ComputerBase Menü
Aktuelles

Möglichst sicher Unternehmensnetzwerk von Zuhause

Zur Sicherheit: bei meinem alten Arbeitgeber/ Ingenieursbüro hatte ich immer alle Daten dabei, hier hat man sich verpflichtet alles zu verschlüsseln und damit sorgfältig umzugehen, gab auch Vertragsstrafen von mehreren Monatsgehältern. Nicht das ich das gut finde, aber so kann man den Mitarbeitern nochmal unterschreiben lassen das sie aufpassen müssen, theoretisch darf ja nicht einmal der Ehepartner zusehen (je nach Geheimhaltung oder personenbezogenen Daten).
 
SpamBot schrieb:
Geht das im Job so einfach?
Zum Vergrößern anklicken....
Mit korrekter Einweisung im Sinne des Arbeitsschutzes geht das bestimmt. Es ist aber auch nicht meine Aufgabe hier unbezahlte Dienstleistungen dem TE hinterher zu werfen sondern gebe Denkanstöße.
Für Details kann er sich an die IHK oder für ihn passende Kammer wenden bei Rückfragen.
 
  • Gefällt mir
Reaktionen: SpamBot
Scirca schrieb:
das letzte 0,01% ist eh nicht existent
Zum Vergrößern anklicken....
Verbreite solche Aussagen bitte NIEMALS in der Öffentlichkeit. Genau diese Einstellung ist es, die manchen Firmen Millionenschäden eingebracht hat, weil sie eben dachten "ach das bisschen Restunsicherheit, wird schon kein Mitarbeiter so blöd sein und die E-Mails öffnen". Es ist ein gewaltiger Unterschied zwischen "100%ige Sicherheit gibt es nicht" und "ach das bisschen Restrisiko, da wird schon nichts schiefgehen".

Ist ein Risiko bekannt, muss es bewertet werden. Ist kein Risiko bekannt ist die Analyse unvollständig. Versteht man diese Aussage nicht, dann sollte man sich bei Sicherheitsfragen immer einen Experten dazuholen.
 
  • Gefällt mir
Reaktionen: M-X, charmin, snaxilian und eine weitere Person
Scirca schrieb:
VPN Client auf die privat PCs
Zum Vergrößern anklicken....

Und die Firma kannst du dann gleich ganz zu machen. Das ist auf so vielen Ebenen falsch... (DSGVO, Sicherheit, ... - BYOD ist nicht ganz ohne)
 
  • Gefällt mir
Reaktionen: Pixelmonteur und piepenkorn
Hm... Also spätestens nach dem ersten Lockdown wo schon Millionen von Arbeitnehmern ins Home Office geschickt wurden hätte man sich doch seitens der Firmenleitung / IT-Abteilung Gedanken machen müssen. Ich kann nicht verstehen wie man ein knappes Jahr später von der zweiten Welle inkl. Home Office noch überrascht werden kann. Ich würde behaupten, dass der Fehler klar bei der Geschäftsleitung liegt, es war genug Zeit für ausreichend Laptops und eine adäquate VPN-Struktur zu sorgen.

Wenn für Grafiker RDP und dergleichen aufgrund des Delays nicht nutzbar ist, bleibt ja nur potente Hardware im Home Office. Das darf aber eigentlich keine private Hardware sein, weil wie schon erwähnt wurde allerlei Malware drauf sein kann. VPN hilft nichts gegen Viren. Generell sollte selbst ein Firmengerät nach Möglichkeit vom privaten Netzwerk getrennt sein, also zB im Gastnetzwerk. So kann man zumindest verhindern, dass Malware über das Netzwerk auf dem Gerät landet - zB wenn man auf die Idee kommt doch das private NAS zu verbinden...

