Sicherheitsbedenken bei Einrichtung einer VPN im Unternehmen
Hallo liebe Administratoren,
folgendes Problem: In unserem Unternehmen (Aufbauhersteller von Geld- und Werttransporter) gibt es viele Außendienstmitarbeiter, welche ihre Arbeitszeit in Zukunft gerne per App registrieren möchten. Dabei müssen die Smartphones der betreffenden Personen mittels VPN - Verbindung auf den Zeiterfassungsserver (extra Server nur für die Zeiterfassung) zugreifen.
Die Kollegen bewegen sich in ganz Europa, wobei das in Bezug auf die VPN - Verbindung unrelevant ist. Die Angst besteht darin, das Hacker diese VPN nutzen um sich Zugriff für das gesamte System (nicht nur den Zeiterfassungsserver) zu gewähren. Hier könnnen dann brisante Kunden- und Angebotsdaten, aber auch sämtliche Eigenentwicklungen (vorrangig selbstentwickelte Programme) eingesehen / gelöscht / bearbeite werden
Unser interner Systemadministrator spricht sich daher eindeutig Gegen eine Nutzung einer VPN Verbindung aus, wie ist eure Meinung dazu, sind die strengen Sicherheitsbedenken berechtigt?
Wie sicher ist eine solche VPN Verbindung?
Gibt es eventuell Anbieter die Ihr empfehlen könnt? (Im Internet lese ich viel das die Versprechen der Anbieter wie üblich nur typische Marketingflosskeln sind)
Würden Ihr das Risiko in diesem Fall eingehen oder wie üblich die Zeiten manuell festhalten und von einem Kollegen nachträglich ins System einpflegen lassen?
folgendes Problem: In unserem Unternehmen (Aufbauhersteller von Geld- und Werttransporter) gibt es viele Außendienstmitarbeiter, welche ihre Arbeitszeit in Zukunft gerne per App registrieren möchten. Dabei müssen die Smartphones der betreffenden Personen mittels VPN - Verbindung auf den Zeiterfassungsserver (extra Server nur für die Zeiterfassung) zugreifen.
Die Kollegen bewegen sich in ganz Europa, wobei das in Bezug auf die VPN - Verbindung unrelevant ist. Die Angst besteht darin, das Hacker diese VPN nutzen um sich Zugriff für das gesamte System (nicht nur den Zeiterfassungsserver) zu gewähren. Hier könnnen dann brisante Kunden- und Angebotsdaten, aber auch sämtliche Eigenentwicklungen (vorrangig selbstentwickelte Programme) eingesehen / gelöscht / bearbeite werden
Unser interner Systemadministrator spricht sich daher eindeutig Gegen eine Nutzung einer VPN Verbindung aus, wie ist eure Meinung dazu, sind die strengen Sicherheitsbedenken berechtigt?
Wie sicher ist eine solche VPN Verbindung?
Gibt es eventuell Anbieter die Ihr empfehlen könnt? (Im Internet lese ich viel das die Versprechen der Anbieter wie üblich nur typische Marketingflosskeln sind)
Würden Ihr das Risiko in diesem Fall eingehen oder wie üblich die Zeiten manuell festhalten und von einem Kollegen nachträglich ins System einpflegen lassen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317860
Url: https://administrator.de/contentid/317860
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
mein Vorschlag:
So ist der "Datenfluß" nur in eine Richtung und kann, bei entsprechender vorgehensweise auch zu keiner Infektion führen.
lks
mein Vorschlag:
- ein zeiterfassungsserver, der von allem anderren getrennt ist und per VPn erreicht werden kann.
- Dieser macht einen Datenexport auf leeren Stick/HDD und der wird dann im "echten" zeitserver eingelesen.
So ist der "Datenfluß" nur in eine Richtung und kann, bei entsprechender vorgehensweise auch zu keiner Infektion führen.
lks
Hallo,
VPN wird millionenfach eingesetzt auch für hochsensibele Daten.
Wenn euch eure internen Daten so wichtig sind muss eine Firewall technische Trenunng zwischen den beiden Netzen erfolgen.
Im Zweifelsfall muss auch ein physikalische Tennung der Netze aufgebaut werden.
wenn die Aussendienstler ihr Zeiterfassung per Mail an euch schicken... wie gewährleistet ihr da das die Daten nicht verseucht sind und ein Virus mitkommt?
Da du aber nicht sagst welchen Typ VPN ihr einsetzen wollt oder wogegen sich der Admin konkret weigert ist das schwierig.
Da bräuchten wir noch ein paar Informationen....
brammer
VPN wird millionenfach eingesetzt auch für hochsensibele Daten.
Wenn euch eure internen Daten so wichtig sind muss eine Firewall technische Trenunng zwischen den beiden Netzen erfolgen.
Im Zweifelsfall muss auch ein physikalische Tennung der Netze aufgebaut werden.
wenn die Aussendienstler ihr Zeiterfassung per Mail an euch schicken... wie gewährleistet ihr da das die Daten nicht verseucht sind und ein Virus mitkommt?
Da du aber nicht sagst welchen Typ VPN ihr einsetzen wollt oder wogegen sich der Admin konkret weigert ist das schwierig.
