Wie bei Homeoffice sicherstellen, dass private Geräte keine Schadsoftware bekommen können?
ich soll evtl. demnächst auch aus dem Homeoffice arbeiten. Dazu muss ich mit meinem Geschäftslaptop/Dockingstation per VPN o. ä. mit unserem Firmennetzwerk verbunden werden. Den Laptop muss ich dann natürlich an meinen Router anschließen. Jetzt habe ich aber die Bedenken, dass wenn sich auf dem Firmennetzwerk oder meinem Firmenlaptop (z. B. auch über eine Mail) eine Schadsoftware wie z. B. ein Verschlüsselungstrojaner etc. einfängt, dass dieser dann auch auf meinen privaten PC etc. übergreifen könnte. Wie kann ich das verhindern? - Zur Info: Gastnetzwerkzugang kann mein Router nicht (Speedport 921V)
5 Antworten
Hallo!
Ein Gastzugang ist auch nicht die Lösung.
Denn diese gelten lediglich für ein sehr begrenztes Zeitfenster (max. 24h(?)).
Ich hatte derartiges mal für meine Neffen eingerichtet, damit sie den Router meiner Eltern per WLan mit ihren Smartphones nutzen konnten.
Kaufe Dir einen zweiten Router, den Du an Deinen jetzigen Router dran hängst und richte Dir darüber ein getrenntes (internetfähiges) Netzwerk für Dein Home-Office ein. Also eine Netzwerk-Kaskade.
https://de.wikihow.com/Einen-Router-mit-einem-anderen-verbinden-um-das-Netz-zu-erweitern
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
https://www.pc-magazin.de/ratgeber/router-kaskade-einrichten-zonierung-3199927-16953.html
Dann kaufe Dir einen vernünftigen Virenscanner. Und dazu einen unabhängigen (aktiven) Malware-Scanner. (=> Emsi-Soft, Malwarebytes, Zemana,...)
Der MS-Defender reicht absolut nicht mehr aus.
Evtl. greifst Du zu einem Komplettpaket mit einer eigenen Firewall, bzw. einer optimierten Steuerung der Windows-Firewall. Oder Du nutzt ein unabhängiges Tool für die Windows-Firewall.
Ein sehr gutes (kommerzielles) Tool zur Steuerung der MS-Firewall wäre GlassWire:
https://www.heise.de/security/meldung/GlassWire-Netzwerkmonitor-und-Firewall-in-schoen-2302707.html
Bei der kostenfreie Version kann man nichts Einstellen, oder Blocken. Man darf aber immerhin zusehen was passiert. Und wenn ein Programm eine erste Internetverbindung aufbauen möchte, wird das bemerkt und gelistet.
Zur ergänzenden Absicherung eines Netzwerkes wäre auch etwas wie das Bastelprojekt Pi-Hole, welches (u.A.) über den Rasberry Pi läuft, geeignet.
Oder Du greifst zum sehr ähnlichen, aber kommerziellen eBlocker (Pro) inkl. Lifetime-Abo. Nach der Einrichtung bemerkst den kaum noch. Und täglich werden die Filter-Daten aktualisiert.
Und sowohl ein VPN-Dienst, als auch das Thor-Netzwerk können direkt über den eBlocker genutzt werden.
http://www.raspberry-pi-geek.de/Magazin/2019/02/eBlocker-2-filtert-aggressive-Anzeigen-und-Tracker
https://www.homeandsmart.de/eblocker-datenschutz
Eines muß Dir absolut klar sein:
In einem Home-Office gelten zwangsweise erweiterte Sicherheits-Anforderungen.
Es spricht allerdings auch nichts dagegen seine(n) Privat-Rechner ähnlich abzusichern.
Gruß
Martin
Bei einem firmeneigenen Rechner ist das natürlich etwas anderes.
Da hast Du vollkommen Recht.
Das hatte ich gerade nicht im Hinterkopf behalten, als ich meine Antwort schrieb.
