VPN-Verbindung Home Office - was sieht mein Arbeitgeber?

Hi zusammen,

wenn ich von meinem privaten Laptop und von zu Hause aus über eine VPN-Verbindung mit dem Netzwerk meines Arbeitgebers verbunden bin, kann dann der AG alle Internetseiten, die ich während der bestehenden VPN-Verbindung besucht habe, einsehen?

Ich habe schon auf der Seite https://www.wieistmeineip.de/ geprüft, es werden NICHT zwei unterschiedliche IP-Adressen angezeigt, also es wird sowohl bei bestehender VPN-Verbindung zum AG als auch ohne Verbindung jeweils meine "private" IP angezeigt.

Ich kann auch ganz normal über meinen heimischen Drucker, der über W-Lan läuft, etwas ausdrucken.

Habe ich hiermit den "Beweis", dass ich sozusagen zwar Zugriff auf den Server von meinem Arbeitgeber habe, aber halt nur, um dort Daten abzulegen oder so, aber mein normales "Internet" also alles was ich so im Internet mache (E-Mails schreiben, Youtube, usw.) läuft demnach über meinen privaten Internetanbieter und hat also nichts mit dem Server von meinem Arbeitgeber zu tun??

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?

Danke vorab für eine Antwort eurerseits!

Content-Key: 1105017200

Url: https://administrator.de/contentid/1105017200

Ausgedruckt am: 21.09.2021 um 21:09 Uhr

Mitglied: tech-flare
tech-flare 30.07.2021 um 19:03:52 Uhr
Goto Top
Zitat von @kalakkai:

Hi zusammen,
Hallo,

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?
Ganz einfach....dich nicht mit VPN verbinden. Wenn du per VPN verbunden bist, machst du dies ja um zu arbeiten.....also tu dies auch und surfe nicht im Internet.

Gruß
Mitglied: Pjordorf
Pjordorf 30.07.2021 um 19:08:31 Uhr
Goto Top
Hallo,

Zitat von @kalakkai:
Ich habe schon auf der Seite https://www.wieistmeineip.de/ geprüft, es werden NICHT zwei unterschiedliche IP-Adressen angezeigt, also es wird sowohl bei bestehender VPN-Verbindung zum AG als auch ohne Verbindung jeweils meine "private" IP angezeigt.
Ohne wäre ja nun schwer eine VPN Verbindung aufzubauen :-) face-smile

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?
No VPN ist die einzige möglichkeit wenn dein AG dich ausspionieren (per VPN) will. Ansonsten gilt: Das einzige Sichere Internet ist eben kein Internet

Gruß,
Peter
Mitglied: kalakkai
kalakkai 30.07.2021 aktualisiert um 19:12:36 Uhr
Goto Top
Hallo ihr beiden,

dass ich lieber keine VPN-Verbindung hergestellt haben sollte, wenn ich als Privatperson im Internet surfen möchte, ist mir schon klar.

Falls ich die Verbindung jedoch versehentlich aktiviert ließ und halt im Internet unterwegs war, ist es ja schon zu spät... jetzt ist halt die Frage, ob ich das irgendwie prüfen kann.

Geht das irgendwie?
Mitglied: BirdyB
BirdyB 30.07.2021 um 19:23:09 Uhr
Goto Top
Hi,
da gibt es ja zwei Aspekte. Die DNS-Auflösung und das Routing.
Wenn die VPN-Verbindung als DNS den Server deines AG setzt, wäre es zumindest möglich die Domains, die du aufgerufen hast zu ermitteln.
Über das Routing wird festgelegt wo der Traffic langläuft, also entweder komplett über das VPN oder per Split-Tunneling.
Die Tatsache, dass du unabhängig von der VPN-Verbindung die gleiche IP siehst, spricht hier eher für Split-Tunneling. Genaueres sagt dir route -p mit eingeschaltetem VPN.
Beim Split-Tunneling läuft der „normale“ Traffic direkt über deinen Internet-Anschluss und somit nicht über den AG.

VG
Mitglied: Pjordorf
Pjordorf 30.07.2021 um 19:29:24 Uhr
Goto Top
Hallo,

Zitat von @kalakkai:
jetzt ist halt die Frage, ob ich das irgendwie prüfen kann.
Von deiner seite: eher nicht.

Geht das irgendwie?
Kommt unter anderem auf Konfiguration und der eingesetzten HW/SW an. Dann braucht es noch einen neugierigskeitgrad und evtl. viele Dollarscheine und einen Admin der das umsetzt (auch wenns verboten sei). Auch https://de.wikipedia.org/wiki/Pegasus_(Spyware) wirds irgendwann zu kaufen geben ohne eine REgierung zu sein.

