Müsste damit dann der Arbeitgeber nicht auch für Geräte verpflichtet werden? Er muss dann zwar nicht Büromöbel und so für Zuhause sorgen, aber immerhin die Geräte. Der Service nimm tja schließlich auch nicht die eigenen Geräte mit aufm Bau.Domi83 schrieb:denn das nennt sich "Mobiles Arbeiten" und
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Security Software gesucht
- Ersteller Cliffrz
- Erstellt am
PHuV
Banned
- Registriert
- März 2005
- Beiträge
- 14.219
Da bin ich ja mal auf die Reaktionen gespannt, wenn da mal eine Sicherheitslücke auf einem Privatgerät ausgenutzt wird, und die Behörde/Amt/Bank lahmgelegt wird. Das ist ja nicht zum ersten Mal passiert, und wird auch nicht das letzte Mal sein.Domi83 schrieb:Klingt jetzt frech und fies, möchte aber diese zwei Beiträge (und andere die ähnliches geschrieben haben) mal zu den (leider) Tatsachen bringen Zwei Freunde von mir arbeiten bei Banken und drei bei Ämter / Behörden.
Alle benutzen ihre eigenen / privaten Geräte! Wie sagte Pester Lustig, "klingt komisch, ist aber so!" und selbst ich war da mehr als erstaunt.
Ich kenne diese Situationen nur zu gut, und da muß man die IT hier auch verstehen, wenn der Vorstand und Co. solche Sachen an externe Firmen outsourcen, dann ist dem auch so. Die IT in diesen Bereichen ist hoffnungslos unterbesetzt, planlos und heillos überfordert. Das angebliche HighTec Land Deutschland zeigt sich an vielen Stellen wirklich erbarmungslos veraltet und peinlich verwaltet. Was ich da tagtäglich erlebe, macht einen wirklich fassungslos. Aber das kommt davon, wenn man sparen will/muß ohne Ende.Domi83 schrieb:Explizit (und da war ich erstaunt) die Personen bei den Banken haben die Information bekommen, dass deren IT'ler (die Finanz IT) nicht für deren Home Office Arbeitsplätze zuständig sind! Wobei das Wort "Home Office" bei denen falsch ist, denn das nennt sich "Mobiles Arbeiten" und das muss (hab ich vergangenes Jahr auch erst gelernt) unterschieden werden
@PHuV Die behördlichen Vorgaben und Richtlinien kennen wir aber nicht (der TE scheinbar auch nicht), von daher ist es aus meiner Sicht durchaus legitim, hier etwas zu "spekulieren". Außerdem glaube ich kaum, dass eine zentral verwaltete AV-Lösung wie Kaspersky Endpoint Protection oder Sophos Intercept X auf Privatgeräte ausgerollt wird (wobei ich sowas auch niemals akzeptieren würde, davon mal ab).
Sehr wahrscheinlich wird es sowieso auf ein gestelltes Gerät hinauslaufen, dass von der IT so konfiguriert wurde, dass mehr als der VPN-Tunnel und die Remoteverbindung nicht möglich sein wird.
Sehr wahrscheinlich wird es sowieso auf ein gestelltes Gerät hinauslaufen, dass von der IT so konfiguriert wurde, dass mehr als der VPN-Tunnel und die Remoteverbindung nicht möglich sein wird.
Vigilant
Vice Admiral
- Registriert
- Mai 2008
- Beiträge
- 6.870
Ich glaube, da sollte vielleicht besser differenziert werden. Unsere Mitarbeiter/innen nutzen auch ihre privaten Geräte, dort wo die Ausstattung mit Firmengeräten nicht möglich, bzw. nicht vorgesehen ist.Domi83 schrieb:Alle benutzen ihre eigenen / privaten Geräte! Wie sagte Pester Lustig, "klingt komisch, ist aber so!" und selbst ich war da mehr als erstaunt.
Der Zugriff erfolgt lediglich über eine per Security-Token abgesicherte Citrix-Umgebung. Und dafür braucht es nur einen kompatiblen Browser, Smartphone (für die "Token-Generierung") und eine Netzverbindung.