So oder so, DIY kann man vielleicht noch bei einer 5-Frau/Mann Bude verstehen, wenngleich Firma bleibt Firma und auch bei Kleinstunternehmen kann Datenverlust / -diebstahl verheerende Folgen haben.
Bei 50+ Mitarbeitern reden wir allerdings schon von einem mittelständischen Unternehmen und da gibt es keine Diskussion über irgendwelches Gefrickel aus einem Forum.


*edit
Nimm das übrigens nicht persönlich, dass die Meinungen hier so eindeutig sind. Es ist eben nur so, dass Malware ein Unternehmen in die Pleite reiten kann. Daher ist es essentiell, dass eine Firma bei sowas keine Kompromisse macht und auf professionelle Lösungen setzt. Es ist also in deinem Sinne und in dem deines Chefs, nicht auf eine Bastellösung aus einem Forum zu setzen. Auch wenn viele hier durchaus vom Fach sind - teilweise ja tatsächlich Mitarbeiter aus Systemhäusern, die sowas täglich machen - kann man nicht wissen ob derjenige vielleicht doch nur ein ambitionierter Gehörgeräteakustiker ist. Und zack, ihr habt ein Problem, weil es doch nur Gebastel ist...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: charmin, snaxilian und Endless Storm
Die klugen Ratschläge bzgl. Fachfirma mögen im Kern ja richtig sein, sie gehen aber an der Realität vorbei. Da draußen hat die weit überwiegende Anzahl an Unternehmen sich diese Gedanken nur ansatzweise gemacht. Die meisten Firmen reagieren und das tun sie dann, wenn es nötig ist. Gerade wenn man keine eigene EDV Abteilung hat.

Ich wäre ebenfalls für die Lösung VPN / RDP und wir handhaben das auch ganz offen so mit unseren Kunden. Und ja, da kommen auch private Rechner zum Einsatz, über die wir ansonsten wenig Kontrolle haben. Ist aber auch egal, denn der User darf von seinem VPN auf genau eine einzige IP mit einem Dienst.

Ganz ehrlich, die IT Nerds, die immer alles von oben bis unten absichern wollen, leben eher in einer Wunschwelt als die Dienstleister, die eine Restunsicherheit tolerieren.

Nun wird sich jeder Verantwortlicher selber an die Nase fassen müssen, wenn er erst jetzt an Home Office denkt, aber das soll nicht unser Problem sein. Selber einrichten können wird der Threadersteller das wahrscheinlich sowieso nicht können oder wollen, da muss dann wieder die Fachfirma ran.
 
@stabile: dein Gedanke ist nachvollziehbar und richtig, aber leider am Thema vorbei. Die Frage war:
Prarrior schrieb:
Also wie kann ich es am sichersten lösen, dass die Leute im Hom Office arbeiten können und keine Sicherheitslücke entsteht?
Zum Vergrößern anklicken....
Und damit ist ein Selbstbau-VPN raus. Denn wer in einem Forum voller Unbekannter diese Frage stellt, dem fehlt das Wissen, es richtig umzusetzen.

Wenn die Anforderung nur lautet: "wie kriege ich die Leute ins Home-Office, ohne dass meine Daten für jeden auf der Welt einsehbar sind", dann darf über Selbstbau-VPN geredet werden. Aber nicht bei dieser Frage.

Es hat außerdem gar nichts mit Wunschwelt zu tun, wenn man eine Risikoanalyse macht und basierend darauf einen Maßnahmenkatalog erstellt und umsetzt. Denn das ist es, was die echten Nerds machen. Aber klar, ist einfacher zu sagen "RDP über VPN reicht, Rest ist unwichtig" und jedem, der etwas weiter denkt zu unterstellen, er lebe in einer Wunschwelt. IT-Sicherheit ist nicht in 10 Minuten erklärt, DESHALB geht der Rat zu einer Fachfirma. Man muss doch keine 20k € pro Monat für eine rundum-sorglos-Lösung ausgeben, aber sich wenigstens Mal zwei Tage schulen lassen sollte drin sein, gerade wenn es im eigenen Haus mit minimalen Budget umgesetzt werden soll. Es geht immerhin um Existenzen!
 
