Mobiles Arbeiten an wechselnden Orten ist inzwischen für viele Anwender sowohl in Unternehmen als auch im privaten Umfeld zum Alltag geworden. Ebenso alltäglich sind aber weiterhin Fragen und Probleme rund um die IT-Nutzung, die nach performanten und einfach zu nutzenden Werkzeugen für den Zugriff auf entfernte Computer verlangen. Abhängig vom Betriebssystem helfen in lokalen Netzen mit transparenten Verbindungen zwischen den Clients typische Protokolle, wie etwa Microsoft Remote Desktop Protocol (RDP), Apple Remote Desktop (ARD) oder Virtual Network Computing (VNC). All diesen Protokollen ist jedoch gemeinsam, dass sie nicht ohne Weiteres in Verbindung mit Firewalls und Netzwerkadressübersetzung über unsichere öffentliche Netze funktionieren.

Hier springen Hersteller kommerzieller Remotesupport-Tools ein. In der Regel gegen eine monatliche Gebühr pro Support-Benutzer betreiben sie Vermittlungsserver, über die Clients nach Austausch von Identifikationsnummer und Passwort eine Verbindung herstellen. Als kostenfreie Alternative für private wie auch geschäftliche Nutzung hat Google mit Chrome Remote Desktop (CRD) eine praktische Lösung im Programm.

CRD [1] verlangt auf beiden Seiten, also beim Helfer und beim Hilfesuchenden, jeweils die Anmeldung mit einem Google-Konto. Dabei darf es sich um ein verwaltetes Konto einer Organisation oder um ein kostenloses privates handeln. Letzteres können Sie in Verbindung mit einer Gmail-Adresse oder auch ohne Gmail in Kombination mit einer beliebigen bereits existierenden E-Mail-Adresse einer anderen Domain bei einem anderweitigen Provider anlegen.

Dies ist schon die größte Hürde, denn nach erfolgreicher Anmeldung gestalten sich Einrichtung und Verwendung von CRD denkbar einfach. Neben dem Support anderer Benutzer können Sie CRD auch für den Eigenbedarf verwenden, um einen zusätzlich per PIN geschützten Fernzugriff auf unbeaufsichtigte Systeme unter Apple macOS, Linux-Distributionen auf Basis von Debian sowie Microsoft Windows zu realisieren. Doch bevor wir uns dem praktischen Einsatz zuwenden, werfen wir noch einen kurzen Blick unter die Haube.

Die Grundlage für CRD wie auch für die Videokonferenz-Umgebung Google Meet bildet der offene Standard Web Real-Time Communication (WebRTC), an dessen Entwicklung im Rahmen eines Open-Source-Projekts Google maßgeblich mitwirkt [2]. Google hatte bereits im Jahr 2010 den Softwareentwickler Global IP Solutions übernommen, der die technischen Grundlagen für WebRTC geschaffen hatte, um die Technologie im darauffolgenden Jahr als Open-Source zu veröffentlichen.

Seitdem begleiten Arbeitsgruppen des World Wide Web Consortium und der Internet Engineering Task Force die Standardisierung. Inzwischen unterstützen daher neben Google alle etablierten Browser von Apple, Microsoft wie auch Mozilla die auf HTML5 und JavaScript basierende Technologie.

WebRTC ermöglicht die direkte Peer-to-Peer-Kommunikation zwischen Browsern sowie mobilen Anwendungen. Das Framework unterstützt Audio-, Video- und Datenübertragungen zwischen den Kommunikationspartnern. Doch bevor die Partner auf direktem Weg miteinander kommunizieren können, müssen sie im Rahmen des Internet Connectivity Establishment mithilfe von zentralen Servern erst zueinander finden. Im Fall von CRD betreibt Google diese Server. Die Kontaktaufnahme erfolgt mittels Session Traversal Utilities for NAT (STUN) oder dessen Weiterentwicklung Traversal Using Relay NAT (TURN) mit dem Vorteil, dass entsprechende Verbindungen komplikationslos Grenzen von Netzwerken und Firewalls überwinden können.