@Grimba Absolut richtig. Aber wenn man sich in einem Forum rein auf die Faktenlage beschränkt und nicht von den Gegebenheiten abweicht und somit das Spekulieren weglässt, dann wären die meisten Foren wohl ziemlich leer. Und der Sinn eines Forums kann es auch sein, Gedankengänge zusammenzutragen um gemeinsam zu einem Lösungsansatz zu kommen, den man selbst vorher aufgrund der Faktenlage nicht gesehen hat (aus Sicht des TE).
PHuV
Banned
- Registriert
- März 2005
- Beiträge
- 14.219
Nein. Hast Du schon für Behörden gearbeitet? Kannst Du irgendwelche praktischen Erfahrungen hier vorweisen? Das ist jetzt beileibe weder böse noch angreifend gemeint. Wenn Du hier keinerlei Erfahrungen hast, hast Du wirklich keine Vorstellung davon, wie die dort arbeiten und wirken.Suotana schrieb:@PHuV Die behördlichen Vorgaben und Richtlinien kennen wir aber nicht (der TE scheinbar auch nicht), von daher ist es aus meiner Sicht durchaus legitim, hier etwas zu "spekulieren".
Korrekt, von den Anträgen und Beauftragungen intern mal ganz abzusehen. Dürfen die sowieso aus diversen Datenschutzgründen nicht.Suotana schrieb:Außerdem glaube ich kaum, dass eine zentral verwaltete AV-Lösung wie Kaspersky Endpoint Protection oder Sophos Intercept X auf Privatgeräte ausgerollt wird (wobei ich sowas auch niemals akzeptieren würde, davon mal ab).
Korrekt.Suotana schrieb:Sehr wahrscheinlich wird es sowieso auf ein gestelltes Gerät hinauslaufen, dass von der IT so konfiguriert wurde, dass mehr als der VPN-Tunnel und die Remoteverbindung nicht möglich sein wird.
Interner Angestellter beim Gesundheitsamt für Corona TrackingPHuV schrieb:interner Angestellter
genau so läuft es ab^^TheChief79 schrieb:PrivatPC in ein Netz einer Behörde
War sogar in der Stellenbeschreibung angegeben, dass eigene Geräte für das Homeoffice benötigt werden.Domi83 schrieb:Alle benutzen ihre eigenen / privaten Geräte! Wie sagte Pester Lustig, "klingt komisch, ist aber so!" und selbst ich war da mehr als erstaunt.
Dachte das wäre normal, scheint ja nicht so zu sein....
Kennen wir doch fast alle... Die IT wird es schon richten Wie ist egal, Hauptsache die IT macht es heile und der Endverbraucher steht erst einmal doof da, weil vielleicht die Infrastruktur ausfällt.PHuV schrieb:Da bin ich ja mal auf die Reaktionen gespannt
Joa, sollte auch kein Vorwurf der IT oder den anderen Leuten gegenüber sein, die hier schon etwas gepostet haben. Ich wollte nur darauf hinweisen dass die Aussage "das Amt macht / muss (oder stellt) dir XY" hier leider nicht immer zutrifft. Was aber alle gemeinsam haben, ist die Citrix Lösung! Für Schutz am eigenen Gerät haben bis jetzt meine Freunde und Bekannten selbst gesorgt.PHuV schrieb:Ich kenne diese Situationen nur zu gut, und da muß man die IT hier auch verstehen
Also wir (ein nicht mal 10 Personen Verein) haben denen die zuhause arbeiten möchten, ein Notebook organisiert. Und dort ist (wie hier einer erwähnte) alles via ESET Endpoint so gut wie machbar, gesperrt. Wie es andere Firmen und Unternehmen handhaben, kann ich schlecht sagen. Ein Kunde den ich mit betreue, hat auch ein / zwei Mitarbeiter im Home Office, da wird auch das private Geräte verwendet.AGB-Leser schrieb:Müsste damit dann der Arbeitgeber nicht auch für Geräte verpflichtet werden?
Das erkläre mir mal bitte kurz genauer?! In wie fern differenziert man denn "eigenes / privates Endgerät" noch? aber das was du mit dem Citrix und dem Browser erwähnt hattest, ist auch das Verfahren bei einer der Personen. Nur dass sie einen Token in Form eines separaten Gerätes erhalten haben... das Teil ist ungefähr so groß wie ein USB Stick und damit läuft das dann ab. Also Homepage, dann anmelden, dann Citrix...Vigilant schrieb:Ich glaube, da sollte vielleicht besser differenziert werden.
