bordeaux
Goto Top

Prüfen ob Clients im Büro sind oder im Homeoffice

Hallo liebe Admin Kollegen,

unsere HR-Abteilung braucht täglich die Info von mir wer im Büro war.
Hintergrund sind die Fahrkostenabrechnungen. Das OK vom Datenschützer haben wir für die Client Standortüberprüfung.

Egal wie ich das Thema drehe und wende ich komme nicht auf ein verlässliches Ergebnis:
- Script auf Clients ausführen:
Datum, Uhrzeit, Benutzername sind kein Problem.
IP: Schwierig, da User sich vor der Windows Anmeldung über VPN am Firmennetz anmelden können.

Ergebnis als CSV an Freigegebenen Ordner im Firmennetzwerk auswerfen, aber was wenn das Firmennetzwerk nicht verfügbar ist? Aber selbst dann wäre es unübersichtlich da jeder Client täglich eine eigene csv auswirft.

Chatgpt hat mir einige Lösungsvorschläge gegeben aber das sind alles nur Annäherungen und keine verlässliche Lösung.

Drittanbieter Programme habe ich gefunden aber es wird null erklärt wie die prüfen, daher kann ich deren Verlässlichkeit nicht trauen.

By the way wir haben Cisco meraki & anyconnect, falls man da ansetzen könnte.
Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).

Mir sind die Ideen ausgegangen, ich bin für Vorschläge offen face-smile

Viele Grüße

Bordeaux

Content-Key: 32815500911

Url: https://administrator.de/contentid/32815500911

Printed on: April 12, 2024 at 17:04 o'clock

Member: Trommel
Trommel Aug 25, 2023 updated at 13:07:46 (UTC)
Goto Top
Moin,

Zitat von @Bordeaux:
unsere HR-Abteilung braucht täglich die Info von mir wer im Büro war.
Hintergrund sind die Fahrkostenabrechnungen.

Hä? Also auf diese "vermeintliche Lösung" wäre ich definitiv nicht gekommen.
Und wenn jemand im Büro ist und sich nicht am PC anmeldet war er dann nicht da oder wie ?

Ihr habt doch ein Zeiterfassungssystem. Wird das nicht genutzt? Ihr müsst doch nicht protokollieren wer sich an der Software angemeldet hat sondern wer vor Ort Anwesend ist. HomeOffice wird separat ausgewiesen (Kategorie wie z.B.: Dienstgang etc.) Ich kenne jetzt HRworks nicht aber bei SAGE ist das möglich. Solche Anwesend / Abwesend Szenarien können auch über Zeitterminals (o.ä.) abgedeckt werden, wenn es nicht in der Software gemacht wird. Oder falls Ihr es erzwingen wollt auch über die Türsteuerung etc.

Zitat von @Bordeaux:
Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).

Ich denke, hier liegt das Problem. Du musst nicht schauen, von wo aus sich angemeldet wird. Das Grundübel ist die Nicht-Unterscheidung des Standortes beim Status "Anwesend".

Trommel
Member: PeterPanter
PeterPanter Aug 25, 2023 at 13:01:38 (UTC)
Goto Top
Moin, wie wäre es, die anyconnect-Logs auszuwerten? Evtl. noch mit Abgeleich AD-Anmeldung?

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/any ...

Gruß / PP
Member: Mystery-at-min
Mystery-at-min Aug 25, 2023 at 13:02:57 (UTC)
Goto Top
Hi,

eigentlich würde ich sagen, dass das Standard ist - aber per VPN solltest du bei einer gesunden Struktur immer eine nicht "Netzinterne" IP bekommen - Problem gelöst.

Ein kleiner Webdienst, beim Start...dann siehst direkt ob intern oder extern...

VG
Member: DerMaddin
DerMaddin Aug 25, 2023 at 13:06:08 (UTC)
Goto Top
Wenn das Skript alle lokalen IP-Adressen erfasst, dann ist es egal ob via VPN verbunden oder nicht. Das Interface, dass mit dem Heim oder Office-Netz verbunden ist, wird ja zu 99% aller Fälle unterschiedliche IPs haben oder?

Für mich wäre das ausreichend, um zu erkennen, wo ein Client war zum Zeitpunkt X war.
Member: Bordeaux
Bordeaux Aug 25, 2023 at 13:10:28 (UTC)
Goto Top
Zitat von @Trommel:

Moin,

Zitat von @Bordeaux:
unsere HR-Abteilung braucht täglich die Info von mir wer im Büro war.
Hintergrund sind die Fahrkostenabrechnungen.