In der Vergangenheit standen WebRTC und STUN in der Kritik, da sie Möglichkeiten eröffneten, trotz aktiver VPN-Verbindungen die IP-Adresse eines Kommunikationspartners zu ermitteln und Maßnahmen der Anonymisierung auszuhebeln. Aktuelle Browser verhindern dies, indem sie die lokalen IP-Adressen der Clients per Multicast DNS durch zufällige Namen ersetzen. Die Gefahr der Preisgabe von lokalen Adressen ist somit gebannt.

CRD besteht aus zwei Komponenten; die erste ist eine Browsererweiterung aus dem Chrome Web Store [3]. Im Kern handelt es sich bei dieser Clientkomponente von CRD um eine Progressive Web App (PWA), die komplett im Browser abläuft. Und anders als das Chrome im Namen vermuten lässt, ist sie keineswegs auf Googles hauseigenen Browser Chrome beschränkt. Die Erweiterung funktioniert ebenso in anderen Chromium-basierenden Browsern, wie etwa Microsoft Edge. Auch für Mozilla Firefox bietet Google ein passendes Add-on an. Die Erweiterung ist für Nutzer, die auf einen entfernten Computer zugreifen möchten, optional. Grundsätzlich funktioniert eine CRD-Sitzung auch ohne Weiteres direkt in einem Browserfenster.

Die Browsererweiterung erhöht aber den Komfort, sie installiert CRD als eigenständige PWA, die ohne Adress- und Menüleisten des Browsers läuft. Entsprechend funktioniert das Ganze auch auf mobilen Betriebssystemen. Google hat die Weiterentwicklung der nativen App im Google Play Store und im Apple Store inzwischen aufgegeben. Sie finden die App zwar noch in den Stores, sie verweist aber nach dem Öffnen auf die CRD-Webseite im Browser, die sich auch auf den mobilen Plattformen optional als PWA auf dem Homescreen installiert.

Auf Computern, die Sie für den entfernten Zugriff freigeben möchten, benötigen Sie neben der Browsererweiterung als zweite Komponente noch den separat zu installierenden CRD-Host, der Remotesitzungen annimmt und den lokalen Bildschirm freigibt. Den Host stellt Google für macOS, Windows und Linux bereit. Unter den ersten beiden Betriebssystemen unterstützt der Host sowohl die x86-64-Prozessorarchitektur als auch ARM64. Der Host für Debian-basierende Linux-Distributionen verträgt sich nur mit der x86-64-Prozessorarchitektur.

Das hauseigene Betriebssystem ChromeOS benötigt keinen separaten Host und unterstützt CRD nativ, als alleinstehendes Gerät allerdings nur für die Remoteunterstützung eines lokal anwesenden Benutzers und nicht für den unbeaufsichtigten Fernzugriff. Letzterer funktioniert unter ChromeOS nur in Verbindung mit der zentralen Verwaltung über die Google Admin Console, auf die wir gleich zurückkommen werden. Und die mobilen Plattformen Android sowie iOS können zwar als Client per CRD auf entfernte Systeme zugreifen, jedoch mangels Host nicht ihre eigene Oberfläche für andere freigeben. Doch genug der Theorie, wenden wir uns nun dem praktischen Einsatz zu.

Rufen Sie in einem aktuellen Browser die CRD-Webseite auf und melden Sie sich mit einem Google-Konto an. In Chromium-basierten Browsern bietet sich die Erweiterung direkt in der Adressleiste als App zur Installation an. Der Einstiegspunkt für den Remotezugriff hilft Ihnen beim unbeaufsichtigten Fernzugriff auf Ihren eigenen Computer [4]. Prominent auf der Seitenmitte finden Sie die Option "Set up remote access". Diese initiiert zunächst die Installation der Browsererweiterung und lädt anschließend die Host-Komponente herunter.