Das stimmt so nicht, momentan bekommt man als Interner seinen Token und dann arbeiten die meisten auf Ihren Privat Laptops.PHuV schrieb:Bist Du ein interner Angestellter oder externer Mitarbeiter?
Egal wie, das Amt muß Dir ein entsprechend nach deren Vorgaben gesichertes Gerät zur Verfügung stellen. Zugang zu Behörden und Ämtern mit privaten Geräten ist üblicherweise streng verboten.
Frag bei der zuständigen IT Abteilung deiner Stadt nach welches Program intern eingesetzt wird. Sonst Windows Defender.
PHuV schrieb:Nein. Hast Du schon für Behörden gearbeitet? Kannst Du irgendwelche praktischen Erfahrungen hier vorweisen? Das ist jetzt beileibe weder böse noch angreifend gemeint. Wenn Du hier keinerlei Erfahrungen hast, hast Du wirklich keine Vorstellung davon, wie die dort arbeiten und wirken.
Ja, für verschiedene. Von "alles super" bis "da schlage ich die Hände über dem Kopf zusammen" (HomeOffice per TeamViewer...) habe ich da im Bereich IT schon alles gesehen. Nur organisatorisch fehlt es mir da leider absolut an Hintergrundwissen über die Vorgänge und Verordnungen.
Hier war mein Gedankengang tatsächlich, dass Ich meinen Rechner nicht von der Remoteverbindung aus infizieren wollte, daher auch die Frage hier im Forum.^^PHuV schrieb:Da bin ich ja mal auf die Reaktionen gespannt, wenn da mal eine Sicherheitslücke auf einem Privatgerät ausgenutzt wird, und die Behörde/Amt/Bank lahmgelegt wird. Das ist ja nicht zum ersten Mal passiert, und wird auch nicht das letzte Mal sein.
Was ist so ein "security-Token" genau?Vigilant schrieb:eine per Security-Token abgesicherte Citrix-Umgebung
Cliffrz schrieb:Was ist so ein "security-Token" genau?
Eine kleine (Hardware)Komponente zur Benutzerauthentifizierung, beispielsweise ein per App auf Deinem Smartphone generierter Code. Manchmal aber eben auch als kleines Hardwaregerät.
Vigilant
Vice Admiral
- Registriert
- Mai 2008
- Beiträge
- 6.870
Damit wollte ich auf die Art des Zugriffes hinweisen. Nicht das jemand auf die Idee käme, das ginge einfach so ohne weitere Schritte, Sicherheitsmaßnahmen etc.Domi83 schrieb:Das erkläre mir mal bitte kurz genauer?! In wie fern differenziert man denn "eigenes / privates Endgerät" noch?
PHuV
Banned
- Registriert
- März 2005
- Beiträge
- 14.219
Nochmals, es gibt in jeder Behörde Vorgaben und Richtlinien, die durch Bund, Länder und Gemeinden entsprechend geregelt sind. Das viele Interne das aufgrund der tollen Behördenarbeit nicht mitbekommen, ist das eine. Das jedes Dorf das zudem noch eigenmächtig anders handhabt, ist das andere. Es wird dann vermutlich eine entsprechende Ausnahmeregelung geben, oder gar keinen geben, der sich dort vor Ort irgendwie auskennt.Roesi schrieb:Das stimmt so nicht, momentan bekommt man als Interner seinen Token und dann arbeiten die meisten auf Ihren Privat Laptops.
https://www.bsi.bund.de/DE/Themen/U...dschutz/BSI-Standards/bsi-standards_node.html
Als Beispiele:
https://www.bsi.bund.de/SharedDocs/...ten/Grieger_MA.pdf?__blob=publicationFile&v=1
https://www.rehm-verlag.de/verwaltu...tzungsmassnahmen-und-unterstuetzungsangebote/
https://www.google.de/url?sa=t&rct=...-v-1-0-1.pdf&usg=AOvVaw2RTFQMf3hqUGhSlZIaV7Vd
Dann brauchen wir ja nur die nächste WannaCry/Emojet usw. Attacke abwarten.
