Sicherheit und Normenkonformität
Aus großer Leistung erwächst Verantwortung. VNC Connect ist von Grund auf ganz auf Sicherheit ausgelegt, so dass ein Gleichgewicht erzielt wird zwischen den Zugriffs- und Steuerungsfunktionen, die Sie brauchen, und dem vollständigen Datenschutz, der von den geltenden Vorschriften verlangt wird.
Unsere grundlegenden Sicherheitsprinzipien
Sie müssen kein Vertrauen in RealVNC als Unternehmen haben, um unserer Software und unseren Dienstleistungen vertrauen zu können
Wir zeichnen Ihre Sitzungen nicht auf und die Daten können nicht entschlüsselt werden – weder jetzt noch in der Zukunft
Jede Verbindung wird behandelt, als ob sie in einer feindlichen Umgebung hergestellt werden würde
Letztendlich entscheidet der Besitzer des Remotecomputers, wer eine Verbindung herstellen darf
Frequently asked questions
Allgemeine Fragen
Gerätezugriff
On-Demand Assist
Allgemeine Fragen
Sie erstellen ein RealVNC-Konto, wenn Sie VNC Connect erwerben oder eine Testversion herunterladen.
Ihre RealVNC-Konto-Anmeldeinformationen (E-Mail-Adresse und Kennwort) sind wichtig. Bitte geben Sie sie an niemanden weiter! Sie brauchen sie jedes Mal für Folgendes:
- Online-Anmeldung, um Ihr Team, Ihr Abonnement und vieles mehr zu verwalten.
- Anmeldung bei VNC Server, um Ihr Abonnement auf Remotecomputer anzuwenden (wenn Sie den Gerätezugriff nutzen).
- Anmeldung bei VNC Viewer, um remote auf Computer zuzugreifen (sowohl Gerätezugriff als auch Sofortunterstützung).
Das Kennwort muss mindestens 8 Zeichen enthalten und darf nicht mit einem VNC Server-Kennwort identisch sein. Es darf auch kein Kennwort sein, das Sie für einen anderen Online-Dienst verwenden.
Bitte beachten Sie, wenn Sie jemanden in Ihr Team einladen, um den Remotezugriff für diese Person freizugeben, dass diese Person durch das Akzeptieren Ihrer Einladung ein eigenes RealVNC-Konto erstellt. Diese Person braucht Ihre RealVNC-Konto-Anmeldeinformationen nie zu wissen.
Wir empfehlen dringend die Aktivierung der zweistufigen Verifizierung auf der Seite Sicherheit Ihres RealVNC-Kontos.
Jede Remotesteuerungssitzung muss vor ihrem Beginn authentifiziert werden.
- Wenn Sie den Gerätezugriff nutzen, müssen Benutzer, die eine Verbindung herstellen, sich bei VNC Server authentifizieren. VNC Server ist eine App, die als Bestandteil von VNC Connect auf jedem Remotecomputer installiert wird. Es gibt viele verschiedene Authentifizierungsschemata – darunter die Multi-Faktor-Authentifizierung. Mehr Informationen.
- Wenn Sie die Sofortunterstützung nutzen, gibt ein Endbenutzer einen 9-stelligen, für die Sitzung eindeutigen Code ein, den er von seinem Support-Techniker out-of-band erhalten hat. Keine andere Person kann eine Verbindung herstellen. Mehr Informationen.
Ja. Wir empfehlen deren Einrichtung.
Jeder Benutzer sollte für sein RealVNC-Konto die zweistufige Verifizierung auf der Seite Sicherheit aktivieren. So gehen Sie dafür vor.
Wenn Sie den Gerätezugriff nutzen, empfehlen wir außerdem die Aktivierung der Multi-Faktor-Authentifizierung für VNC Server. VNC Server ist eine App, die als Bestandteil von VNC Connect auf jedem Remotecomputer installiert wird. So gehen Sie dafür vor.
Ja, immer.
