Firewall, Webfilter und IT-Security

Moin,

in meinen Augen ein guter Ansatz, aber nicht ganz bis zum Ende durchdacht. Was mich daran stört:

1. Auf einem Arbeitsrechner wird nicht privat gesurft, auch nicht in der Mittagspause. Grade in der Mittagspause auf privaten Seiten steigt das Risiko sich was einzufangen.

2. Die Zeitschaltung funktioniert nur, wenn es feste Pausenzeiten gibt. Wenn es Variable Zeiten gibt, funktioniert das Konstrukt schon wieder nicht.

3. Gleiches gilt für das WLAN. da gehören keine privaten Geräte rein. Du willst ein sicheres Netzwerk? Dann verbiete das private Surfen und private Geräte im WLAN. Du willst nicht, dass die Leute den ganzen Tag auf FB surfen? Dann blockiere FB einfach in der Firewall und sperre private Geräte im WLAN aus. Die Leute wollen Datenvolumen sparen? Wenn sie kein WLAN mehr haben und Datenvolumen sparen wollen, werden sie wohl auf privates Surfen am Handy während der Arbeitszeit verzichten.

Ich kenne dein Problem. Du willst der Admin sein, der nett ist und in den Mittagspausen auch etwas erlaubt. Das ist aber nicht dein Job. Dein Job ist dafür zu sorgen, dass das Netzwerk sicher ist. Ich weiß es klingt erstmal hart, aber bei uns ist das überhaupt kein Problem. Privates surfen ist bei uns nicht möglich und WLAN haben die Mitarbeiter nicht. Neue Mitarbeiter müssen sich da etwas dran gewöhnen, aber unterm Strich machen es alle mit, weil sie es eh nicht ändern können.

Ansonsten hat SlainteMhath schon alles gesagt. Solange es nicht gecacht ist, greift die FW Regel in dem Moment wo Sie aktiviert ist. Egal ob die Seite schon offen ist. Anders ist es jedoch bei manch anderen Port-Regeln. Wir haben zum Beispiel eine Regel, die (wenn man sich entsprechend authentifiziert) die Verbindung zu Teamviewer für 5 Minuten zulässt. Danach blockiert die Firewall den Port vom Teamviewer wieder. Ist in der Zeit aber eine Verbindung aufgebaut worden, bleibt die Verbindung weiterhin bestehen. Liegt aber daran, dass hier ein Portwechsel stattfindet. Bei Facebook im Browser eher unwarhscheinlich.

Ansonsten auch mal andere Firewallforen prüfen. Du bist nicht der einzige mit der Anforderung:
https://community.sophos.com/utm-firewall/f/german-forum/59380/facebook- ...
https://forum.mikrotik.com/viewtopic.php?t=66339
https://forum.netgate.com/topic/47083/best-way-block-facebook-on-https-p ...

Gruß
Doskias

Moin Doskias,

man kann es auch noch anders umschreiben.

"Das Netzwerk ist ein Hochsicherheitstrakt... Nur nicht von 12:30 bis 13:00 Uhr"

Gruß
C.C.

@Doskias

Kann man so machen, allerdings ist der Admin dann VERPFLICHTET, regelmäßig stichprobenartig zu kontrollieren, Verstöße MÜSSEN zwingend geahndet werden. Muss jeder selbst entscheiden, ob er diese Büchse öffnet.

Gruß

Hallo.

Die Apps melden ja maximal "Keine Verbindung möglich" oder "Prüfen Sie Ihre Internetverbindung".


Dann ist das aber kein besonders guter Chef, wenn er dir nicht vertraut und zuhört. Dann solltest du dir aber auch diese "Öffnungen" schriftlich geben lassen. Vorher formuliert man aus, warum du das für eine schlechte Idee hältst.
Den Meisten wird dann gewahr, dass es vielleicht doch ernst gemeint war, das "Geschwafel".


