136346
Goto Top

Frage zur IT-Sicherheit im HomeOffice

Liebe Community,

Ich hätte eine Frage an euch zum Thema IT-Sicherheit im HomeOffice. Ich werde in wenigen Wochen eine neue Arbeitsstelle im Home-Office antreten. Ich werde hierbei mit teils sehr sensiblen Daten zu tun haben, die unter keinen Umständen in die Hand dritter gelangen darf. Obwohl ich nicht davon ausgehe, dass diese Daten gezielt angegriffen werden, möchte ich sie bestmöglich sichern.

Grundsätzlich war meine Idee zwei Laptops zu verwenden.

1. Laptop mit den sensiblen Daten, der vollständig vom Internet getrennt wird (und auch dauerhaft getrennt sein wird). Für diesen Rechner (und einem frisch formatierten NAS) werde ich ein extra Netzwerk zu Hause einrichten ohne Internetverbindung an sich.
Die Festplatten der Geräte werden verschlüsselt, kein WLAN ist verfügbar.

2. Ein zweiter Arbeitslaptop für Mails und anderes Zeugs (wenig sensibel), der ans normale Heimnetzwerk angeschlossen wird (und bei Auswärtsterminen auch in anderen Netzwerken ist, daher ohnehin relativ egal face-confused )

Problematisch sehe ich hier jetzt allerdings 2 Dinge:
1. Ich werde leider in der Situation sein ab und an Daten vom System 2 auf System 1 zu spielen. Wie mache ich das am besten?
=> Mit USB-Stick? Wo sollte man ihn vorher formatieren, mit was prüfen?
=> Oder doch die beiden LANs temporär verbinden und mittels Jump-Host arbeiten (e.g. Raspi), der lediglich bestimmte Ports freigibt und forwarded?

2. Wie führe ich essentielle Windows Updates auf System 2 durch. Hier wieder die gleiche Frage.
=> Update auf USB Stick und manuell installieren
=> oder besser temporäre LAN-Verbindung?

Außerdem wäre es natürlich klasse von meinem privaten Rechner (inkl. 2 Bildschirmen) mittels RDP auf die Rechner zuzugreifen. Für Laptop 2 bestimmt unbedenklich, aber für die 1 wahrscheinlich nicht realisierbar.

Was denkt ihr? Macht für Problem 1 evtl. ein Datentransfer mittels https (inkl. Server- und Clientauthentifizierung Sinn?)

Leider gibt es keine Firmeninterne IT-Abteilung die mich hier unterstützen könnte.

Viele Grüße
SSLJunkie

Content-Key: 375915

Url: https://administrator.de/contentid/375915

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: maretz
maretz 03.06.2018 um 12:31:52 Uhr
Goto Top
Moin,

und du meinst nicht dass das ein Overkill darstellt? Ok, wenn du für die NSA, BND o.ä. arbeitest ggf...

Für den normalfall würde ich jedoch EIN Laptop nehmen, das in nen VLAN packen welches automatisch ins VPN zur Firma gehängt wird und nur über die Leitung irgendwas machen kann. Alles andere automatisch unterbinden - fertig... Schon hast du Mails und alles was du in der Firma hast...

Die Idee mit den 2 Laptops ist ja gut und schön - aber ehrlich gesagt wird es nicht lange dauern bis du vom USB-Geschubse genervt bist und du hängst dich einfach ans Kabel...

Wenn du übrigens so sensible Daten hast würde ich die auch nicht erst zuhause aufs NAS spielen - sondern eben direkt in der Firma lassen... Bei Internet-Leitungen mit 100 MBit sollte das auch mittlerweile gehen.
Mitglied: anteNope
anteNope 03.06.2018 um 13:06:19 Uhr
Goto Top
Ich stimme Martez zu, ist ein wenig overkill. Wenn da keine IT-Abteilung vorhanden ist, werden die Daten wohl auch nicht so hochsensibel sein?

Wenn du übrigens so sensible Daten hast würde ich die auch nicht erst zuhause aufs NAS spielen - sondern eben direkt in der Firma lassen... Bei Internet-Leitungen mit 100 MBit sollte das auch mittlerweile gehen.

Würde ich auch sagen. Entweder per RDP dann direkt auf den Rechner in der Firma oder, wenn vorhanden, als Terminal-User auf dem Server.
Die Verbindung wählst du ja dann nach Bedarf und das Notebook hätte keinerlei sensible Daten gespeichert. Sicherung fällt dann auch weg und das Ganze Konstrukt ist schön überschaubar und sicher.

Prinzipiell könntest du sogar fremde USB-Sticks annehmen, wenn du dir etwas einfängst (trotzt Virenscanner), installierst du einfach das OS neu, änderst das Remote-Passwort und gut ist =)
Mitglied: AlFalcone
AlFalcone 03.06.2018 um 14:03:01 Uhr
Goto Top
Totaler Overkill...