  • Gefällt mir
Reaktionen: Raijin
Manchmal frage ich mich, wieso es diese Profi-Unterforen gibt. Wenn auf alles die Antwort "Systemhaus" ist, dann reichen zwei Beiträge. Eine FAQ wo auf alles die Antwort "Systemhaus" ist und der zweite wo sich die Profis austauschen. :freak:

Das Forum bietet Optionen der Ideen und Alternativen, vielleicht auch eine Vorauswahl was gehen könnte. Die Frage war etwa: "Wie mit VPN sicher in die Firma". Da gab es genügend Antworten.
Wieso wird der VPN überhaupt benötigt? Vermutlich weil wie überall über Jahre hinweg Dienste so aufgesetzt und verdrahtet wurden, dass sie das Firmennetzwerk erzwingen. Diese enge Kopplung ist durchaus problematisch.
Nachdem man womöglich den VPN hingebogen hat, kommt das nächste Problem der verfügbaren Bandbreite. Stau von der Straße ins Datennetz holen ist immernoch Stau!

Von daher würde ich persönlich mal abseits der expliziten Frage Denkanstöße geben wollen wie eine Zukunft auch aussehen könnte:
  • Zeiterfassung, ist die Software auch direkt per App oder Webserver von außen erreichbar? Kann das bewerkstelligt werden?
  • Lizenzen: Die meisten Hersteller bieten Zweitinstallationsrecht an. Explizit hier Adobe oder Affinity tun das. Am heimischen Rechner arbeiten ist also womöglich gar kein Problem.
  • Muss die Datenhaltung strikt auf dem Firmenserver durch den VPN erfolgen? Lassen sich womöglich Konzepte wie Adobe Cloud oder OwnCloud sinnvoll integrieren? Von Git-nutzenden Softwareentwicklern haben wir doch schöne Konzepte und Ideen wie sowas laufen kann.
  • Telefonie/Kollaboration: Wie Zeiterfassung und der Rest, von außen sinnvoll nutzbar?

Schlussendlich ginge es um die lose Kopplung der Mitarbeiter mit dem Unternehmen (wieder wie bei Software). Das ist etwas weiter über den Tellerrand gedacht und eher langfristig zu verstehen, aber dieses Home-Zeug geht womöglich nicht mehr weg und aktuell gibt´s nur alte Antworten auf neue Fragen (Anforderungen). Kann jeder draus machen was er will, gegen diesen Beitrag haben sowieso alle was. :daumen:
 
morcego schrieb:
Manchmal frage ich mich, wieso es diese Profi-Unterforen gibt. Wenn auf alles die Antwort "Systemhaus" ist, dann reichen zwei Beiträge. Eine FAQ wo auf alles die Antwort "Systemhaus" ist und der zweite wo sich die Profis austauschen. :freak:
Zum Vergrößern anklicken....
Ok, dann verrate mir bitte was einen Benutzer hier im Forum zum Profi macht. Und was heißt Profi? In was ist die/derjenige Profi? Bist du dir da sicher? Ist das belastbar, wenn einfach nur geschrieben wird, dass man dies oder jenes studiert hat und hier oder da arbeitet?

Und jetzt meinst du, dass man auf dieser Basis Vorschlägen folgen soll, die schlimmstenfalls das Netzwerk der Firma einem Risiko aussetzen, das zum Ruin führen kann? Hier wurden schon Fragen zu Arztpraxen gestellt, der Inbegriff eines Netzwerks mit sensiblen "Kundendaten".....

In diesem Forum geht es - oder sollte es gehen - um Detailfragen, aber nicht um Komplettlösungen. Ein Forum kann bei einzelnen Problemen helfen, aber keine IT ersetzen. Leider wird die IT, die für die Daten
und somit für eine der wichtigsten Komponenten eines Unternehmens verantwortlich ist, immer häufiger mit Nicht-Fachpersonal besetzt.

