kalakkai
Goto Top

VPN-Verbindung Home Office - was sieht mein Arbeitgeber?

Hi zusammen,

wenn ich von meinem privaten Laptop und von zu Hause aus über eine VPN-Verbindung mit dem Netzwerk meines Arbeitgebers verbunden bin, kann dann der AG alle Internetseiten, die ich während der bestehenden VPN-Verbindung besucht habe, einsehen?

Ich habe schon auf der Seite https://www.wieistmeineip.de/ geprüft, es werden NICHT zwei unterschiedliche IP-Adressen angezeigt, also es wird sowohl bei bestehender VPN-Verbindung zum AG als auch ohne Verbindung jeweils meine "private" IP angezeigt.

Ich kann auch ganz normal über meinen heimischen Drucker, der über W-Lan läuft, etwas ausdrucken.

Habe ich hiermit den "Beweis", dass ich sozusagen zwar Zugriff auf den Server von meinem Arbeitgeber habe, aber halt nur, um dort Daten abzulegen oder so, aber mein normales "Internet" also alles was ich so im Internet mache (E-Mails schreiben, Youtube, usw.) läuft demnach über meinen privaten Internetanbieter und hat also nichts mit dem Server von meinem Arbeitgeber zu tun??

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?

Danke vorab für eine Antwort eurerseits!

Content-Key: 1105017200

Url: https://administrator.de/contentid/1105017200

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: tech-flare
tech-flare 30.07.2021 um 19:03:52 Uhr
Goto Top
Zitat von @kalakkai:

Hi zusammen,
Hallo,

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?
Ganz einfach....dich nicht mit VPN verbinden. Wenn du per VPN verbunden bist, machst du dies ja um zu arbeiten.....also tu dies auch und surfe nicht im Internet.

Gruß
Mitglied: Pjordorf
Pjordorf 30.07.2021 um 19:08:31 Uhr
Goto Top
Hallo,

Zitat von @kalakkai:
Ich habe schon auf der Seite https://www.wieistmeineip.de/ geprüft, es werden NICHT zwei unterschiedliche IP-Adressen angezeigt, also es wird sowohl bei bestehender VPN-Verbindung zum AG als auch ohne Verbindung jeweils meine "private" IP angezeigt.
Ohne wäre ja nun schwer eine VPN Verbindung aufzubauen face-smile

Wie kann ich denn absolut sichergehen, dass der AG nicht sieht, was ich im Internet mache?
No VPN ist die einzige möglichkeit wenn dein AG dich ausspionieren (per VPN) will. Ansonsten gilt: Das einzige Sichere Internet ist eben kein Internet

Gruß,
Peter
Mitglied: kalakkai
kalakkai 30.07.2021 aktualisiert um 19:12:36 Uhr
Goto Top
Hallo ihr beiden,

dass ich lieber keine VPN-Verbindung hergestellt haben sollte, wenn ich als Privatperson im Internet surfen möchte, ist mir schon klar.

Falls ich die Verbindung jedoch versehentlich aktiviert ließ und halt im Internet unterwegs war, ist es ja schon zu spät... jetzt ist halt die Frage, ob ich das irgendwie prüfen kann.

Geht das irgendwie?
Mitglied: BirdyB
BirdyB 30.07.2021 um 19:23:09 Uhr
Goto Top
Hi,
da gibt es ja zwei Aspekte. Die DNS-Auflösung und das Routing.
Wenn die VPN-Verbindung als DNS den Server deines AG setzt, wäre es zumindest möglich die Domains, die du aufgerufen hast zu ermitteln.
Über das Routing wird festgelegt wo der Traffic langläuft, also entweder komplett über das VPN oder per Split-Tunneling.
Die Tatsache, dass du unabhängig von der VPN-Verbindung die gleiche IP siehst, spricht hier eher für Split-Tunneling. Genaueres sagt dir route -p mit eingeschaltetem VPN.
Beim Split-Tunneling läuft der „normale“ Traffic direkt über deinen Internet-Anschluss und somit nicht über den AG.

VG
Mitglied: Pjordorf
Pjordorf 30.07.2021 um 19:29:24 Uhr
Goto Top
Hallo,

Zitat von @kalakkai:
jetzt ist halt die Frage, ob ich das irgendwie prüfen kann.
Von deiner seite: eher nicht.

Geht das irgendwie?
Kommt unter anderem auf Konfiguration und der eingesetzten HW/SW an. Dann braucht es noch einen neugierigskeitgrad und evtl. viele Dollarscheine und einen Admin der das umsetzt (auch wenns verboten sei). Auch https://de.wikipedia.org/wiki/Pegasus_(Spyware) wirds irgendwann zu kaufen geben ohne eine REgierung zu sein.