Wieso so kompliziert? VMware Workstation lässt grüssen damit kannst DU auch isolierte, verschlüsselte Maschinen haben, Netzwerke entsprechend konfigurieren.
Dann nur zugriff via diesem Netz auf das NAS und die Probleme sind gegessen.

VMware Workstation geht unter Windows, Linux und unter MacOS heisst es Fusion. Dort kannst Du die Maschine isolieren und entsprechend Verschlüsseln.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 03.06.2018 aktualisiert um 14:50:21 Uhr
Goto Top
Hallo SSL,

Aufgrund der Schilderung kennen wir deine Ansprüche nicht, diese hier im Forum zu besprechen macht daher wenig Sinn, da du a das Sicherheitskonzept nur mit genauer Erläuterung der dahinterstehenden Logik des AG definieren kannst.
B dies nur in Zusammenarbeit mit der IT dort geht
C dein Sicherheitskonzept mit dem Planung hier bereits direkt auf der Straße liegt.

-> Damit angreifbar wird.

Wir bieten solche Planung und Umsetzung zwar auch an, aber Diskretion ist dabei immer ein guter und wichtiger Punkt. überlege dir Mal, jemand weiss nun, wer du bist und weiss nun, wie du Daten kopierst. Selbst bei einem USB Stick wäre der Weg dann der diesen zu verwanzen. Ggf öffnest du dem Missbrauch so eher Tür und Tor als nur bei einem System ohne extremere Massnahmen.

Viele Grüße,

Christian
certifiedit.net

PS: ich möchte den Kollegen nicht widersprechen, aber ob es ein Overkill ist kann man aufgrund der Infos doch gar nicht sagen.
Mitglied: Matsushita
Matsushita 03.06.2018 aktualisiert um 14:55:36 Uhr
Goto Top
Ich würde mir eine Office 365 Lizenz und eine Lizenz für Mobility + Security mieten. Mein Notebook würde ich in Azure AD einbinden und via Intune ein paar Richtlinien definieren (z.B. Verschlüsselung, PIN, Hello, Kennwortkomplexität usw.). Dann würde ich für mein Office 365 Konto die Multi-Faktor-Authentifizierung aktivieren und mit Azure RMS meine wichtigen Dokumente schützen. Evtl. soga reine DLP Vorlage für besonders kritische Dokumente festlegen. Die Dokumente speichere ich in SharePoint und synchronisere diese offline auf mein Notebook. Zusätzlich richte ich eine verschlüsselte Datensicherung nach Azure Backup ein.

Übrigens: Home Office und höchste Sicherheit schließen sich aus.
Mitglied: 136346
136346 03.06.2018 um 15:51:10 Uhr
Goto Top
Hallo zusammen,

Erst einmal besten Dank für eure Nachrichten und euren Input.
Vielleicht um etwas "Licht ins Dunkle" zu bringen.

Die Daten sind hochsensibel (auch wenn ich nicht beim BND, NSA oder sonst so etwas arbeite face-smile ). Ich möchte das nicht näher konkretisieren, aber letztlich darf niemand lesend/schreiben/etc. darauf zugreifen. Daher schließen sich für mich "offizielle" Clouddienste (auch bei Microsoft, etc. aus). Schon allein deswegen, weil sie übers Netz übertragen werden würden.

Der Grund der "fehlenden" IT im Hintergrund ist letztlich einfach der, dass die Firma in der ich arbeiten werde eine Art "übergeordnete Firma" diverser Subunternehmen ist. D.h. Datenspeicherung, -Sicherheit, etc. liegt in der Hand der jeweiligen Subunternehmen. Meine Aufgaben dienen lediglich zur Statistik, bzw. laufen bei mir diverse Stränge zusammen (deswegen ist auch ein VPN nicht möglich). Meist sind die Daten unumkehrbar verändert, sodass ein Daten-Diebstahl wahrscheinlich kaum schwerwiegende Folgen haben würde. Das Arbeiten mit teils unveränderten Daten ist allerdings nicht auszuschließen, weswegen hier separate Hardware verwendet werden wird.

@ Alfalcone
Dein Konzept finde ich ebenfalls interessant. Letztlich bietet eine solche VM schon die Möglichkeit wirksam vor Schadsoftware zu schützen. Allerdings besteht hier natürlich auch die Möglichkeit, dass die vmdk files in irgendeiner Weise manipuliert werden können bzw. es während der Laufzeit zu "Angriffen" kommt.
Eine Kombination aus beidem wäre wahrscheinlich sehr sicher. VM mit SSL geschütztem "lokalem" WebServer für die Übertragung mittels http Protokoll.

Viele GRüße
SSLJunkie
Mitglied: LordGurke
LordGurke 03.06.2018 aktualisiert um 16:01:06 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
C dein Sicherheitskonzept mit dem Planung hier bereits direkt auf der Straße liegt.

-> Damit angreifbar wird.