Hä? Also auf diese "vermeintliche Lösung" wäre ich definitiv nicht gekommen.
Und wenn jemand im Büro ist und sich nicht am PC anmeldet war er dann nicht da oder wie ?

Ihr habt doch ein Zeiterfassungssystem. Wird das nicht genutzt? Ihr müsst doch nicht protokollieren wer sich an der Software angemeldet hat sondern wer vor Ort Anwesend ist. HomeOffice wird separat ausgewiesen (Kategorie wie z.B.: Dienstgang etc.) Ich kenne jetzt HRworks nicht aber bei SAGE ist das möglich. Solche Anwesend / Abwesend Szenarien können auch über Zeitterminals (o.ä.) abgedeckt werden, wenn es nicht in der Software gemacht wird. Oder falls Ihr es erzwingen wollt auch über die Türsteuerung etc.

Zitat von @Bordeaux:
Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).

Ich denke, hier liegt das Problem. Du musst nicht schauen, von wo aus sich angemeldet wird. Das Grundübel ist die Nicht-Unterscheidung des Standortes beim Status "Anwesend".

Trommel

Hallo Trommel,

danke für deine Idee. Das ganze ist aufgekommen nachdem man herausgefunden hat, dass jemand ständig im Homoffice war, diese aber in der Zeiterfassung nicht eingetragen hat. Damit hat die Person immer den Fahrtkostenzuschuss erhalten ohne Berechtigt zu sein. Unsere Türstuerung hat keine Funktion außer die Tür aufzumachen.
Daher meine Idee über IP zu gehen,

Bordeaux
Member: em-pie
em-pie Aug 25, 2023 at 13:13:40 (UTC)
Goto Top
Moin,

kannst du nicht das LogFile des VPN-Servers auswerten?
Member: TwistedAir
TwistedAir Aug 25, 2023 at 13:22:25 (UTC)
Goto Top
Moin.

unsere HR-Abteilung braucht täglich die Info von mir wer im Büro war.

Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).

Meiner Meinung nach sollte sich dann auch die HR darum kümmern valide Daten zu erhalten. Sprich, eine Software zu besorgen, die genau diese von ihr gewünschte Anforderung erfüllt. Und wenn das HRworks die erwünschte Funktion nicht zuverlässig kann, dann wird es auf dem Markt bestimmt eine Zeiterfassung geben, die es kann.
Aber als IT irgendwelche Krücken zu basteln und, falls etwas mal nicht klappen sollte, am besten noch den Prügelknaben spielen zu müssen, das muss doch nicht sein.

Es muss auch nicht eine technische Lösung sein: die HR könnte eine Liste (meinetwegen auch Excel-Liste, etc.) bereitstellen, in dem die Mitarbeiter ihre Anwesenheit einträgt. Einfach per Dienstanweisung, aber es geht von der HR aus.

Das OK vom Datenschützer haben wir für die Client Standortüberprüfung.

Auch die vom Betriebs- bzw. Personalrat? Für mich hört sich das an, als ob die Maßnahme in Richtung "Arbeitsüberwachung" (welcher Rechner ist wann wo angemeldet) gehen könnte.

Grüße
TA
Member: Bordeaux
Bordeaux Aug 25, 2023 at 13:23:15 (UTC)
Goto Top
Zitat von @Mystery-at-min:

Hi,

eigentlich würde ich sagen, dass das Standard ist - aber per VPN solltest du bei einer gesunden Struktur immer eine nicht "Netzinterne" IP bekommen - Problem gelöst.

Ein kleiner Webdienst, beim Start...dann siehst direkt ob intern oder extern...

VG

Hallo Mystery-at-min,

Ja unser Netz ist aufgeteilt.
Danke für deine Idee. Kannst Du mir bitte den Webdienst erläutern, ich stehe gerade auf dem Schlauch?

Viele Grüße

Bordeaux
Member: Mystery-at-min
Mystery-at-min Aug 25, 2023 at 13:28:43 (UTC)
Goto Top
Das, was du meinst nennt sich Hey Joe...dann werden Entscheidungen nur noch nach persönlicher (HR) Perspektive getroffen, völlig egal, ob es in den Gesamten kosmos passt.
Member: TwistedAir
TwistedAir Aug 25, 2023 at 13:30:52 (UTC)
Goto Top
Zitat von @Trommel:

Hä? Also auf diese "vermeintliche Lösung" wäre ich definitiv nicht gekommen.
Und wenn jemand im Büro ist und sich nicht am PC anmeldet war er dann nicht da oder wie ?

