Firewall, Webfilter und IT-Security

Guten Morgen,
ich beschäftige mich gerade mit dem Thema Security & Firewalls Aktuell habe ich eine Securepoint Firewall. Dazu habe ich zwei Fragen:
Was mache ich mit dem Browser-Cache und was ist mit Android?

Zum Hintergrund 1: Ich kann in der Fw zB Pornografie und soziale Netzwerke blockieren. Aber für die Mitarbeiter möchte ich zb in der Mittagspause Facebook & Co. erlauben.
Das funktioniert wunderbar, wenn man den Browser neu aufmacht und Cachng ausgeschaltet hat. Geht der mItarboter allerdings hin und öffnet zB Facebook in der Pause und schließt den Browser-Tab nicht, kann die Regel nicht greifen und Fb kann fleissig weiter genutzt werden. Kann ich irgendwie zB via GPO das Caching deaktivieren oder sowas wie Clear Cache für bestimmte Kategorien / Seiten etablieren? Die Idee ist, dass zB (Mittag von 12:30- 13:00) um 13 Uhr ein script aufgerufen wird, dass alle geöffneten Social Media Tabs schließt und oder den Cache leert. Wie wird das anderswo geregelt?

Hintergrund2: Wie bereits geschrieben, kann ich zB Social Media,Casting, Waffen etc. als Inhalte sperren. Das funktioniert wunderbar am PC und auch am Smartfon, solange ich es via Browser aufrufe. Nun ist es aber so,dass bei Android ein Großteil über Apps geregelt wird. Und dann funktioniert es nicht. Liegt das an der Fw, an Android? Wie eird es anderswo geregelt? Natürlich ist es klar, dass das nur geht, wenn das Smartfon im WLAN ist. Nur oft ist kein LTE vorhanden, die Leute wollen Datenvolumen sparen und sind deshalb im WLAN. Ich will vermeiden, dass die Leute stundenlang auf Facebook etc. aktiv sind.

mfG
ratzekahl

Content-Key: 1066925364

Url: https://administrator.de/contentid/1066925364

Ausgedruckt am: 04.08.2021 um 20:08 Uhr

Mitglied: SlainteMhath
Lösung SlainteMhath 21.07.2021 um 09:38:16 Uhr
Goto Top
Moin,

1: verstehe das Problem nicht. Wenn die FW blockt, dann blockt sie. Klar kann sie nicht Dinge aus dem Cache blocken, aber sobald neuer Inhalt abgerufen wird ist die Firewall wieder im Spiel.

2: Verstehen ich auch nicht ganz. Traffic ist Traffic, egal ob aus dem Browser oder einer App. Wird idR eh alles über 80 bzw.443/tcp abgewickelt. (alle anderen Ports sollten an der FW eh zu sein).

Für beides gilt: Mal in den FW logs kramen, warum da block-regeln nicht greifen

lg,
Slainte
Mitglied: ratzekahl1
ratzekahl1 21.07.2021 um 09:52:15 Uhr
Goto Top
Hallo,
vielen Dank für die Antwort.
Zu 1: Ich bin mir nicht ganz sicher, ob das ein Proxy-Problem ist oder wirklich chache. Ok, ich habe nur den Aufruf getestet, nicht weitere Inhalte abgerufen. Wenn der User in FB eingeloggt ist, zb um 12:45, kann er normal Inhalte abrufen. Um 13:13 sollte es nicht gehen, dann müsste nur die Seite stehen bleiben können.

Zu 2: Vermutlich dasselbe, nur mit cache. Rufe ich um 13:47 die Facebook app auf, kann ich problemlos aufrufen. Per Browser einloggen geht nicht. Da vermute ich ein Cache-Problem, also dass die App die Daten im Cache hat, was weiß ich Gruppe Hundefreunde.
Dann müsste es ja nach reload blockiert werden. Daher die Idee, ob es sowas wie eine GPo gibt, die sagt Cache für alle offene Tabs der Kategorie XY nach Zeitplan löschen. Beispiel:

Um 13:00 wird ein Skript /App oder sonstwas aufgerufen, die sagt, ok alle tabs von Facebook, Instagramm, Xing usw. werden nun geschlossen, außer bei dem User der für den Facebookauftritt zuständig ist.
Gruß
Ratzekahl
Mitglied: Doskias
Doskias 21.07.2021 aktualisiert um 09:59:53 Uhr
Goto Top
Moin,

in meinen Augen ein guter Ansatz, aber nicht ganz bis zum Ende durchdacht. Was mich daran stört:

1. Auf einem Arbeitsrechner wird nicht privat gesurft, auch nicht in der Mittagspause. Grade in der Mittagspause auf privaten Seiten steigt das Risiko sich was einzufangen.

2. Die Zeitschaltung funktioniert nur, wenn es feste Pausenzeiten gibt. Wenn es Variable Zeiten gibt, funktioniert das Konstrukt schon wieder nicht.