Gruß,
Peter
Mitglied: kalakkai
kalakkai 30.07.2021 um 19:32:46 Uhr
Goto Top
Hi BirdyB,

danke für deine kompetente Rückmeldung.

Meinst du mit route -p den cmd-Befehl "route print"? Diesen habe ich soeben durchgeführt, einmal mit eingeschaltetem VPN und einmal ohne. Allerdings ist das für mich fachchienesisch. Mir werden also mehrere Spalten angezeigt (Netzwerkziel, Netzwerkmaske, Gateway, Schnittstelle, Metrik).

Kannst du mir sagen, ob und wie ich hieraus ablesen kann, was über meinen Arbeitgeber läuft bzw. was er schlussendlich einsehen kann?

(Mich beruhigt aber auf jeden Fall schonmal, dass du von einem "Split-Tunneling" bei mir ausgehst.... Ich hoffe trotzdem stark, dass mein Privatleben auch privat bleibt..)

Danke.
Mitglied: kalakkai
kalakkai 30.07.2021 um 19:34:35 Uhr
Goto Top
Danke Peter, daraus schließe ich, dass falls mein Arbeitgeber bzw. der Admin meinen Traffic einsehen sollte, es auf jeden Fall mit Mühe verbunden ist und jetzt auf keinen Fall meine besuchten Seiten auf dem Präsentierteller serviert werden??
Mitglied: SeaStorm
SeaStorm 30.07.2021 um 20:08:23 Uhr
Goto Top
Hi

wie du schon festgestellt hast hat eure VPN Split-Tunnel eingestellt. Das heist, das nicht alles, sondern nur ausgewählte IP-Bereiche über die VPN gehen.
In den allermeisten VPN Verbindungen kannst du das über den Befehl "route print" herausfinden. Da steht dann, welche IP-Bereiche durch die VPN gehen.

Grundsätzlich gibt es da noch weitere Möglichkeiten wie der Web-Traffic überwacht werden kann, aber das wird in Deutschland seltenst eingesetzt, weil da dann Betriebsrat, Aufklärung des ANs usw benötigt wird. Also jedenfalls wenn der AG sich an sowas hält :) face-smile

Welchen VPN Client verwendet ihr denn?
Mitglied: kalakkai
kalakkai 30.07.2021 um 20:11:51 Uhr
Goto Top
Hi SeaStorm,

danke für deine Antwort.

Ich habe diesen Befehl bereits eingegeben und ich sehe innerhalb der o.g. Rubriken, dass die IP-Adresse meines Arbeitgebers hin und wieder auftaucht. Allerdings kann ich diese ausgespuckten Ergebnisse wirklich nicht deuten. Kannst du mir da irgendwie helfen?

Wir benutzen einen Sophos Client mit SSL-VPN

Besten Dank!
Mitglied: kalakkai
kalakkai 30.07.2021 um 20:25:08 Uhr
Goto Top
@SeaStorm:

Ich habe mal ein Screenshot vom route print (bei bestehender VPN-Verbindung) gemacht.

Alle IPs die mit 192 anfangen, dürften "meiner" IP entsprechen (also manchmal war die letzte Zahl unterschiedlich, aber weitestgehend ist es die gleiche Zahl). Die IP, die mit 10....anfängt, dürfte die von meinem AG sein bzw. (das weiß ich deshalb, weil mir diese IP angezeigt wird, wenn ich eine Verbindung herstelle, dann wird diese bei mir kurz eingeblendet, außerdem ist diese IP nicht vorhanden, wenn ich den Befehl route print ohne VPN-Verbindung ausübe).

Die Frage ist jetzt, woher weiß ich, welche der Zeilen aussagt, dass mein AG Zugriff drauf hat, was ich mache. Oder anders formuliert, was genau sieht mein AG?

Danke im Voraus!
route_print
Mitglied: SeaStorm
SeaStorm 30.07.2021 um 20:45:58 Uhr
Goto Top
Hi

Sieht so aus als ob da lediglich euer internes Netz in die VPN geht. Das heißt, das alles was INTERNET ist auch direkt über deinen Router raus geht, wenn du bei wieistmeineip mit und ohne VPN die gleiche IP siehst.
Alternativ kannst du noch prüfen ob dein Browser einen Proxy konfiguriert bekommt, oder eine PAC bzw WPAD Konfiguration erhält.

Aber unwahrscheinlich. Das müsste dann vom Sophos Client kommen und IMHO kann der das nicht. Aber ich habe schon sehr lange kein Sophos mehr eingesetzt. Vielleicht kann ein Kollege hier da mehr zu sagen.

Sieht mir aber erst Mal so aus das deine IT sich einen feuchten für dein lokales Surf-Verhalten interessiert.