Ihr habt doch ein Zeiterfassungssystem. Wird das nicht genutzt? Ihr müsst doch nicht protokollieren wer sich an der Software angemeldet hat sondern wer vor Ort Anwesend ist. HomeOffice wird separat ausgewiesen (Kategorie wie z.B.: Dienstgang etc.) Ich kenne jetzt HRworks nicht aber bei SAGE ist das möglich. Solche Anwesend / Abwesend Szenarien können auch über Zeitterminals (o.ä.) abgedeckt werden, wenn es nicht in der Software gemacht wird.

+1

Dann soll die Zeiterfassung eben zwei Button zur Verfügung stellen: "Kommen Büro" und "Kommen Home-Office" (das "Gehen" sollte ja egal sein).

Gruß
TA
Member: chiefteddy
chiefteddy Aug 25, 2023 at 13:34:37 (UTC)
Goto Top
Unsere "Stempeluhr" hat auch eine Mobil-App für Monteure, die von zu Hause gleich zum Kunden fahren. Die "stempeln" dann per Handy. Für die App kann das Protokollieren der GPS-Daten bei der Stempelung aktiviert werden. Damit ist klar wo jemand war, als die Arbeit begann.

Jürgen
Member: clSchak
clSchak Aug 25, 2023 at 13:40:29 (UTC)
Goto Top
Hallo Trommel,

danke für deine Idee. Das ganze ist aufgekommen nachdem man herausgefunden hat, dass jemand ständig im Homoffice war, diese aber in der Zeiterfassung nicht eingetragen hat. Damit hat die Person immer den Fahrtkostenzuschuss erhalten ohne Berechtigt zu sein. Unsere Türstuerung hat keine Funktion außer die Tür aufzumachen.
Daher meine Idee über IP zu gehen,

Bordeaux

Ich hoffe ja, dass der eine Abmahnung oder gar Kündigung erhalten hat, dass ist Betrug und nichts anderes.

Und wie bereits die anderen beschrieben haben, ist eine Auswertung via IP ermittlung durchaus möglich, die User im VPN haben ja, wahrscheinlich, keine IP aus dem internen Firmennetz und darauf kannst doch filtern. Auch sollte die PZE Lösung protokollieren von welchem Client die Buchung kam, idealerweise mit IP, dann hast doch bereits alles im System. Ich weis nicht wie viele Clients ihr da habt, aber alles >20 Clients ist ja dann am Monatsende ein riesiger Aufwand das mit der HR abzugleichen, scheinbar haben die Leute bei euch noch genug Ressourcen und Kapazitäten frei das zu machen.

Ansonsten hilft dir ein Asset-/Clientmanagement weiter, dass dir täglich Reports ausspuckt woher sich der Client gemeldet hat.
Member: aqui
aqui Aug 25, 2023 at 14:40:08 (UTC)
Goto Top
Cisco meraki & anyconnect
Verbranntes Geld wo man bei Meraki immer mit den Default L2TP onboard Clients aller üblichen Endgeräte arbeiten kann.
https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configurati ...
Damit wäre dann auch die Erfassung der Standortdaten der Windows User ein Kinderspiel, da bordeigener Client! face-wink
Member: SeaStorm
SeaStorm Aug 25, 2023 at 14:44:58 (UTC)
Goto Top
Das ist ein HR und kein IT Problem. Da würde ich mal dringend die Finger von lassen.
Es gibt 1000 Möglichkeiten wieso sowas schief gehen kann und wird.
VPN Logs auswerten und damit bestimmen das er im HO war: User klickt vor oder nach dem eigentlichen Geschäft noch mal auf die VPN um irgendwas zu machen,
User ist im Geschäft und wählt sich einfach 1x kurz in die VPN ein von intern.
User ist Unterwegs für das Geschäft und nutzt warum auch immer gar keine VPN. Und jetzt?

Warum ist das ein HR Problem? Weil es deren Aufgabe ist die entsprechenden Werkzeuge bereitzustellen.
Üblicherweise hat man seine Zeiterfassung und klickt da an ob man für den Tag extern ist. Oder man reicht einfach seine Fahrtkosten nach, ganz Oldschool. Jemand Betrügt dabei? Kündigen und anzeigen.

Egal wie: Kein technisches sondern ein Organisatorisches Problem.