Bei einem Home- oder Professional-Abonnement werden Verbindungen durchgehend mit 128-Bit-AES- und 2048-Bit-RSA-Schlüsseln sowie mit PFS (Perfect Forward Secrecy) verschlüsselt. Somit sind Sitzungen – jetzt und in der Zukunft – absolut geschützt.
Bei einem Enterprise-Abonnement haben Sie die Option einer 256-Bit-AES-Verschlüsselung. Gehen Sie dafür folgendermaßen vor:
- Öffnen Sie die VNC Viewer-App und navigieren Sie zu Datei > Einstellungen > Experte.
- Suchen Sie den Parameter Verschlüsselung und stellen Sie den Wert auf
AlwaysMaximum
.
Befolgen Sie die nachstehenden Anweisungen:
- Kaufen Sie ein Enterprise-Abonnement.
- Wenn Sie Ihr RealVNC-Konto erstellen, wählen Sie ein komplexes, eindeutiges Kennwort aus (keines, das Sie bereits für einen anderen Online-Dienst verwenden).
- Aktivieren Sie für Ihr RealVNC-Konto online die zweistufige Verifizierung auf der Seite Sicherheit.
- Wenn Sie den Remotezugriff freigeben wollen, laden Sie nur Personen in Ihr Team ein, denen Sie vertrauen.
- Bestehen Sie darauf, dass diese Personen komplexe Kennwörter für ihre eigenen RealVNC-Konten auswählen und ebenfalls die zweistufige Verifizierung aktivieren.
- Wenn Sie den Gerätezugriff nutzen, befolgen Sie außerdem diese Anweisungen.
Sicherheit ist der Kernpunkt unseres Unternehmens. Daher veröffentlichen wir entsprechende Informationen über potenzielle Sicherheitsschwachstellen, sobald wir sie finden.
Wir zeichnen Ihre Sitzungen nicht auf und wir speichern nie Remotecomputer-Kennwörter. Wir speichern auch keine Zahlungs- oder Kreditkartendaten. Diese Informationen werden für uns von einem PCI DSS-konformen Anbieter (Braintree) gespeichert.
Wir speichern bestimmte Daten unter den folgenden Umständen:
- Wenn Sie bei der Installation von VNC Viewer die Analysefunktionen aktivieren.
- Wenn Sie den Gerätezugriff nutzen und bei der Installation von VNC Server entweder die Analysefunktionen oder die Update-Benachrichtigungen aktivieren.
- Wenn Sie den Gerätezugriff nutzen und sich auf mehreren Geräten bei VNC Viewer anmelden, um Ihr Adressbuch zu synchronisieren.
- Wenn Sie die Sofortunterstützung nutzen, beachten Sie bitte, dass wir automatisch bestimmte Sitzungsereignisse zu Überprüfungszwecken aufzeichnen.
Entsprechende Angaben, welche Daten erfasst und wo sie gespeichert werden, finden Sie in unseren Datenschutzrichtlinien.
Wenn Sie wollen, dass RealVNC überhaupt keine Daten speichert, müssen Sie Folgendes tun:
- Kaufen Sie ein Enterprise-Abonnement.
- Aktivieren Sie nur den Gerätezugriff (d. h. installieren Sie VNC Connect auf Computern, die Ihnen gehören oder die Sie verwalten).
- Stellen Sie nur Direktverbindungen zu diesen Computern her.
- Deaktivieren Sie die Analysefunktionen und Update-Benachrichtigungen für VNC Viewer und VNC Server.
- Stellen Sie eine Verbindung mithilfe von VNC Viewer her, ohne sich anzumelden (Ihr Adressbuch wird zwischen Ihren Geräten nicht synchronisiert).
Gerätezugriff
Nur die Personen, die Sie in Ihr Team einladen, können sich bei VNC Viewer anmelden und Ihre Computer ermitteln. (Laden Sie also nur Personen ein, denen Sie vertrauen!) Bitte beachten Sie, dass Sie mit einem Professional- oder Enterprise-Abonnement die Ermittlungsmöglichkeiten weiter einschränken können, indem Sie auf der Seite Computer Ihres RealVNC-Kontos Berechtigungen zuweisen und Benutzern Computer präzise zuordnen können.