IMHO: frag einfach gerade raus in deiner IT nach ob es da irgendwas gibt das du wissen solltest. Die IT ist da normalerweise völlig emotionslos und sagt wie es ist.
Mitglied: BirdyB
BirdyB 30.07.2021 um 20:48:21 Uhr
Goto Top
Hi,
dann ist es ein Split-Tunneling und nur die Anfragen an das 10.irgendwas/24-Netz gehen über das VPN. Von deinem Traffic kann dein AG schonmal nichts sehen.
Bleibt halt noch das DNS-Thema. Damit könnte dein AG theoretisch sehen, dass dein Rechner einen Request für die IP-Adresse von z.B. www.google.de gestellt hat, wenn das DNS-Logging aktiv ist.
VG
Mitglied: erikro
erikro 30.07.2021 um 21:10:55 Uhr
Goto Top
Moin,

die entscheidende Frage ist imho: Ist das ein privater Rechner oder einer, der von der Firma gestellt wird. Wenn es ein privater Rechner ist, dann darf Dein Arbeitgeber Deine Aktivitäten nicht überwachen. Ist es ein von der Firma gestellter Rechner und ist wie üblich die Privatnutzung untersagt, dann darf er stichprobenartige prüfen, ob (nicht wie) Du den Rechner privat nutzt. Was gemacht wird, darf nur bei dringendem Verdacht und nur unter Beteiligung des Datenschutzbeauftragten und des BRs überwacht werden.

Ansonsten: Frage Deinen Datenschutzbeauftragten. Der sollte darüber verbindlich Auskunft geben können, welches Monitoring und in welchem Umfang er genehmigt hat.

Liebe Grüße

Erik
Mitglied: chgorges
chgorges 30.07.2021 um 21:42:46 Uhr
Goto Top
Ich lese nur "Firmen VPN von privatem Schatten-IT-Laptop" und Split-Tunneling, da wundert mich gar nichts mehr...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 31.07.2021 um 00:32:21 Uhr
Goto Top
Moin,

Stell Dir eine Firewall hin und einen extra Rechner für die Arbeit in die DMZ. Dann brauchst Du Dir keine Gedanken machen, das Dein Arbeitgeber die Pornon sieht, die Du während der Arbeit guckst.

lks

PS: Wenn man siech gedanken machen muß, was der Arbeitgeber sieht und was nicht, sollte man ernsthaft darüber nachdenken, den Arbeitsplatzrechner vom Privatrechner zu trennen.
Mitglied: maretz
maretz 31.07.2021 um 05:28:56 Uhr
Goto Top
Ich würde auch mal überlegen welches Interesse der AG daran hat zu sehen was du machst... wenn er es will dann kann der natürlich einiges sehen - weil das eine sind ja die Seiten die du aufrufst, das andere wären auch noch DNS-Anfragen usw... Und der DNS wird idR schon auf den Firmenserver geleitet damit der Arbeitnehmer eben nich "10.x.y.z" eintippen muss - sondern immer noch z.B. den Fileserver mittels "\\datenhalde" erreichen kann.

Es ist nur die Frage in wiefern es den interessiert. Wenn man etwas mit Monteuren auf Montage zu tun hat - glaubt wirklich jemand das es da noch verwundert wenn Abends ab 10 (und auch früher) die Pornos durch die Leitung laufen? Ganz ehrlich - da habe ich persönlich grössere Probleme mit Netflix und co. Weil da is die Leitung über 90 Min ausgelastet - bei den ganzen Pornos eben nur nen paar Minuten :D. Und solang es _legal_ is hat es den Admin auch nix anzugehen was die Personen in deren Freizeit machen...
Mitglied: Inf1d3l
Inf1d3l 31.07.2021 aktualisiert um 07:44:43 Uhr
Goto Top
Wenn du deinem Arbeitgeber nicht vertraust, würde ich mir eher sorgen machen, was der Laptop alles in DEINEM Heimnetzwerk sehen kann ;-) face-wink Außerdem finde ich Empfehlungen für Firewall mit DMZ komisch, wenn die Topic-Erstellerin schon mit route print nichts anfangen kann. :-) face-smile Die einfachere Lösung wäre das Gast-WLAN der Fritzbox (ist ja eh nur SSL-VPN)
Mitglied: Stefan007
Stefan007 01.08.2021 um 12:12:12 Uhr
Goto Top
Getrennte Gerätschaften! Ganz einfach. Der AG hat für die Arbeitsmittel zu sorgen.
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 23 StundenTippOutlook & Mail30 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

question
Dienst-PCs per Image sichern?Yan2021Vor 21 StundenFrageBackup10 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 22 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 20 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...