Ergänzung ()
Danke für die Info. Du bist wirklich zu bemitleiden.Cliffrz schrieb:Interner Angestellter beim Gesundheitsamt für Corona Tracking
Ergänzung ()
Wenn Du wirklich sicher sein willst, kannst Du folgende Schritte machen:Cliffrz schrieb:Hier war mein Gedankengang tatsächlich, dass Ich meinen Rechner nicht von der Remoteverbindung aus infizieren wollte, daher auch die Frage hier im Forum.^^
- Komplett eigenes Gerät, keine Fremdprogramme installiert, nur die notwendigsten, um Deine Arbeit und die Verbindungen zum Amt einzurichten
- Ein separates Bootmedium (funktioniert aber nur für Desktops, oder externe Datenträger) mit eigenem Betriebssystem (z.B. Ubuntu Desktop), für Windows wird eventuell eine weitere Lizenz erforderlich
- Eine virtuelle Maschine mit der entsprechend VPN Verbindung und Tokenverwaltung etc.
Zuletzt bearbeitet:
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.118
Offizielle Nutzung für's Gesundheitsamt unter Bearbeitung etlicher persönlicher Daten auf einem privaten, laienhaft "administrierten" PC/Laptop? Auweia. Alleine schon nach DSGVO ist das IMO mehr als bedenklich. Wie sehen dazu die Haftungsfragen (Dich betreffend) in Deinem Arbeitsvertrag aus?
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
PHuV schrieb:Laß Dir hier bitte nichts vom Pferd erzählen, es reicht NICHT aus!
Ich möchte diesen Punkt nochmal aufgreifen und untermauern.
Ob jetzt Produkt x besser ist als Produkt y oder besser ist als MS-Defender, ist nur ein Teil der Gleichung.
Was ich rausgelesen habe ist, dass ein guter Teil der (IT-Sicherheits-)Verantwortung auf den Mitarbeiter übertragen wurde.
Ob das gut oder rechtens oder zulässig ist, sei mal dahingestellt, momentan ist es aus meiner Sicht erstmal eine Tatsache.
Was der TE macht ist:
Risikomanagement. "Was sollte ich tun, um mein (persönliches Haftungs-) Risiko zu minimieren?"
Meine Tipps:
1. Dokumentation
- alle Entscheidungen (auch die am Telefon abgestimmten) aufschreiben. Mit Datum. Nach einer Telko eine Zusammenfassung an den (relevanten) Teilnehmerkreis schicken. Mit Datum.
2. Technische Sicherheit
- erfragen welche best practices empfohlen werden und daran halten (erspart im Ernstfall Fragen wie "Warum haben sie nicht x genommen, wie es in der Handreichung y steht?")
- wenn keine Empfehlungen vorhanden sind, bei Kollegen nachfragen
- wenn Kollegen keine Empfehlungen haben -> aktuelle Tests heranziehen und den Testsieger oder Preis/Leistungssieger nehmen (Screenshot von der Testwebseite machen)
3. Security by Design
- Initial "Scan" machen bevor der "Login" ins Amt erfolgt, der Scan weißt nach, dass das System mutmaßlich "sauber" war, bevor die Arbeit aufgenommen wurde.
- 1x pro Woche wiederholen, Reports speichern.
4. eigenes Nutzungsverhalten
- Mit dem Home-Office Gerät keine "nahe-an-der-Grenze-zu-urheberrechtsverletzenden" Dinge tun. Also kein mutmaßlich illegales Streaming / Downloads / etc., damit niemand unterstellen kann, dass man darüber wissentlich die Security negativ beeinträchtigt hätte ("Weiß doch jeder, dass man sich damit Schadsoftware einfängt.").
Ziel der Aktion ist es, im Schadensfall nachweisen zu können, dass man vorher angemessene und nachweißbare Maßnahmen getroffen hat, um einen Schaden zu verhindern.
Es geht nicht darum das beste Programm oder den sichersten PC zu haben, sondern darum das Haftungsrisiko zu minimieren. (So ticken Behörden)
Im Idealfall erhöht man damit natürlich auch effektiv die Sicherheit auf dem eigenen Gerät.