3. Gleiches gilt für das WLAN. da gehören keine privaten Geräte rein. Du willst ein sicheres Netzwerk? Dann verbiete das private Surfen und private Geräte im WLAN. Du willst nicht, dass die Leute den ganzen Tag auf FB surfen? Dann blockiere FB einfach in der Firewall und sperre private Geräte im WLAN aus. Die Leute wollen Datenvolumen sparen? Wenn sie kein WLAN mehr haben und Datenvolumen sparen wollen, werden sie wohl auf privates Surfen am Handy während der Arbeitszeit verzichten.

Ich kenne dein Problem. Du willst der Admin sein, der nett ist und in den Mittagspausen auch etwas erlaubt. Das ist aber nicht dein Job. Dein Job ist dafür zu sorgen, dass das Netzwerk sicher ist. Ich weiß es klingt erstmal hart, aber bei uns ist das überhaupt kein Problem. Privates surfen ist bei uns nicht möglich und WLAN haben die Mitarbeiter nicht. Neue Mitarbeiter müssen sich da etwas dran gewöhnen, aber unterm Strich machen es alle mit, weil sie es eh nicht ändern können.

Ansonsten hat SlainteMhath schon alles gesagt. Solange es nicht gecacht ist, greift die FW Regel in dem Moment wo Sie aktiviert ist. Egal ob die Seite schon offen ist. Anders ist es jedoch bei manch anderen Port-Regeln. Wir haben zum Beispiel eine Regel, die (wenn man sich entsprechend authentifiziert) die Verbindung zu Teamviewer für 5 Minuten zulässt. Danach blockiert die Firewall den Port vom Teamviewer wieder. Ist in der Zeit aber eine Verbindung aufgebaut worden, bleibt die Verbindung weiterhin bestehen. Liegt aber daran, dass hier ein Portwechsel stattfindet. Bei Facebook im Browser eher unwarhscheinlich.

Ansonsten auch mal andere Firewallforen prüfen. Du bist nicht der einzige mit der Anforderung:
https://community.sophos.com/utm-firewall/f/german-forum/59380/facebook- ...
https://forum.mikrotik.com/viewtopic.php?t=66339
https://forum.netgate.com/topic/47083/best-way-block-facebook-on-https-p ...

Gruß
Doskias
Mitglied: C.Caveman
C.Caveman 21.07.2021 um 10:10:30 Uhr
Goto Top
Moin Doskias,

man kann es auch noch anders umschreiben.

"Das Netzwerk ist ein Hochsicherheitstrakt... Nur nicht von 12:30 bis 13:00 Uhr" ;-) face-wink

Gruß
C.C.
Mitglied: Coreknabe
Coreknabe 21.07.2021 um 10:11:43 Uhr
Goto Top
@Doskias
Auf einem Arbeitsrechner wird nicht privat gesurft, auch nicht in der Mittagspause. Grade in der Mittagspause auf privaten Seiten steigt das Risiko sich was einzufangen.

Kann man so machen, allerdings ist der Admin dann VERPFLICHTET, regelmäßig stichprobenartig zu kontrollieren, Verstöße MÜSSEN zwingend geahndet werden. Muss jeder selbst entscheiden, ob er diese Büchse öffnet.

Gruß
Mitglied: ratzekahl1
ratzekahl1 21.07.2021 um 10:24:11 Uhr
Goto Top
Hallo zusammen,
erstmal danke für die Tipps. Der Tipp von SlainteMhath war richtig! Es scheint tatsächlich am Cache zu liegen.
Am Smartfon geht Facebook tatsächlich auf und neue Inhalte scheinen sich abrufen zu lassen, aber das sind keine neuen Daten, sondern alte gecachte Seiten. WIll man da irgendwo drauf klicken oder aktualisieren, dreht sich der Ladebalekn ohne Ende.
Es kommt halt leider keine "Geblockt" Anzeige. Die habe ich offensichtlich nur im Firefox.

Auch bei Edge & Chrome bekomme ich nur Warnungen "Ihre Verbindung ist nicht privat" (Edge), Das ist keine sichere Verbindung (Chrome).

@Doskias Das ist ein ewiges Thema, dafür muß man aber erstmal den Chef auf seiner Seite haben. Und das ist der ewige Spagat in der IT. Passiert was, ist mans gewesen. Vorher hat man gewarnt und gemahnt und wurde ignoriert. Und nachher zu erklären, dass der Hack möglich war, weil der Chef unbedingt Thomas 3 als Passwort haben wollte und der Enkel mal mit seinem Account ein Praktikum macht.

Stellt man sich auf die Hinterbeine ist man seinen Job los. Passiert was ist man seinen Job los. Ist immer dasselbe, dem Chef Regeln zu geben...

Nun ja und alles bis auf 80 und 443 blocken ist ja nicht so einfach. Was ist mit den ganzen Diensten? Was weiß ich Drucker-Update, Win Scp für Website-Updates, NVidea, Antivirus? Die ganzen Firmenspezifischen Programme? Praxident, Lexware, Anwaltssoftware...

Die brauchen zt eine ganze Armada von Ports (Update, Support, Backup).
Mitglied: radiogugu
radiogugu 21.07.2021 um 10:41:33 Uhr
Goto Top
Zitat von @ratzekahl1:
Es kommt halt leider keine "Geblockt" Anzeige. Die habe ich offensichtlich nur im Firefox.