Die meisten Programme telefonieren ja über 80/443 nach draußen. Es geht primär darum, dass keine Ports nach innen geöffnet werden.
Wenn die Endpunkte bekannt sind, kann ja auch über Firewall-Regeln definiert werden, dass Gerät A nur zu Hersteller-Server A (IP Bereich eventuell oder Hostnamen) über Port 4711 kommunizieren darf.

Gruß
Marc

Wieso muss der Admin dazu verpflichtet sein? Wieso müssen Verstöße zwigend geahndet werden? Das halte ich für Blödsinn.

Erstmal gibt das dem Chef eine ganz klare, arbeitsrechtliche Handhabe um gegen private Nutzung vor zu gehen. Ohne eine solch klare Regelung ist dann 2h privates Surfen in der Arbeitszeit für ein Arbeitsgericht schon mal "okay". Er kann aber natürlich darüber hinweg sehen und muss es nicht juristisch oder technisch durch setzen. Er tut nur gut daran Verstöße die er bemerkt auch anzusprechen und nicht zu sagen "passt schon".

Sorry für den Ausdruck, aber das ist Blödsinn. Mit dem richtigen Konzept muss ich da gar nichts kontrollieren und erst recht nichts ahnden. Wir nutzen zum Beispiel eine simple White-List-Firewall. Jede Seite die aus dem Netzwerk erreichbar sein soll wird vom IT-Leiter geprüft, bewertet und ggf. freigegeben. Sprich: Alle Seiten die aus dem Netzwerk erreichbar sind haben einen dienstlichen Charakter. Nicht nur, dass ich dadurch überhaupt nichts kontrollieren muss, denn privates surfen ist per Firewall ausgeschlossen wenn ich nur dienstlich relevante Seiten erreichen kann, ich bin auch noch gegen einen Großteil der Schadsoftware geschützt, die Daten aus dem Netz nachladen, sollten sie die Firewall und den Mail-Scanner passieren. Unsere Firewall lässt derzeit knapp 400 Websiten zu, wobei ich *.microsoft.com an der stelle als eine Seite bezeichne. Solange die Schadsoftware nicht auf einer dieser Seiten liegt wird nichts nachgeladen. Ich sehe es eher so, dass man sich damit ein Büchse schließt und nicht öffnet.

Nun nochmal zu meinem ersten Satz. Ich nehme das Blödsinn zurück, wenn du mir zeigst welche Vorschrift mich verpflichtet das Verhalten zu kontrollieren und Fehlverhalten zu ahnden. Außerdem ist der Ausdruck regelmäßig schon wieder schwammig. Wenn ich es alle 5 Jahre kontrolliere ist das auch regelmäßig.