Gruß,
Peter
Mitglied: kalakkai
kalakkai 30.07.2021 um 19:32:46 Uhr
Goto Top
Hi BirdyB,

danke für deine kompetente Rückmeldung.

Meinst du mit route -p den cmd-Befehl "route print"? Diesen habe ich soeben durchgeführt, einmal mit eingeschaltetem VPN und einmal ohne. Allerdings ist das für mich fachchienesisch. Mir werden also mehrere Spalten angezeigt (Netzwerkziel, Netzwerkmaske, Gateway, Schnittstelle, Metrik).

Kannst du mir sagen, ob und wie ich hieraus ablesen kann, was über meinen Arbeitgeber läuft bzw. was er schlussendlich einsehen kann?

(Mich beruhigt aber auf jeden Fall schonmal, dass du von einem "Split-Tunneling" bei mir ausgehst.... Ich hoffe trotzdem stark, dass mein Privatleben auch privat bleibt..)

Danke.
Mitglied: kalakkai
kalakkai 30.07.2021 um 19:34:35 Uhr
Goto Top
Danke Peter, daraus schließe ich, dass falls mein Arbeitgeber bzw. der Admin meinen Traffic einsehen sollte, es auf jeden Fall mit Mühe verbunden ist und jetzt auf keinen Fall meine besuchten Seiten auf dem Präsentierteller serviert werden??
Mitglied: SeaStorm
SeaStorm 30.07.2021 um 20:08:23 Uhr
Goto Top
Hi

wie du schon festgestellt hast hat eure VPN Split-Tunnel eingestellt. Das heist, das nicht alles, sondern nur ausgewählte IP-Bereiche über die VPN gehen.
In den allermeisten VPN Verbindungen kannst du das über den Befehl "route print" herausfinden. Da steht dann, welche IP-Bereiche durch die VPN gehen.

Grundsätzlich gibt es da noch weitere Möglichkeiten wie der Web-Traffic überwacht werden kann, aber das wird in Deutschland seltenst eingesetzt, weil da dann Betriebsrat, Aufklärung des ANs usw benötigt wird. Also jedenfalls wenn der AG sich an sowas hält face-smile

Welchen VPN Client verwendet ihr denn?
Mitglied: kalakkai
kalakkai 30.07.2021 um 20:11:51 Uhr
Goto Top
Hi SeaStorm,

danke für deine Antwort.

Ich habe diesen Befehl bereits eingegeben und ich sehe innerhalb der o.g. Rubriken, dass die IP-Adresse meines Arbeitgebers hin und wieder auftaucht. Allerdings kann ich diese ausgespuckten Ergebnisse wirklich nicht deuten. Kannst du mir da irgendwie helfen?

Wir benutzen einen Sophos Client mit SSL-VPN

Besten Dank!
Mitglied: kalakkai
kalakkai 30.07.2021 um 20:25:08 Uhr
Goto Top
@SeaStorm:

Ich habe mal ein Screenshot vom route print (bei bestehender VPN-Verbindung) gemacht.

Alle IPs die mit 192 anfangen, dürften "meiner" IP entsprechen (also manchmal war die letzte Zahl unterschiedlich, aber weitestgehend ist es die gleiche Zahl). Die IP, die mit 10....anfängt, dürfte die von meinem AG sein bzw. (das weiß ich deshalb, weil mir diese IP angezeigt wird, wenn ich eine Verbindung herstelle, dann wird diese bei mir kurz eingeblendet, außerdem ist diese IP nicht vorhanden, wenn ich den Befehl route print ohne VPN-Verbindung ausübe).

Die Frage ist jetzt, woher weiß ich, welche der Zeilen aussagt, dass mein AG Zugriff drauf hat, was ich mache. Oder anders formuliert, was genau sieht mein AG?

Danke im Voraus!
route_print
Mitglied: SeaStorm
SeaStorm 30.07.2021 um 20:45:58 Uhr
Goto Top
Hi

Sieht so aus als ob da lediglich euer internes Netz in die VPN geht. Das heißt, das alles was INTERNET ist auch direkt über deinen Router raus geht, wenn du bei wieistmeineip mit und ohne VPN die gleiche IP siehst.
Alternativ kannst du noch prüfen ob dein Browser einen Proxy konfiguriert bekommt, oder eine PAC bzw WPAD Konfiguration erhält.

Aber unwahrscheinlich. Das müsste dann vom Sophos Client kommen und IMHO kann der das nicht. Aber ich habe schon sehr lange kein Sophos mehr eingesetzt. Vielleicht kann ein Kollege hier da mehr zu sagen.

Sieht mir aber erst Mal so aus das deine IT sich einen feuchten für dein lokales Surf-Verhalten interessiert.

