VPN Frage…..

[Aski01]

N’Abend Allerseits,

in Zeiten von Corona ist bei mir nun seit einiger Zeit HomeOffice angesagt. Wie viele andere auch greife ich dazu über VPN auf meinen Office PC zu. Nun bin ich etwas skeptisch geworden und frage mich, ob es für meinen Arbeitgeber theoretisch möglich wäre, zu kontrollieren, ob ich auch wirklich produktiv bin? Folgendes Beispiel: Ich arbeite mit meinem Mac über VPN von zuhause aus und Video-telefoniere nebenbei über Microsoft Teams auf meinem Mac mit einem Kumpel (während ich über VPN arbeite). Wäre es für meinen Arbeitgeber möglich zu erfahren, dass ich nebenbei über Microsoft Teams telefoniere?

Viele Grüße

Markus

 

[ottomane]

Sofern du kein Split Tunneling betreibst (wovon ich mal ausgehe), läuft der Datenverkehr der Teams-Sitzung über das VPN durch das Netz des Arbeitgebers. Er kann da nicht reinschauen, aber theoretisch kann er bemerken, dass da ein Stream von dir durch sein Netz läuft.

 

[Wuchtbrumme]

Der Zweck eines VPN ist normalerweise die gesicherte Verbindung, was es wiederum eigentlich logisch zwangsläufig notwendig macht, *allen* Verkehr über das VPN zu leiten. Deshalb sieht die IT Deines Arbeitgebers ziemlich sicher auch den Teams-Traffic, auch wenn der eigentlich verschlüsselt sein sollte. Den Inhalt sieht er ohne weitere Mithilfe nicht (gibt es aber auch; solche Tools werden von großen IT-Firmen angeboten und sind quasi selber Verschlüsselungsanker wie bei man-in-the-middle), aber das Ziel.

Die Bedenken gibt es allerorts und auch nicht unberechtigt; es geht hier nicht nur um Corona als Argument, auch "Sicherheit für die Firma" wird oft genannt (ist aber auch nicht von der Hand zu weisen) - schau mal bei Gewerkschaften vorbei.

 

[hosja]

Alles was MS365 ist wird natürlich nicht durch VPN geleitet weil das ja sowieso über die MS Cloud läuft. Da gibt es keinen Sicherheitsgewinn und eher Performanceprobleme in Kombination mit VPN.

Am besten klärst du mit deinem Admin wie die VPN Lösung eingestellt ist. Zum Zocken musst du das VPN vermutlich sowieso ausmachen.

 

[ottomane]

Alles was MS365 ist wird natürlich nicht durch VPN geleitet

Du meinst, dass man es so einrichten sollte, oder? Ich vermute, dass das kaum jemand macht - weil "tut's ja auch so".

 

[hosja]

Du meinst, dass man es so einrichten sollte, oder? Ich vermute, dass das kaum jemand macht - weil "tut's ja auch so".

Also für die Bude, für die ich arbeite (10k Mitarbeiter) wird das exakt so gemacht. Und wenn du Videostreams von Teams an einem Standort reintunnelst und dann wieder nach aussen verteilst dann tut das dann eben nicht mehr einfach so.

 

[Wuchtbrumme]

Also für die Bude, für die ich arbeite (10k Mitarbeiter) wird das exakt so gemacht. Und wenn du Videostreams von Teams an einem Standort reintunnelst und dann wieder nach aussen verteilst dann tut das dann eben nicht mehr einfach so.

dann liegt das aber an der Performance von Netzwerk, durch das Ihr angebunden seid plus VPN-Performance. Das ist jedenfalls kein grundsätzliches Problem, dass man das nicht tun dürfte, weil dann genau das passiert. Andererseits ist es eine Kosten-/Nutzungsrechnung und wenn es sich um quasi weniger schützenswerte Daten (Youtube...) aber mit großem Datenvolumen handelt, dann würde die Dimensionierung schnell unnötig teuer.

Deshalb ja - auch Office 365 und AzureCloud haben verschiedene Sicherheitsmöglichkeiten wie z.B. Beschränkungen von IP-Ranges, das genausowas unterstützt. Aber ich kenne das dann so, dass man zumindest vom VPN-Endpunkt eine private IP aus dem entsprechenden Range bekommen muss. Außerdem gibt es noch zusätzliche Lösungen, die Datenverkehr ausfiltern können. Sprich, ich würde da nicht wirklich von meiner Aussage oben abweichen.

 

[Scotch]

Nun bin ich etwas skeptisch geworden und frage mich, ob es für meinen Arbeitgeber theoretisch möglich wäre, zu kontrollieren, ob ich auch wirklich produktiv bin?