Und eine solche Router-Kaskade könnte Dir diese IT-Abteilung mit deren eigener Hardware ebenfalls einrichten.
Das geht nämlich einen deutlichen Schritt weiter, als ein "Virtuelles privates Netz" (VPN). Das ist nämlich eine echte Trennung.
Sprich die IT-Abteilung doch einfach mal darauf an, was sie davon halten.
Denn von Deiner privaten Hardware geht natürlich auch die Gefahr eines "Übergriffes" auf die Firmen-Hardware aus. Diese Tür schwingt nämlich in beide Richtungen...
Allerdings sind ein Pi-Hole, bzw. der eBlocker (Pro) auch für Privatleute grundsätzlich eine wirklich feine Sache.
Und das kaskadierte Firmennetzwerk kann man dabei auch völlig unangetastet belassen. Es ist reine Einstellungs-Sache, auf welche DNS-Dienste der dazwischen geschaltete Router zugreift.
Es werden von diesen Blockern zunächst einmal alle Geräte im erreichbaren Lan/WLan abgesichert. Das könnten (z.B.) der SmartTV und diverse Media-Player und sonstige IoTs (Netzwerk-Drucker, Web-Cams, Smart-LEDs, Heizkörperregler, Waschmaschine, Kühlschrank,...) sein.
Und für jedes einzelne Gerät können dann individuelle Einstellungen ausgewählt werden. Das gilt auch für den zweiten Router.
Und die Router-eigenen Firewalls bietet höchstwahrscheinlich zusätzliche Optionen. Nur fallen diese bei einfachen Standard-Routern meist ziemlich begrenzt aus. Das hängt vom jeweiligen Router ab.
Hallo Allocigar,
Keine Sorge, wenn Du den Firmenlaptop an Deinen Router anschließt kann kein Virus einfach so auf Deinen privaten PC überspringen, oder umgekehrt.
Ich nehme an, der Laptop + Dein privater PC haben jeweils ein Benutzernamen welches durch Kennwort geschützt ist, richtig? Wenn ja, ist alles OK und Du bist sehr sicher abgegrenzt.
Nur wenn Du ein Netzlaufwerk freigeben würdest, zwischen privatem PC und Laptop, dann könnte etwas passieren.
Generell muss man natürlich die üblichen Sicherheitsvorkehrungen anwenden, also z.B. die Sicherheitsupdates von Windows und vom Browser installieren. :-)
Was meinst Du mit Benutzernamen und Passwort? Also bei meinem privaten habe ich nicht eingestellt, dass ich ein Passwort beim Hochfahren eingeben muss. Der Firmenrechner hat natürlich ein Windowspasswort bei dem ich mich mit meinem Benutzer anmelde - oder eben der Admin mit seinem aus der IT-Abteilung. Aber das sind ja Windowspasswörter, das ist ja nur dass nicht irgendemand physisch auf meinem Rechner rumtipseln kann - oder was meintest Du mit Benutzernamen und Passwort?
Und was sagst Du zur Antwort von Klammeraffe? - Da krieg ich ja Vollpanik! ist ja quasi genau das Gegenteil von Deiner... hm was stimmt denn da jetzt?
Wenn Dein Privater PC kein Kennwort hat zum Einloggen, dann könnte theoretisch ein Virus, der auf dem Firmen-Laptop ist, Deinen privaten PC mit infizieren, zumindest wenn beide gleichzeitig eingeschaltet sind.
Denn falls der "Firmenlaptop" einen Virus weiterschicken will an den privaten PC, wird ja nach keinem Passwort gefragt. Der Virus könnte also ohne Abfrage auch den privaten PC angreifen.
Also entweder erstellt Du für den privaten PC ein Passwort (Systemsteuerung - Benutzerkonten) -oder- Du nutzt immer nur ein Gerät gleichzeitig.