Nach DSGVO kannst du die Datenschutz- und Sicherheitskonzepte ohnehin als Kunde anfordern face-wink
Wenn dein Sicherheitskonzept nur funktioniert, wenn es geheim ist, ist es ein sehr schlechtes Sicherheitskonzept. #securitybyobscurity


Aber insgesamt muss man schon sagen: Dein Arbeit-/Auftraggeber muss dir letztlich verbindlich mitteilen, wie er sich das Sicherheitskonzept bei dir vorstellt und dir Richtlinien geben wie es umgesetzt werden muss. Wenn das wirklich so unglaublich hochgeheime Dateien sind, solltest du in jedem Fall auf der Zusendung der Konzepte bestehen und prüfen, wie sich das umsetzen lässt.

Das mit den zwei Notebooks sehe ich lang- und mittelfristig nicht als funktionales Erfolgskonzept. Einfach, weil sich die Pflege der beiden Systeme natürlich verdoppelt und du letztlich ja dennoch einen Datenaustausch zwischen beiden Systemen hast. Und ein System, welches dank fehlendem Netzwerk fast niemals Updates bekommt ist gefährdeter als eines mit Updates.
Ich würde lediglich privates und geschäftliches Notebook strikt trennen (schon alleine wegen dem Finanzamt), aber zwei Arbeitsnotebooks wird auf Dauer nicht funktionieren.


Zudem bauen die meisten Home-Office-Konzepte ohnehin darauf auf, dass sensible Daten nicht bei dir lokal gespeichert werden sollen/dürfen.
Stattdessen arbeitest du i.d.R. per Remotedesktop oder ähnlichem direkt auf einem Terminalserver, so dass die Dateien niemals deine Festplatte berühren, erst recht nicht dein heimisches NAS.
Wenn es das nicht gibt, würde ich sogar überlegen darauf zu bestehen, dass mir derartiges zur Verfügung gestellt wird - und sei es eine einfache VM, die aber innerhalb der IT des AG läuft. Dann bist du einfach rechtlich ein Stück weit aus der Datenschutz-Sache raus.

Wenn das Notebook mit dir reist, würde ich in jedem Fall (ob es verlangt wird oder nicht) die Festplatte komplett verschlüsseln. Sollte das Notebook mal ungewollt den Besitzer wechseln, hast du mit der Verschlüsselung auf jeden Fall ein ruhigeres Gewissen face-wink


@Matsushita:
Bevor man Firmendaten in irgendwelche Cloud-Dienste einkippt, sollte man mit den AG klären, ob der genau so begeistert davon ist wie du.
Das was du da beschreibst, klingt nämlich ein bisschen nach unüberlegtem Microsoft-Cloud-Bullshitbingo face-wink
Mitglied: ChriBo
ChriBo 03.06.2018 aktualisiert um 16:32:15 Uhr
Goto Top
Hmm,
Du mußt dich als Angestellter drum kümmern wie du hochsensible Daten zu verarbeiten hast ?
Du planst wirklich ein NAS mit hochsensiblen Firmendaten bei dir zu Hause zu haben ?
Du willst wirklich per RDP von deinem privaten PC auf Firmenlaptops zugreifen ?
etc.
Sorry, aber meine Meinung ist: deiner neuen Firma darf man keine sensiblen Daten anvertrauen.
-
Wenn wirklich hochsensible Daten im HomeOffice verarbeitet werden müssen:
1. seperate Internetleitung im HomeOffice, VPN zur Firma
2. gehärteter Firmenlaptop, verschlüsselt und ggf. Token basierende Anmeldung.
Mit diesem Laptop kannst du ach zum Kunden gehen.
3. Terminalserver oä. beim Arbeitgeber.
4. die eigentliche Datenverarbeitung der bzw. mit den sensiblen Daten findet dann per TS (oä) Session durch das VPN von zuHause aus.
5. Ganz wichtig sind natürlich auch entsprechende Arbeitsanweisungen des AGs.
etc.


CH
Mitglied: wiesi200
wiesi200 03.06.2018 aktualisiert um 18:06:12 Uhr
Goto Top
Hallo,

auch wenn's jetzt nicht dazu beiträgt. Wenn sich das wirklich so darstellt wie du beschreibst, dann hat dein Auftraggeber/Übergeordnete für mich schlicht einen an der Waffel.
So kann man doch auf keinen Fall eine Daten Sicherheit gewährleisten.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 03.06.2018 um 18:17:37 Uhr
Goto Top
@LordGurke

Wenn dein Sicherheitskonzept nur funktioniert, wenn es geheim ist, ist es ein sehr schlechtes Sicherheitskonzept. #securitybyobscurity

Von nur hab ich nie etwas gesagt, aber wenn ich dem "Gegner" bereits den Bauplan mitgebe, wie er mich zu hacken hat...nun ja...abgesehen funktioniert das doch bei Linux gerade super *duck und wech* face-smile

Wie allerdings bereits geschrieben und du mir wohl nur zustimmen kannst, so eine Frage kann kein Forum lösen. (wie kaum eine tiefergehendere...)