IMHO: frag einfach gerade raus in deiner IT nach ob es da irgendwas gibt das du wissen solltest. Die IT ist da normalerweise völlig emotionslos und sagt wie es ist.
Mitglied: BirdyB
BirdyB 30.07.2021 um 20:48:21 Uhr
Goto Top
Hi,
dann ist es ein Split-Tunneling und nur die Anfragen an das 10.irgendwas/24-Netz gehen über das VPN. Von deinem Traffic kann dein AG schonmal nichts sehen.
Bleibt halt noch das DNS-Thema. Damit könnte dein AG theoretisch sehen, dass dein Rechner einen Request für die IP-Adresse von z.B. www.google.de gestellt hat, wenn das DNS-Logging aktiv ist.
VG
Mitglied: erikro
erikro 30.07.2021 um 21:10:55 Uhr
Goto Top
Moin,

die entscheidende Frage ist imho: Ist das ein privater Rechner oder einer, der von der Firma gestellt wird. Wenn es ein privater Rechner ist, dann darf Dein Arbeitgeber Deine Aktivitäten nicht überwachen. Ist es ein von der Firma gestellter Rechner und ist wie üblich die Privatnutzung untersagt, dann darf er stichprobenartige prüfen, ob (nicht wie) Du den Rechner privat nutzt. Was gemacht wird, darf nur bei dringendem Verdacht und nur unter Beteiligung des Datenschutzbeauftragten und des BRs überwacht werden.

Ansonsten: Frage Deinen Datenschutzbeauftragten. Der sollte darüber verbindlich Auskunft geben können, welches Monitoring und in welchem Umfang er genehmigt hat.

Liebe Grüße

Erik
Mitglied: chgorges
chgorges 30.07.2021 um 21:42:46 Uhr
Goto Top
Ich lese nur "Firmen VPN von privatem Schatten-IT-Laptop" und Split-Tunneling, da wundert mich gar nichts mehr...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 31.07.2021 um 00:32:21 Uhr
Goto Top
Moin,

Stell Dir eine Firewall hin und einen extra Rechner für die Arbeit in die DMZ. Dann brauchst Du Dir keine Gedanken machen, das Dein Arbeitgeber die Pornon sieht, die Du während der Arbeit guckst.

lks

PS: Wenn man siech gedanken machen muß, was der Arbeitgeber sieht und was nicht, sollte man ernsthaft darüber nachdenken, den Arbeitsplatzrechner vom Privatrechner zu trennen.
Mitglied: maretz
maretz 31.07.2021 um 05:28:56 Uhr
Goto Top
Ich würde auch mal überlegen welches Interesse der AG daran hat zu sehen was du machst... wenn er es will dann kann der natürlich einiges sehen - weil das eine sind ja die Seiten die du aufrufst, das andere wären auch noch DNS-Anfragen usw... Und der DNS wird idR schon auf den Firmenserver geleitet damit der Arbeitnehmer eben nich "10.x.y.z" eintippen muss - sondern immer noch z.B. den Fileserver mittels "\\datenhalde" erreichen kann.

Es ist nur die Frage in wiefern es den interessiert. Wenn man etwas mit Monteuren auf Montage zu tun hat - glaubt wirklich jemand das es da noch verwundert wenn Abends ab 10 (und auch früher) die Pornos durch die Leitung laufen? Ganz ehrlich - da habe ich persönlich grössere Probleme mit Netflix und co. Weil da is die Leitung über 90 Min ausgelastet - bei den ganzen Pornos eben nur nen paar Minuten :D. Und solang es _legal_ is hat es den Admin auch nix anzugehen was die Personen in deren Freizeit machen...
Mitglied: Inf1d3l
Inf1d3l 31.07.2021 aktualisiert um 07:44:43 Uhr
Goto Top
Wenn du deinem Arbeitgeber nicht vertraust, würde ich mir eher sorgen machen, was der Laptop alles in DEINEM Heimnetzwerk sehen kann face-wink Außerdem finde ich Empfehlungen für Firewall mit DMZ komisch, wenn die Topic-Erstellerin schon mit route print nichts anfangen kann. face-smile Die einfachere Lösung wäre das Gast-WLAN der Fritzbox (ist ja eh nur SSL-VPN)
Mitglied: Stefan007
Stefan007 01.08.2021 um 12:12:12 Uhr
Goto Top
Getrennte Gerätschaften! Ganz einfach. Der AG hat für die Arbeitsmittel zu sorgen.
Mitglied: Itnooob
Itnooob 13.05.2022 um 01:11:26 Uhr
Goto Top
Ist ja schon bisschen älter der Beitrag. Aber wie ist das denn. Wenn man ein gestellten Laptop hat den im privaten Wland verbindet dann per VPN auf die Arbeit zugreift. Dann aber mit dem smartphone surft?? Sehen die dann die Webseiten?