Ansonsten: Entspanne Dich, das Risiko ist generell SEHR gering! :-) Was Klammeraffe schreibt, sind "Perfektionen" die aus meiner Sicht garnicht notwendig sind, da ja ohnehin nur ein minimales Risiko besteht.
gut wenn ich aber ein Passwort erstelle dann ist der Schutz ja auch nur da so lange der Sperrbildschirm aktiv ist, oder? - Denn wenn ich gerade etwas am privaten PC mache und der Firmenrechner ist an, dann ist der private ja auch "offen"? also alleine DASS ein Passwort eingerichtet ist macht ja keine Schutz, oder?
Und Du redest wirklich nur vom Windows Benutzeranmeldepasswort?
Außerdem wie sieht es dann beim Handy aus reicht da wenn es durch das Streichmuster geschützt ist? - Aber auch da gilt doch, wenn man gerade etwas damit macht, ist es offen...
Und Du meinst es bestehn GENERELL nur ein minimales Risiko oder wenn ein Passwort aktiv ist?
Ich frage mich halt wie kann es dann sein, dass in einer Firma EIN Mitarbeiter einen Mailanhang öffnet und die ganzen Firmenrechner dann mit Emotet etc. verseucth wurde? - sowas will ich halt verhindern dass es auf meinen privaten PC überspringt (und natürlich auch andere Schadsoftware)
Und was hältst du von Farons Antwort mit IP sperren? Ist das sicherer wie das Passwort (das ja wie oben beschrieben ohnehin offen ist, wenn man am PC was macht)
Hallo Allocigar,
Doch, alleine dass Du ein Windowskennwort erstellt, bringt Dir bereits Schutz. Denn falls sich ein Virus ungefragt installieren möchte, muss auch der Virus das Kennwort eingeben, und das kann er natürlich nicht. Ohne Kennwort, könnte ein Virus sich auf den privaten PC ohne abfrage installieren.
Um das Hany würde ich mir keine Sorgen machen. Ein Virus der auf dem Laptop wäre, hat ein ganz anderes Datei-Format und kann daher nicht ohne weiteres sich auf Android installieren.
Das Risiko ist generell sehr gering, ja. Mit Passwortschutz ist es extrem gering. :-)
Das Risiko für Mailanhänge existiert nur wenn man 1) fahrlässig Email Anhänge aus SPAM Email öffnet, und zusätzlich 2) die Windowsupdates nicht installiert. :-)
Den Tipp von Faron mit der Sperrung der IP ist noch etwas besser als mit dem Kennwort, aber das habe ich selber auch noch nicht gemacht, müsstest Du also schauen ob Du das hinbekommst. :-)
ok vielen Dank. Und ein Virus müsste auch dann ein Kennwort "eingeben" wenn ich den Bildschirm entsperrt habe er also offen ist? - das verstehe ich nicht ganz... das ist doch nur ein Benutzerkennwort für ein Konto...
Ja genau, ein Virus müsste auch dann ein Kennwort "eingeben" wenn Du den Bildschirm entsperrt hast! Dein Bildschirm gilt nur für Dich als Anwender. Der Virus vom Laptop wäre eine "ganz andere Person", die sich auch erst freischalten müsste.
Das Kennwort hat mehr Funktionen als die, die Du selber sehen kannst. Es schützt vor jedem Fremdling, der auf Deinen PC zugreifen will.
Ohne Kennwort darf jeder an Deinen PC, der sich im lokalen Netz befindet. Mit Kennwort darf das niemand ohne Eingabe des Kennwortes. :-)
Normalerweise sollte das nicht nötig sein. Der Firmenlaptop wird warscheinlich sogar besser geschützt sein als dein privater Rechner. Einfach so überspringen kann eine Schadware auch nicht, dazu muss es einen Angriffsvektor geben (z.B. eine Sicherheitslücke des Betriebssystems oder Anwenderprogrammen die die Schadware weiß auszunutzen).