Wenn eine Person Ihre Computer nicht ermitteln kann, dann kann sie auch unmöglich Cloud-Verbindungen zu ihnen herstellen. Und unser Ermittlungsdienst kann unter keinen Umständen umgangen werden.
Bitte beachten Sie, wenn Sie ein Enterprise-Abonnement haben und Direktverbindungen aufbauen wollen, dann ist es für eine böswillige Entität möglich, den Port, den Sie für die Firewall des Remotecomputers geöffnet haben (standardmäßig 5900 TCP), auszuspähen. Die Cloud-Konnektivität über das Internet ist viel sicherer!
Nur die Personen in Ihrem Team mit einer Berechtigung zur Ermittlung von Computern können sich bei VNC Viewer anmelden und einen Verbindungsversuch unternehmen.
Um eine Verbindung herzustellen, muss ein Teammitglied trotzdem noch die Anmeldeinformationen eingeben, die von der VNC Server-Version auf diesem Computer erwartet werden.
Das heißt, dass Computer durch unabhängige Kennwortmechanismen doppelt geschützt sind: das RealVNC-Kontosystem kontrolliert die Ermittlungsfunktion und das VNC Server-Authentifizierungsschema überwacht die Konnektivität.
VNC Server hat eine eindeutige digitale Signatur, die zu Ihrer Online-Sicherheit dient. Das ist eine hexadezimale Darstellung des Hashalgorithmus eines öffentlichen 2048-Bit-RSA-Schlüssels, was (in der realen Welt) bedeutet, dass es sich um ein einprägsames Schlagwort aus sechs Elementen handelt. Beispiel: „Omega Chris Chicago. Alabama arrow network“. Laden Sie für die technischen Einzelheiten unser Whitepaper herunter.
Wenn Sie eine Verbindung herstellen, wird diese Identität automatisch von den RealVNC-Diensten verifiziert. Darüber hinaus werden Sie zusätzlich von VNC Viewer aufgefordert, selber eine Überprüfung vorzunehmen. Wenn Sie dann zu einem späteren Zeitpunkt eine Warnung erhalten, dass das Schlagwort geändert wurde, ist das ein Hinweis darauf, dass jemand den Remotecomputer manipuliert hat oder versucht, Ihre Verbindung abzufangen (Man-in-the-Middle-Angriff).
Bitte beachten Sie, wenn Sie ein Enterprise-Abonnement haben und eine Direktverbindung herstellen, können die RealVNC-Dienste diese automatische Überprüfung nicht durchführen, d. h. Sie sollten die Überprüfung selber vornehmen.
Ja. Der VNC Server-Kennwortschutz ist dauerhaft aktiviert.
Das Authentifizierungsschema von VNC Server und Ihr RealVNC-Konto sind voneinander vollkommen unabhängig. Das bedeutet, selbst wenn eine böswillige Entität Ihre Konto-Anmeldeinformationen in Erfahrung bringt und sich unter Ihrem Namen bei VNC Viewer anmeldet, kann sie immer noch keine Verbindung herstellen. Und wenn sie versucht, das VNC Server-Kennwort zu erraten (ein Brute-Force- oder Wörterbuchangriff), wird sie gesperrt.
Bitte beachten Sie, dass Sie aus praktischen Gründen die VNC Server-Kennwörter in VNC Viewer speichern können. Wenn Sie das tun, empfehlen wir, auf der VNC Viewer-Seite „Einstellungen“ > „Datenschutz“ ein Masterkennwort einzurichten.
Wenn Sie ein Home-Abonnement haben, gibt es nur ein VNC Server-Authentifizierungsschema. Stellen Sie sicher, dass das Kennwort, das Sie bei der Installation von VNC Server festlegen, nicht leicht erraten werden kann und verwahren Sie es sicher. Sie müssen mindestens 6 Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie !@*#&
angeben. Wir empfehlen jedoch die Verwendung von mehr Zeichen (maximal 255 Zeichen).
