Szenario Internet-Cafe, Fido2, Google-Konto

[linuxnutzer]

Szenario Internet-Cafe, Fido2, Google-Konto

Es geht um eine hypotherische Situation.

Ich gehe davon aus, dass in einen Internetcafe maximale Bedrohung herrscht.

Mir ist nicht klar, ob man bei Google bei Nutzung eines Passkeys auch noch zusätzlich ein PW/ PIN in Verbindung mit dem Fitdo2-Stick verpflichtend nutzen kann?

Worst Case, der Fido2-Stick wird im Internet-Cafe vergessen.

Wie schütze ich mich am besten im Internet-Cafe bei Anmeldung zu Google Drive?

 

[Piktogramm]

Wie schütze ich mich am besten im Internet-Cafe bei Anmeldung zu Google Drive?

Du meldet dich bei KEINEM Dienst von Google an.

Das ist die richtige Antwort für die etwas wirre Beschreibung, die du geliefert hast als auch die richtige Antwort für folgenden Fall.
Wenn du dich irgendwo anmelden willst und nur als bösartig anzunehmende Computer zur Verfügung hast, dann melde dich nicht an. Denn selbst wen Teile der Anmeldung als 2FA gestaltet sind und mindestens ein Faktor nicht vom bösartigem System extrahiert werden kann, so wird mit dem Login mindestens ein eine legale Session eröffnet. Aus bösartigen Systemen muss diese legale Session als übernommen/extrahiert angenommen werden.

Passkeys, 2FA, Fido ändert daran grundlegend Nichts.

 

[linuxnutzer]

Ich kann leider nicht zu konkret werden, es geht um vielleicht was problematischeres als ein Internet-Cafe, eine größere Organisation, die bei frei verwendbaren PCs für manche Mitarbeiter noch Win10 im Einsatz hat, bis Sommer sollen fast alle WIn11 haben, Ist so, leider.Ich frage mich was die mit Geräten tun, die offiziell nicht für Win 11 geeignet sind. Haha, auf Linux umstellen.

Egal, ich suche eine Lösung für seltene Fälle.

Idee ist, ein eigenes Google-Konto für diese seltenen Fälle, wo das gebraucht wird, vielleicht ein paar Mal im Jahr.

Hauptzweck ist Dateien-Austausch über das Internet, auf die andere nicht so leicht Zugriff haben. Die Dateien sind nicht sehr geheim, aber jeder sollte sie auch nicht sehen können. Email, etc. über dieses Konto ist kein Thema.

Also ich kopiere mir zu Hause von meinem "sicheren" Linux-PC Dateien zu diesem Konto und greife dann in einer Firmen-Filiale auf dieses Konto zu und drucke dann vielleicht eine PDF-Datei aus.

Primärer Wunsch wäre, dass an diesem PC das Original-PW von Google nicht eingegeben werden muss, dh ein Keylogger kann nicht viel mit dem Fido-PW ohne Fido-Key anfangen, wobei die Frage eben ist, ob man das überhaupt so wie gedacht definieren kann. So wie ich das bei Google lese, erspart der Fido-Key ja die Eingabe des PW. Das möchte ich nicht, Fido-Key anstecken und ohne weitere Angaben, ist man eingeloggt.

Also zusammengefasst, für Google Login ist kein Orignal-PW erforderlich, zum Fido2-Key ist noch eine weitere Angabe notwendig.

Es geht um eine Lösung für diese Situation, an der sich so schnell nichts ändern wird, außer, dass es ein paar WIn11-PCs mehr geben wird. Wer frech genug ist, kommt an diese "öffentlichen" Firmen-PCs auch als Fremder. Sorry, kann da nicht mehr zur Situation schreiben. Ist auch letztlich egal. Es geht um Risikominimierung.

 

[Col. Jessep]

Vielleicht ist auch das BIOS frei und du kannst Linux von einem Stick booten.

 

[ohmsl]

Du kannst auch einen Freigabelink in Google Drive für diese Dateien erstellen. Den schickst du z.B. per Mail an dich selbst auf den Firmen PC. Anschließend löschst du die Freigabe wieder.

 

[yxcvb]

Hört sich eher nach einer fristlosen Kündigung an, wenn ich deinen Text so lese, Datei-Austausch, den andere nicht sehen können/sollen/dürfen, ich denke, dein AG wird nicht begeistert sein.

 

[Millkaa]

Wenn es vom AG unterstützt wird, dann solltest du die IT der Organisation ansprechen und eine Lösung erarbeiten.
Wenn Du selbst die IT bist, dann solltest du noch einmal überlegen was deine Aufgaben sind und wie du das rechtskonform durchführen kannst ohne dass es sich so komisch anhört.

 

[Eletron]

Ohne dir etwas böses unterstellen zu wollen, würde ich sagen: Lass es bleiben!

