Internetverkehr Netzwerkverkehr im Firmennetzwerk über RJ45 verschleiern
Mit einer normalen Anbindung/Einbindung in ein Firmennetzwerk über RJ45 Anschluss und DHCP bzw fester IP, können ja Administratoren auf Routern und Switchen den Internetverkehr mitschneiden/einsehen. Ebenso über eine Wlanverbindung wo der Router dann auch in das Firmennetzwerk eingebunden ist und über die selben Router und Switche läuft.
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Ich hatte VPN Verbindungen immer eher für das öffentliche Netz gedacht wo man sowieso nicht an Router und Switche rankommt.
Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?
Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.
LG
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Ich hatte VPN Verbindungen immer eher für das öffentliche Netz gedacht wo man sowieso nicht an Router und Switche rankommt.
Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?
Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4219481164
Url: https://administrator.de/forum/internetverkehr-netzwerkverkehr-im-firmennetzwerk-ueber-rj45-verschleiern-4219481164.html
Ausgedruckt am: 25.12.2024 um 18:12 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
wenn du den Admin nicht vertraust, dann hast du ein Problem.
Im eigenem Netzwerk werden alle HTTPS Verbindungen mitgelesen,
wie soll ansonsten ein Virus / Trojaner gefunden werden?
Wie ist dein Netzwerk aufgebaut?
Wenn das so wichtige Dokumente sind, wie willst du sicher stellen, das es bis zu Ziel verschlüsselt übertragen wird.
Da hilft nur eine Clinte-to-Clinte VPN mit Erlaubnis der Admins.
wenn du den Admin nicht vertraust, dann hast du ein Problem.
Im eigenem Netzwerk werden alle HTTPS Verbindungen mitgelesen,
wie soll ansonsten ein Virus / Trojaner gefunden werden?
Wie ist dein Netzwerk aufgebaut?
Wenn das so wichtige Dokumente sind, wie willst du sicher stellen, das es bis zu Ziel verschlüsselt übertragen wird.
Da hilft nur eine Clinte-to-Clinte VPN mit Erlaubnis der Admins.
Die GF hat ja viel vetrauen in ihre Admins.
So eine Position hat sehr viel mit Vertrauen zu tun. Kann ich diesem nicht mehr vertrauen wird alles schwierig.
Ich denke auch dass der Admin wenig interesse daran hat dort dann weiter zu Arbeiten wenn ihm so wenig vertrauen endgegen gebracht wird, er hat ja immerhin noch Zugriff auf den rest des Netzwerkes, Dateiablagen, AD usw.
Da würde ich eventuell einmal aufklären was die Position bedeutet und wo die grenzen sind. Ich denke das kann aber auch besser ein Admin / wer vom Fach beantworten. Bei der Frage würde ich schätzen das du nicht genug einblick in die Technischen Details hast um da aufzuklären (wenn ich mich irre tut es mir leid)
Zum Thema zurück. Auch in einem internen Netzwerk sollte jeder verkehr verschlüsselt sein, HTTP einfach blockieren. DNS wird mit AD z.b. schwieriger, und auch das untersteht dem Admin.
Merke:
Internet mit HTTPS / DNSSEC geht oder VPN
Intranet wird schwer, schwachstelle wird da der Server, bis dahin sollte aber eh verschlüsselt sein.
P.S.: Sollte es verschiedene Admin mit verschiedenen Rollen geben kann das ggf. abweichen wenn z.B. einer rein Netze macht usw.
P.P.S.: Ich würde evtl. auch mal hinterfragen was den das Ziel sein soll? Wo gibt es bedenken, welche Daten sind den so sensibel die nicht eh im Zugriff vom Admin auf dem Server liegen. Gibt es keine eklärung soll dort evtl. etwas verschleiert werden? Oder Privates nicht ersichtlich sein? Das könnte man noch ewig weiter spinnen.
So eine Position hat sehr viel mit Vertrauen zu tun. Kann ich diesem nicht mehr vertrauen wird alles schwierig.
Ich denke auch dass der Admin wenig interesse daran hat dort dann weiter zu Arbeiten wenn ihm so wenig vertrauen endgegen gebracht wird, er hat ja immerhin noch Zugriff auf den rest des Netzwerkes, Dateiablagen, AD usw.
Da würde ich eventuell einmal aufklären was die Position bedeutet und wo die grenzen sind. Ich denke das kann aber auch besser ein Admin / wer vom Fach beantworten. Bei der Frage würde ich schätzen das du nicht genug einblick in die Technischen Details hast um da aufzuklären (wenn ich mich irre tut es mir leid)
Zum Thema zurück. Auch in einem internen Netzwerk sollte jeder verkehr verschlüsselt sein, HTTP einfach blockieren. DNS wird mit AD z.b. schwieriger, und auch das untersteht dem Admin.