@ratzekahl1:
Dann warnt und mahnt man per Mail . Ich weiß wie das ist, wenn man redet und redet und hinterher passiert dann doch was. Ich hatte die Situation bislang glücklicherweise nur einmal und da sagte der Chef des Kunden dann zu mir: "Hätten wir verhindern können, wenn wir auf Sie gehört hätten, oder?" Ich hab dann nur genickt und damit war die Sache durch. Manchmal muss halt erst was passieren.
Außerdem sollst du dem Chef ja keine Regeln geben. Schick ihm Links zu Dokumentationen was passieren kann. Es ist ja derzeit nicht schwer so was zu finden. Mach einen Test. Schicke von außen eine gefäschlte FB-Mail auf die dienstlichen Accounts und werte aus wie viele Anwender die Mail anklicken. Du wirst dich wundern, dass 80 % der Leute nicht realisieren, dass sie bei FB gar nicht mit ihrem Firmen-Account registriert sind und dennoch drauf klicken. Zeige ihm wie Anfällig sein Netzwerk ist. Ich bin an der Stelle froh, dass unser Chef diese Entscheidungen der IT-Abteilung überlässt. Nach dem Motto: ich weiß, dass ich keine Ahnung davon habe, aber dafür habe ich ja Experten eingestellt die ich bezahle.
Und ja, es ist ein Aufwand mit einer White-Liste-Firewall zu pflegen. Und ja man muss dann für jedes Programm was nach außen soll eine eigene Regel anlegen oder es zumindest zu einem existierenden Regelwerk hinzufügen. Aber Sicherheit ist nun mal aufwändig. Aber brauchst du wirklich den ganzen Kram oder ist das einfach nur Bequemlichkeit. Beispiel: Holt sich wirklich jeder Rechner sein Antivirus selbst aus dem Internet oder gibt es einen Server? Wenn es einen Server gibt, warum sollen dann alle Clients immer nach außen kommunizieren müssen? Das gilt auch für Drucker. Oder anderes Beispiel: NVidea: brauchst du wirklich an allen Office Rechnern immer die aktuellen Grafiktreiber? Wir zumindest nicht. Und was die Firmen- bzw. Branchensoftware angeht: Auch hier einfach mal prüfen ob das wirklich so ein Aufwand darstellt. Nach kurzer Recherche braucht Lexware die Ports 80, 8080, 443 und 3000. Letzteren auch "nur" dann wenn man Chipkartenleser nutzt. Dazu 465 und 587 falls Mails direkt aus Lexware verschickt werden sollen. Und auch hier stellt sich dann die Frage. Muss Port 3000, 465 und 587 wirklich von allen Rechnern überall hin erreichbar sein? Die Antwort ist nein. Es reicht wenn die Firewall zum Beispiel sagt:
[Gruppe-Lexware-Rechner] ausgehender Port 3000 zu Lexware-Seiten erlauben, sonst drop bzw. reject.
Schon hast du den Port 3000 für alle anderen dicht, die ihn nicht brauchen.

Das ganze ist aber etwas was sich dynamisch ändert. Du wirst also immer wieder nachziehen müssen, aber wie ich geschrieben habe: Kein Aufwand = Keine Sicherheit. Das ganze ist auch nichts was du von heute auf morgen umsetzt. Da muss viele Verbindungsprotokolle analysieren und konfigurieren, bevor man den Schalter der alles erlaubt aus knippst.

Gruß
Doskias

Richtig. Ich kenne Gerichtsurteile (der MA hat bis zu 6 Stunden Pornos gesehen während der Arbeitszeit, worauf er gekündigt wurde) und das Arbeitsgericht hat die Kündigung dennoch als unwirksam ausgesprochen. Es ging nicht darum, dass es verboten war. Das reine Hinwegsetzen über ein Verbot rechtfertigte die Kündigung nicht. Es ging auch nicht darum, dass es Pornos waren und sich jemand dadurch gestört gefühlt hat, denn es gab keine Beschwerde. Die Kündigung wurde aus 2 Gründen für unwirksam erklärt:
1. Der Kündigenden (ein Systemhaus) hätte das verhalten mit Leichtigkeit unterbinden können, wenn entsprechende Seiten auf der Firewall gesperrt gewesen wären. Stichwort hierzu: Verhältnismäßigkeit.
2. Dem Gekündigten konnte zwar der Verstoß nachgewiesen werden, aber nicht dass dem Unternehmen dadurch ein Schaden entstanden ist. Nach Aussage der Teamleiter und Kollegen hat er seine Aufgaben weiterhin termingetreu und zufriedenstellend erledigt und hat keine Überstunden eingereicht. Es ist dem Unternehmen also kein Schaden entstanden. Hätte er seine Termine nicht eingehalten oder Überstunden eingereicht, sähe die Lage anders aus.

Der Mitarbeiter wurde später auf Grund von unentschuldigtem Fernbleiben des Arbeitsplatzes entlassen.

Gruß
Doskias

@4400667902 @Doskias
Sorry, stimmt, Ihr habt Recht. Aus irgendeinem Grund hatte ich das so im Kopf, wahrscheinlich altersbedingte Gründe
Ich nehme das also zurück und behaupte (fast) das Gegenteil.