Es reicht schon wenn man einfach in der Firewall am heimischen Rechner die IP des Firmenlaptops sperrt - dann ignoriert der Rechner alles was vom Laptop kommt. Das geht so:
Eine elegantere Methode wäre zwar die Einrichtung von VLANs, aber das liegt jenseits der Fähigkeiten von Endnutzer-Router, Standard-Netzwerkkarten und Laien.
Ok das mit dem Sperren der IP hört sich gut an wenn das dann ein sicherer Schutz für meinen privaten PC ist. Allerdings wechselt doch die IP mit jedem Neustart oder? Dann müsste ich ja jeden Tag eine neue Sperre auf meinem Rechner und noch einem weiteren im Netzwerk befindlichen Rechner einrichten oder?
Wie sieht es mit den privaten Smartphones im Netzwerk aus (Android) kann ich hier auch die IP sperren?
Dann noch die Frage was ist mit Smart TV etc ist der auch gefährdet? Dort kann ich ja vermutlich keine IP sperren.
Desweiteren muss ich auch mein Firmen IP Telefon in den Router stöpseln. Geht hier eine Gefahr aus?
Und in Deinem Artikel steht das geht bei Vista sowie Win 7 und 8. Ich nehme mal an das liegt am Alter des Artikels und geht auch bei Win10? (Derzeit habe ich noch 7 privat aber muss mannja demnächst ändern).
Reicht die Home Version für diese IP Sperrung?
Und was vielleicht einfacher wäre gibt es anstatt bei allen privaten Geräten die IP des Firmenrechners zu sperren nicht die Möglichkeit umgekehrt am Router einzustellen dass einfachbder Firmenrechner überall gesperrt ist? (Muss natürlich beim Speedport 921V möglich sein sonst nutzt es nichts)
Allerdings wechselt doch die IP mit jedem Neustart oder? Dann müsste ich ja jeden Tag eine neue Sperre auf meinem Rechner und noch einem weiteren im Netzwerk befindlichen Rechner einrichten oder?
Das verwechselst du mit der öffentlichen IP. Die lokale bleibt i.d.R. gleich
Wie sieht es mit den privaten Smartphones im Netzwerk aus (Android) kann ich hier auch die IP sperren?
Dann noch die Frage was ist mit Smart TV etc ist der auch gefährdet? Dort kann ich ja vermutlich keine IP sperren.
Smartphone wird schwierig, SmartTV nein. Aber diese Geräte sind relativ geschlossen und haben auch andere Betriebssysteme (meist Linux-basiert), da geht keine Gefahr aus. Mir ist auch kein einziger Fall bekannt dass Smartphones auf die Weise infiziert wurden.
Desweiteren muss ich auch mein Firmen IP Telefon in den Router stöpseln. Geht hier eine Gefahr aus?
Nein. Aus den selben Gründen wie beim SmartTV
Und in Deinem Artikel steht das geht bei Vista sowie Win 7 und 8. Ich nehme mal an das liegt am Alter des Artikels und geht auch bei Win10? (Derzeit habe ich noch 7 privat aber muss mannja demnächst ändern).
Ja, geht auch in 10.
Und was vielleicht einfacher wäre gibt es anstatt bei allen privaten Geräten die IP des Firmenrechners zu sperren nicht die Möglichkeit umgekehrt am Router einzustellen dass einfachbder Firmenrechner überall gesperrt ist? (Muss natürlich beim Speedport 921V möglich sein sonst nutzt es nichts)
Ja. D.h. falls du bereit bist ein paar Euro auszugeben und dir ein weiteres Gerät hinstellen willst.
untagged VLANs (portbasierte virtuelle LANs) sind genau das was in diesem Szenario die perfekte Lösung ist/wäre. Mit einem VLAN-fähigem Switch (bzw. Router) kann man z.B. sagen: Anschluss 1+2 gehören zum VLAN 'geschäftlich', 3+4 zu 'privat' und 5 ist ein normaler Anschluss (der in Richtung Internet). Dann kann nichts von 1/2 zu 3/4 und umgekehrt, aber jeder zu 5. Wunderbar saubere Trennung ohne dass eine Änderung an irgendeinem Endgerät notwendig ist.