Wenn Sie ein Professional- oder Enterprise-Abonnement haben, ist VNC Server standardmäßig in den Anmeldeinformationsmechanismus des Remotecomputers integriert, d. h., Sie müssen sich nicht noch ein Kennwort merken. Verwenden Sie einfach den gleichen Benutzernamen und das gleiche Kennwort, mit denen Sie sich normalerweise bei Ihrem Benutzerkonto auf diesem Computer anmelden. Sie können andere Benutzer bei VNC Server registrieren, damit sie mit ihren eigenen vertrauten Konto-Anmeldeinformationen Verbindungen herstellen können.
Wenn Sie ein Professional- oder Enterprise-Abonnement haben, können Sie das standardmäßige System-Authentifizierungsschema ändern und für VNC Server eine Multi-Faktor-Authentifizierung festlegen.
Wenn Sie ein Enterprise-Abonnement und ein geeignetes Unternehmensnetzwerk haben, können Sie für VNC Server die Funktion Einmalige Anmeldung (SSO) konfigurieren.
Wenn Sie das erste Mal mit VNC Viewer eine Verbindung zu einem Computer herstellen, müssen Sie das Kennwort eingeben, das von VNC Server erwartet wird.
Anschließend können Sie dieses Kennwort von VNC Viewer speichern lassen, damit Sie es nicht jedes Mal erneut eingeben müssen. Wenn Sie das tun, empfehlen wir für den Fall, dass Sie Ihr Gerät verlieren oder freigeben, für VNC Viewer auch ein Masterkennwort einzurichten:
VNC Viewer speichert Kennwörter lokal und synchronisiert sie niemals über unseren Cloud-Dienst mit anderen Geräten (d. h., Sie müssen sich die Kennwörter merken, wenn Sie eine Verbindung mit einem anderen Gerät herstellen). Laden Sie für die technischen Einzelheiten unser Whitepaper herunter.
Bitte beachten Sie, dass Sie sich über jedes Ihrer VNC Viewer-Geräte remote abmelden können, wenn Sie der Ansicht sind, dass Ihr Konto gefährdet ist. Melden Sie sich bei Ihrem RealVNC-Konto an und navigieren Sie zur Seite Sicherheit.
Ja. VNC Server protokolliert die Auditinformationen automatisch. Somit haben Sie eine vollständige Aufzeichnung davon, wer verbunden ist, wann, von welchem Standort aus und, sofern der Benutzer erfolgreich authentifiziert wurde, die Uhrzeit der Verbindungstrennung (so können Sie die Sitzungsdauer berechnen).
Der Speicherort für diese Informationen ist abhängig von der Plattform und vom Modus des VNC Server. Allgemeine Informationen zur Protokollierung sind hier verfügbar.
Bitte beachten Sie, dass Sie bei Bedarf die Ausführlichkeit der Protokolle schnell auf Debugebene anheben können.
Ja. Wenn Sie körperlich vor dem Computer anwesend sind, wenn andere Personen eine Verbindung herstellen, können Sie VNC Server so konfigurieren, dass Sie benachrichtigt werden und jede Verbindung genehmigen bzw. ablehnen können:
Aktivieren Sie dafür auf der Seite Optionen > Verbindungen von VNC Server die Option Aufforderung zum Akzeptieren/Ablehnen für jede Verbindung anzeigen:
Sie können die Verbindungen aller Benutzer sofort trennen:
… oder einzeln über das Dialogfeld Informationscenter von VNC Server.
Standardmäßig können Benutzer gleichzeitig Verbindungen herstellen. Sie können festlegen, dass jeweils nur ein Benutzer eine Verbindung herstellen kann.
Wenn sich ein Benutzer, der eine Verbindung herstellt, fünf Mal hintereinander nicht ordnungsgemäß authentifiziert, wird sein Computer gesperrt. Sie können diesen Schwellenwert senken, um eine zusätzliche Schutzmaßnahme für Brute-Force- oder Portscan-Attacken anzuwenden.