Hallo.

Die Apps melden ja maximal "Keine Verbindung möglich" oder "Prüfen Sie Ihre Internetverbindung".

@Doskias Das ist ein ewiges Thema, dafür muß man aber erstmal den Chef auf seiner Seite haben. Und das ist der ewige Spagat in der IT. Passiert was, ist mans gewesen. Vorher hat man gewarnt und gemahnt und wurde ignoriert. Und nachher zu erklären, dass der Hack möglich war, weil der Chef unbedingt Thomas 3 als Passwort haben wollte und der Enkel mal mit seinem Account ein Praktikum macht.

Stellt man sich auf die Hinterbeine ist man seinen Job los. Passiert was ist man seinen Job los. Ist immer dasselbe, dem Chef Regeln zu geben...

Dann ist das aber kein besonders guter Chef, wenn er dir nicht vertraut und zuhört. Dann solltest du dir aber auch diese "Öffnungen" schriftlich geben lassen. Vorher formuliert man aus, warum du das für eine schlechte Idee hältst.
Den Meisten wird dann gewahr, dass es vielleicht doch ernst gemeint war, das "Geschwafel".

Nun ja und alles bis auf 80 und 443 blocken ist ja nicht so einfach. Was ist mit den ganzen Diensten? Was weiß ich Drucker-Update, Win Scp für Website-Updates, NVidea, Antivirus? Die ganzen Firmenspezifischen Programme? Praxident, Lexware, Anwaltssoftware...

Die brauchen zt eine ganze Armada von Ports (Update, Support, Backup).

Die meisten Programme telefonieren ja über 80/443 nach draußen. Es geht primär darum, dass keine Ports nach innen geöffnet werden.
Wenn die Endpunkte bekannt sind, kann ja auch über Firewall-Regeln definiert werden, dass Gerät A nur zu Hersteller-Server A (IP Bereich eventuell oder Hostnamen) über Port 4711 kommunizieren darf.

Gruß
Marc
Mitglied: ukulele-7
ukulele-7 21.07.2021 aktualisiert um 10:50:30 Uhr
Goto Top
Zitat von @Coreknabe:

@Doskias
Auf einem Arbeitsrechner wird nicht privat gesurft, auch nicht in der Mittagspause. Grade in der Mittagspause auf privaten Seiten steigt das Risiko sich was einzufangen.

Kann man so machen, allerdings ist der Admin dann VERPFLICHTET, regelmäßig stichprobenartig zu kontrollieren, Verstöße MÜSSEN zwingend geahndet werden. Muss jeder selbst entscheiden, ob er diese Büchse öffnet.

Wieso muss der Admin dazu verpflichtet sein? Wieso müssen Verstöße zwigend geahndet werden? Das halte ich für Blödsinn.

Erstmal gibt das dem Chef eine ganz klare, arbeitsrechtliche Handhabe um gegen private Nutzung vor zu gehen. Ohne eine solch klare Regelung ist dann 2h privates Surfen in der Arbeitszeit für ein Arbeitsgericht schon mal "okay". Er kann aber natürlich darüber hinweg sehen und muss es nicht juristisch oder technisch durch setzen. Er tut nur gut daran Verstöße die er bemerkt auch anzusprechen und nicht zu sagen "passt schon".
Mitglied: Doskias
Doskias 21.07.2021 um 10:53:11 Uhr
Goto Top
Zitat von @Coreknabe:
Kann man so machen, allerdings ist der Admin dann VERPFLICHTET, regelmäßig stichprobenartig zu kontrollieren, Verstöße MÜSSEN zwingend geahndet werden. Muss jeder selbst entscheiden, ob er diese Büchse öffnet.
Gruß

Sorry für den Ausdruck, aber das ist Blödsinn. Mit dem richtigen Konzept muss ich da gar nichts kontrollieren und erst recht nichts ahnden. Wir nutzen zum Beispiel eine simple White-List-Firewall. Jede Seite die aus dem Netzwerk erreichbar sein soll wird vom IT-Leiter geprüft, bewertet und ggf. freigegeben. Sprich: Alle Seiten die aus dem Netzwerk erreichbar sind haben einen dienstlichen Charakter. Nicht nur, dass ich dadurch überhaupt nichts kontrollieren muss, denn privates surfen ist per Firewall ausgeschlossen wenn ich nur dienstlich relevante Seiten erreichen kann, ich bin auch noch gegen einen Großteil der Schadsoftware geschützt, die Daten aus dem Netz nachladen, sollten sie die Firewall und den Mail-Scanner passieren. Unsere Firewall lässt derzeit knapp 400 Websiten zu, wobei ich *.microsoft.com an der stelle als eine Seite bezeichne. Solange die Schadsoftware nicht auf einer dieser Seiten liegt wird nichts nachgeladen. Ich sehe es eher so, dass man sich damit ein Büchse schließt und nicht öffnet.

Nun nochmal zu meinem ersten Satz. Ich nehme das Blödsinn zurück, wenn du mir zeigst welche Vorschrift mich verpflichtet das Verhalten zu kontrollieren und Fehlverhalten zu ahnden. Außerdem ist der Ausdruck regelmäßig schon wieder schwammig. Wenn ich es alle 5 Jahre kontrolliere ist das auch regelmäßig.