Unter Windows handelt sich dabei um ein MSI-Paket, unter macOS um ein Apple Disk Image (DMG), das wiederum eine PKG-Datei enthält. In beiden Fällen verlangt die Installation administrative Rechte und gestaltet sich äußerst simpel, wobei macOS größeres Augenmerk auf Datenschutz sowie Sicherheit legt. Zwar fordert auch Windows per Benutzerkontensteuerung erhöhte Rechte an, doch Apples System stellt gleich mehrere Sicherheitsabfragen, die Sie bestätigen, um die Komponenten von CRD, den "ChromeRemoteDesktopHost" und im Fall des Remotesupports auch den "RemoteAssistanceHost", als Bedienhilfen im Betriebssystem zu registrieren.

Nach der Installation des Hosts schalten Sie den Remotezugriff über die CRD-Webseite ein. Dazu vergeben Sie einen Namen für das Zielsystem sowie eine mindestens sechsstellige PIN. Ihr Client erscheint daraufhin im Webfrontend von CRD als online (Bild 1). Melden Sie sich nun mit demselben Google-Konto auf einem beliebigen anderen System an CRD an, können Sie unter Angabe der PIN eine Remotesitzung starten, Ihr System fernbedienen und bidirektional Dateien austauschen.

Mit Ihrem Google-Konto und der PIN ist der Zugriff aus der Ferne bereits mehrfach geschützt. Wir empfehlen zusätzlich, für Ihr Google-Konto eine Multifaktor-Authentifizierung oder eine moderne Anmeldemethode wie Passkeys zu konfigurieren. Unabhängig davon hebelt CRD die lokale Sicherheit des Zielsystems nicht aus. Ist der Desktop des Zielsystems gesperrt, müssen Sie sich nach Eingabe der PIN auch noch lokal anmelden. Beachten Sie aber, dass CRD den Fernzugriff nur mit Ihrem persönlichen Konto verknüpft und es im Unternehmen ohne die zentrale Verwaltung per Google Admin Console nicht möglich ist, den Fernzugriff auf ein bestimmtes System mit mehreren Leuten zu teilen.

Unter Linux können Sie den Host nicht direkt und interaktiv installieren. Stattdessen sieht CRD für Linux nur den als "Headless" bezeichneten Zugriff aus der Ferne auf Systeme ohne lokale Konsole vor. Der entsprechende Link verweist auf den dritten Bereich der CRD-GUI mit der Bezeichnung "Mit SSH einrichten". Die Einrichtung aus der Ferne funktioniert nicht nur für Linux, sondern auch für Windows. Im ersten Schritt bietet CRD dazu das MSI-Paket für Windows und ein Debian-Paket zum Download an. Diese installieren Sie wahlweise manuell oder per automatischer Softwareverteilung auf dem Zielsystem. Unter Linux verbinden Sie sich per SSH zum Ziel, übertragen das Paket per Secure Copy oder laden es direkt herunter.

Das Advanced Packaging Tool (APT) kümmert sich selbsttätig um alle Abhängigkeiten. Im zweiten Schritt autorisieren Sie das Zielsystem dann noch in CRD. Damit registrieren Sie den Host für den Fernzugriff mit ihrem persönlichen Google-Konto. Dazu liefert Ihnen die CRD-Webseite die passenden Befehle, unter Windows wahlweise für die klassische Kommandozeile oder die PowerShell und unter Linux als Shell-Kommando. Anschließend erscheinen auch derart konfigurierte Systeme in CRD im Bereich "Remotezugriff" und Sie können per PIN geschützt Kontakt aufnehmen.

Google empfiehlt diese Art der Installation auch für den Fernzugriff auf virtuelle Maschinen innerhalb der hauseigenen Cloud und beschreibt detailliert das Vorgehen für diesen Einsatzzweck [5].

Möchten Sie nicht auf Ihr eigenes System zugreifen, sondern andere Benutzer an deren Clients unterstützen, so führt der Bereich der Remoteunterstützung zum Ziel. Hilfesuchende melden sich dazu mit ihren individuellen Google-Konten an der CRD-Webseite oder der PWA an [6]. Sie wählen nun im Bereich "Remote-Unterstützung" die obere Funktion, um ihren Bildschirm zu teilen. Sofern noch nicht vorhanden, verlangt auch diese Aktion zunächst die Installation der Browsererweiterung und der Hostkomponente, jedoch ohne Registrierung des Clients und Vergabe einer PIN. Stattdessen klickt der Hilfesuchende auf "+ Code generieren". CRD erzeugt daraufhin einen für fünf Minuten gültigen und aus zwölf Ziffern bestehenden Code.

