Hotspot Missbrauch

[Balios]

Hallo,
folgendes Problem. Im W-Lan Netzwerk gibt es zugelassene mobile Endgeräte von Servicemitarbeitern. Nachdem mir aufgefallen ist, dass vor dem Büro (Innenstadt- Einkaufsmeile) 2 Jugendliche, immer zur gleichen Zeit, mit einem Tablet
saßen, hab ich mal das W-Lan ausgeschaltet. 10 sek. später hörte ich, wie die beiden geschimpft haben. Ergebnis: Eine Mitarbeiterin hat ihrem Sohn und dessen Freund, einen Hotspot über das Firmenhandy bereitgestellt. Die Sicherheitssoftware hat aber nur das Firmenhandy erkannt und nicht das Endgerät dahinter. Frage: Wie kann ich verhindern, dass mobile Endgeräte im Firmennetzwerk, einen Hotspot bereitstellen? Bei den Arbeitsstationen ist dies kein Problem. Bei Android und Apple schon.
Gruss Balios
PS. Bitte eine technische Lösung, keine Mitarbeiterlösung. Ich möchte auch nicht, das Mitarbeiter deswegen Konsequenzen tragen müssen, weil der Fachkräftemangel in D eine Neubesetzung der Stellen sehr schwierig ist. Wegen des EGH Urteils möchte ich auch kein Gastnetzwerk oder Hotspot bereitstellen, da wir kein gewerblicher Betreiber von öffentlichen Hotspots sind.

 

[h00bi]

Du sagst den Mitarbeitern, dass das nicht erlaubt ist. Ggf. schriftlich und Unterschrift zur Kenntnisnahme.
Ein technisches Mittel dagegen ist nicht notwendig.
Alternativ einfach ein Gastnetzwerk mit ggf. reduzierter Bandbreite bereitstellen.

 

[coasterblog]

Gibt es Regeln im Betrieb bzgl. eures Netzwerks/Datenschutz etc.?
Bei Verstoß kann man sonst Schritte einleiten. Erstmal reden natürlich, im Zweifel abmahnen.

 

[xxMuahdibxx]

Wie kann ich verhindern, dass mobile Endgeräte im Firmennetzwerk, einen Hotspot bereitstellen? Bei den Arbeitsstationen ist dies kein Problem. Bei Android und Apple schon.

mit gewissen Device policys ... aber dafür muss man halt auch als Firma die Kontrolle über das komplette Device als Systemkonfigurator haben und nicht einfach Standard devices freigeben.


https://learn.microsoft.com/de-de/mem/intune/configuration/device-restrictions-android-for-work

 

[Incanus]

hab ich mal das W-Lan ausgeschaltet.

Welches WLAN hast Du denn ausgeschaltet? Den Hotspot des Firmenhandys per Fernwartung?

 

[Arboster]

Das gäbe bei uns eine Abmahnung und damit ist das Problem dann normalerweise erledigt.

 

[xxMuahdibxx]

Dafür muss der Hotspot ja erst identifiziert werden ... und warscheinlich scheitert es schon daran.

 

[Balios]

Welches WLAN hast Du denn ausgeschaltet? Den Hotspot des Firmenhandys per Fernwartung?

Den der Hardware Firewall (Netgear SRXN3205 ProSave)​

Ergänzung (25. November 2023)

mit gewissen Device policys ... aber dafür muss man halt auch als Firma die Kontrolle über das komplette Device als Systemkonfigurator haben und nicht einfach Standard devices freigeben.


https://learn.microsoft.com/de-de/mem/intune/configuration/device-restrictions-android-for-work

Hallo, das klingt nicht schlecht. Kann ich dass auch für Apple verwenden?

 

[honky-tonk]

Hallo, das klingt nicht schlecht. Kann ich dass auch für Apple verwenden?

MDM oder EMM software gibt's für android und apple google mal in die richtung

 

[eigs]

Ich würde mir eher darum Gedanken machen wie die 2 Jugendlichen vor dem Büro in euer WLAN gekommen sind und wie ihr das verhindern könnt.

 

[Skudrinka]

in euer WLAN gekommen sind und wie ihr das verhindern könnt.

Startpost gelesen?

 

[Balios]

MDM oder EMM software gibt's für android und apple google mal in die richtung

Habs gerade gelesen, intunes gibts für alle Geräte wie Android, Apple und Windows.
Muss man halt extra kaufen, da wir SAP benutzen.

 

[eigs]

Startpost gelesen?

Ich schon, du auch?

Ich kann es auch sinngemäß für dich wiederholen.
2 Jugendliche nutzen das WLAN vom Netgear SRXN3205 ProSafe.
Eine Mitarbeiterin macht mit dem Firmenhandy einen Hotspot für ihren Sohn und dessen Freund.