@ratzekahl1:
Dann warnt und mahnt man per Mail ;-) face-wink. Ich weiß wie das ist, wenn man redet und redet und hinterher passiert dann doch was. Ich hatte die Situation bislang glücklicherweise nur einmal und da sagte der Chef des Kunden dann zu mir: "Hätten wir verhindern können, wenn wir auf Sie gehört hätten, oder?" Ich hab dann nur genickt und damit war die Sache durch. Manchmal muss halt erst was passieren.
Außerdem sollst du dem Chef ja keine Regeln geben. Schick ihm Links zu Dokumentationen was passieren kann. Es ist ja derzeit nicht schwer so was zu finden. Mach einen Test. Schicke von außen eine gefäschlte FB-Mail auf die dienstlichen Accounts und werte aus wie viele Anwender die Mail anklicken. Du wirst dich wundern, dass 80 % der Leute nicht realisieren, dass sie bei FB gar nicht mit ihrem Firmen-Account registriert sind und dennoch drauf klicken. Zeige ihm wie Anfällig sein Netzwerk ist. Ich bin an der Stelle froh, dass unser Chef diese Entscheidungen der IT-Abteilung überlässt. Nach dem Motto: ich weiß, dass ich keine Ahnung davon habe, aber dafür habe ich ja Experten eingestellt die ich bezahle.
Und ja, es ist ein Aufwand mit einer White-Liste-Firewall zu pflegen. Und ja man muss dann für jedes Programm was nach außen soll eine eigene Regel anlegen oder es zumindest zu einem existierenden Regelwerk hinzufügen. Aber Sicherheit ist nun mal aufwändig. Aber brauchst du wirklich den ganzen Kram oder ist das einfach nur Bequemlichkeit. Beispiel: Holt sich wirklich jeder Rechner sein Antivirus selbst aus dem Internet oder gibt es einen Server? Wenn es einen Server gibt, warum sollen dann alle Clients immer nach außen kommunizieren müssen? Das gilt auch für Drucker. Oder anderes Beispiel: NVidea: brauchst du wirklich an allen Office Rechnern immer die aktuellen Grafiktreiber? Wir zumindest nicht. Und was die Firmen- bzw. Branchensoftware angeht: Auch hier einfach mal prüfen ob das wirklich so ein Aufwand darstellt. Nach kurzer Recherche braucht Lexware die Ports 80, 8080, 443 und 3000. Letzteren auch "nur" dann wenn man Chipkartenleser nutzt. Dazu 465 und 587 falls Mails direkt aus Lexware verschickt werden sollen. Und auch hier stellt sich dann die Frage. Muss Port 3000, 465 und 587 wirklich von allen Rechnern überall hin erreichbar sein? Die Antwort ist nein. Es reicht wenn die Firewall zum Beispiel sagt:
[Gruppe-Lexware-Rechner] ausgehender Port 3000 zu Lexware-Seiten erlauben, sonst drop bzw. reject.
Schon hast du den Port 3000 für alle anderen dicht, die ihn nicht brauchen.

Das ganze ist aber etwas was sich dynamisch ändert. Du wirst also immer wieder nachziehen müssen, aber wie ich geschrieben habe: Kein Aufwand = Keine Sicherheit. Das ganze ist auch nichts was du von heute auf morgen umsetzt. Da muss viele Verbindungsprotokolle analysieren und konfigurieren, bevor man den Schalter der alles erlaubt aus knippst.

Gruß
Doskias
Mitglied: Doskias
Doskias 21.07.2021 um 11:00:42 Uhr
Goto Top
Zitat von @ukulele-7:
Zitat von @Coreknabe:
@Doskias
Auf einem Arbeitsrechner wird nicht privat gesurft, auch nicht in der Mittagspause. Grade in der Mittagspause auf privaten Seiten steigt das Risiko sich was einzufangen.
Kann man so machen, allerdings ist der Admin dann VERPFLICHTET, regelmäßig stichprobenartig zu kontrollieren, Verstöße MÜSSEN zwingend geahndet werden. Muss jeder selbst entscheiden, ob er diese Büchse öffnet.
Wieso muss der Admin dazu verpflichtet sein? Wieso müssen Verstöße zwigend geahndet werden? Das halte ich für Blödsinn.
Erstmal gibt das dem Chef eine ganz klare, arbeitsrechtliche Handhabe um gegen private Nutzung vor zu gehen. Ohne eine solch klare Regelung ist dann 2h privates Surfen in der Arbeitszeit für ein Arbeitsgericht schon mal "okay". Er kann aber natürlich darüber hinweg sehen und muss es nicht juristisch oder technisch durch setzen. Er tut nur gut daran Verstöße die er bemerkt auch anzusprechen und nicht zu sagen "passt schon".