Wenn Sie ein Enterprise-Abonnement haben und Direktverbindungen herstellen, können Sie eingehende Computer filtern, um Verbindungen von bestimmten IP-Adressen zu unterbinden:
Ja. Auf der Seite Optionen > Benutzer und Berechtigungen von VNC Server können Sie Sitzungen für alle Benutzer mit einem reinen Lesezugriff versehen:
Wenn Sie ein Professional- oder Enterprise-Abonnement haben, können Sie differenzierter vorgehen und Verbindungen nur für bestimmte Personen mit Lesezugriff versehen.
Oder VNC Viewer-Benutzer können im VNC Viewer-Dialogfeld Eigenschaften bzw. über die Mobilgeräte-App-Symbolleiste ihren eigenen Sitzungen einen Lesezugriff zuweisen.
Ja, wenn Sie ein Professional- oder Enterprise-Abonnement haben.
Sie können beliebig viele Benutzer oder Gruppen (vielleicht aus Ihrem Unternehmensnetzwerk) bei VNC Server registrieren:
Anschließend können Sie jedem Benutzer und jeder Gruppe spezifische Berechtigungen zuweisen. So können Sie z. B. Systemadministratoren umfassende Remotezugriff-Rechte einräumen, während Mitglieder der Gruppe „Lehrer“ eine ausreichende Berechtigung zur Steuerung des Remotecomputers erhalten, aber keine Dateien übertragen oder drucken dürfen. Und Mitglieder der Gruppe „Schüler“ bekommen einen reinen Lesezugriff.
Wenn Sie ein Home-Abonnement haben, verfügen alle verbundenen Benutzer über die gleichen globalen Berechtigungen. Sie können jedoch bei Bedarf einzelne Funktionen für alle Benutzer deaktivieren oder alle Verbindungen mit einem reinen Lesezugriff versehen. Diese Einstellungen gelten dann aber auch für Sie!
Sie können den Bildschirm eines Computers mit Windows 7 ausblenden, wenn Sie ihn remote steuern („Vorhangmodus“), so dass Personen in dessen Nähe nicht sehen können, was Sie gerade machen:
Das ist so, als ob Sie den Monitor des Remotecomputers abschalten und verhindern, dass er wieder eingeschaltet wird, bis Sie die Verbindung trennen.
Leider können Sie den Bildschirm eines Computers mit Windows 8 bzw. 10 oder eines Linux- oder Mac-Computers derzeit noch nicht ausblenden.
Sie können verhindern, dass die Tastatur und die Maus des Remotecomputers von irgendjemandem benutzt werden, der zufällig vorbeikommt, solange Sie eine Remoteverbindung dazu haben:
Sie können VNC Server so konfigurieren, dass ein Windows- oder Mac-Computer automatisch gesperrt wird bzw. dass eine automatische Abmeldung erfolgt, wenn eine Verbindung getrennt wird:
Sie können selbstverständlich auch jederzeit während Ihrer Remotesteuerungssitzung eine Sperrung oder Abmeldung veranlassen. Sie dürfen den Remotecomputer nur nicht abschalten, sonst können Sie keine Verbindung mehr zu ihm herstellen, bis ihn jemand wieder einschaltet!
Befolgen Sie zunächst die allgemeinen Anweisungen für RealVNC-Konten hier.
Befolgen Sie anschließend die nachstehenden Anweisungen. Bitte beachten Sie, dass Sie mithilfe einer Richtlinie Massenvorgänge auf Computern remote ausführen können. Das hat den zusätzlichen Sicherheitsvorteil, dass die betreffenden Computer während des Vorgangs gesperrt sind und lokale Benutzer keine Änderungen vornehmen können.
- Weisen Sie online auf der Seite Computer Ihres RealVNC-Kontos Berechtigungen zu, um die Ermittlungsfunktion entsprechend zu begrenzen.
- Machen Sie auf jedem Remotecomputer Folgendes:
- Installieren Sie VNC Connect an einem sicheren Speicherort (wie z. B.