Viele Grüße,

Christian
Mitglied: 136346
136346 03.06.2018 um 18:24:42 Uhr
Goto Top
Hallo zusammen,

Es ist sehr schade, aber ich denke wir kommen hier nicht weiter.
Die ursprüngliche Frage richtet sich nicht danach ob das HomeOffice Sinn macht oder nicht bzw. zu unsicher ist.
Letztlich finde ich es sicherheitstechnisch extrem bedenklich sensible Daten über diverse Gateways zu routen, VPN oder TerminalServer hin oder her.
In dieser Art wird das mit Rechner 2 passieren (dem normalen Arbeitslaptop). Der erste Laptop soll komplett von irgendeinem Internetzugang getrennt sein. Meine Vorgänger haben hier einen Transfer wahrscheinlich mittels USB Stick realisiert, was ich für einfach komplett unsicher halte, deswegen meine Frage wegen dem SSL geschützten, lokalen "WebServer" (Auch wenn es in der Art kein Webserver wäre).

Trotzdem vielen Dank fürs Zeit nehmen.

Beste Grüße
SSLJunkie
Mitglied: maretz
maretz 03.06.2018 um 19:16:03 Uhr
Goto Top
Sorry, ernsthaft? Also du findest es "unsicher" via VPN auf nem RDP in der Firma (in einem hoffentlich geschützten Netz) zu arbeiten, möchtest die Daten aber irgendwie zuhause bearbeiten - in einem Netz in dem du nur begrentze Optionen hast das zu schützen? Bei solchen Aussagen bekomme ich dann doch etwas Angst. Denn das VPN an sich schützt ja bereits die Übertragung - besser als nen USB-Stick den du verlieren kannst und der ggf. Dann wiederhergestellt werden kann. Der Server (in einem geschützten Netz) sollte auch die Daten besser schützen als dein ungepatchtes Arbeitslaptop. Von deinem NAS gar nicht zu reden - wenn ich (wie auch immer) in dein Netz komme habe ich ja dann auch Zugriff darauf. Im besten Fall ist mir selbst deine Verschlüsselung egal weil ich ja mit deinem User arbeite...

Und wie kommst du darauf das dein Rechner "ohne Internet" sicher ist? Nehmen wir nen einfachen Virus - da dein Stand-Alone-Rechner keinen Virenscanner hat (wäre überflüssig da ja eh immer veraltet) reicht nen simpler Virus aufm USB-Stick um den zu plätten und/oder um die Dateien dann Huckepack wieder mit zurückzunehmen und auf deinem Internetfähigen Rechner zu transferieren. Auch da hilft dein Virenscanner wenig da es ja dann vermutlich ein gezielter Angriff ist und somit die Signatur nicht bekannt wäre. Ein Server dagegen ohne irgendwelche Datenträger benötigt den Kram nicht....

Aber gut, ich denke du wolltest gerne hören das dein Konzept super ist und das alle neidisch sind auf nen Job mit vertraulichen Daten. Beides ist eher nicht der Fall ...
Mitglied: falscher-sperrstatus
falscher-sperrstatus 03.06.2018 um 19:26:16 Uhr
Goto Top
Hallo SSLJunkie,

dann nochmal zurück auf Null, was bringt dir eine SSL Verschlüsselung, wenn die Backends Scheunentore darstellen?

Viele Grüße,

Christian

PS: Wann bist du über die Abkz. SSL gestolpert?
Mitglied: 117471
117471 03.06.2018 aktualisiert um 20:11:11 Uhr
Goto Top
Hallo,

ich denke, hier fühlt sich jemand wichtiger als er ist.

Wärst das so sensibel, hättest Du diese Frage nicht in dieser Form stellen dürfen und hättest einen Vorgesetzten, der jetzt schon die erste Abmahnung unterschreiben würde.

Wenn die Daten so sensibel wären, ist es Aufgabe Ihres Eigentümers, eine geschützte Bearbeitung zu ermöglichen.

Sprich: Er stellt einen RDP Server und VPN zur Verfügung. Anders machen es die Geheimdienste auch nicht.

Gruß,
Jörg
Mitglied: em-pie
em-pie 03.06.2018 um 20:22:21 Uhr
Goto Top
Moin,

Mal unabhängig davon, ob dein Vorhaben machbar ist oder nicht:

Als Postbote weiß ich, wann du Urlaub hast/ nicht zuhause bist und dass du keine Alarmanlage hast. Weil dein Nachbar mein Bruder ist, weiß ich, dass du ein NAS hast und mit sensiblen Daten agierst...

Wenn du dann mal wieder beim Sport/ Einkauf bist, „steige“ ich bei dir ein und greife einfach auf dein gerade laufendes NAS zu und nehme mir die Daten mit....
Achja, deine Frau treffe ich auch regelmäßig am Kindergarten und wir (meine Frau, deine Frau du und ich) wollen abends mal was für die Kiddies kochen... auf dem Weg zur Toilette gehe ich mal eben an deinem NAS vorbei...
Mir fallen noch andere Beispiele ein...

Wären die Daten im Serverraum in Unternehmen, wäre ich aufgrund der dicken Wände, fehlenden Fenster und vorhandenen Alarmanlage nicht an die Daten gekommen.