Richtig. Ich kenne Gerichtsurteile (der MA hat bis zu 6 Stunden Pornos gesehen während der Arbeitszeit, worauf er gekündigt wurde) und das Arbeitsgericht hat die Kündigung dennoch als unwirksam ausgesprochen. Es ging nicht darum, dass es verboten war. Das reine Hinwegsetzen über ein Verbot rechtfertigte die Kündigung nicht. Es ging auch nicht darum, dass es Pornos waren und sich jemand dadurch gestört gefühlt hat, denn es gab keine Beschwerde. Die Kündigung wurde aus 2 Gründen für unwirksam erklärt:
1. Der Kündigenden (ein Systemhaus) hätte das verhalten mit Leichtigkeit unterbinden können, wenn entsprechende Seiten auf der Firewall gesperrt gewesen wären. Stichwort hierzu: Verhältnismäßigkeit.
2. Dem Gekündigten konnte zwar der Verstoß nachgewiesen werden, aber nicht dass dem Unternehmen dadurch ein Schaden entstanden ist. Nach Aussage der Teamleiter und Kollegen hat er seine Aufgaben weiterhin termingetreu und zufriedenstellend erledigt und hat keine Überstunden eingereicht. Es ist dem Unternehmen also kein Schaden entstanden. Hätte er seine Termine nicht eingehalten oder Überstunden eingereicht, sähe die Lage anders aus.

Der Mitarbeiter wurde später auf Grund von unentschuldigtem Fernbleiben des Arbeitsplatzes entlassen.

Gruß
Doskias
Mitglied: Coreknabe
Coreknabe 21.07.2021 um 11:34:59 Uhr
Goto Top
@ukulele @Doskias
Sorry, stimmt, Ihr habt Recht. Aus irgendeinem Grund hatte ich das so im Kopf, wahrscheinlich altersbedingte Gründe :-) face-smile
Ich nehme das also zurück und behaupte (fast) das Gegenteil.

In jedem Fall sollte eine Nutzungsvereinbarung im Unternehmen vorliegen, die das klärt, ob die private Nutzung erlaubt ist oder nicht. Das Problem ist eben dann stillschweigende Duldung, was bedeutet, wenn jemand trotzdem privat surft und das monatelang macht, könnte dies von Gerichten als akzeptiert gelten. Was das ganze nicht leichter macht, sind die rechtlichen Hürden zur Überprüfung:
https://www.wbs-law.de/arbeitsrecht/arbeitnehmer/privates-surfen-am-arbe ...

Hier heißt es u.a.:
Hat Ihr Arbeitgeber Ihnen das private Surfen auf den dienstlichen Geräten verboten, stellt die unerlaubte private Nutzung des Internets eine Verletzung Ihrer arbeitsvertraglichen Pflichten dar. Aus diesem Grund darf der Arbeitgeber unter bestimmten Umständen stichprobenartige Kontrollen durchführen. Dafür müssen aber konkrete Anhaltspunkte vorliegen, die dem Arbeitgeber einen Verdacht liefern, dass Sie das Internet auch privat nutzen, obwohl es Ihnen nicht erlaubt ist.

Frage ist also, wie ich das als Admin / Arbeitgeber überhaupt mitbekomme. Reicht es, per Blick über die Schulter zu sehen, dass da immer wieder privates Zeug auf dem Monitor ist?

Und zum Thema "stillschweigende Duldung":
https://www.datenschutz.org/internetnutzung-arbeitsplatz/

Zitat von dieser Seite:
In Fällen, in denen der Arbeitgeber stillschweigend die private Internetnutzung am Arbeitsplatz vom Arbeitnehmer duldet, kann dieser einen Anspruch nach den Grundsätzen betrieblicher Übung erwerben. Eine solche betriebliche Übung bezeichnet den Umstand, dass ein Arbeitnehmer aus der regelmäßigen Wiederholung bestimmter Verhaltensweisen vom Arbeitgeber zu Recht ableiten kann, dass dieser sich auch in Zukunft so verhalten wird. Es kann also ein so genanntes Gewohnheitsrecht unabhängig vom Arbeitsvertrag bezüglich der Internetnutzung am Arbeitsplatz vom Arbeitnehmer abgeleitet werden. Das Arbeitsgericht wird aber im Einzelfall entscheiden.

Der Mitarbeiter kann also vor Gericht behaupten, dass er schon monatelang privat im Netz unterwegs war und das auch niemanden gestört hat. Und hier setzt so etwas wie gewisse Kontrollpflicht an.

Und was @ratzekahl1 mit der Rückendeckung des Chefs sagt, kann ich so nur bestätigen. Da hilft auch kein Verweis auf einen schlechten Chef, der ist nun mal da.

Gruß
Mitglied: mbehrens
mbehrens 21.07.2021 um 12:05:37 Uhr
Goto Top
Zitat von @ratzekahl1:

Zum Hintergrund 1: Ich kann in der Fw zB Pornografie und soziale Netzwerke blockieren. Aber für die Mitarbeiter möchte ich zb in der Mittagspause Facebook & Co. erlauben.
Das funktioniert wunderbar, wenn man den Browser neu aufmacht und Cachng ausgeschaltet hat. Geht der mItarboter allerdings hin und öffnet zB Facebook in der Pause und schließt den Browser-Tab nicht, kann die Regel nicht greifen und Fb kann fleissig weiter genutzt werden. Kann ich irgendwie zB via GPO das Caching deaktivieren oder sowas wie Clear Cache für bestimmte Kategorien / Seiten etablieren? Die Idee ist, dass zB (Mittag von 12:30- 13:00) um 13 Uhr ein script aufgerufen wird, dass alle geöffneten Social Media Tabs schließt und oder den Cache leert. Wie wird das anderswo geregelt?