Mein krassestes Erlebnis war die Begegnung mit dem 16-Jährigen Sohnemann des Chefs, der sich ja "total gut mit Computern auskennt". Was meinst du woher der sein vermeintliches KnowHow herholt? Aus öffentlichen Foren ohne wirklich zu verstehen was er da liest und tut.

Das alles soll jetzt nicht speziell auf diesen Thread bezogen sein, soll aber verdeutlichen was so ein Forum bieten kann, Hilfestellung, und was es nicht ist, nämlich eine Ersatz-IT.
 
  • Gefällt mir
Reaktionen: M-X und Smily
Sehe es ähnlich wie mein Vorredner und vielleicht war oder ist die Intention dieses Subforums ja "von Profis für Profis" wo es um einzelne Details oder Denkanstöße geht. Einen Großteil der Fragethreads sind aber von Laien, die eine komplette Lösung und zwar kostenlos erwarten.

@morcego Ich stimme deiner Idee zu und in der Theorie bzw. auf der grünen Wiese startend klingt die toll und wäre auch mein favorisierter Ansatz. In der Realität bedeutet dies dann aber, dass du sämtliche Kommunikationswege wirklich abgesichert sind und die Daten bei Ablage als auch Transport vor dem Zugriff unbeteiligter Dritter abgesichert sind.
Viele (kleine) Baustellen vs. ein VPN-Tunnel. Die meisten kleinen und mittelständischen Firmen scheitern bereits daran zu wissen welche Assets im Bereich IT (Hard- und Software) vorhanden sind und in welchem Zustand diese sind. Im Endeffekt ist z.B. Google's BeyondCorp oder Cloudflare mit seinem Zero Trust Access genau so ein Ansatz aber das bekommen halt nur große Tech-Konzerne vernünftig hin die entweder keine allzu großen historischen Altlasten mit sich herum schleppen oder diese gnadenlos angehen.
Andererseits kann es genauso gut sein, dass diese zwar diese tollen Ideen nach außen hin verkaufen aber intern ähnliche Probleme haben wie alle anderen.
Die ganzen Firmen aus der Schlangenöl- und Securitybranche die dich schützen wollen aber dann entweder selbst gehackt werden weil sie ihre eigenen Tipps und Empfehlungen nicht umsetzen oder weil im Unterbau ihrer Produkte die gleichen Fehler stecken wie überall anders. Die OWASP Top 10 sind seit gefühlt 10 Jahren fast unverändert weil immer und immer und immer wieder die gleichen Fehler gemacht werden.
 