Merke:
Internet mit HTTPS / DNSSEC geht oder VPN
Intranet wird schwer, schwachstelle wird da der Server, bis dahin sollte aber eh verschlüsselt sein.
P.S.: Sollte es verschiedene Admin mit verschiedenen Rollen geben kann das ggf. abweichen wenn z.B. einer rein Netze macht usw.
P.P.S.: Ich würde evtl. auch mal hinterfragen was den das Ziel sein soll? Wo gibt es bedenken, welche Daten sind den so sensibel die nicht eh im Zugriff vom Admin auf dem Server liegen. Gibt es keine eklärung soll dort evtl. etwas verschleiert werden? Oder Privates nicht ersichtlich sein? Das könnte man noch ewig weiter spinnen.
Moin,
Dann wird es Zeit, das die Geschäftsführung mit den Admins redet. Diekönnen dann den GF sagen, was er machen muß, um sein Ziel zu erreichen. Und wenn er den Admin bei sowas nicht traut, hat er Eingang anderes Problem.
lks
PS: Ein externer Dienstleister, der das zusammen mit Euren Admins und eurer GF löst, wäre auch denkbar. Aber hier in Forum kann keiner Dir ohne Einblick in Eure Umgebung verraten, was für Euch die beste Lösung wäre.
PPS: Die GF soll sich einfach einen vom LAN getrennten PC leisten, der per LTE im Internet hängt. Dann haben Eure Admins (i.d.R.) keinen Zugriff auf die İnterbetverbindung.
Dann wird es Zeit, das die Geschäftsführung mit den Admins redet. Diekönnen dann den GF sagen, was er machen muß, um sein Ziel zu erreichen. Und wenn er den Admin bei sowas nicht traut, hat er Eingang anderes Problem.
lks
PS: Ein externer Dienstleister, der das zusammen mit Euren Admins und eurer GF löst, wäre auch denkbar. Aber hier in Forum kann keiner Dir ohne Einblick in Eure Umgebung verraten, was für Euch die beste Lösung wäre.
PPS: Die GF soll sich einfach einen vom LAN getrennten PC leisten, der per LTE im Internet hängt. Dann haben Eure Admins (i.d.R.) keinen Zugriff auf die İnterbetverbindung.
Wie soll man das technisch "verschleiern"? Der TCP-Header ist nicht verschlüsselt nur die transportierten Daten darin. In dem Header sind Informationen enthalten wie Absenderadresse und Zieladresse, Paketnummer, Sequenz etc. Dies sind essentiell wichtige Metadaten, damit es richtig geroutet wird und der entfernte Server die Pakete wieder zu einem vollständigen Satz zusammen setzen kann.
Jeder bessere Router oder Firewall kann die einen Report der Verbindungen zeigen, egal ob HTTPS oder VPN. Raus oder rein macht keinen Unterschied, es muss immer eine Quelle und ein Ziel bekannt sein.
Eine "vollständige Verschlüsselung" - was soll das sein? Ende-zu-Ende? Jede normale HTTPS-Verbindung in einem Browser ist eine Ende-zu-Ende verschlüsselte Verbindung.
Jeder bessere Router oder Firewall kann die einen Report der Verbindungen zeigen, egal ob HTTPS oder VPN. Raus oder rein macht keinen Unterschied, es muss immer eine Quelle und ein Ziel bekannt sein.
Eine "vollständige Verschlüsselung" - was soll das sein? Ende-zu-Ende? Jede normale HTTPS-Verbindung in einem Browser ist eine Ende-zu-Ende verschlüsselte Verbindung.
Moin...
hast du eine Ahnung von was für Datenmengen wir da reden?
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
das kommt auf eure infrastruktur an... natürlich ist das möglich!
Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
hihi... nun, Nord VPN darf also mitlesen, und vor eurem Admin habt ihr Angst
Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.
oha... vollständige Verschlüsselung
nee nee... so wird das nix!
warum fragt ihr nicht mal eure Admins dazu?
LG
Frank
Zitat von @CommodoreC64:
Mit einer normalen Anbindung/Einbindung in ein Firmennetzwerk über RJ45 Anschluss und DHCP bzw fester IP, können ja Administratoren auf Routern und Switchen den Internetverkehr mitschneiden/einsehen. Ebenso über eine Wlanverbindung wo der Router dann auch in das Firmennetzwerk eingebunden ist und über die selben Router und Switche läuft.
oha... administratoren haben ja nix besseres zu tun, als eure tätigkeiten einzushehen.Mit einer normalen Anbindung/Einbindung in ein Firmennetzwerk über RJ45 Anschluss und DHCP bzw fester IP, können ja Administratoren auf Routern und Switchen den Internetverkehr mitschneiden/einsehen. Ebenso über eine Wlanverbindung wo der Router dann auch in das Firmennetzwerk eingebunden ist und über die selben Router und Switche läuft.
hast du eine Ahnung von was für Datenmengen wir da reden?
