Jump to content

BYOD soll abgeschafft werden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

evtl. gehört das Thema auch nach "Sicherheit". Sorry, dann bitte verschieben.

 

Ich kann mir die Antworten bzw. deren Richtung schon vorstellen, aber ich frage trotzdem mal: Derzeit kann ich von außen auf meine Firmen-VDI zugreifen indem ich auf meinem privaten PC oder Macbook per VPN-Client eine Verbindung in die Firma herstelle und dann per MSTSC weiter auf die VDI springe. Das ist für mich sehr komfortabel, weil ich natürlich kein Firmen-Gerät mit herumschleppen muss und weil ich zu Hause schön über ein und denselben Rechner arbeiten kann. Zudem brauche ich keine zusätzliche Hardware (KVM-Switch, Docking-Station, what so ever,...).

 

Ich will es noch mal herausstellen: Innerhalb der VDI kann ich dann meinen Tätigkeiten nachgehen. Auf dem jeweiligen Endgerät mit dem die VPN-Verbindung hergestellt wird, also außerhalb der VDI, benötige ich keine firmenrelevanten Zugriffe.

 

So, nun wird darüber nachgedacht den Zugriff zu beschränken und diesen nur noch über Firmengeräte zuzulassen. Die Gründe dafür sind eigentlich ziemlich klar, brauchen wir nicht groß besprechen und ich gruppiere sie mal unter "Sicherheit" ein.

 

Mir gehts jetzt nur mal darum, eure Ansicht zu dem Thema einzuholen - wie seht ihr das? Mir ist völlig klar, dass das Abschaffen des Zugriffs über eigene Geräte ein reines Luxusproblem ist und dass ich beim Arbeitgeber nicht auf dem Ponyhof bin, der alle Wünsche erfüllt. Aber unsere IT-Jungs sind sehr zugänglich und man kann mit ihnen über viele Themen sprechen. Ich frage mich nun auch, was man machen könnte, damit ich (wir!) weiterhin den Komfort über eigene Geräte genießen können...?


Danke vorab und viele Grüße!

Samoth

bearbeitet von Samoth
Link zu diesem Kommentar

ich bin einer der "bösen" und sitz auf der anderen Seite :-) Nein ich möchte keinerlei Zugriffe von irgendwelchen privaten Rechnern haben, die nicht in der Verwaltung drin sind. Bei nichtverwalteten Privatgeräten kennst Du den Status nicht. Ist ein Virenscanner drauf und aktuell, sind die Updates drauf, ist die Kiste sauber? Mit nem VPN hast ja schon nen Fuß in der Tür ...

Wie gesagt ... ich steh auf der Seite Deiner IT Jungs ... Privatgeräte is nich!

 

Link zu diesem Kommentar

Ich denke, es kommt darauf an, wie das Netzwerk aussieht. Wenn man per VPN nur in ein Zwischennetz kommt, von dem aus nur RDP auf die VDI offen ist, wäre das VPN ein Ersatz für Netscaler/RDS-Gateway. Ich habe Kunden, die sich nach aussen möglichst nicht zeigen und zur Authentifizierung bewusst andere Zugangsdaten als die Windows-Anmeldung haben wollen. Da ist VPN (allenfalls mit erweitertem Client für "Endpoint Security" und MFA) und von dort Zugriff auf VDI/TS eine Möglichkeit.

 

Wenn man sich per VPN aber direkt ins LAN einwählt (so, wie das zumindest früher üblich war), dann nur mit verwalteten Geräten.

Link zu diesem Kommentar

Hallo,

 

auf das Thema kann man auch etwas allgemeiner, mit einer höheren Flughöhe blicken. Die Betrachtung der Sicherheit ist immer nur eine Momentaufnahme. Nach Änderungen an der Infrastruktur, muss dies nochmal erfolgen. Realistisch gesprochen wird das vermutlich nicht so oft getan, wie man es müsste.

 

Resultierend ist es durchaus sinnvoll eher defensiv, also restriktiver, seine Zugriffsmöglichkeiten auszulegen. Manche mögen sagen: "Die Sicherheit fängt da an, wo die Bequemlichkeit des Admins aufhört". Wobei man sich, wie ich finde, auch gut an MFA etc. gewöhnen kann.