In jedem Fall sollte eine Nutzungsvereinbarung im Unternehmen vorliegen, die das klärt, ob die private Nutzung erlaubt ist oder nicht. Das Problem ist eben dann stillschweigende Duldung, was bedeutet, wenn jemand trotzdem privat surft und das monatelang macht, könnte dies von Gerichten als akzeptiert gelten. Was das ganze nicht leichter macht, sind die rechtlichen Hürden zur Überprüfung:
https://www.wbs-law.de/arbeitsrecht/arbeitnehmer/privates-surfen-am-arbe ...

Hier heißt es u.a.:
Hat Ihr Arbeitgeber Ihnen das private Surfen auf den dienstlichen Geräten verboten, stellt die unerlaubte private Nutzung des Internets eine Verletzung Ihrer arbeitsvertraglichen Pflichten dar. Aus diesem Grund darf der Arbeitgeber unter bestimmten Umständen stichprobenartige Kontrollen durchführen. Dafür müssen aber konkrete Anhaltspunkte vorliegen, die dem Arbeitgeber einen Verdacht liefern, dass Sie das Internet auch privat nutzen, obwohl es Ihnen nicht erlaubt ist.

Frage ist also, wie ich das als Admin / Arbeitgeber überhaupt mitbekomme. Reicht es, per Blick über die Schulter zu sehen, dass da immer wieder privates Zeug auf dem Monitor ist?

Und zum Thema "stillschweigende Duldung":
https://www.datenschutz.org/internetnutzung-arbeitsplatz/

Zitat von dieser Seite:
In Fällen, in denen der Arbeitgeber stillschweigend die private Internetnutzung am Arbeitsplatz vom Arbeitnehmer duldet, kann dieser einen Anspruch nach den Grundsätzen betrieblicher Übung erwerben. Eine solche betriebliche Übung bezeichnet den Umstand, dass ein Arbeitnehmer aus der regelmäßigen Wiederholung bestimmter Verhaltensweisen vom Arbeitgeber zu Recht ableiten kann, dass dieser sich auch in Zukunft so verhalten wird. Es kann also ein so genanntes Gewohnheitsrecht unabhängig vom Arbeitsvertrag bezüglich der Internetnutzung am Arbeitsplatz vom Arbeitnehmer abgeleitet werden. Das Arbeitsgericht wird aber im Einzelfall entscheiden.

Der Mitarbeiter kann also vor Gericht behaupten, dass er schon monatelang privat im Netz unterwegs war und das auch niemanden gestört hat. Und hier setzt so etwas wie gewisse Kontrollpflicht an.

Und was @ratzekahl1 mit der Rückendeckung des Chefs sagt, kann ich so nur bestätigen. Da hilft auch kein Verweis auf einen schlechten Chef, der ist nun mal da.

Gruß

DoH, DoT oder QUIC erlaubt?
Alternative DNS erlaubt?
IPv6 vergessen?


Oh, Diensteanbieter im Sinne des TKG. Immer wieder spannend.

Das ist ja genau das was ich oben geschrieben habe. Der reine Verstoß an sich wird arbeitsrechtlich heutzutage nicht mehr als Kündigungsgrund ausreichen. Du musst nachweisen können, dass dem Unternehmen ein Schaden dadurch entsteht.

Aber soweit muss man es ja nicht kommen lassen. Wenn man nicht unternehmensrelevante Seiten generell sperrt und über eine Whitelist nur relevanten Seiten freigibt, dann nimmt man sich das ganze Problem und sichert das Netzwerk ab. Wie gesagt: Mich interessiert nicht wenn der Anwender 2 Stunden die Seiten unser Lieferanten und Kunden durchklickt. Vielleicht findet er was brauchbares. Auf Facebook wird er aber definitiv nichts von unternehmensinteresse bei uns finden.
Und auch hier gibt es eine Hand voll ausgewählter Mitarbeiter, die diesen Beschränkungen nicht ganz so stark unterliegen. Und für alle anderen gibt es verteilt (im ganzen Unternehmen) Internet-Terminals, die völlig unbeschränkt alles im Internet dürfen. Die sind allerdings physisch getrennt.