 

[Skudrinka]

ine Mitarbeiterin macht mit dem Firmenhandy einen Hotspot für ihren Sohn und dessen Freund.

Da hast du doch deine Erklärung, wie die Jungs WLAN Zugriff bekommen haben.. 🤨

 

[BlubbsDE]

Frage: Wie kann ich verhindern, dass mobile Endgeräte im Firmennetzwerk, einen Hotspot bereitstellen?

Da Frage ich mich, wie sollen sie so in Dein "Firmennetzwerk"! gekommen sein? Ein Smartphone stellt via Hotspot Internet im Mobil Netz zur Verfügung.

Und wenn sie ins Firmen WLAN kamen mit nicht Firmengeräte, dann ist das grob fahrlässig von Eurer Seite aus.

 

[Balios]

Ich schon, du auch?

Ich kann es auch sinngemäß für dich wiederholen.
2 Jugendliche nutzen das WLAN vom Netgear SRXN3205 ProSafe.
Eine Mitarbeiterin macht mit dem Firmenhandy einen Hotspot für ihren Sohn und dessen Freund.

Falsch. Die MA ist im WLan und stellt einen Hotspot bereit.

 

[eigs]

Die MA ist im WLan und stellt einen Hotspot bereit.

Ok, dann unterstützt das Smartphone anscheinend beides gleichzeitig. Meine bisherigen Android Smartphones schalteten WLAN automatisch ab sobald man WLAN Tethering aktivierte.

 

[Skudrinka]

Ok, dann unterstützt das Smartphone anscheinend beides gleichzeitig.

Meines auch..

 

[Raijin]

Eine Mitarbeiterin hat ihrem Sohn und dessen Freund, einen Hotspot über das Firmenhandy bereitgestellt. Die Sicherheitssoftware hat aber nur das Firmenhandy erkannt und nicht das Endgerät dahinter.

Das kann man auch nicht erkennen, weil Hotspots nun mal SNAT machen und somit sämtliche Geräte hinter dem Hotspot mit dessen IP kaschiert werden. Mir wäre keine Technik bekannt, mit der man dies von außen erkennen könnte.

Wie kann ich verhindern, dass mobile Endgeräte im Firmennetzwerk, einen Hotspot bereitstellen?

Mit Endpoint Security Software wie zB Sophos. Das wird auf unseren Firmentelefonen eingesetzt und scheint laut Link auch Hotspots blockieren zu können.

PS. Bitte eine technische Lösung, keine Mitarbeiterlösung. Ich möchte auch nicht, das Mitarbeiter deswegen Konsequenzen tragen müssen, weil der Fachkräftemangel in D eine Neubesetzung der Stellen sehr schwierig ist.

Die Sache ist aber die: Wenn man solche Dinge nur rein technisch löst, gerät man schnell in ein Wettrennen mit den Mitarbeitern, die sich immer neue Wege ausdenken, die Sperren zu umgehen. Was machst du zB wenn sich jemand ein wenig auskennt (oder einfach google bedienen kann) und den WLAN-Login auf sein Privatgerät überträgt und dieses mittels MAC-Cloning wie das Firmentelefon aussehen lässt? Es mag weit hergeholt sein, aber damit könnte man die Sperre effektiv umgehen, weil das gesperrte Gerät umgangen wird...

Eine Mitarbeiterlösung ist daher mehr als angebracht, ungeachtet etwaiger technischer Maßnahmen. Du malst auch gleich den Teufel an die Wand, aber niemand verlangt von dir bzw. deinem Chef, gleich eine Kündigung auszusprechen. Ein normales Personalgespräch oder ggfs auch einfach nur eine allgemeine Rundmail oder eine kurze unspezifische Ansage bei der nächsten Betriebsversammlung sollte in jedem Fall drin sein. Wenn ihr solches Verhalten einfach wegwischt, öffnet das womöglich buchstäblich Tür und Tor, weil früher oder später auch alle anderen Sicherheitsvorkehrungen bestenfalls als "Empfehlung" angesehen werden. Da steht ein vermeintlicher Fensterputzer vor der verschlossenen Tür und will rein? Ach wird schon richtig sein, einfach reinlassen und dann zur Mittagspause gehen..

 

[Donnidonis]

Da der TE nach einer Lösung für Apple gefragt hat, frage ich mich, ob es überhaupt wie geschildert abgelaufen ist. Denn:

Auf einem iPhone kann man meines Wissens nach nur Mobile to WiFi bereitstellen, WiFi to WiFi wäre mir neu. Oder werden sowohl Android als auch iPhones als Firmengeräte genutzt?