DoH, DoT oder QUIC erlaubt?
Alternative DNS erlaubt?
IPv6 vergessen?

Hintergrund2: Wie bereits geschrieben, kann ich zB Social Media,Casting, Waffen etc. als Inhalte sperren. Das funktioniert wunderbar am PC und auch am Smartfon, solange ich es via Browser aufrufe. Nun ist es aber so,dass bei Android ein Großteil über Apps geregelt wird. Und dann funktioniert es nicht. Liegt das an der Fw, an Android? Wie eird es anderswo geregelt? Natürlich ist es klar, dass das nur geht, wenn das Smartfon im WLAN ist. Nur oft ist kein LTE vorhanden, die Leute wollen Datenvolumen sparen und sind deshalb im WLAN. Ich will vermeiden, dass die Leute stundenlang auf Facebook etc. aktiv sind.

Oh, Diensteanbieter im Sinne des TKG. Immer wieder spannend.
Mitglied: Doskias
Doskias 21.07.2021 um 12:28:09 Uhr
Goto Top
Zitat von @Coreknabe:
Der Mitarbeiter kann also vor Gericht behaupten, dass er schon monatelang privat im Netz unterwegs war und das auch niemanden gestört hat. Und hier setzt so etwas wie gewisse Kontrollpflicht an.

Das ist ja genau das was ich oben geschrieben habe. Der reine Verstoß an sich wird arbeitsrechtlich heutzutage nicht mehr als Kündigungsgrund ausreichen. Du musst nachweisen können, dass dem Unternehmen ein Schaden dadurch entsteht.

Aber soweit muss man es ja nicht kommen lassen. Wenn man nicht unternehmensrelevante Seiten generell sperrt und über eine Whitelist nur relevanten Seiten freigibt, dann nimmt man sich das ganze Problem und sichert das Netzwerk ab. Wie gesagt: Mich interessiert nicht wenn der Anwender 2 Stunden die Seiten unser Lieferanten und Kunden durchklickt. Vielleicht findet er was brauchbares. Auf Facebook wird er aber definitiv nichts von unternehmensinteresse bei uns finden.
Und auch hier gibt es eine Hand voll ausgewählter Mitarbeiter, die diesen Beschränkungen nicht ganz so stark unterliegen. Und für alle anderen gibt es verteilt (im ganzen Unternehmen) Internet-Terminals, die völlig unbeschränkt alles im Internet dürfen. Die sind allerdings physisch getrennt.
Mitglied: SlainteMhath
SlainteMhath 21.07.2021 um 13:03:19 Uhr
Goto Top
Nun ja und alles bis auf 80 und 443 blocken ist ja nicht so einfach. Was ist mit den ganzen Diensten? Was weiß
ich Drucker-Update, Win Scp für Website-Updates, NVidea, Antivirus? Die ganzen Firmenspezifischen
Programme? Praxident, Lexware, Anwaltssoftware...

Für jeden Dienst eine eigene Regel - was ist da dein Problem?
WinSCP? Fraigebe f. Marketing Rechner, Port 22 auf ZielIP der Website.
usw.

Die brauchen zt eine ganze Armada von Ports (Update, Support, Backup).
Ja, ist so. Ist deine Arbeit als Admin. Eine Freigabe aller ports nach aussen ist mEn grob Fahrlässig.
Mitglied: ratzekahl1
ratzekahl1 21.07.2021 um 16:13:50 Uhr
Goto Top
Waow, vielen Dank für die Kommis. 6h Pornos am Tag und kein Schaden? Da fragt man sich , na ich schreibs besser nicht. Der MA kostet normalerweise rund 50 €, 300 € am Tag x 20 Tage = 6000 €/Monat = 70 k €im Jahr! Wenn der trotzdem alles fertig bekommen hat, hat der wohl nicht genug zu tun, gut das hatte ich im Bekanntenkreis. Der war Wetterbeobachter. Wenn Gewitter im Anmarsch war musste er melden, ansonsten hat der rumgesessen und alles mögliche geschaukelt. Irgendwann war der dann depressiv...
Aber das ist ein anderes Thema.

Ich denke man muss unterscheiden. Geht es um Viren, die man ins Netz einschleust, oder um Arbeitszeit die man verbummelt. Selbes Problem mit den Kollegen die alle halbe Stunde zum rauchen gehen. 1 oder 2 Mal , dann werden die produktiver. Ich gehe zwischendurch auch mal 10 Minuten an die Luft. Aber mal! Dann bekommt man den Kopf frei und uU raus aus ner Sackgasse.

Gut und ob Facebook nun so das Einfallstor ist, bezweifle ich, es sei denn man ist so blöd und klickt auf jeden Link in allen möglichen Gruppen. Da würde ich eher das Problem der Urheberrechtsverletzung sehen. Das die irgendwelche Sachen von der Firma posten.
Mitglied: C.Caveman
C.Caveman 21.07.2021 um 16:44:09 Uhr
Goto Top
Zitat von @ratzekahl1:
...
Ich denke man muss unterscheiden. Geht es um Viren, die man ins Netz einschleust, oder um Arbeitszeit die man verbummelt.
...