Was ich sagen will:
Die Pakete deines VPN-Tunnels, der direkt an eurem Router im Unternehmen terminiert, passieren zwar zig Schlüsselgateways im WAN, aber hier ist alles verschlüsselt, was dir ja wichtig ist, wenn ich mir die Art und weise deines avisierten Zugriffs auf das „CriticalNotebook“.

Gruß
em-pie
Mitglied: 136346
136346 03.06.2018 aktualisiert um 20:41:47 Uhr
Goto Top
Hallo zusammen,

Nur um die Fragen nicht unbeantwortet zu lassen:

@ Em-pie,
Definitiv ein guter Punkt. Deswegen befindet sich das Backend auch nicht bei mir zu Hause, sondern bei den Subfirmen. Ich erhalte nur abgeänderte Daten bzw. (deswegen die ganzen Überlegungen) teils sensible Daten.


@maretz
Ich hatte zu Beginn gesagt, dass die Möglichkeit eines VPNs nicht besteht. Außerdem finde ich es nicht unsicher via VPN zu arbeiten, sondern sensible Daten innerhalb eines VPN zu übertragen. D.h. diese sensiblen auf den Arbeitslaptop zu übertragen, da dieser für die Weiterentwicklung benötigt wird (Daten-Repository => TerminalServer => lokaler Rechner)
=> Dein Argument mit dem USB-Stick war ja genau der Grund weswegen ich diesen Thread geöffnet habe...
Ich schrieb:
"Meine Vorgänger haben hier einen Transfer wahrscheinlich mittels USB Stick realisiert, was ich für einfach komplett unsicher halte"
=> Deswegen ja die Frage nach Alternativen

@ certifiedit.net
Die Backend Systeme stellen keine Scheunentore dar, sondern sind bei den jeweiligen Subunternehmen gesichert. Der Laptop wird lediglich zur Entwicklung notwendiger Auswertungs/Zusatzsoftware verwendet. Meistens wie gesagt mit veränderten Daten, aber das kann nicht immer gewährleistet werden.


Im Allgemeinen finde ich es schon traurig wie schnell man hier von einigen Leuten angegangen wird. Wenn ich mir meiner Sache/meinem Konzept sicher gewesen wäre, hätte ich diesen Beitrag nicht geschrieben. Wenn ich gewollt hätte, dass ihr "neidisch" auf meinen Job seid, hätte ich die Arbeit da nicht ausführlicher geschildert?
Wenn ihr mein Konzept blödsinnig findet ist da ja ok, genau deswegen habe ich diesen Beitrag geschrieben. Allerdings finde ich es wenig zielführend mich die ganze Zeit "verteidigen" zu müssen, warum ich im HomeOffice arbeite...

Grüße
SSLJunkie
Mitglied: em-pie
em-pie 03.06.2018 aktualisiert um 20:53:48 Uhr
Goto Top
Nun, ich denke, dass das hier kein Neid ist, sondern die Meinung (aufgrund von Erfahrungen), dass dein Vorhaben sicherlich nicht falsch ist, aus sicherheitstechnischen Aspekten aber Lücken hat.

Und dass du die Daten lokal zwingend vorhalten musst, ging so nie hervor...
Warum eigentlich?
Das Prinzip eines Terminalservers kennst du?


Wie würde ich das umsetzen:

  • @company einen dedizierten Terminalserver bereitstellen, mit allen Programmen die erforderlich sind.
  • Entsprechendes Backupkonzept etablieren (3-2-1 und verschlüsselt)
  • VPN-Server bereitstellen
  • VPN-Einwahl via 2Faktor (RSA-/ Alladin-Token mit OTP)
  • einwählen und arbeiten (von überall aus, auch im Büro selbst)

Vorteil, die Daten, die dem Unternehmen ja gehören, bleiben dort (Gebäudesicherheit vorausgesetzt).
Fällt dir dein Laptop aus, kaufst du einfach ein neues und breitest wieder
Alles ist verschlüsselt...
Fremde haben keinen Zugriff auf die Daten
Die Sicherheitskonzepte können zentralisiert realisiert/ definiert werden....
Mitglied: wiesi200
wiesi200 03.06.2018 um 21:11:07 Uhr
Goto Top
Also irgendwie finde ich nicht das dich irgendwer angeht.

Neidisch zwecks Homeoffice? Oder weil du Daten aufbereitest.
Nö wenn ich sage ich bleib daheim und Arbeite von da Interessiert es keinen und das andere währ mir zu langweilig.

Und zum Thema Sicherheitskonzept. Das ist eher ein Problem deines Auftraggebers der das völlig falsch anpackt. Und das sollte eigentlich nicht sein Problem sein.
Mitglied: UweGri
UweGri 03.06.2018 um 21:33:58 Uhr
Goto Top
A W10 und höchste Sicherheit geht so nicht

B Cloud und Sicherheit ist final unmöglich

C Gehärteter Server 2016 geht eher

D Datenaustausch generell nur per chiffrierte Container

Uwe
Mitglied: 117471
117471 03.06.2018 um 22:56:34 Uhr
Goto Top
Hallo,

ich arbeite auch im HomeOffice. Dafür ist es schließlich da.