Und wie sieht es aus wenn der Lappi ausgeschaltet ist und nach Feierabend privat mit dem Smartphone surft, können die dann im Nachhinein die Webseiten auf denen man war abrufen??
Mitglied: Stefan007
Stefan007 13.05.2022 um 06:12:06 Uhr
Goto Top
Was ist das bitte für eine Frage???? Achja Freitag der 13....

VPN gilt pro Gerät. Dein Smartphone ist, sofern es nicht als BYOD im MDM hinterlegt ist, nicht davon betroffen.
Mitglied: maretz
maretz 13.05.2022 um 06:43:39 Uhr
Goto Top
Zitat von @Itnooob:

Ist ja schon bisschen älter der Beitrag. Aber wie ist das denn. Wenn man ein gestellten Laptop hat den im privaten Wland verbindet dann per VPN auf die Arbeit zugreift. Dann aber mit dem smartphone surft?? Sehen die dann die Webseiten?

Und wie sieht es aus wenn der Lappi ausgeschaltet ist und nach Feierabend privat mit dem Smartphone surft, können die dann im Nachhinein die Webseiten auf denen man war abrufen??

Wenn du nicht mit dem VPN verbunden bist dann nein. Wenn du das Laptop nutzt könnte man die Browser-History sehen (-> inkognito modus). Wenn die - nur nebenbei - bei deinem PRIVATEN Laptop überwachen auf welchen Seiten du surfst (egal ob mit oder ohne VPN, das Gerät bleibt ja privat) haben die zum einen nen Problem im Bereich Datenschutz (bei dem die sich strafbar machen) UND du solltest überlegen ob die Firma die richtige für dich ist. Wenn die dir natürlich nen Firmenlaptop geben und private Nutzung explizit ausschließen ist das nicht ganz so offen...
Mitglied: SeaStorm
SeaStorm 13.05.2022 um 17:00:47 Uhr
Goto Top
Zitat von @Itnooob:

Ist ja schon bisschen älter der Beitrag. Aber wie ist das denn. Wenn man ein gestellten Laptop hat den im privaten Wland verbindet dann per VPN auf die Arbeit zugreift. Dann aber mit dem smartphone surft?? Sehen die dann die Webseiten?
Äh also dein Privates Smartphone das in deinem privaten WLAN hängt? Nein, das kann der AG nicht sehen.
Wenn es ein geschäfts-Handy ist, dann würde das schon gehen.
Wenn du mit dem Handy einen Hotspot machst und das Notebook darauf verbindest, dann natürlich auch.

Und wie sieht es aus wenn der Lappi ausgeschaltet ist und nach Feierabend privat mit dem Smartphone surft, können die dann im Nachhinein die Webseiten auf denen man war abrufen??
Ist das gleiche. Nur wenn es ein Geschäftshandy ist.


Macht euch nicht immer so viele Gedanken. Es interessiert keine Sau was ihr in euren privaten Räumen, Wifis und auf euren privaten Geräten treibt. Die IT und das Geschäft wollen nur das ihr auf den geschäftlichen Geräten keinen ### macht
Mitglied: Noob88
Noob88 24.05.2022, aktualisiert am 25.05.2022 um 18:49:00 Uhr
Goto Top
Zitat von @SeaStorm:

Zitat von @Itnooob:

Ist ja schon bisschen älter der Beitrag. Aber wie ist das denn. Wenn man ein gestellten Laptop hat den im privaten Wland verbindet dann per VPN auf die Arbeit zugreift. Dann aber mit dem smartphone surft?? Sehen die dann die Webseiten?
Äh also dein Privates Smartphone das in deinem privaten WLAN hängt? Nein, das kann der AG nicht sehen.
Wenn es ein geschäfts-Handy ist, dann würde das schon gehen.
Wenn du mit dem Handy einen Hotspot machst und das Notebook darauf verbindest, dann natürlich auch.

Und wie sieht es aus wenn der Lappi ausgeschaltet ist und nach Feierabend privat mit dem Smartphone surft, können die dann im Nachhinein die Webseiten auf denen man war abrufen??
Ist das gleiche. Nur wenn es ein Geschäftshandy ist.


Macht euch nicht immer so viele Gedanken. Es interessiert keine Sau was ihr in euren privaten Räumen, Wifis und auf euren privaten Geräten treibt. Die IT und das Geschäft wollen nur das ihr auf den geschäftlichen Geräten keinen ### macht


Gelten deine Antworten zu exakt den gleichen Fragen von Itnoob auch zu einer Verbindung mit TightVNC ? Also wenn man vom Firmenlaptop über den TightVNC client mit der Firma verbunden ist. Können die dann sehen was alles in meinem privaten WLAN-Netzwerk passiert, auch wenn ich mit dem Firmenlaptop nicht surfe sondern nur mit meinem Privaten Smartphone?

LG