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Ich hatte VPN Verbindungen immer eher für das öffentliche Netz gedacht wo man sowieso nicht an Router und Switche rankommt.
Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?
wenn ich irgendwas mitlesen will, installiere ich einen sniffer (Strafbar) dann nützt dir dein VPN gerödel auch nix!Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?
Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.
nee nee... so wird das nix!
warum fragt ihr nicht mal eure Admins dazu?
LG
Zitat von @maretz:
Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...
Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...
Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
Zitat von @chgorges:
Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
Mit Heißkleber die Ports zukleistern. Mailclient entsprechend präparieren. Und gleich einen Keylogger mit drauf....
Zitat von @CommodoreC64:
Ja, genau so ist es wie ihr teilweise denkt.
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.
LG
Ja, genau so ist es wie ihr teilweise denkt.
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.
LG
Wenn die GF den Admin los werden will (aus welchen Gründen auch immer) wird halt die Kündigung ausgesprochen mit sofortiger Freistellung.
Der darf dann noch begleitet seinen Arbeitsplatz räumen und gut ist.
Die gesicherten Verbindungen bringen halt auch nichts wenn der Admin trotzdem Zugriff auf die Server hat.
Als Ausgleich der fehlenden Arbeitskraft in dem Moment kann die GF dann ja einen externen Dienstleister beauftragen. Je nachdem von welcher Sorte der Dienstleister ist haben Sie dann auch Ihren perfekten JA-Sager gefunden.
Moin...
OHA....
LG
Frank
OHA....
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
hm... nicht das es dein Job ist, der entsorgt werden soll.... wärst nicht der erste!Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.
hm... dann gehört die GF ausgetausch, nicht der Admin!LG
Wenn ein Admin "bösswillig" ist, dann nutzen solche Vorkehrungen nichts. Immer hin Admin heißt "ich kann deine Daten/Mails lesen" - wenn man es wirklich möchte. Intern kann man Quelle und Ziel (und nächster Hop) nicht verbergen. Das sind nun mal TCP/IP Standards, die so funktionieren müssen.
Wenn der Admin Zugriff auf einen der GF/AL Geräte hat, dann nützt auch keine "Vollverschlüsselung", egal wie die auch aussehen mag.
Wenn der Admin Zugriff auf einen der GF/AL Geräte hat, dann nützt auch keine "Vollverschlüsselung", egal wie die auch aussehen mag.
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
Das machst du immer mit Macsec, IEEE 802.1AE auf der Switchinfrastruktur selber was gute, aktuelle Switches meist supporten.Oder indem du den Client Traffic ganz einfach mit IPsec oder einem anderen VPN Protokoll selber verschlüsselst. (Always on VPN etc.)
Guckst du z.B. auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Nein, denn öffentliche VPN Provider sind ja völliger Unsinn. Da machst du den Bock zum Gärtner, denn die kenne ja alle deine Schlüssel und geben sie auch an die raus die sie eigentlich nicht haben sollen. Vom Rest was die mit solchen Traffic machen nicht zu reden. Siehe auch hier was alles zu dem Unsinn mit öffentlichen VPNs sagt.Zitat von @chgorges:
Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
Zitat von @maretz:
Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...
Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...
Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
Stimmt - wenn Geschäftsführung und (bei Genehmigung) die Abteilungsleiter über das Risiko informiert wurden genau das. Genauso wie die ggf. das Laptop ja auch zuhause am Netz nutzen und sich da jeden Kram laden (ggf. im Homeoffice). Und? Wo ist das Problem? Die ADMINS sind idR. nicht die Chefetage und können zwar das Risiko ansprechen aber nix entscheiden. Wenn dann von Oben kommt "is ok, wollen wir trotzdem" sind auch Admins nur kleine Räder im Getriebe die sich dann entweder drehen oder ersetzt werden.
Es kann ja durchaus auch andere, plausible Gründe geben, warum man verhindern möchte, dass selbst Admins mitlesen können.
Dann nimmt man zur Kommunikation:
- Wire (ziemlich sicherer Messenger) und
- GPG-Verschlüsselung für Mails.
Bei den Mails sollte man bedenken, dass manche Mailclients die Betreffzeilen nicht verschlüsseln, d.h. der Betreff sollte dann generisch gehalten werden (also kein "Kündigung Mitarbeiter XYZ"). Außerdem muss man den Mailclient so einstellen, dass Zwischensicherungen, die automatisch erstellt werden, wenn man längere Texte schreibt, ebenfalls verschlüsselt werden. Oder die Zwischensicherungen ausschalten.
Wire kann innerhalb oder außerhalb des Firmennetzwerkes genutzt werden und funktioniert genauso wie Telegram.