Du vergisst einen wichtigen Punkt.
Es geht auch um das Abfließen von Daten.
Ein Facebook-Chat eignet sich dafür genauso gut wie der Zugriff auf den nicht firmeneigene Email-Account.

z.B.
Der Mitarbeiter aus dem Vertrieb will zur Konkurrenz wechseln. Als kleines Mitbringsel kopiert er die internen vertraulichen Daten und schickt Sie seinem neuen Vorgesetzten via Facebook.


Gruß
C.C.
Mitglied: ratzekahl1
ratzekahl1 21.07.2021 aktualisiert um 17:41:58 Uhr
Goto Top
@CC Ok, Stimmt. Ob man allerdings so einen Ma haben möchte...

@Doskias Und 100%, die Firmen lernen nur durch Schmerzen.

"Außerdem sollst du dem Chef ja keine Regeln geben." Natürlich muss ich das. Wenn der mal eben in der FB-BVB Gruppe schauen will oder nebenbei den illegalen Stream, oder Kennwort nicht nach allgemeinen Richtlinien vergeben oder dass der Enkel kein Counterstrike nach Feierabend spielen darf und dass der Neffe nicht mit dem Account des Chefs Praktikum machen darf. Oder der will seine privaten Emails lesen... Verdoppelt das Risiko. "Wir haben doch ne Firewall..."
Vor allem wenn der Chef nicht mitspielt, wie soll man es dann den Ma erklären?
Mitglied: C.Caveman
C.Caveman 21.07.2021 um 18:06:02 Uhr
Goto Top
Vertriebler verkaufen Alles 😄 vor der eigenen Integrität machen die wenigsten halt. Sofern sie sowas vorher besaßen.
Mitglied: Doskias
Doskias 22.07.2021 um 09:07:34 Uhr
Goto Top
Zitat von @ratzekahl1:
Waow, vielen Dank für die Kommis. 6h Pornos am Tag und kein Schaden? Da fragt man sich , na ich schreibs besser nicht. Der MA kostet normalerweise rund 50 €, 300 € am Tag x 20 Tage = 6000 €/Monat = 70 k €im Jahr! Wenn der trotzdem alles fertig bekommen hat, hat der wohl nicht genug zu tun, gut das hatte ich im Bekanntenkreis. Der war Wetterbeobachter. Wenn Gewitter im Anmarsch war musste er melden, ansonsten hat der rumgesessen und alles mögliche geschaukelt. Irgendwann war der dann depressiv...

Genau das war der Punkt des Arbeitsrichters. Da er ja ansonsten auch nur rumgesessen hätte. Ich meine es ist eigentlich allen klar, dass wenn ich nichts zu tun habe, ich mich irgendwie sinnvoll beschäftige. Ich lese dann in der Zeit immer irgendwelche Fachbücher, Foren aber das kommt bei meiner jetzigen Tätigkeit nicht mehr zu oft vor. Aber im besagten Fall gab es dafür halt keine Arbeitsanweisung. Er hätte genau so in der freien Arbeitszeit den ARD - Stream schauen können. Da hätte der Abteilungsleiter vermutlich nicht mal was gesagt. Und ob er da nun sitzt und Pornos schaut oder sitzt und nichts macht war halt ausschlaggebend. Der Pornokonsum hat nicht höhere Kosten verursacht als das Nichtstun. Fakt ist und bleibt aber: Wenn du das private Surfen erlaubst, machst du dir unnötig Arbeit

Ich denke man muss unterscheiden. Geht es um Viren, die man ins Netz einschleust, oder um Arbeitszeit die man verbummelt.
Das ist richtig. Beim privaten Surfen hast du allerdings beides.

Selbes Problem mit den Kollegen die alle halbe Stunde zum rauchen gehen. 1 oder 2 Mal , dann werden die produktiver. Ich gehe zwischendurch auch mal 10 Minuten an die Luft. Aber mal! Dann bekommt man den Kopf frei und uU raus aus ner Sackgasse.
Raucherpausen können von der Arbeitszeit abgezogen werden. Seitdem dies bei uns (der Fairness halber) eingeführt wurde, hat die Firma 2 Nicht-Raucher-Seminar in der Arbeitszeit angeboten. Die wurden gut angenommen mit dem Effekt, dass wir jetzt keinen Raucher mehr haben und das im dreistelligen Mitarbeiterbereich. Keiner beschwert sich mehr, keiner stinkt nach rauch und gesünder ist es auch noch.

Gut und ob Facebook nun so das Einfallstor ist, bezweifle ich, es sei denn man ist so blöd und klickt auf jeden Link in allen möglichen Gruppen.
Genau das ist doch das Konzept von Facebook :-) face-smile. Es reicht ja aus, wenn du einen solchen Nutzer hast oder der Link einfach gut gefakt ist.