Der Helfer ruft an seinem Endgerät nun ebenfalls den Bereich der Remoteunterstützung auf und gibt weiter unten auf der Seite den Code ein. Der Hilfesuchende muss lediglich noch eine Sicherheitsabfrage bestätigen, die ihm den Namen des Google-Kontos des Helfers anzeigt. Daraufhin kommt auch hier die Verbindung zustande.

Bringt ein ChromeOS-Gerät von Haus aus bereits eine Enterprise-Option mit oder haben Sie es mithilfe eines Enterprise-Upgrades ertüchtigt, können Sie es in die zentrale Verwaltung der webbasierten Google Admin Console einbinden [7]. Die Konsole integriert nahtlos den Remotedesktop. Navigieren Sie innerhalb der Konsole zum gewünschten Gerät, finden Sie dort einen direkten Link zum Fernzugriff (Bild 2). Damit Sie eine Verbindung herstellen können, muss sich das Gerät in einem vom Admin verwalteten und zentral konfigurierten Netzwerk befinden.

Die Google Admin Console bietet Ihnen zwei Typen von Sitzungen an. Eine geteilte Sitzung dient dem Remotesupport eines Anwenders. Die Option steht entsprechend nur zur Verfügung, wenn lokal bereits ein Benutzer angemeldet ist und funktioniert auch für verwaltete Gastsitzungen. Wie an nicht verwalteten Geräten muss der lokale Benutzer dem Fernzugriff aktiv zustimmen.

Die zweite Option einer privaten Sitzung funktioniert unabhängig von einer lokalen Anmeldung und baut ohne zusätzliche PIN eine Verbindung zum Login-Bildschirm des entfernten Geräts auf. Lokal anwesende Nutzer sehen daraufhin lediglich einen gesperrten Bildschirm mit dem Hinweis, dass ein Administrator gerade mit Wartungsarbeiten beschäftigt ist und sie sich erst danach wieder anmelden können. Den Support von in einer Organisation verwalteten ChromeOS-Clients unterstützt Google zudem mit einer zentralen Erfassung von Logs [8].

CRD bietet zahlreiche Optionen, die Sie über ein Menü erreichen, das Sie vom rechten Rand der Seite ausklappen. Hierüber trennen Sie die Sitzung und wechseln zwischen Fenster oder Vollbildschirm. Weiterhin eröffnet CRD mehrere Möglichkeiten, die Qualität der Übertragung zu beeinflussen. Auch Schriftglättung und mehrere Bildwiederholfrequenzen stehen zur Wahl. Sie können die Tastenkombination STRG+ALT+ENTF an das entfernte System senden, das Tastaturlayout beeinflussen und Shortcuts definieren. Auch Dateitransfers und die Synchronisation der Zwischenablage finden Sie hier, allerdings nur im Fall des PIN-geschützten Fernzugriffs auf eigene Systeme. Bei der Remoteunterstützung anderer Anwender stehen diese Optionen bewusst nicht zur Verfügung, damit im Falle eines Scam-Versuchs ein entfernter Benutzer mit böser Absicht keine Daten des Hilfesuchenden stehlen kann.

Mit Chrome Remote Desktop betreibt Google kostenfrei ein einfach zu nutzendes Werkzeug für den Fernzugriff, der allerdings an die Anmeldung mit Google-Konten gebunden ist. Besonders Nutzer von macOS und Windows profitieren von der unkomplizierten Installation und Konfiguration sowohl für den Zugriff auf eigene Systeme als auch für die Unterstützung anderer Nutzer. Unter Linux ist die Einrichtung eher umständlich und zielt auf den Betrieb von Maschinen ohne lokale Konsole.