Aber würde man mich dazu zwingen das zu tun: VPN Login und Logoff des Tages Auswerten.
Mehr als x Stunden per VPN eingewählt war er extern. Darunter Eingewählt fraglich. nicht eingewählt ist Intern.
Ich würde die technischen Möglichkeiten auf den Tisch legen, die Regeln dazu bestimmt aber jemand anderes. Und wenn was schief geht ist das nicht mein Problem
Member: Lochkartenstanzer
Lochkartenstanzer Aug 25, 2023 at 14:45:56 (UTC)
Goto Top
Moin,

Die lokale IP-Adresse des Clients am NIC sollt ehinreichend sein, um zu unterscheiden, ob Homeoffice oder nicht. Denn da IP-netze disjunkt sein müssen, wenn sie per VPN verbunden sind, sollte es nicht vorkommen, daß die Clients den gleichen IP-Nummernkreis wie euer lokales LAn haben.

lks
Member: Spirit-of-Eli
Spirit-of-Eli Aug 25, 2023 at 16:44:40 (UTC)
Goto Top
Moin,

beim stempeln müssen wir HO auswählen.
Vor Ort gibt es halt auch noch Stempel Uhren.

Da Arbeitsanweisung = Kündigung bei zur wieder Handlung.

Gruß
Spirit
Member: Celiko
Celiko Aug 25, 2023 at 18:46:53 (UTC)
Goto Top
Wir nutzen flexopus. Da müssen sich die Kollegen ihren Arbeitsplatz buchen.
Wenn Sie das nicht tun gehen wir davon aus, dass der Mitarbeiter zuhause ist.

Vg
Member: Dani
Dani Aug 25, 2023 updated at 20:26:07 (UTC)
Goto Top
Moin,
ich bin da vollumfänglich bei Kollegen @clSchak und & Co. Mir leuchtet es auch nach 5 Jahren noch nicht ein, warum man organisatorische Themen immer mit Technik erschlagen muss?

Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).
Falsches Produkt. Wenn ein Produkt diese Funktion nach der letzten Pandemie nicht beherrscht, ist entweder Marktführer oder hat den Zug verpasst. Mit dieser Aussage würde ich deutlich den Vertriebler konfrontieren - spätestens bei der nächsten Preiserhöhung!

Ergebnis als CSV an Freigegebenen Ordner im Firmennetzwerk auswerfen, aber was wenn das Firmennetzwerk nicht verfügbar ist? Aber selbst dann wäre es unübersichtlich da jeder Client täglich eine eigene csv auswirft.
Da würde ich nicht ansatzweise daran denken! Willst du dann die selbst generierten Logfiles auch 30 Jahre (oder sogar länger) aufheben? Weil es ist aus meiner Sicht eine Datengrundlage für die Lohnabrechnung. D.h. es ist evtl. nicht nur relevant für die Arbeitgeber sondern auch für die Prüfungen (Sozial, Finanzamt, etc.).

Unabhängig davon hältst du auch den Kopf hin, wenn das Logfile unvollständig oder nicht korrekt geschrieben wurde? Weil das hat ja evtl. (gravierende) Auswirkungen wieder auf den Lohn und Steuer. Da steht dann hinterher Aussage des MA gegen die Aussage der IT/HR. Da könnte man euch/dir auch einen Strick draus drehen in Richtung Steuerhinterziehung. Und seit dir sicher, wenn es hart auf hart kommt, hebt die HR den Finger und zeigt damit auf die IT, dich.


Gruß,
Dani
Member: mayho33
mayho33 Aug 25, 2023 at 19:53:28 (UTC)
Goto Top
Hi,

Du könntest die VPN-Verbindung abfragen. Voraussetzung, dass VPN zwingend ist im HO

Grüße!
Member: tikayevent
tikayevent Aug 25, 2023 at 21:56:18 (UTC)
Goto Top
IP: Schwierig, da User sich vor der Windows Anmeldung über VPN am Firmennetz anmelden können.
Einfach verbieten, dass man sich aus dem Büronetzwerk mit dem VPN verbinden kann. Wir hatten damit früher auch Probleme, dass die Benutzer einfach mit aktiver VPN-Verbindung ins Büro gekommen sind- Seit dem kann der Hostname des VPN-Gateways im LAN nicht mehr aufgelöst werden und eine Firewallregel verbietet, für den Fall dass ein Benutzer mit einem entsprechenden Eintrag im DNS-Cache, doch eine Verbindung aufbauen können.

Damit wäre die Auswertung per "VPN or not to VPN" sehr einfach möglich.
Member: Drohnald
Drohnald Aug 26, 2023 updated at 07:06:38 (UTC)
Goto Top
Hi,

ich zitiere mal einen meiner Lieblingssprüche:
Es gibt keine technische Lösung für ein organisatorisches Problem.