Die Daten bleiben natürlich dennoch in der Firma - alleine schon wegen des Backups.

Das Meiste mache ich per TeamViewer über mein dauerhaft eingeschaltetes Notebook in der Firma. Ich könnte aber auch einen OpenVPN Tunnel nutzen - allerdings möchte ich nicht so gerne mit meinem privaten PC auf Firmenangelegenheiten herumturnen. Da bin ich ausgesprochen konsequent.

Du siehst - ich vergehe vor Neid und bin schon ganz grün! face-smile

Ich als AG würde mich übrigens nicht auf deine Spielereien einlassen. Wer garantiert mir, dass Du eine vernünftige Datensicherung hast? Und das Du alle gesetzlichen Anforderungen in meinem Interesse befolgst? Und was ist, wenn Du mal krank bist?

Gruß,
Jörg
Mitglied: 130127
130127 03.06.2018 um 23:05:54 Uhr
Goto Top
Grüß dich,

wenn ich sensible Daten bearbeiten müsste dann würde ich auch ohne zu zögern Teamviewer verwenden face-wink

Schönen Abend face-wink
mfg
Mitglied: Sheogorath
Sheogorath 04.06.2018 um 09:01:23 Uhr
Goto Top
Moin,

Erstmal Jungs und Mädels, ihr seid mir mal wieder ein paar Nasen… Es geht ja wieder drunter und drüber in dem Thread, dabei ist es doch gar nicht so kompliziert und ein Problem für das es offizielle best practices von Microsoft gibt:

https://docs.microsoft.com/en-us/windows-server/identity/solution-guides ...

https://technet.microsoft.com/library/dn550982.aspx

https://docs.microsoft.com/en-us/windows-server/identity/securing-privil ...

Und ja, diese Dinger sind, wenn auch leider nur durch viel zu wenige, tatsächlich erprobt.

Das Ganze gibt es natürlich auch von und für nicht-Microsoft Produkte, halte ich hier aber mal raus, schließlich scheint die Seele schon verkauft zu sein.

Aber auch für Microsoft Produkte gibt es externe Guides:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ ...

Damit ist doch dann im Grunde die Fragestellung wie man sowas macht geklärt und all das herum gekaspere kann man sich sparen.

Natürlich kann man auch entsprechende Ergänzungen zu solchen Konzepten anfügen, wenn man der Meinung ist, dass es etwas zu ergänzen gibt, aber dass es noch nicht mal jemand gelinkt hat, finde ich ehrlich gesagt schwach.

In diesem Sinne…

Gruß
Chris
Mitglied: 117471
117471 04.06.2018 um 09:02:21 Uhr
Goto Top
Hallo,

Zitat von @130127:

wenn ich sensible Daten bearbeiten müsste dann würde ich auch ohne zu zögern Teamviewer verwenden face-wink

Mit dem Unterschied, dass ich hier nicht so tue, als ob ich zukünftig der persönliche Disponent von James Bond bin face-smile

Gruß,
Jörg

Übrigens: Der Amerikaner war nie auf dem Mond - auf einem Foto sieht man nämlich ganz deutlich einen Stein, der wie Elvis aussieht^^
Mitglied: St-Andreas
St-Andreas 04.06.2018 um 13:13:19 Uhr
Goto Top
Mal ein kleiner Kommentar von mir.

Wenn ich das richtig verstanden habe, dann arbeitest Du mit Daten von vielen verschiedenen eigenständigen Firmen die alle unter dem Dach einer Holding sind.
Diese Holding ist Dein Arbeitgeber und hat keine eigene IT Abteilung.
Für deinen Arbeitgeber bearbeitest Du Daten die Du von den eigenständigen Töchter der Holding bekommst.
Diese Töchter haben eigene IT Abteilungen.

Dann sind diese IT Abteilungen für Dich die jeweiligen Ansprechpartner und müssen Dir mitteilen welche Sicherheitsvorkehrungen Du für den Umgang mit den Daten der jeweiligen Tochter zu treffen hast.

Oder es gibt Vorschriften die von der Holding an die Töchter ausgegeben wurden und an die Du Dich dann entsprechend zu halten hast.

So einfach ist das.
Mitglied: itisnapanto
itisnapanto 04.06.2018 um 13:33:21 Uhr
Goto Top
Moin moin ,

ich würde das so regeln.

- Verschlüsselte VPN Verbindung vom Client zur Firma mit 2 Faktor-Authentifizierung. (gesondertes Netz )
- Per Firewall alles dicht machen außer dem RDP Port.
- Per klassischem RDP oder RemoteApp auf den Terminalserver die Daten bearbeiten.

So hast du keine Daten zu Hause liegen und es verlassen keine Daten die Firma. Alles eigentlich keine große Sache.