PHuV
Banned
- Registriert
- März 2005
- Beiträge
- 14.219
Beispiele sind hier der Google Authenticator und Microsoft Authenticator, die man sich frei laden kann.Suotana schrieb:Eine kleine (Hardware)Komponente zur Benutzerauthentifizierung, beispielsweise ein per App auf Deinem Smartphone generierter Code. Manchmal aber eben auch als kleines Hardwaregerät.
Ergänzung ()
Was ich immer mache, ich mache ein Protokoll mit allen relevanten Punkten und lasse mir das von einem Vorgesetzten/Zuständigen so per E-Mail bestätigen oder freigeben. In dem Moment, wo er das abnickt, haftet er bzw. ist er verantwortlich. Wenn es keine solcher Zustimmung gibt, würde ich solange nicht arbeiten bzw. alle risikorelevanten Tätigkeiten unterlassen, bis die Zustimmung und Genehmigung erteilt wurde.carnival55 schrieb:Meine Tipps:
1. Dokumentation
- alle Entscheidungen (auch die am Telefon abgestimmten) aufschreiben. Mit Datum. Nach einer Telko eine Zusammenfassung an den (relevanten) Teilnehmerkreis schicken. Mit Datum.
Alles andere, und das ist eben das traurige, wird sonst als eigenmächtige Handlung unterstellt. In dem Moment haftet man.
Ergänzung ()
Ganz genau. Und so blöde das klingt, man darf eben nicht unten in der Nahrungskette als Verantwortlicher stehen, sondern muß das lediglich durch den nächsten Vorgesetzen weitergeben. Oder es gibt in der Behörde eine klare Arbeits- und Handlungsanweisung (hihihi) dazu. Aber die sieht der normale Angestellte nicht so einfach. Daher, nachfragen, nachhaken, und IMMER schriftlich geben lassen, egal wie. Verlaßt Euch bloß und ja nicht auf mündliche Aussagen!carnival55 schrieb:Es geht nicht darum das beste Programm oder den sichersten PC zu haben, sondern darum das Haftungsrisiko zu minimieren. (So ticken Behörden)
Zuletzt bearbeitet:
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
Tja, wenn das klappt, ist's natürlich super...PHuV schrieb:lasse mir das von einem Vorgesetzten/Zuständigen so per E-Mail bestätigen oder freigeben
Oft bekommt man aber keine Antwort. Dann hat man aber wenigstens noch das Protokoll (auch wenn's nicht abgenommen wurde). Hier muss sich der Verantwortliche im Schadensfall die Frage gefallen lassen, warum er nicht reagiert hat (er wurde durch das Protokoll schließlich "bösgläubich" gemacht).
PHuV
Banned
- Registriert
- März 2005
- Beiträge
- 14.219
Gut, ich habe als Externer in den Behörden ja bessere Möglichkeiten. Ich koste einen Arschvoll Geld, und wenn ich da nur untätig rumsitzen muß, ist mir das doch sowas von egal, ich bekomme meine Stundensätze bezahlt. 😁 Man braucht ja nur darauf hinweisen, daß man ohne Antwort nicht weiterarbeiten kann, und dann kommt die Antwort immer ganz fix.
Man darf heute einfach keine Angst mehr haben, wenn man zurecht die Arbeit verweigert. Da passiert in den meisten Fällen... gar nichts. Die Führungsriege weiß oft sehr genau, wo sie versagt. Und jeder Angestellter hat seinen definierten Arbeitsbereich. IT-Sicherheit zu gewährleisten gehört mit Sicherheit bei den meisten NICHT mit dazu. Das Behörden das gerne abwälzen, ist bekannt, das sollte sich aber keiner gefallen lassen.
Man darf heute einfach keine Angst mehr haben, wenn man zurecht die Arbeit verweigert. Da passiert in den meisten Fällen... gar nichts. Die Führungsriege weiß oft sehr genau, wo sie versagt. Und jeder Angestellter hat seinen definierten Arbeitsbereich. IT-Sicherheit zu gewährleisten gehört mit Sicherheit bei den meisten NICHT mit dazu. Das Behörden das gerne abwälzen, ist bekannt, das sollte sich aber keiner gefallen lassen.
Ähnliche Themen
- Antworten
- 42
- Aufrufe
- 3.319
- Antworten
- 8
- Aufrufe
- 732
- Antworten
- 9
- Aufrufe
- 609
- Antworten
- 2
- Aufrufe
- 586