Diejenigen, die betrügen wollen, werden das irgendwie machen. Bei so einer für Menschen triviale, aber für Maschinen komplexe Aufgabe ist es weit sinnvoller, sich auf den Menschen zu verlassen.

+1 für alle Vorschläge bei der Zeiterfassung mit "Kommt HO" und "Kommt".

Denn es wird für deine technische Lösung ständig Ausnahmen geben: Jemand arbeitet 2 Stunden von zu Hause und fährt dann doch noch in die Arbeit für 7 Stunden.
Member: clSchak
clSchak Aug 26, 2023 at 07:38:19 (UTC)
Goto Top
@Dani den Einwurf mit der Aufbewahrungspflicht hatte ich jetzt gar nicht auf den Schirm face-smile. Die haben bei uns ähnliches vor und jetzt hab ich _endlich_ eine rechtliche Grundlage warum das eine "dumme Idee" ist face-smile

Da muss ich jetzt mal unser ECM-, ISO und HR-Team triggern, die haben die "Idee" "bedenkenlos" durchgewunken, die Aufbewahrungsfristen hat wohl kaum jemand beachtet. Die meisten beachten nur die 10J nach HGB(?) für Geschäftsdokumente. Ich denke, da müssen wahrscheinlich noch ein paar mehr Prozesse / Abläufe beachtet werden, da wir immer mehr "digital" ohne Papier machen (ja, einige Bereiche sind immer noch im Neuland :D)
Member: geraldxx
geraldxx Aug 26, 2023 updated at 13:01:21 (UTC)
Goto Top
Zitat von @Bordeaux:

Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).


Und warum soll das nicht zulässig sein? Da würde ich mal nachhaken, schließlich wäre das die einfachste und eleganteste Lösung.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 26, 2023 at 13:03:30 (UTC)
Goto Top
Zitat von @geraldxx:

Zitat von @Bordeaux:

Unser Zeiterfassungssytem HRworks, kann sagen von wo aus sich die User angemeldet haben (Terminal im Büro oder Online) aber deren Support hat uns schriftlich bestätigt das dies nicht zuverlässig sei (facepalm).


Und warum soll das nicht zulässig sein? Da würde ich mal nachhaken, schließlich wäre das die einfachste und eleganteste Lösung.
Genau lesen und verstehen würde ich sagen. face-smile

lks
Member: Bordeaux
Bordeaux Sep 03, 2023 at 16:11:48 (UTC)
Goto Top
Vielen Dank für die Zahlreichen tipps. Wir haben uns nun für ein Script entschieden das die eigene öffentliche IP überprüft und eine csv erstellt wobei allen beteiligten bewusst ist das die Methode nicht 100% verlässlich ist.
Member: em-pie
em-pie Sep 03, 2023 at 16:17:55 (UTC)
Goto Top
Ihr solltet obendrein, als (rechtlich) stabile Version mit eurem PZE-Hersteller sprechen, der euch einen Softclient mit „HomeOffice kommen“ bzw. „HomeOffice gehen“ bereitstellt.
Das kann man dann in einen Monatsbericht einarbeiten lassen, den man ggf. dem F-Amt für die Einkommensteuer-Erklärung mitgeben kann.
Member: aqui
aqui Sep 03, 2023 at 17:19:56 (UTC)
Goto Top
Member: Dani
Dani Sep 03, 2023 at 19:48:28 (UTC)
Goto Top
Moin,
Wir haben uns nun für ein Script entschieden das die eigene öffentliche IP überprüft und eine csv erstellt wobei allen beteiligten bewusst ist das die Methode nicht 100% verlässlich ist.
letzter Hinweis von mir: Es gibt einige Urteile im Bezug auf DSGVO, was das speichern von öffentlichen IP-Adressen von Mitarbeitern angeht. Wenn das nicht geklärt wird, einen findigen Mitarbeiter hast, kann das zu einem Bumerang werden...


Gruß,
Dani
Member: Spirit-of-Eli
Spirit-of-Eli Sep 03, 2023 at 20:10:59 (UTC)
Goto Top
Die Leute sollen sich einfach korrekt am Anfang einbuchen und am Ende ausbuchen. Fertig.

Das ganze als Arbeitsanweisung und bei nicht Einhaltung darf sich die perso darum kümmern. Dann habt ihr auch die Möglichkeit einer Abmahnung.

Ich würde mich da gar nicht auf eine technische Lösung einlassen. Es sei denn du hast wirklich alles zero trust mäßig im griff. Ansonsten wird das eh nichts.