Die beiden Maßnahmen sorgen dafür, dass kein Admin mitlesen kann, sofern nicht andere technische Maßnahmen, die einen Straftatbestand darstellen würden, installiert werden (z.B. Keylogger).
Wem GPG noch zu kompliziert ist, nimmt "age", siehe den Artikel auf heise: https://www.heise.de/news/age-1-0-0-Neue-und-simplere-GPG-Alternative-61 ....
Dann nimmt man zur Kommunikation:
- Wire (ziemlich sicherer Messenger) und
- GPG-Verschlüsselung für Mails.
Bei den Mails sollte man bedenken, dass manche Mailclients die Betreffzeilen nicht verschlüsseln, d.h. der Betreff sollte dann generisch gehalten werden (also kein "Kündigung Mitarbeiter XYZ"). Außerdem muss man den Mailclient so einstellen, dass Zwischensicherungen, die automatisch erstellt werden, wenn man längere Texte schreibt, ebenfalls verschlüsselt werden. Oder die Zwischensicherungen ausschalten.
Wire kann innerhalb oder außerhalb des Firmennetzwerkes genutzt werden und funktioniert genauso wie Telegram.
Die beiden Maßnahmen sorgen dafür, dass kein Admin mitlesen kann, sofern nicht andere technische Maßnahmen, die einen Straftatbestand darstellen würden, installiert werden (z.B. Keylogger).
Wem GPG noch zu kompliziert ist, nimmt "age", siehe den Artikel auf heise: https://www.heise.de/news/age-1-0-0-Neue-und-simplere-GPG-Alternative-61 ....
Aber im abschließbaren Kasten damit der Transport Layer (=Büro- oder Postbote) nicht mitliest.
lks
wie von mir schon vermutet gibt es keinen praktikablen Ansatz.
Dann hast du nicht richtig gelesen oder verstanden. MacSec und always on VPN sind durchaus praktikable Ansätze die in Praxis auch breit angewand werden bei solchen Anforderungen. Aber vermutlich hast du das übersehen. Egal...Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!
Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!
Zitat von @CommodoreC64:
Vieles richtig, aber wenn der Aufwand nicht rechtfertigt das "handeln ohne echte Notwendigkeit" nur der Grund für die Anforderung ist, dann werde ich mich nicht in ein Scharmützel begeben für Rechtfertigungen und Erklärungen gegenüber fachfremden Personen die nur ihren Willen und ihr Ego durchsetzen wollen. Würden sowieso nicht verstehen was ich Ihnen sagen würde. Ich hatte einfach gehofft das ich etwas übersehen hatte was einfach umzusetzen wäre.
Aber vielen dank für Deine Anmerkungen und auch die Antworten der Anderen.
So wie du richtig sagts, ich mach jetzt zu.
LG
Zitat von @aqui:
Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!
Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!
wie von mir schon vermutet gibt es keinen praktikablen Ansatz.
Dann hast du nicht richtig gelesen oder verstanden. MacSec und always on VPN sind durchaus praktikable Ansätze die in Praxis auch breit angewand werden bei solchen Anforderungen. Aber vermutlich hast du das übersehen. Egal...Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!
Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!
Vieles richtig, aber wenn der Aufwand nicht rechtfertigt das "handeln ohne echte Notwendigkeit" nur der Grund für die Anforderung ist, dann werde ich mich nicht in ein Scharmützel begeben für Rechtfertigungen und Erklärungen gegenüber fachfremden Personen die nur ihren Willen und ihr Ego durchsetzen wollen. Würden sowieso nicht verstehen was ich Ihnen sagen würde. Ich hatte einfach gehofft das ich etwas übersehen hatte was einfach umzusetzen wäre.
Aber vielen dank für Deine Anmerkungen und auch die Antworten der Anderen.
So wie du richtig sagts, ich mach jetzt zu.
LG
Auch wenn das Thema schon zu ist. Ich würde die Sache anders angehen. Eine technisch mögliche Lösung nicht zu nennen, obwohl bekannt, kann dir irgendwann auf die Füße fallen. Wenn du keine Prokura hast und somit nicht mitverantwortlich für die Finanzen deiner Firma bist, dann würde ich das geplante Vorgehen zur Umsetzung, die zu erwartenden Kosten (geschätzt, auch für Fremdfirmen, falls man Dinge selbst nicht umsetzen kann) und die Vor- (verbesserte Datensicherheit) und Nachteile (schlechtere Performance, mehr aufwand bei der Netzwerkkonfiguration und Planung, etc.), die sich daraus ergeben, aufschlüsseln und vorlegen. Das wird dann nicht auf dich zurückfallen und kann dir nicht als fehlendes Kompetenz ausgelegt werden, sondern dokumentiert maximal das Ego deines Vorgesetzten.
Grüße
PJM