Raijin schrieb:
Ok, dann verrate mir bitte was einen Benutzer hier im Forum zum Profi macht. Und was heißt Profi? In was ist die/derjenige Profi? Bist du dir da sicher? Ist das belastbar, wenn einfach nur geschrieben wird, dass man dies oder jenes studiert hat und hier oder da arbeitet?
Zum Vergrößern anklicken....
Im Prinzip nichts, aber das widerlegt ja meine Aussage nicht. Du kannst dir Phantasiesachen ausdenken und das posten. Dann dürfte es das Forum ja wiederum nicht geben. Also abschaffen. Hier ist keiner nachweisbar Profi.
Raijin schrieb:
In diesem Forum geht es - oder sollte es gehen - um Detailfragen, aber nicht um Komplettlösungen. Ein Forum kann bei einzelnen Problemen helfen, aber keine IT ersetzen.
Zum Vergrößern anklicken....
Das habe ich auch nicht geschrieben. Ich schrieb: Ideen und Denkanstöße geben. Mit DENEN kann man sich dann gerne an Profis richten. Nicht einfach was reininterpretieren was nicht da ist.
Raijin schrieb:
Leider wird die IT, die für die Daten
und somit für eine der wichtigsten Komponenten eines Unternehmens verantwortlich ist, immer häufiger mit Nicht-Fachpersonal besetzt.
Zum Vergrößern anklicken....
Und in Systemhäusern landen nur die besagten Profis, ge. Nicht auch mal Quereinsteiger. Schon klar. :D
Man dreht sich übrigens im Kreis wenn in Foren nix außer "Systemhaus" kommt und dann jemand im Systemhaus vor einem Kundenproblem sitzt was er noch nicht hatte und im Netz nach Möglichkeiten zur Lösung sucht um dann "Systemhaus" zu finden.
snaxilian schrieb:
Viele (kleine) Baustellen vs. ein VPN-Tunnel. Die meisten kleinen und mittelständischen Firmen scheitern bereits daran zu wissen welche Assets im Bereich IT (Hard- und Software) vorhanden sind und in welchem Zustand diese sind. I
Zum Vergrößern anklicken....
Ja, das ist mir durchaus bewusst. Aber das ist doch kein Hindernis mal Sachen zu überlegen die es momentan nicht gibt. Die Geschichte lehrt uns doch einiges dazu, sei es vor einem Jahr "neeee HO geht bei uns absolut nicht" oder "doch doch die Erde is ne Scheibe".
Dann nutzt doch mal das Forum um auch oder gerade für kleine Unternehmen was zu überlegen. Das muss wie gesagt nicht perfekt sein. Es gibt ja genügend Leute die ein Verständnis von DSGVO, Sicherheit und der Technik haben. Woanders schreiben solche Leute Blogs und diese Blogs werden dann in Foren wie diesem verlinkt weil´s vielleicht doch nich so blöde ist.

Und nochmal, ich habe nicht geschrieben es braucht keine fachkundige IT. Meine Intention war, dass hier Vorschläge abseits von "Systemhaus" möglich sein sollten mit denen der Fragende sich dann (gerne mit einem Systemhaus) auseinandersetzen kann.
 
Wieso sollten Quereinsteiger keine Profis sein? Ein Stück Papier wo jemand "Zertifikat" oder "Zeugnis" drauf gedruckt hat macht noch keinen Profi.
Es gibt haufenweise gute Quereinsteiger in der IT, die mehr oder weniger pauschale Empfehlung zum Systemhaus entsteht ja aus der Tatsache, dass die anfragenden Laien offenbar keine interne/eigene IT haben, die sie hätten fragen können.
Klar kann ich auch Fluffi den Forenhund und Huibuh das IT-Gespenst in Foren oder Blogs fragen wobei bei Blogs im besten Fall noch ein Impressum vorhanden ist. Man könnte also wenn man denn wollte den Autor recherchieren. Am Ende muss aber halt auch jemand die Haftung übernehmen. Fluffi und Huibuh werden dies nicht sein und wenn ich als Laie dies nicht will dann suche ich mir jemanden, in dem Fall entsprechend $Systemhaus. Das kann aber genauso gut auch ein freiberuflicher Admin sein.

Zero Trust Ansätze sind super aber auch aufwendiger beim initialen Rollout und erfordern mehr Kenntnisse im Bereich IT-Security und nicht nur IT-Ops. IT-Security ist leider wie eine Versicherung. Kostet Geld und im Zweifel hat man diese nie gebraucht. Mehr Kosten bedeutet aber geringere Marge wenn man den Preis der eigenen Ware oder Dienstleistung nicht anheben kann oder will.
Genau aus dem Grund entstand ja die KRITIS Verordnung oder die DSGVO um gewissen Branchen Security & Datenschutz vorzuschreiben die man sonst eben nicht oder kaum gemacht hätte. Die fachliche Umsetzung des Ganzen ist ein anderes Thema^^

Wenn hier jemand für sein Unternehmen anfragt was IT nicht als Kerngeschäft oder zum Selbstzweck hat sondern nur eine möglichst günstige und schnelle Lösung sucht um den Mitarbeiter Homeoffice zu ermöglichen, dann ist ein klassisches VPN mit bestenfalls noch 2FA eine vergleichsweise schnell zu implementierende Lösung anstatt jetzt das ganze Setup aller Anwendungen und Anforderungen umzukrempeln auf zero trust.