Da bräuchten wir noch ein paar Informationen....
brammer
Hi
was für eine Firewall habt ihr ? Sonst ordentliches VPN (SSL/IPSEC) mit ordentlichen crypto settings, eine ACL die nur den Zugriff auf den einen Server erlaubt ordentliche Passwörter/Zertifikate und im Idealfall 2-Faktor Authentifizierung dann sollte rein beim VPN nix schiefgehen.
Der Client sollte natürlich auch dementsprechend sicher sein
LG
was für eine Firewall habt ihr ? Sonst ordentliches VPN (SSL/IPSEC) mit ordentlichen crypto settings, eine ACL die nur den Zugriff auf den einen Server erlaubt ordentliche Passwörter/Zertifikate und im Idealfall 2-Faktor Authentifizierung dann sollte rein beim VPN nix schiefgehen.
Der Client sollte natürlich auch dementsprechend sicher sein
LG
Hi.
Ganz einfach: es geht gar nicht um die Sicherheit des VPNs.
Es geht darum, wo es aufgebaut wird. Wenn Du zulässt, dass Leute das VPN auf ihren Privatgeräten (PC oder Handy), die nicht von Euch administriert werden, aufbauen, hast Du bereits einen großen Verlust an Kontrolle. Keylogger könnten alle Eingaben inklusive eingegebener Kennwörter aufzeichnen. Das VPN hat darauf keinen Einfluss.
Ganz einfach: es geht gar nicht um die Sicherheit des VPNs.
Es geht darum, wo es aufgebaut wird. Wenn Du zulässt, dass Leute das VPN auf ihren Privatgeräten (PC oder Handy), die nicht von Euch administriert werden, aufbauen, hast Du bereits einen großen Verlust an Kontrolle. Keylogger könnten alle Eingaben inklusive eingegebener Kennwörter aufzeichnen. Das VPN hat darauf keinen Einfluss.
Zitat von @DerWoWusste:
Es geht darum, wo es aufgebaut wird. Wenn Du zulässt, das Leute das VPN auf ihren Privatgeräten (PC oder Handy), die nicht von Euch administriert werden, aubauen, hast Du bereits einen großen Verlust an Kontrolle.
Es geht darum, wo es aufgebaut wird. Wenn Du zulässt, das Leute das VPN auf ihren Privatgeräten (PC oder Handy), die nicht von Euch administriert werden, aubauen, hast Du bereits einen großen Verlust an Kontrolle.
Deswegen trennt man die "mobile" Datenerfassung komplett vom Rest ab und schafft definierte Schnittstellen, wie diese Daten in die internen Systeme rein dürfen.
lks
Moin,
andere Frage: Wozu überhaupt VPN für die Zeiterfassung?
Wenn man da eine saubere API bereit stellt braucht es kein VPN. Das ist nicht mehr als eine RestAPI wie sie Millionenfach im Internet eingesetzt wird. Diese kann man ohne Probleme absichern. Dann kann man sich das VPN Thema komplett sparen und alle sind Glücklich. Außerdem ist es dann auch egal von welchen Geräten aus man die Zeiterfassung vornimmt.
Gruß
Chris
andere Frage: Wozu überhaupt VPN für die Zeiterfassung?
Wenn man da eine saubere API bereit stellt braucht es kein VPN. Das ist nicht mehr als eine RestAPI wie sie Millionenfach im Internet eingesetzt wird. Diese kann man ohne Probleme absichern. Dann kann man sich das VPN Thema komplett sparen und alle sind Glücklich. Außerdem ist es dann auch egal von welchen Geräten aus man die Zeiterfassung vornimmt.
Gruß
Chris
Moin,
Gruß,
Dani
Richtig, für diese Augabe würde ich auch komplett auf VPN verzichten! An- und Abmelden geht z.B. auch über eine einfache Website im Internet.
sehe ich auch so. Wir haben für sowas ähnliches auch kein VPN im Einsatz. Wir nutzen dazu eine Clientauthentifizierung via Zertifikat am Webserver. Somit kann zwar jeder die Seite aufrufen, aber ohne das passende Zertifikat erscheint eine leere Seite. Die Verbindung selbst ist natürlich ausschließlich über HTTPS erreichbar.Gruß,
Dani
Die Diskussion steht und fällt damit, wie man dieses System zur Abeitszeitregistrierung denn benutzt.
Muss man sich dazu authentifizieren? Mit Sicherheit. Werden dafür die Anmeldedaten benutzt, mit denen man sich auch an der Domäne authentifiziert? Ja? Dann haben diese Anmeldedaten nichts auf privaten Geräten verloren. Die Übertragungsart (VPN/SSL/Laserbeam/...) hat da nun mal gar nichts zu sagen. Wenn ich die Anmeldedaten dort eingebe, können Sie abgegriffen werden. Verseuchte Privatgeräte gibt es ja nun zu Hauf, auch Telefone.
Muss man sich dazu authentifizieren? Mit Sicherheit. Werden dafür die Anmeldedaten benutzt, mit denen man sich auch an der Domäne authentifiziert? Ja? Dann haben diese Anmeldedaten nichts auf privaten Geräten verloren. Die Übertragungsart (VPN/SSL/Laserbeam/...) hat da nun mal gar nichts zu sagen. Wenn ich die Anmeldedaten dort eingebe, können Sie abgegriffen werden. Verseuchte Privatgeräte gibt es ja nun zu Hauf, auch Telefone.