Letztendlich sitzt dein Arbeitgeber am längeren Hebel, was Kündigungen betrifft. Auch wenn vor einem Arbeitsgericht immer beide zahlen müssen, sprich du als Arbeitnehmer und der Arbeitgeber, hat der Arbeitgeber sehr wahrscheinlich den längeren Atem und die weit mehr aus höheren finanziellen Mittel.

Auch sind fristlose Kündigungen denkbar, wo ein eventueller Kündigungsschutz ausgehöhlt werden kann.

Wie gesagt, ich möchte dir nichts unterstellen. Aber ich möchte dir aus meinem Berufsleben mal eine Anekdote erzählen.

Ich hatte mal zwei Kollegen, die sich für besonders schlau hielten und Daten von Kunden an einen Datenbroker illegal verkauft haben. Das ging eine gewisse Zeit gut, allerdings wurden beide erwischt, wurden gekündigt und sind nun vorbestraft.
Und selbst wenn man nicht erwischt werden sollte, ist es schlicht und ergreifend gegen das Gesetz.

Also, lass es bleiben!

 

[linuxnutzer]

Zur Klarstellung:

Ich habe nicht das geringste mit der IT-Abteilung zu tun und vermutlich sind das arme Schweine, die wissen wohl schon was man tun müsste, habe aber kein Budget und schwindeln sich irgendwie durch. Windows 10-PCs ohne Updates, da braucht man nichts dazu sagen.

Juristisch ist das kein Problem, ist alles durch ein Rundschreiben gedeckt, inklusive explizites Weiterleitung per Email von Dateien. Egal, ich würde da einiges anders organisieren.

Übliche Praxis ist es, einen USB-Stick an dei "frei zugänglichen" PCs anzustecken und genau das zu erreichen, das ich über die Cloud möchte. Ich habe Angst, dass ich meinen USB-Stick dann infisziere, obwohl so ein Windows-Schädling kaum unter Linux was anstellen kann.

Also wieder zurück zum Thema Riskikominimierung.

Wie erreiche ich das:

Also zusammengefasst, für Google Login ist kein Orignal-PW erforderlich, zum Fido2-Key ist noch eine weitere Angabe notwendig.

Irgendein Risiko muss ich wohl eingehen.

 

[Millkaa]

Also wieder zurück zum Thema Riskikominimierung.

Dann erst Recht mit dem AG und der IT in Kontakt treten. Selbst bei uns auf der Arbeit sind USB und andere Speichermedien geblockt, da so eine Art der Datenweitergabe höchst problematisch ist.

 

[linuxnutzer]

Dann erst Recht mit dem AG und der IT in Kontakt treten

Haha, die können nicht, völliger Personalmangel und kein Geld. Man muss selber Lösungen finden, die das geringste Übel sind. Was willst du auch mit Win10-PCs und Fehlermeldungen machen. Das Management erkennt die Problematik nicht und ich will auch nicht noch mehr Problematik schildern.

Ich denke am besten ist noch was weborientiertes, da kann man dann wenigstens einen aktuellen Browser verwenden.

Wie schon geschrieben, USB-Stick oder online ist die Wahl. Ich denke USB-Stick ist das größere Übel.

Vielleicht können wir uns auf die Beantwortung meiner Frage einigen? Wer sich dabei wohler fühlt, kann auch theoretische Antworten schreiben.

 

[Millkaa]

Naja, man könnte rein die Frage beantworten. Für meinen Teil finde ich es aber sehr schwierig. Es gibt Gesetze und Richtlinien an die sich jeder Betrieb halten muss. Egal ob Geld da ist oder nicht. So unspezifisch und nebulös du schreibst wird es wahrscheinlich nicht 100% korrekt laufen. Hier Tipps zu geben dass es weiter nicht korrekt läuft ist nicht jedermanns Sache.
Aus meinem beruflichen Alltag kann ich nur sagen, dass generell die Daten der Arbeit nichts auf privaten Accounts oder Hardware zu suchen haben. Wenn es dienstliche Daten sind sollte auch eine dementsprechend geschütze Möglichkeit vorhanden sein um benötigte Daten zu transferieren.
Kein Geld, kein Personal, kein Know How sind keine Entschuldigung für Datenschutz etc.
Möglich das es da wenige gibt, die unterstützen möchten.
Ausserdem ist aktuell ja noch gar kein Problem mit den Win 10 PCs. Die sind doch noch genau so sicher wie vor 1 oder 2 Jahren, also Support ist noch vorhanden. Ab Oktober kann es problematisch werden.

 

[linuxnutzer]

Es gibt Gesetze und Richtlinien an die sich jeder Betrieb halten muss.

Klar, aber das ist nicht mein Thema und dafür habe ich firmenintern auch keine Verantwortung.

Ich bringe ein Beispiel:

Ich arbeite an einer Präsentation zu Hause und will die dann in irgendeiner Filiale ausdrucken. Übliche Praxis ist, dies mit einem USB-Stick zu erledigen. Es ist nicht Thema, ob das für die Firma problematisch ist, sondern inwieweit der USB-Stick für mich problematisch ist.