Bei solchen Denkanstößen und Diskussionen die du ansprichst wo man neue Wege und Modelle überlegen kann sind die Diskussionsteilnehmer aber idR auf beiden Seiten Personen mit gewissem fachlichem Wissen. Diese Personen stellen aber nicht so banale Grundlagenfragen oder wünschen eine kostenfreie konkrete Einzelfallberatung.
 
  • Gefällt mir
Reaktionen: Raijin
morcego schrieb:
Und in Systemhäusern landen nur die besagten Profis, ge. Nicht auch mal Quereinsteiger. Schon klar.
Zum Vergrößern anklicken....
Das hat damit doch nichts zu tun? Mindestens der Projektleiter ist wirklich Profi und die übrigen Fachkräfte werden nötigenfalls angelernt, egal ob sie ihrerseits vom Fach sind oder Quereinsteiger. Quereinsteiger müssen tendenziell sogar eher durch KnowHow beweisen was sie können, weil sie eben keine Lehrgänge/Ausbildung/Studium vorweisen können. Diese Eignungsprüfung erfolgt durch den Arbeitgeber beim Vorstellungsgespräch und der Einarbeitung. Es ist aber eher selten, dass ein Maler, Steuerberater oder Hörgeräteakustiker plötzlich in einem Systemhaus Firmennetzwerke plant und VPNs einrichtet. Und wenn doch, dann hat derjenige eben gezeigt, dass er über das nötige KnowHow verfügt. Hier im Forum kann er aber posten wie er lustig ist, egal wo und wie er das aufgeschnappt hat und ob es stimmt und vollständig ist oder nicht. Für die Fragesteller, die ja in der Regel die Frage stellen, weil sie in dem Thema nicht bewandert sind, können gute und schlechte Tips nicht auseinanderhalten und folgen womöglich genau den falschen... Und nein, eine Community ist nicht immer selbstkorrigierend, falls das Argument jetzt kommen sollte. Threads enden manchmal abrupt und ohne Kommentierung potentiell falscher Lösungsvorschläge.

Allerdings ist es auch ein himmelweiter Unterschied ob jemand hier fragt wie er am besten ein Batch-Skript an alle Benutzer verteilt oder wie er einen sicheren Fernzugang ins Firmennetzwerk mit potentiell verseuchten Privatgeräten umsetzt, um "keine Sicherheitlücke" entstehen zu lassen. Ersteres kann er zur Not von Hand machen, wenn alle Stricke reißen. Wenn aber im zweiten Fall alle Stricke reißen, sind womöglich Firmendaten futsch und die Firma hat ein großes Problem.

Es ist immer ein zweischneidiges Schwert, in einem Forum wie diesem Themen von unternehmensweiter Tragweite zu besprechen. Selbst wenn du meinst, dass man hier Input sammeln sollte, den man im Anschluss in ein Gespräch mit einem Systemhaus mitnehmen kann, wird genau dieser Schritt dann gerne vom Chef abgelehnt, weil das der Punkt ist ab dem es ja Geld kostet. Wozu einem Systemhaus Geld bezahlen, wenn man doch schon die vermeintliche Lösung aus dem Forum hat? Habe ich leider schon zu oft erlebt, weil ich mit angeblichen ITlern zu tun hatte, die nicht mal wussten wie IP und Subnetzmaske zusammenhängen.

Wie dem auch sei, die Diskussion führt nun zu weit. Der TE hat ja Input bekommen und was er daraus für Konsequenzen zieht, bleibt ihm überlassen.
 
  • Gefällt mir
Reaktionen: t-6 und SoDaTierchen
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz