Gelöst: Homeoffice / Sicherheit - DATEV-Community

JoachimSchneider · ‎10.12.2020

Hallo Freunde,

unsere Leute haben ein Laptop fürs Homeoffice und wählen sich dort über Citrix ein, praktisch genau wie im Büro.

Wir sind bei einem Systempartner, der Server ist mWn im Rechenzentrum.

Irgendwie fühlt sich das unsicher an. Wenn jemand Passwort, Nutzername und Serveradresse hat, kann er sich einwählen. Lässt sich sicher phishen oder sniffen.. gerade wenn einer doch mal öffentliches Wlan nutzt. Darf er nicht, lässt sich aber nicht verhindern.

Seit kurzem besteht die Möglichkeit eine 2-Faktor Authentifizierung zu nutzen, mittels Pin-Software aufm Handy.

Haltet ihr das für notwendig oder sinnvoll? Kostet 7€/Nutzer{Monat

Freundliche Grüße

Joe

metalposaunist · ‎10.12.2020

@JoachimSchneider schrieb:
Haltet ihr das für notwendig oder sinnvoll? Kostet 7€/Nutzer{Monat

Jap, unbedingt. DATEVasp macht es nicht anders. Hier braucht man neben dem Login (Benutzername+Passwort) auch eine Besitzkomponente: SmartCard / SmartLogin.

@JoachimSchneider schrieb:
Wenn jemand Passwort, Nutzername und Serveradresse hat, kann er sich einwählen. Lässt sich sicher phishen oder sniffen.. gerade wenn einer doch mal öffentliches Wlan nutzt.

Dann sollten dennoch alle Daten via SSL verschlüsselt übertragen werden. Benutzername und Passwort werden ja nicht im Klartext an Citrix übertragen. Einzig, wenn unbemerkt sich ein Keylogger installiert, könnte es Schaden geben. Da Windows aber in öffentlichen Netzen eigentlich sich immer dank öffentlichen Firewall-Profil abschottet - 2FA ist immer zu empfehlen.

Fragt sich, was Sie machen, wenn es Mitarbeiter gibt, die keine geschäftliche App auf ihrem privaten Smartphone installieren wollen bzw. wie sie die Geräte kontrollieren, wenn diese einmal gestohlen werden oder liegen bleiben (aus der Ferne löschen? Ortung? ...)

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

quantenjoe · ‎12.12.2020

Moin Moin

Herr Bohle hat schon gute Ratschläge gegeben.

Ich würde noch dafür sorgen, dass der/die Mitarbeiter das Notebook nur für die ARbeit nutzen. Per Dienstanweisung!

Das Erkennen von Phishing-Mails sollte eigentlich geschult werden. Mein Credo ist da: Wenn nur irgendetwas nicht stimmt und sei es nur ein Bauchgefühl, fragt den Admin! Und dazu: Seid skeptisch! Das klappt bei uns gut! Und in Ihrem Fall müßten erstmal Kriminelle Kenntnis erlangen.

Außerdem werden sich ihre Mitarbeiter sicherlich per VPN aufschalten. Ein Angreifer müßte erstmal es schaffen das Passwort bei Pre shared key zu erlangen (weiß i.d.R.der Anwender nicht) oder das Zertifikat für die Verbindung herausfinden. ICh sehe da nicht die Gefahr, wenn sich der Mitarbeiter generell nur mit dem Kanzleinetz verbindet.

Öffentliches WLAN ... eigentlich sollte der Mitarbeiter doch von zu Hause dann arbietern. Wäre also kein öffentliches WLAN. Aber selbst wenn das WLAN öffentlich ist, die VPN-´Verbindung wird für Lauscher nicht nachvollziehbar von den VPN-Programmen hergestellt (zumindest allen, die ich kenne).

2-Faktor Authentifizierung erhöht die Sicherheit, das ist keine Frage. Aber wenn die VPN-Software korrrekt arbeitet, braucht es dies nicht.

Natürlich sollte niemand anderes als der Mitarbeiter das Notebook nutzen können. D.h. Login darf nur dem Mitarbeiter bekannt sein (und dem Admin 😉 ), niemanden im seinerm Umfeld aber.

Insofern: 2-Faktor Athentifizierung scheint mir bei einem korrekt eingerichteten VPN-ZUgang unnötig.

Anmerkung zu einem guten Passwort:

Da man sich es auch gut merken muß, hat die NIST vor über einen Jahr bereits empfohlen lieber lange Passörter mit einem Text zu schreiben. Mit Schreibfehlern darin, das hilft!

Oder was die NIST nicht erwähnte, mit zusätzlichen Zeichen, sog. Blendern.

Beispiel: PW ist NIST. Ein Blender drin könnte sein: NIwST.

Passwortlänge >=20 Zeichen ist wirklich sicher.

Oder halt mindestens 11 wirklich Komplizierte Zeichenfolgen, die selbst die Katze auf der Tastatur nicht zustande bringt.

Ich hoffe das hilft weiter.

QJ

metalposaunist · ‎12.12.2020

@quantenjoe schrieb:
Insofern: 2-Faktor Athentifizierung scheint mir bei einem korrekt eingerichteten VPN-ZUgang unnötig.

Naja, aber warum mehr Sicherheit liegen lassen, wenn diese gar nicht mal so umständlich zu nutzen ist? OTP in welcher Form auch immer ist doch keine große Hürde und auch DATEV Systempartner im PARTNERasp bieten die Möglichkeit einer 2FA bereits an; alle großen Firmen dieser Welt (Facebook, Apple, PayPal, ... ) setzen und raten ebenfalls auf eine 2FA. Selbst meine Mum muss diese nun geschäftlich nutzen, wenn sie sich in ihr Onlineportal zum Arbeiten einloggen will.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

ManfredLener · ‎13.12.2020

Ich schließe mich dem Votum von Daniel an:

2FA sollte für´s Home-Office ein MUSS sein.

für jedes komplexe Problem gibt es eine einfache Lösung - und die ist leider falsch

beste Grüße sendet
Manfred Lener
buchhalter.pro

JoachimSchneider · ‎14.12.2020

Danke für die ausführlichen Erläuterungen, ich mach das jetzt mit der 2FA.