Das blöde ist nur dass die Funktion Endkunden-Router wie Fritzbox und Speedport die Funktion nicht haben. Deswegen bräuchtest du ein extra Gerät, wie z.B. ein Netgear GS105e oder generell ein Switch/Router der VLAN-fähig ist.
VLAN hatte unsere IT auch vorgeschlagen, aber gleich gesagt, dass das mein Router nicht kann und daher sofort verworfen. Aber Du meinst ich kann an meinen Speedport 921V einen VLAN Switch anschließen somit meinen 921 weiter nutzen und habe trotzdem VLAN? Das wäre ja perfekt, sofern das Ding nicht zu teuer ist. Was kostet sowas? Hast Du nen Link?
Ja, das geht. Du musst deinen Speedport ohnehin weiter benutzen, Switches sind ja keine Router. Die haben kein DSL-Modem und keine Layer-3-Funktionalität
Preise variieren je nach Portanzahl, wie bei anderen Switches auch. Aber für um die 30€ bekommt man schon welche
https://www.amazon.de/Netgear-GS105E-200PES-Managed-konfigurierbar-deutscher/dp/B00GWKN1Q2?th=1
ok nur was ich jetzt nicht ganz verstehe, dann habe ich ja im Router Ports und im Switch. Das heißt die geschäftlichen müssen dann in den Switch und die privaten lasse ich wie bisher im Router? - Und das Switch ist dann auf VLAN einstellbar? Ändert das etwas an der Internetgeschwindigkeit?
Nein, man schließt *alle* Geräte am Switch an und verbindet ihn dann mit dem Router. Die VLAN-Unterteilung stellt man dann am Switch ein (per Web-Interface oder mitgelieferter Software)
Ändert das etwas an der Internetgeschwindigkeit?
Nein
und die dann übrigen Ports am Router kann ich nicht mehr verwenden oder kann ich die für Geräte verwenden, die nicht so gefährdet sind - also z. B. TV oder sind die Anschlüsse dann tot bzw. mehr gefährdet als vorher? - Weil sonst reichen die Anschlüsse vom Switch nicht - gibts auch welche mit mehr Anschlüssen?
Tot sind die Ports nicht, nur nicht separiert vom 'geschäftlichen' VLAN. D.h. sie sind genau so sicher/unsicher als würdest du nicht mit VLAN trennen. Kann man also weiter benutzen für TV etc.
In dem verlinkten Amazon-Angebot für den Switch gibts auch Optionen für 8 oder noch mehr Ports
Super das hört sich gut an. Jetzt fällt mir aber gerade ein, was ist denn mit den Geräten die über WLAN angebunden sind - wobei Du ja meintest fürs Smartphone geht keine Gefahr aus, da es ein geschlossenes System ist, richtig?
Hallo,
wie wäre es während du mit deinem Firmenlaptop arbeitest deine privaten Rechner Smartphone und Smart TV vom Netz trennst ?
Naja das wäre reine Theorie, erstens mein Vater ist Rentner dem kann ich schlecht sagen er darf seinen PC erst benutzen, wenn ich Feierabend habe und zweitens mein privates Smartphone ist natürlich auch im WLAN ich will ja nicht unnötig Daten verbrauchen wenn ich eh daheim bin.
Das Problem kenn ich auch, danke dass du hier mal nachgefragt hast!
Danke für Deine Antwort. Also ganz ehrlich wie mein Geschäftslaptop abgesichert ist, das überlasse ich unserer IT Abteilung, ich werde da ganz sicher nichts selbst investieren - und ich dürfte da noch nicht mal was ändern, das darf nur unsere IT. Mir geht es einzig und alleine darum, meinen privaten Rechner zu schützen, dass vom Firmennetzwerk oder Firmenlaptop im Falle eines Angriffs die Schadsoftware nicht auf meinen privaten Rechner überschwappen kann und dafür suche ich eine Lösung.