Nicht nur theoretisch.

Wäre es für meinen Arbeitgeber möglich zu erfahren, dass ich nebenbei über Microsoft Teams telefoniere?

Wenn das auf dem gleichen Gerät passiert und Standardsoftware zur Systemüberwachung installiert ist - was mindestens bei größeren Firmen allein schon aus Compliance-Gründen die Regel ist: Ja. Ob er so eine Information legal auswerten darf und ggf. arbeitsrechtlich einsetzen kann, ist eine andere Frage. Aber grundsätzlich kann, darf und muss der Arbeitgeber überwachen, was du auf deinem dienstlichen Gerät machst. Dafür hast du bei Einstellung auch mit Sicherheit eine entsprechende Datenschutzerklärung unterschrieben.

Sofern du kein Split Tunneling betreibst (wovon ich mal ausgehe),

Egal, die Kontrolle der benutzen Programme findet i.d.R. auf Applikationsebene statt, allein schon wg. der Asset-Verwaltung. Je nachdem, ob M365 eingesetzt wird oder nicht werden von M365 automatisch "Produktivitätsstatistiken" erstellt (-> Teams). Ob das zulässig ist, hängt von vielen Parametern ab. Aber technisch ist das bei vielen Plattformen (nicht nur M365) Standard und ich persönlich habe in den letzten 20 Jahren auf keinem "managed workplace" gearbeitet, wo nicht entsprechende Überwachungssoftware von der IT installiert war (bei unterschiedlichen Unternehmen!). Ist wie gesagt Standard und für manche gesetzliche Vorgaben auch alternativlos. Was mit den erfassten (oder theoretisch zu erfassenden) Daten passiert und wie sie ausgewertet werden ist wie gesagt der springende Punkt. Welches Programm wann von wem (also wieviele Benutzer parallel) wie lange benutzt wird ist z.B. allein schon zur Abrechnung der Lizenzgebühren bei vielen Volumenmodellen erforderlich.

Du meinst, dass man es so einrichten sollte, oder? Ich vermute, dass das kaum jemand macht - weil "tut's ja auch so".

M365 wird i.d.R. zusammen mit DirectAccess im Firmenumfeld eingesetzt, da passiert das Splitting automatisch Client-seitig. Teams läuft m.W. immer über Azure, sowas wie ein "On-premise Teams-Server" wäre mir nicht bekannt. Wäre ja kompletter Unfug, M365 Business als Cloud-Lösung einzusetzen und dann einen Umweg über die Firmen-Infrastruktur zu tunneln. Wenn man nur die M365 Clients einsetzt, läuft's natürlich zwangsläufig über VPN, da man dann i.d.R. auf Shares (oder Sharepoints) innerhalb der Firma zugreifen muss.

Was das "Abhören" des Traffics angeht - ist aber eine andere Baustelle, als die "Sorge" des TE: Der Firma gehört i.d.R. das Zertifikat für die TLS, egal ob VPN oder DirectAccess. Damit ist sie grundsätzlich in der Lage (und muss das auch sein), auch verschlüsselten Traffic zu lesen.

Nichts anderes versucht gerade Apple mit dem Business Manager an den Start zu bringen:

(...) es kann ein höheres Maß an Kontrolle über unternehmenseigene Geräte mit Betreuung und Geräteregistrierung eingerichtet werden. (...)
Bestimmte Einschränkungen durchsetzen (...)
Verzeichnis von Arbeitsapps aufrufen (...)
Nur Arbeitsdaten löschen (...)
Alle Einschränkungen durchsetzen (...)
Das gesamte Gerät per Fernzugriff löschen (...)
Aktivierungssperre umgehen (...)
WLAN einschalten (...)
Apps installieren, konfigurieren und entfernen (...)

Da kann man jetzt mal weiterdenken, wenn man technikaffin ist, was für Funktionen da wohl implementiert sind, welche Daten erfasst werden müssen, um sie zu realisieren und was sich wohl hinter "Alle Einschränkungen durchsetzen" verbergen könnte 😉

 

[ottomane]

Also für die Bude, für die ich arbeite (10k Mitarbeiter) wird das exakt so gemacht. Und wenn du Videostreams von Teams an einem Standort reintunnelst und dann wieder nach aussen verteilst dann tut das dann eben nicht mehr einfach so.

Tja, so unterschiedlich sind die Welten. Bei uns gibt es nur alles oder nichts. Allerdings ist VPN-Nutzung hier auch eher sehr selten.