Gruss
Mitglied: 117471
117471 04.06.2018 um 13:51:36 Uhr
Goto Top
Hallo,

Zitat von @St-Andreas:

Dann sind diese IT Abteilungen für Dich die jeweiligen Ansprechpartner und müssen Dir mitteilen welche Sicherheitsvorkehrungen Du für den Umgang mit den Daten der jeweiligen Tochter zu treffen hast.

Ja, so etwas in der Richtung hatte ich es ja auch schon beschrieben. Ich denke aber, es ging hier tatsächlich primär um die Aufmerksamkeit.

Ich habe vor 20 Jahren für einen ISP gearbeitet, wo sich regelmäßig ein Kunde gemeldet hat, der sein Anliegen "schnellstens, unmittelbar sofort" erledigt haben musste. Da er vom BND jederzeit auf eine "geheime Auslandsmission" geschickt werden kann und dort nicht erreichbar ist, ging das leider nur in genau dieser Sekunde. Achja - und wir sollten verdächtige Beobachtungen an seinem Internetzugang, seiner E-Mail-Adresse und aller Internetprodukte seiner Nachbarn proaktiv bei Ihm melden. Irgendwann hat sich dann ein Rechtsanwalt gemeldet, sich als Betreuer ausgegeben und gebeten, dass wir bei zukünftigen Anliegen bitte erst Rücksprache mit ihm halten sollen... face-smile

Gruß,
Jörg
Mitglied: St-Andreas
St-Andreas 04.06.2018 um 14:02:56 Uhr
Goto Top
Hatte ich auch mal so einen Spezialisten. Erklärte mir immer ich müsse seine Elektronik auf Wanzen und so untersuchen. Furchtbare Termine.
Irgendwann fragte er mich dann wo ich denn "gelernt" hätte.
Ich hab ihm "Verfassungsschutz" gesagt, brauchte dann da nie wieder hin.
Mitglied: maretz
maretz 04.06.2018 um 17:23:03 Uhr
Goto Top
Ich denke die "ganz wichtigen" Kunden/Kollegen hat jeder. Ob jetzt die "spontane Auslandsmission" oder "wenn das nicht in den nächsten 10 Min läuft kostet das die Firma mehrere 100.000 Euro" -> ich denke alles nicht ungewöhnlich... Wobei ich auch schon den wirklich ungewöhnlichen Fall hatte - alle Systeme weg und die Kollegin sagt "mach in Ruhe, in Hektik machst nur Fehler und es dauert länger".

Aber gut, ich denke der TO is eh weg, vermutlich nur noch mit dem High-Secure-Arbeitslaptop am toben....
Mitglied: 136346
136346 04.06.2018 aktualisiert um 20:33:40 Uhr
Goto Top
Hallo zusammen,

Ich bin ganz und gar nicht weg, allerdings komme ich tagsüber normalerweise nicht zum Schreiben, daher die Verzögerung.

Und nochmal:
Ich verwalte keine super-geheimen Daten, die ich schützen muss, weil ich sonst von irgendeinem Geheimdienst oder sonst irgendetwas niedergestreckt werde. face-smile Echt mal, habe ich jemals so etwas erwähnt?!

Ich denke aber die Wichtigkeit liegt im Auge des Betrachters. Dass Kontodaten wichtig sind weiß jeder und Infos über Badeschwämme wahrscheinlich nicht.
Die Daten die ich verwalte sind definitiv NICHT in den Bereich "Top-Secret" einzustufen, allerdings wäre ein Verlust schwerwiegend für mich (wahrscheinlich Kündigung) und die Firma (Vertrauensverlust) für die ich arbeite. Wenn es diesbezüglich zu Missverständnissen kam, tut mir das Leid. Gerade weil ich im HomeOffice bin und gerade weil ich für Daten auch verantwortlich bin, mach ich mir die Gedanken ja.

Es wird von den Auftraggebern teilweise vorschrieben, dass die Daten nicht an einer Internet-Verbindung hängen dürfen, daher meine Idee mit dem Business-Laptop ohne Netzanbindung. Ob ein Zugang via VPN und Terminal-Rechner da erlaubt ist, kann ich nicht sagen, wird aber sicherlich Bestandteil weiterer Diskussionen (auch wenn eine VPN wie gesagt derzeit nicht besteht).
Der Punkt mit dem Diebstahl hat mich allerdings wirklich zum Nachdenken gebracht. Ich glaube nicht, dass irgendjemand gezielt diese Daten/Rechner stehlen würde, aber selbst wenn die Daten im Zuge eines "normalen" Einbruchs gestohlen werden würde, wäre das ziemlich blöd.

Falls eine VPN Verbindung in Frage käme, würde sie schätzungsweise genauso umgesetzt wie ihr empfohlen habt?
S2S-VPN => Terminal-Server via RDP => Zugriff auf die Daten

Hier aber nochmal meine Frage. Besteht hier nicht ein gewisses Risiko, dass auf Daten zugegriffen werden könnte? Macht es Sinn zwei verschiedene Netzwerke einzurichten? Eine zusätzliche I-Net Verbindung ist wahrscheinlich so einfach nicht umsetzbar, allerdings würde die Verwendung eines getrennten Netzwerks sinnvoll sein?
192.168.x.0/24 für Privat-Netzwerk
192.168.z.0/24 für Business-Netzwerk
So dass die Rechner sich zumindest nicht so einfach sehen können?