C:\Programme
) und aktivieren Sie die Update-Benachrichtigungen. - Führen Sie ein Upgrade auf die 256-Bit-AES-Sitzungsverschlüsselung aus.
- Deaktivieren Sie die Direktkonnektivität. Nur beim Erstellen von Cloud-Verbindungen müssen keine Durchlässe in Firewalls geöffnet werden.
- Aktivieren Sie für VNC Server eine Multi-Faktor-Authentifizierung.
- Beschränken Sie die Sitzungsberechtigungen entsprechend – vielleicht versehen Sie bestimmte Benutzer ausschließlich mit einem Lesezugriff.
- Verschärfen Sie die Sperrliste.
- Verringern Sie die Zeit für die Zeitüberschreitung bei Leerlauf.
- Wenn der Besitzer körperlich anwesend ist, um die Verbindung zu genehmigen, aktivieren Sie den Parameter „QueryConnect“.
- Sperren Sie den Remote-Desktop, wenn der letzte Benutzer seine Verbindung trennt.
- Installieren Sie VNC Connect an einem sicheren Speicherort (wie z. B.
- Überprüfen Sie regelmäßig die Verbindungsprotokolle.
Sofortunterstützung
Jedes Mal, wenn ein Techniker eine Sofortunterstützungs-Sitzung startet, fordert VNC Viewer einen Sitzungscode an. Der RealVNC-Dienst generiert automatisch einen 9-stelligen, für die Sitzung eindeutigen Code.
Dieser Code ist 10 Minuten lang gültig. In diesem Zeitraum muss der Techniker den Code out-of-band übermitteln, damit der Endbenutzer die Sitzung starten kann.
Je nachdem, was zuerst eintritt, verfällt der Code sobald er benutzt wird oder nach 10 Minuten.
Nein. Nur der Techniker, der einen Sitzungscode generiert, kann eine Verbindung zu einem Computer herstellen, der dem Empfänger des Codes gehört, und diesen Computer steuern.
Sobald eine Sitzung jedoch beginnt, werden Sitzungsereignisdaten online protokolliert und gespeichert. Wenn Sie ein Enterprise-Abonnement haben, können Sie eine bestimmte Sitzung aufrufen, um Chat-Mitschriften und Dateiübertragungen durchzusehen sowie um zu überprüfen, ob der Techniker eine Erhöhung zur Durchführung von Administratoraufgaben vorgenommen und einen Neustart des Remotecomputers ausgeführt hat.
Jede Sitzung wird in einem Protokoll erfasst und ein Sitzungsverlauf wird online gespeichert.
Bei einem Enterprise-Abonnement können Sie auf der Seite Sitzungen Ihres RealVNC-Kontos eine bestimmte Sitzung aufrufen und dazu ein detailliertes Aktivitätsprotokoll durchsehen. Die folgenden Aktivitäten werden protokolliert:
- Sitzungsstart- und -endzeiten
- Dateiübertragungen
- Erhöhungsanforderungen
- Neustart-Versuche
- Chat-Mitschriften
Ressourcen
RFB 5-Sicherheitsanalyse
Eine Analyse der Sicherheitsaspekte der neuesten Version des RFB-Protokolls erstellt von unserem eigenen Sicherheitsteam.
Multi-Faktor-Authentifizierung
Erfahren Sie, wie Sie sowohl Ihr RealVNC-Konto als auch Ihre Remotecomputer, auf denen VNC Connect installiert ist, schützen können, indem Sie so viele Authentisierungsfaktoren verwenden wie Sie brauchen.
Sicherheits-Whitepaper
Eine vollständige Übersicht über die Funktionen, Richtlinien und Kontrollen, durch die Ihre Computer und Daten geschützt werden – egal, wo Sie sich befinden.
Penetrationstest-Bericht
Die unabhängigen Netzsicherheitsexperten von Falanx Cyber Defence sind zu dem Schluss gekommen, dass die Sicherheit von RealVNC auf einem „hohen Niveau“ ist.