Hi! In meiner aktuellen Firma besteht die Anforderung, eines mobilen Internetzugangs von Laptops aus.

Gebraucht wir kein VP oder sonstwas, nur OWA/Outlook web access, Internet.

Vorhanden sind Standard Laptops mit 1 PCMCIA.

An die Möglichkeiten dacht ich:

ISDN
56K Modem
WLAN
LAN
GRPS/
Infrarot zu Mobiltelefon


In meiner alten Firma wurden diese Möglichkeiten immer im Mischverfahren benutzt. Viel ISDN (Fritzcard), viel GPRS über GPRS Karten, selten WLAN oder LAN.

Wie managed eure firma das? Was sollt ich noch beachten? Mir ist z.B. das eingefallen:

Sicherheit gewährleisten
Datensicherheit
Zugriffskontrolle
Sicheres Windows-Passwort
Lokale Adminrechte bei Ändern von IP oder sonstigen Settings
Verschlüsselung
Verschlüsseln mit EFS (Windows)
Truecrypt zum Anlegen von Containern


Diebstahlsicherheit
Kensington Lock als Mitnahmschutz

Virenschutz
Windows-Firewall immer aktiv!
Aktueller Virenscanner, maximal 7 Tage alt
Windowsupdates

Da gibt es so viele Möglichkeiten... Hängt ja auch von der Größe der Firma ab, von den Möglichkeiten.
Z.B. ist GPRS ja relativ teuer und eher langsam, aber natürlich mobil gut nutzbar. Geht es um den mobilen Zugang auf einem Firmengelände oder generell (z.B. mit Auto)?
Wenn es um ein Firmengelände geht, dann möglichst LAN, ansonsten WLAN mit Richtfunkantennen, WPA2 und ständig wechselnden Passwörtern. WLAN sollte nach Dienstschluss automatisch deaktiviert werden.
Wenn ihr ne eigene IT-Abteilung habt, würde ich die Rechner so einrichten, dass der normale User keine Admin-Rechte bekommt und die Zugriffsrechte genau definieren. Sicherheit bedeutet aber auch, dass man die Mitarbeiter darin etwas schult, z.B. in kurzen Seminaren/Präsentationen.
Desweiteren Passwörter in möglichst kurzen Abständen ändern (mindestens alle 2-3 Monate). Auch wenn es nur gegen Ahnungslose was bringt: BIOS-Passwörter verwenden.
Auf Windows-Firewall verzichten und dafür was Vernünftiges setzen, Virenscanner sollten wirklich mindestens einmal pro Woche geupdated werden und Prüfdurchläufe machen. Zugang mit externer HW und SW (USB-Sticks, -platten, CDs/DVDs usw.) möglichst einschränken oder untersagen.
Router und Server usw. sollten möglichst in verschlossenen Schränken und Räumen stehen, mit begrenzten Zugriffsrechten. Proxys in Erwägung ziehen! Zugriffsrechte innerhalb des Netzwerkes auf andere Rechner!
Außerdem Thema Backup von Daten und Servern! Wie und wie oft müssen Daten gesichert werden? Was machen, wenn ein Router/Server/Was-auch-immer ausfällt?
Thema Emails: Filter benutzen! Emails vorher auf Viren prüfen lassen (der Scanner muss natürlich immer up-to-date sein)! Wenn schon Email-SW benutzen, welche? Vorschaufunktion deaktivieren!

Aber wie gesagt, das ist ein extrem unfangreiches Thema. Ohne genaue Kenntnisse über dein Unternehmen (Anzahl Mitarbeiter, Stärke der IT-Abteilung, Firmengelände u. -Kfz, Ausrichtung des Unternehmens, Geldmittel usw.) kann man nur etwas allgemein an der Oberfläche kratzen

Wie wärs mit einer UMTS-Karte für's Notebook?
UMTS sollte mittlerweile in den urbanen Gebieten verfügbar sein, sonst schaltet es automatisch auf GPRS um

Schau mal auf der Homepage euers Mobilnetzproviders nach, was sie anbieten (wenn es nichts gibt, schau bei den Großen nach)

Wie wärs mit einer UMTS-Karte für's Notebook?
UMTS sollte mittlerweile in den urbanen Gebieten verfügbar sein, sonst schaltet es automatisch auf GPRS um

Schau mal auf der Homepage euers Mobilnetzproviders nach, was sie anbieten (wenn es nichts gibt, schau bei den Großen nach)

Jepp, haben hier im Büro an den Laptops auch für alle Fälle UMTS-Karten - funzt super.

