Zugriff auf Arbeitscomputer von zu Hause?

[SoDaTierchen]

Vorab: Ab Mai gilt auch in Deutschland die DSGVO, da wird Datenschutz dann etwas strenger gesehen. Solltet ihr keine sensiblen Daten im Firmennetzwerk haben, dann ignorier meine Anmerkungen zu diesem Thema.

Punkt 1: Jeder Zugriff sollte genehmigt werden. Ein generalisierter Zugriff ist keine gute Idee und steht dazu auch unter Strafe (DSGVO). Wie man das technisch umsetzt, dazu unten mehr.

Punkt 2: Direkter Zugriff über das Internet ist nicht nur grob fahrlässig, sogar der totale Supergau. Du gibst dann jede Form der Kontrolle auf und erlaubst wirklich jedem beliebigen Menschen mit Internetzugang den Zugriff auf euer System. Das Argument "es gibt dagegen doch Passwörter" zählt nicht, da es zahlreiche Mechaniken gibt, diese auszuhebeln. Wer ernsthaft über einen direkten Zugriff nachdenkt, hat definitiv keine Möglichkeit zum Umgehen der Passwörter blockiert.

Punkt 3: Wenn überhaupt sowas umgesetzt werden soll, dann ausschließlich über einen VPN-Tunnel. Alles andere ist wie gesagt eine Einladung zum Missbrauch und ab Mai sogar illegal, sofern über diesen Weg sensible Daten erreichbar sind.


Vorteile von VPN-Tunneln:
- idR. sicher (sofern halbwegs vernünftig umgesetzt)
- Durch persönliche Zertifikate kann der Zugriff sehr gut kontrolliert werden
- Zugriff auf das Netzwerk kann schon über den VPN-Tunnel reguliert werden (Nutzen ohne Sicherheitskonzept aber gering)
- Komform mit der DSGVO

Nachteile von VPN-Tunneln:
- Einrichtung serverseitig einmalig recht aufwendig
- VPN-Tunnel muss jedes Mal aufgebaut werden (ein klick und ein passwort, also überschaubar)
- Zertifikate laufen ab und müssen dann von der IT erneuert werden

Rein aus Sicht eines vernünftig denkenden Menschen mit halbwegs IT-Verstand sind nur kontrollierte Punkt-Verbindungen über z.B. Teamviewer mit sehr stark reduzierten Rechten, oder eben über einen VPN-Tunnel diskutabel. Bei Teamviewer bedenke: Das ist zwar günstig, aber auch nur über ein Passwort gesichert. Alles ohne VPN geht eigentlich nicht.

 

[mic_]

Am besten einen ITler einplanen ggf. mit Dienstleisterunterstützung (wenn mal wirklich Notfall ist).

Sollte der IT-Mitarbeiter es nicht hinbekommen, sollte ihm ein Budget für Hilfe/Fortbildung bereitgestellt werden - schließlich kann nicht jeder alles wissen. Mag sein, dass er sich mit VPNs auskennt, jedoch aber keine Erfahrung mit Fortigate. D.h. er braucht Zeit zum einlernen oder ggf. Hilfe von Externen.

Wie Raijin schreibt, sollte die IT nicht vernachlässigt werden. Es ist nicht wie es hier den Anschein hat: "mach VPN und fertig".
Davon hängen viele Faktoren ab, u.a. zukunftsorientiert denken. Lieber gleich 50€ statt 30€ investieren, als in paar Wochen/Monate/Jahre 500€ nochmals in die Hand zu nehmen. In entsprechenden Verhältnissen natürlich
Dies vergessen die meisten Chefs und am Ende gibt es nur Streit, Stress und Zeitdruck für alle.

 

[Raijin]

Das Problem bei den meisten Chefs ist einfach, dass jeder, der einen Drucker einrichten kann schon als IT-ler gilt. Nicht ohne Grund haben richtige IT-Administratoren eine Ausbildung oder gar ein Studium hinter sich. Ich kann in solchen Fällen daher nur mit Nachdruck dazu raten, sich nach einem geeigneten Dienstleister umzuschauen. In unserer Firma (ca. 40-50 Mitarbeiter) haben wir einen 2-Tage-Die-Woche-Admin. Das reicht in den meisten Fällen aus. Im worst case muss ich einspringen. Für kleinere Firmen kann man sicher andere Vereinbarungen treffen, 1x pro Woche oder gar nur bei Bedarf.

Besagter Drucker-Einrichter hat daheim nämlich einen 08/15 Provider-Router, zu 95% vorkonfiguriert inkl. Firewall, etc. Nu steht aber in der Firma an dieser Stelle eben keine Fritzbox, kein Speedport, kein Asus, kein 08/15 Router, sondern ein professionelles Gerät, pfSense, EdgeRouter, MikroTik, Fortigate, etc. Solche Kisten kommen in der Regel vollkommen nackt, d.h. man muss die Firewall, etc. von Grund auf neu erstellen. Selbst waschechte Computer-Nerds haben von "Connection states" in der Regel noch nie etwas gehört - kein Wunder, sie basteln ja zu 90% der Zeit auch nur ne neue Grafikkarte in den PC, o.ä.. Dabei sind das absolute Basics und für einen IT-Admin eben Standard.