Und das was @C.Cavemann schreibt ist durchaus richtig. Deine Antwort:
@CC Ok, Stimmt. Ob man allerdings so einen Ma haben möchte...
finde ich relativ naiv oder besser gesagt blauäugig. Natürlich will man einen solchen Mitarbeiter haben. Du hast ihn doch schon eingestellt weil du glaubst, dass er einen guten Job macht und weißt, dass er unzufrieden in der Firma ist. Warum solltest du ihn nicht mehr wollen, wenn er dir jetzt noch Kundenkontaktdaten von der direkten Konkurrenz mitbringt? Grade in Systemhäusern folgen viele Kunden dem Techniker, wenn er wechselt. Das habe ich schon öfters selbst und sowohl davon profitiert als auch drunter gelitten :-) face-smile Oder er bringt dir nicht nur das wissen im Kopf mit, sondern gleich Aufzeichnung über Produktionsprozesse, Qualitätsmessungen, etc.

Ein Facebook-Chat eignet sich dafür genauso gut wie der Zugriff auf den nicht firmeneigene Email-Account.
...oder die Möglichkeit einen USB-Stick einfach in den Rechner zu stecken. Aber ich denke nicht, dass dafür Facebook genutzt werden wird. Wenn das private Surfen erlaubt ist, sind sicherlich auch Cloudspeicher wie OneDrive oder die Google-Cloud oder jeglicher FTP-Server verfügbar. Dann brauchst du dir kein Gedanken über den Datenabfluss via Facebook zu machen.

Gruß
Doskias
Mitglied: C.Caveman
C.Caveman 22.07.2021 aktualisiert um 09:49:54 Uhr
Goto Top
Moin Doskias,

die Liste der möglichen Gefahren ist sehr, sehr lang. Nicht umsonst wird so ein "Workshop" für mehrere Tage angesetzt. Und selbst dann ist Sie nur auf das nötigste gekürzt :-) face-smile
Aber zum Thema "Chef sagt…"
Würde sich ein Chef mit dem Computer auskennen, würde er keinen Admin benötigen und nur jemanden für den "User-Helpdesk" einstellen. Wenn ein Chef Anweisungen rausgibt, die gegen jegliche Norm und Vernunft verstößt. Schriftlich geben lasse, mit dem Datenschutzbeauftragen absprechen und im schlimmsten Fall die Überstunden abfeiern. Soll er sich doch einen anderen suchen, der sich für die paar Euro von der Klippe stürzt.
IT-Fachkräfte sind heiß begehrt.

Gruß
C.C.
Heiß diskutierte Beiträge
general
Einprügeln auf Fax als AblenkungsmanöveritebobVor 22 StundenAllgemeinOff Topic16 Kommentare

Moin, Im Interview mit dem Unionsfraktionschef Ralph Brinkhaus im Deutschlandfunk heute 07:15 hat der Journalist nebenbei erwähnt, dass über die Hochwasserkatastrophe per Fax gewarnt wurde. ...

general
2D DXF DWG Viewer für Verkauf?dertowaVor 1 TagAllgemeinOff Topic6 Kommentare

Guten Morgen allerseits, wir missbrauchen bei uns bislang das CAM Programm im Verkauf als DXF/DWG Viewer. Die Kollegen haben sich über Jahrzehnte daran gewöhnt, allerdings ...

question
Server 2019 std. auf deutsch umstellenBender999Vor 1 TagFrageWindows Server28 Kommentare

Hallo, kann mir einer erklären wie um alles in der Welt ich meinen Server 2019 std. auf deutsch umstellen kann? ...

question
Angebot annehmen? Gehalt OK?xsheynVor 18 StundenFrageOff Topic10 Kommentare

Hallo zusammen, ich bin nun seit knapp einem Jahr im Bewerbungsprozess und versuche in die "richtige" IT zu kommen. Momentan bin ich nur Knöpfchendrücker, also ...

question
Fehler beim Kopieren von einer CDHeinHeiopeiVor 1 TagFragePeripheriegeräte6 Kommentare

Moin, moin, ich habe dieser Tage versucht eine alte Datenbank, die ich im Jahre 2012 für einen Kunden entwickelt hatte, für eigene Zwecke zu adaptieren. ...

question
Ecosia Suchmaschine die Bäume pflanzt (80 Prozent fürnachgefragtVor 1 TagFrageWebbrowser5 Kommentare

Mahlzeit. Wir wurden darauf angesprochen, ob wir Ecosia bei div. Arbeitsplätzen als Suchmaschine anstatt Google implementieren könnten, quasi die Startseite der Browser, als Add In, ...

question
Subnetting FrageAuDavidVor 14 StundenFrageNetzwerke21 Kommentare

Hallo, ich hätte mal eine Frage zu dem Subnetting, ich sitze schon länger an dieser Aufgabe und bin mir mit der Lösung sehr unsicher. Ich ...

question
Dynamisch MAC-Adresse je nach WiFi-Netzwerk. Wie ist das möglich? gelöst Oliver16Vor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Mir ist heute etwas aufgefallen, von dem mir nicht bekannt war, dass es möglich ist. Ein Notebook (Lenovo) von mir verändert die MAC-Adresse des WiFi-Adapters ...