Zusatzinfo. Es gibt "Sammelkonten", die häufig verwendet werden. Also es wurde nur 1 User am PC angelegt und diesen User verwenden mehrere Leute, sodass mehrere Leute das gleiche PW haben und entsprechend auch kein individuelles Email auf einfache Weise möglich ist.

Ich bin wieder zurück bei meinen Passkeys bei Google als geringstes Übel.

Aus meinem beruflichen Alltag kann ich nur sagen, dass generell die Daten der Arbeit nichts auf privaten Accounts oder Hardware zu suchen haben.

Das hängt sehr von der Art der Tätigkeit ab. Für Leute die systembedingt auch zu Hause arbeiten (müssen), sollte es eine Lösung geben wie für das obige Beispiel. Ich verstehe, dass man sich nicht von zu Hause in das "Hauptnetz" der Organisation einwählen soll können, wenn das nicht zwingend notwendig ist.

Kein Geld, kein Personal, kein Know How sind keine Entschuldigung für Datenschutz etc.

Nicht meine Verantwortung und kündigen ist auch keine Option.

 

[Millkaa]

Nicht meine Verantwortung

Doch, auch als Arbeitnehmer hast Du Pflichten, die eingehalten werden müssen.
Bei uns sind jährliche Schulungen zum Thema Arbeits-, Datenschutz etc. Pflicht. Sobald personenbezogene Daten im Spiel sind muss dies eingehalten werden. Was Firmeninternas angeht muss das die Firma individuell gestalten. Wenn es eine Powerpoint ist, die keinerlei personenbezogene Daten beinhaltet oder keine Firmenrelevanten Daten, die nicht in die Hände von Dritten fallen sollen, dann ist das eventuell nicht so problematisch.

Wenn ein Arbeitnehmer von zu Hause arbeiten muss, dann muss dieser auch mit Hardware ausgestattet werden. Das bedeutet ein Gerät oder andere Möglichkeiten. Wenn das nicht passiert solltest du das beim Arbeitgeber mitteilen.
Wenn du weiter so unspezifisch bleibst, dann kann man hier auch keine Ideen mitteilen. Es wird vllt. die paar Prozent Fälle geben, wo die Konstellation aus allen Faktoren tatsächlich komplett unproblematisch sind, dies vorauszusetzen ist schwierig. Daher geht man meist vom deutlich wahrscheinlicheren Fall aus und der ist in deinem Szenario einer, der an irgend einem Punkt so nicht in Ordnung ist.

Ich arbeite an einer Präsentation zu Hause und will die dann in irgendeiner Filiale ausdrucken. Übliche Praxis ist, dies mit einem USB-Stick zu erledigen. Es ist nicht Thema, ob das für die Firma problematisch ist, sondern inwieweit der USB-Stick für mich problematisch ist.

Du solltest einen Laptop besitzen, womit du von zu Hause auch arbeiten kannst. Damit kannst du Dich in der Filiale über LAN, WLAN oder Kabel mit einem Drucker verbinden.
Ansonsten eine Mail schreiben, wenn mehrere Zugriff auf das Postfach haben, weil nur ein allgemeines Postfach vorhanden ist und Du kein eigenes hast, dann sende die Datei verschlüsselt. Somit kannst nur du auf diese zugreifen, wenn du sie verschickst. Alternativ noch eine Art Cloud Lösung beim AG anfordern.
Gibt genügend Möglichkeiten das ohne einen privaten USB Stick zu nutzen,

Wenn DU allerdings private Hardware für HomeOffice nutzen musst, dann solltest du über deinen AG und dessen Praktiken nachdenken. Wenn du aber selbst entschieden hast, zu Hause weiter zu arbeiten, ohne dass dein AG dies ausdrücklich verlangt und du dadurch in das Dilemma kommst, dann solltest Du dein Handeln überdenken.

So einfach ist das alles nicht. Sicherlich kann man darüber nachdenken ob es sinnvoll ist, wie die Regelungen zum Datenschutz aussehen. Das wird aber nicht in ein paar Tagen geändert sein, daher muss man mit dem aktuellen Status umgehen.

Für meinen Teil wäre die einfachste Lösung die Datei zum ausdrucken verschlüsselt per Mail senden und dann ist sie nur für dich einsehbar und es gibt keine Probleme mit Hardware. Du kannst die Datei auch nach dem Druck direkt wieder löschen.

Edit:
Noch eine Idee, die aber einmal geprüft werden müsste.
Wenn du einen Cloud Dienstleister nutzt, wo die Daten liegen dürfen, dann könntest du bspw. ein PW geschütztes Textdokument schicken, welches einen Link enthält, womit nur der Link Inhaber auf die Dateien zugreifen kann. Somit stellst du auch sicher, dass nur du auf diese Dateien Zugriff hast und niemand diese "abfischen" kann. Zumindest nicht so einfach. Wenn die Hardware verseucht mit Viren ist oder Fremdzugriff ist es eh ein anderes Thema.