Das größte Problem sehe ich aber bei der Verantwortung. Wenn der Chef auf einen zukommt und den Posten des quasi IT-Admins anbietet, mag man sich zwar durchaus geschmeichelt fühlen, aber was passiert, wenn durch mangelndes Fachwissen Daten verloren gehen? Die Firma kostet das dann unter Umständen richtig Geld und der Pseudo-Admin bekommt mächtig Ärger - obwohl die eigentliche Ursache ja der Chef selbst ist bzw. sein Geiz.

@TE: Bitte versteh das nicht falsch, niemand macht dir Vorwürfe oder will den Moralapostel spielen. Es ist eben nur so, dass man sich ja im Badezimmer auch einen Klempner holt, obwohl der ja "nur ein paar Rohre verlegt". Der Klempner ist aber ein Profi und weiß was er tut, es ist nun mal sein Job. Wenn sich da ein Laie ranwagt, steht am Ende die ganze Bude unter Wasser. Nur weil bei der IT gewisse Einstiegsthemen gerade durch Wikipedia und Co auch für Laien verständlich sind, kratzt das nicht mal an der Oberfläche. Consumer-Geräte wie eben Fritzboxxen und Co sind vorab derart stark eingeschränkt, dass man im Prinzip nichts falsch machen kann. Bei Profi-Hardware sieht das gaaaaaaaaanz anders aus..

Ein weiterer Vergleich wären Rennfahrer. Fährst du gut Auto? Ich ja. Ein Bekannter von mir auch. Grund genug für ihn, ein Wochenende zum Nürburgring zu fahren - und sein Auto zu schrotten. Rennfahrer sind eben keine "guten Autofahrer", sondern Profis. Die meisten Otto Normal Autofahrer überschätzen sich maßlos, weil sie auf der Autobahn geradeaus mit 260 km/h heizen können...

 

[Austrokraftwerk]

Sehr guter Post Raijin. Kann ich nur so unterschreiben. Man sollte nicht an der falschen Stelle sparen.

 

[Break16]

hallo leute

ihr habt vollkommen recht. ich will nichts selber machen. ich habe einen IT-Menschen der wird alles bei uns machen. wir hatten davor auch einen wir waren also nie ohne einen IT-Menschen. nur habe ich mich aktuell gegen den alten IT-Menschen entschieden da ich bei ihm einiges nicht okay fand (preise für softwarewartung z.b. backupsoftware multipliziert mal 2 etc.)

ich wollte hier nur nach einer möglichkeit fragen damit ich mit meinem neuen IT-Menschen das perfekt umsetze und mich irgendwo einlesen kann damit ich alles verstehe wie das bei mir dann umgesetzt wird.

bei mir hört es nach simplen hardware/software sachen auf. also bin ich keiner der eine fortigate, switch, server etc. einstellen kann.

 

[Raijin]

Ok, dann ist ja gut. Wie gesagt, war sowieso nur als gut gemeinter Rat gedacht. Wäre leider nicht das erste Mal, dass eine Firma mit <20 Mitarbeitern die IT dem nächstbesten Mitarbeiter auf's Auge drückt, der dann am Ende noch schuld ist, wenn's in die Grütze geht...

Um das Thema dann mal zusammenzufassen:

Ein Fortigate kann diverse verschiedene VPN-Lösungen abbilden - bis hin zu USB-Tokens zur Identifizierung des VPN-Nutzers, ähnlich wie Linzenz-Dongles. Ich selbst hab zwar kein FortiGate, aber ich hab mich mal auf der Cebit intensiv mit denen über unsere Fernwartungslösung unterhalten.

VPN kann man über verschiedene Technologien herstellen. Zu nennen wären da vorwiegend IPsec und OpenVPN. Letzteres wird meist eher im privaten Umfeld oder zur Nutzung hinter restriktiven Firewall eingesetzt. IPsec wiederum kommt bei den meisten professionellen Szenarien zur Anwendung.

Generell gibt es verschiedene VPN-Szenarien.

End-to-End
End-to-Site
Site-to-Site

Details dazu findest du hier
In deinem Falle wäre es das klassische Roadwarrior-Szenario, ein Außendienstmitarbeiter, End-to-Site.

Auf dem Fortigate das VPN einrichten - zB IPsec - und als Roadwarrior, End-to-Site, o.ä. konfigurieren. Der Laptop des Mitarbeiters bekommt den passenden VPN-Client nebst Konfigurationsdatei und Zertifikaten installiert und los geht's.

Ergänzung (27. März 2018)

Ein letzter Hinweis noch: Wenn man VPNs nutzt, sollte man besonderes Augenmerk auf die beteiligten Subnetze legen. Verwendet zB die Firma das Subnetz 192.168.1.0/24, sind IP-Konflikte vorprogrammiert. Da man nicht immer Einfluss auf der Subnetz des Roadwarriors hat (zB im Hotel) sollte man in der Firma tunlichst die Standard-Subnetze meiden, um potentielle Überschneidungen zu vermeiden.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die reservierten Bereiche für private IP Adressen. Gefühlt 90% sämtlicher Subnetze auf diesem Planeten kann man allerdings mit einigen wenigen Standard-Subnetzen erschlagen: 192.168.0.0/24 ; 192.168.1.0/24 ; 192.168.2.0/24 ; 192.168.178.0/24 ; 192.168.179.0/24