Für jeden Dienst eine eigene Regel - was ist da dein Problem?
WinSCP? Fraigebe f. Marketing Rechner, Port 22 auf ZielIP der Website.
usw.

Ja, ist so. Ist deine Arbeit als Admin. Eine Freigabe aller ports nach aussen ist mEn grob Fahrlässig.

Du vergisst einen wichtigen Punkt.
Es geht auch um das Abfließen von Daten.
Ein Facebook-Chat eignet sich dafür genauso gut wie der Zugriff auf den nicht firmeneigene Email-Account.

z.B.
Der Mitarbeiter aus dem Vertrieb will zur Konkurrenz wechseln. Als kleines Mitbringsel kopiert er die internen vertraulichen Daten und schickt Sie seinem neuen Vorgesetzten via Facebook.


Gruß
C.C.

Vertriebler verkaufen Alles 😄 vor der eigenen Integrität machen die wenigsten halt. Sofern sie sowas vorher besaßen.

Genau das war der Punkt des Arbeitsrichters. Da er ja ansonsten auch nur rumgesessen hätte. Ich meine es ist eigentlich allen klar, dass wenn ich nichts zu tun habe, ich mich irgendwie sinnvoll beschäftige. Ich lese dann in der Zeit immer irgendwelche Fachbücher, Foren aber das kommt bei meiner jetzigen Tätigkeit nicht mehr zu oft vor. Aber im besagten Fall gab es dafür halt keine Arbeitsanweisung. Er hätte genau so in der freien Arbeitszeit den ARD - Stream schauen können. Da hätte der Abteilungsleiter vermutlich nicht mal was gesagt. Und ob er da nun sitzt und Pornos schaut oder sitzt und nichts macht war halt ausschlaggebend. Der Pornokonsum hat nicht höhere Kosten verursacht als das Nichtstun. Fakt ist und bleibt aber: Wenn du das private Surfen erlaubst, machst du dir unnötig Arbeit

Das ist richtig. Beim privaten Surfen hast du allerdings beides.

Raucherpausen können von der Arbeitszeit abgezogen werden. Seitdem dies bei uns (der Fairness halber) eingeführt wurde, hat die Firma 2 Nicht-Raucher-Seminar in der Arbeitszeit angeboten. Die wurden gut angenommen mit dem Effekt, dass wir jetzt keinen Raucher mehr haben und das im dreistelligen Mitarbeiterbereich. Keiner beschwert sich mehr, keiner stinkt nach rauch und gesünder ist es auch noch.

Genau das ist doch das Konzept von Facebook . Es reicht ja aus, wenn du einen solchen Nutzer hast oder der Link einfach gut gefakt ist.

Und das was @c.cavemann schreibt ist durchaus richtig. Deine Antwort:
finde ich relativ naiv oder besser gesagt blauäugig. Natürlich will man einen solchen Mitarbeiter haben. Du hast ihn doch schon eingestellt weil du glaubst, dass er einen guten Job macht und weißt, dass er unzufrieden in der Firma ist. Warum solltest du ihn nicht mehr wollen, wenn er dir jetzt noch Kundenkontaktdaten von der direkten Konkurrenz mitbringt? Grade in Systemhäusern folgen viele Kunden dem Techniker, wenn er wechselt. Das habe ich schon öfters selbst und sowohl davon profitiert als auch drunter gelitten Oder er bringt dir nicht nur das wissen im Kopf mit, sondern gleich Aufzeichnung über Produktionsprozesse, Qualitätsmessungen, etc.

...oder die Möglichkeit einen USB-Stick einfach in den Rechner zu stecken. Aber ich denke nicht, dass dafür Facebook genutzt werden wird. Wenn das private Surfen erlaubt ist, sind sicherlich auch Cloudspeicher wie OneDrive oder die Google-Cloud oder jeglicher FTP-Server verfügbar. Dann brauchst du dir kein Gedanken über den Datenabfluss via Facebook zu machen.

Gruß
Doskias