zur Abwehr von Brute-Force-Angriffen erhöht TeamViewer exponentiell die Wartezeit zwischen Verbindungsversuchen. Für 24 Versuche werden so bereits 17 Stunden benötigt. Die Wartezeit für Verbindungsversuche wird erst nach der erfolgreichen Kennworteingabe zurückgesetzt.

TeamViewer bietet seinen Kunden nicht nur Schutz vor Angriffen eines bestimmten Computers, sondern auch vor sogenannten Botnetz-Angriffen, bei denen versucht wird, von mehreren Computern aus auf eine spezielle TeamViewer ID zuzugreifen.

TeamViewer Ports

TCP/UDP PORT 5938

TeamViewer stellt ausgehende TCP- und UDP-Verbindungen bevorzugt über Port 5938 her. Dies ist der Port, der hauptsächlich genutzt wird und über den TeamViewer am besten arbeitet. Ihre Firewall sollte mindestens dies zulassen.

TCP PORT 443

Falls TeamViewer die Verbindung nicht über Port 5938 herstellen kann, wird als nächstes der Verbindungsaufbau über TCP Port 443 versucht.
Unsere mobilen Apps für Android, iOS, Windows Mobile und BlackBerry verwenden Port 443 jedoch nicht.

Hinweis: Port 443 wird auch von unseren personalisierten Modulen verwendet, die in der Management Console erstellt werden. Wenn Sie ein personalisiertes Modul verwenden, beispielsweise durch Group Policy, muss Port 443 auf den von Ihnen eingesetzten Computern geöffnet sein. Port 443 wird auch noch für einige andere Dinge verwendet, wie die Überprüfung der TeamViewer Updates.

TCP PORT 80

Falls TeamViewer keine Verbindung über Port 5938 oder Port 443 aufbauen kann, wird der Verbindungsaufbau über TCP Port 80 versucht. Die Verbindungsgeschwindigkeit ist über diesen Port niedriger und weniger zuverlässig als über Port 5938 oder Port 443. Dies liegt an den zusätzlichen Verwaltungsdaten, die er verwendet. Außerdem gibt es keine automatische Wiederherstellung der Verbindung, wenn diese vorübergehend unterbrochen wird. Aus diesen Gründen wird Port 80 nur als letztes Mittel eingesetzt.
Unsere mobilen Apps für Android, Windows Mobile und BlackBerry verwenden Port 80 nicht. Allerdings können unsere iOS Apps Port 80 bei Bedarf nutzen.

Android, Windows Mobile und BlackBerry

Unsere mobilen Apps für Android, Windows Mobile und BlackBerry können ausgehende Verbindungen nur über Port 5938 aufbauen. Falls mit der TeamViewer App auf Ihrem Mobilgerät keine Verbindung aufgebaut werden kann und Sie die Meldung erhalten, “Überprüfen Sie die Internetverbindung”, kann dies daran liegen, dass Ihr Mobilfunkanbieter oder Ihr WLAN-Router bzw. Ihre Firewall den Port blockiert.

Ziel-IP-Adressen

Die TeamViewer Software stellt Verbindungen zu unseren Masterservern auf der ganzen Welt her. Diese Server verwenden eine Reihe unterschiedlicher IP-Adressbereiche, die sich zudem häufig ändern. Daher können wir keine Liste mit den IP-Adressen unserer Server zur Verfügung stellen. Unsere IP-Adressen verfügen jedoch über PTR Resource Records, die *.teamviewer.com zugeordnet sind. Sie können damit die Ziel-IP-Adressen einschränken, für die Sie Ihre Firewall oder den Proxy-Server öffnen.

Allerdings sollte dies unter dem Sicherheitsaspekt nicht wirklich notwendig sein, denn TeamViewer initiiert ausgehende Verbindungen nur über eine Firewall. Daher reicht es aus, einfach sämtliche eingehende Verbindungen an Ihrer Firewall zu blockieren und ausgehende Verbindungen nur über Port 5938, zuzulassen, unabhängig von der Ziel-IP-Adresse.

Tabelle der verwendeten Ports pro Betriebssystem

Website TeamViewer.com

Die folgenden Maßnahmen schützen die Website teamviewer.com.

MCAFEE SECURE

Das Vertrauenszeichen McAfee Secure wird Websites verliehen, die von McAfee zertifiziert wurden und die frei von Malware, Viren, Phishing-Angriffen und schädlichen Links sind.

Exklusive Angebote, aktuelle Informationen sowie Tipps & Tricks Newsletter abonnieren