@ Sheogorath
Danke für die Links, die werde ich mir ansehen

@ St. Andreas
Letztlich sind wir keine Holding, aber deine Erklärung beschreibt das in etwa. Vielleicht noch mit dem Hintergrund, dass wir durchaus Zugriff auf die Daten verlangen können.

Viele Grüße
SSLJunkie
Mitglied: maretz
maretz 04.06.2018 um 20:54:27 Uhr
Goto Top
Moin,
Dann solltest du bei deinem zukünftigen AG auf jeden Fall auf ein VPN bestehen. Denn im Falle eines Einbruchs ist der Laptop mit ziemlicher Sicherheit mal direkt weg da sich das ja auch schnell zu Geld machen lässt.

Zur Frage ob das Risiko besteht das auf Daten zugegriffen wird: Ein klares Jein.
A) hängt das davon ab von wo nach Wo das VPN geht
B) hängt das von deinen Einstellungen ab
Ich mache es mal einfach: Du hast das sicherste VPN aufgebaut - wirklich, 100% sicher. Leider hast du einen Trojaner auf deinem Rechner der eben die Daten auch auf jeden Stick versucht zu kopieren den es finden kann - und den Stick packst du dann in deinen "Alltagsrechner". Schon wäre der Weg wieder frei. Da hilft dir nix. Aber: Die Chance das jemand dein VPN angreiffen wird ist ehrheblich geringer als das jemand an dein OS gehen möchte - da es eben bei Windows viele mögliche Opfer gibt während die Leitung schon gezielter sein muss.

Am Ende wirst du in jedem Fall gewinnen wenn du auf nem Server (oder im schlimmsten Fall auch auf nem normalen Rechner remote) in der Firma arbeitest. Denn hier kann ich deinen Rechner angreiffen solang ich will - da is ja nix drauf. Dein Email-Postfach kannst du so absichern das eben der Abruf nur von einigen (oder einer) IP möglich ist - da ja das Email-System ebenfalls auf dem Firmenrechner laufen kann. Je nach Umgebung halt sogar in ner eigenen Umgebung so das du selbst bei Viren da kein Problem hast (Citrix z.B. Kann das problemlos).

Mit dieser Lösung bist du übrigens dann bei weitem nich der einzige - das ist eigentlich der "Standardfall" für remote-arbeiten mittlerweile (da die Bandbreiten das problemlos erlauben).

Was allerdings denke ich den meisten zu Denken gibt: Es möchte jemand mit vertraulichen Daten arbieten und das bei ner Firma die noch nicht mal nen VPN hat? Das ist in etwa so als wenn ich bei meiner Bank zwar verschwiegene Berater habe - aber nen offenes Terminal mit allen Daten direkt im Eingangsbereich steht. Hier würde ich auf jeden Fall gucken das ich mich absichere (und grade da dann keine Daten zuhause habe). Denn wer sagt dir das nicht plötzlich bei Daten die rausgehen dein Chef vor dir steht obwohl einfach nur die halbe Firma geknackt wurde? Und auch da wäre es nicht die erste Firma die bei solchen Problemen nen Sündenbock sucht um die Kunden zu beruhigen - egal ob die Daten wirklich bei dir durch Fehler rausgelaufen sind...
Mitglied: 117471
117471 04.06.2018 um 21:54:56 Uhr
Goto Top
Hallo,

wie gesagt: Der AG stellt einen RDP Server mit VPN Tunnel zur Verfügung. Antivirus, Backup usw. liegt in seiner Verantwortung.

Alles Andere ist in meinen Augen "purer Wahnsinn".

Gruß,
Jörg
Mitglied: St-Andreas
St-Andreas 05.06.2018 um 17:54:23 Uhr
Goto Top
Zitat von @136346:
[...]
@ St. Andreas
Letztlich sind wir keine Holding, aber deine Erklärung beschreibt das in etwa. Vielleicht noch mit dem Hintergrund, dass wir durchaus Zugriff auf die Daten verlangen können.

Viele Grüße
SSLJunkie

Trotzdem bleiben in der Regel diejenigen die Dir die Daten geben die Eigentümer und haben entsprechend das Recht und die Pflicht Dir konkrete Handlungsanweisungen für den Umgang mit diesen Daten zu geben.
Daher solltest Du Dein Konzept von allen dieser "Datenspendern" absegnen lassen, oder noch besser, von diesen erstellen lassen.
Mitglied: 136346
136346 05.06.2018 um 19:15:34 Uhr
Goto Top
Hallo zusammen,

Nochmals danke für eure Antworten. Ich werde abklären in wie weit die Möglichkeit besteht hier Alternativen zur Verfügung zu stellen.


Beste Grüße
SSLJunkie