 

Wir haben für uns entschieden (Risikoabschätzung mit der GL), dass das nur verwaltete Geräte in unser Netz dürfen. Hier ist das Handy für die MFA, FIDO-Sticks etc. eingeschlossen.

 

VG,

Jan

 

Link zu diesem Kommentar

Moin,

 

der springende Punkt ist, dass "VPN" häufig mit "sicher" gleichgesetzt wird, diese Gleichsetzung aber falsch ist. "Sicher" ist nur der Kommunikationskanal selbst, denn der ist verschlüsselt. Das ist aber heutzutage schon eher uninteressant, weil verschlüsselte Verbindungen (anders als vor 25 Jahren, als es mit dem Thema VPN losging) heute üblich sind. Relevant ist aber ein anderer Aspekt, und der führt dazu, dass viele VPN-Nutzungen eher das Gegenteil von "sicher" sind.

 

VPN legt einen Zugang in das Netzwerk, logisch betrachtet identisch mit einem Netzwerkkabel. Gewähre ich beliebigen Geräten Zugang zum Netzwerk, dann ist zwar vielleicht der Zugang "privat", aber das Netz selbst nicht mehr. Ich erzeuge damit also ein hohes Risiko, denn ich lasse Geräte zu, über die ich nichts weiß und über die ich weder technisch noch rechtlich Kontrolle und Hoheit habe. Daher ist es ein No-Go, per VPN beliebige Geräte einzulassen. Schon deshalb, weil man damit den Schlüssel für den Zugang an ein nicht kontrollierbares Gerät abgibt, von wo aus er dann ebenso beliebig weitergegeben werden kann.

 

Es gibt Sicherheitsberater, die die Existenz von VPN-Zugängen per se als hohes Sicherheitsrisiko einstufen.

 

Gruß, Nils

 

  • Like 1
  • Danke 1
Link zu diesem Kommentar

Moin,

 

VPN-Zugänge *sind* ein hohes Risiko, und da ist es nur am Rande wichtig, in welches Netz sie führen, daher dürfen am entfernten Ende eines VPN-Tunnels selbstverständlich nur verwaltete Endgeräte sein.

 

Gateway-basierte Zugänge wie Netscaler oder UAG kann man aus Sicherheitssicht durchaus weit weniger kritisch sehen. Die Sache hat aber noch ein paar andere Aspekte:

 

  • Lizenzierung: Wer sein Office (nur ein Beispiel) immer noch über Retail oder VL bezieht, lizenziert das physikalische Endgerät, vor dem der User sitzt. Wenn jeder Mitarbeiter zwei PCs, drei Tablets, vier Smart-TVs und einen Smart-Fridge hat, wieviele Office-Lizenzen müsste man da vorhalten?
  • Downtime in Bezug auf Arbeitszeit: Fällt ein Firmengerät aus und der MA kann nicht arbeiten, ist es das Risiko der Firma, und sie kann sowohl vorbeugend tätig werden (bessere Hardware, kürzere Lebenszyklen) als auch selbst bestimmen, wie aufwendig die Wiederherstellung der Arbeitsfähigkeit werden darf. Bei einem Endgerät, auf das die Firma keinen Einfluss hat, ist es schwierig.
  • Ressourcenverbrauch: Weil der Mitarbeiter es geil findet, die CRM-Anwendung auf seinem Gaming Rig mit zwei 5K-Bildschirmen zu bedienen, hat seine VDI-Maschine viel mehr zu tun als im Sizing vorgesehen. Sind diese Mehrkosten einfach durch die Firma zu tragen, weil "ist so"? Standardisierung im Client-Park hat oft ihre Gründe.

Ich habe mehrere Versuche miterlebt, BYOD bewusst und geregelt einzuführen, und musste feststellen, dass das Konzept vorn und hinten nicht funktioniert, sobald man eine Sekunde länger darüber nachdenkt.

Link zu diesem Kommentar

Hi zusammen,

 

ich schick mal noch ein Sammel-Danke in die Runde! Ich wusste ja schon wohin mich die Frage führt, aber tatsächlich - keine Ironie - fand ich das aufschlussreich. Heute wurde beim Mittagessen auch schon mehr oder minder verkündet, dass BYOD wohl abgelöst wird, was letztlich auch klar war.

 

In diesem Sinn wünsch ich euch was und bis zur nächsten Diskussion :-)

 

Grüße

Samoth

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...