Gruß

Zu UMTS: Ich musste Qualcom /T-COM UMTS Dinger mal administrieren. Das war der Horror. Ich frag mich, wie man sowas Benutzerunfreundliches bauen kann. Egal. UMTS wäre halt ne super Idee. Da dachte ich auch dran.

Firma: 5 aktive vollzeit Leute, 2 Azubis, davon 2 Geschäftsführung, 1 Admin (ich) der nebenbei noch Projektarbeit machen muss, die mit IT garnix oder wenig zu tun hat.

Es geht um den Mobilen Zugang per Notebook bei Kunden, oder sonstwo.

Zum Thema WLAN - ja, ist schon lustig. Ich hatte meine Ausbildung in ner Firma gemacht, die geräte im einsatz hatte, die nur den standard web-key konnten und mac-adresse :(.

die idee, WLAN nach xx Uhr zu sperren find ich top. AUf sowas einfach und simples kommt man selbst nicht.

Password Policies hatte ich in meiner alten Firma, war alle 60 Tage, was ich als sehr nervig empfand und aus nichts anderem bestand als ein: "Password1."

Wobei die 1 durch 1+n ersetzt wurde.

Aber was soll ma da tun?

Windows Firewall ... Für mehr ist da kein Geld. Und wenn, soll es was zentral gemanagetes sein. Selbst bei 5 Notebooks hab ich wenig lust, dauernd rumzulaufen und ports einzutragen. Da ists mit der WiFirewall einfacher.

Prüfdurchläufen - gute idee! Hatte ich in meinr alten Firma. In der aktuellen hatte ich es vergessen.

Zugang mit externer HW lässt sich nicht beschränken :(. Es wird lokal wie an den notebooks mit soviel externer hardware gearbeitet, dass man unmöglich USB abschalten kann. ich kenn die sicherheitsproblematik abers elbst ..

Server/Routers tehen in nem Verschliessbarem raum. AUch wenns nicht wirklich sicher ist. Es ist ein Türschloss davor. Schlüssel hab nur ich.

Wozu nen Proxy?



Außerdem Thema Backup von Daten und Servern! Wie und wie oft müssen Daten gesichert werden? Was machen, wenn ein Router/Server/Was-auch-immer ausfällt?


Oh gott - erwähne es nicht. Ich hatte heut morgen shcon den Puls bei 180, als beim Raid 5 (ohne Hotspare, das im Produktiveinsatz und 800 Gbyte daten(!!!!!!!!!!!!!!!!!):eek: :eek: :eek: :eek: :eek: eien Platte nen Raid-Fehler hatte.

Die firma ist ein Chaos.. Wenn alles gut läuft, bin ich aber in 3 Wochen da weg.

Email wird Outlook genutzt. VS ist auf allen Clients und Servern. Dazu wird ein ISP genutzt, worauf auch nch ein VS läuft. Mit viren hab ich in der 5 Mann Firma, wo ich 8 Wochen bin, noch KEIN Problem! Ganz im gegensatz zur alten firma von 250 PC Usern.


Aber wie gesagt, das ist ein extrem unfangreiches Thema. Ohne genaue Kenntnisse über dein Unternehmen (Anzahl Mitarbeiter, Stärke der IT-Abteilung, Firmengelände u. -Kfz, Ausrichtung des Unternehmens, Geldmittel usw.) kann man nur etwas allgemein an der Oberfläche kratzen


Ich kr atz seit 8 Wochen grad mal an der Oberfläche den Decklack.

Wenigstens haben wir nen Microsoft DPM. Das Ding läuft, sichert stündlich und kann ich echt weiterempfehlen.

Hast du ein paar Quellen, wo man sowas nachlesen kann?

Kleinere Links hab ich genug. ich mein jetzt ebooks, guidelines, etc...

Bist du selbst admin?

Aktuell komm ich leider nicht ganz mit. ist zuviel, was ich mir auf der a rbeit und privat daheim reinziehe. Da bleibt leider manches auf der Strecke.

Ach jungs.. Und nehmt euch einen tipp von nem geplagtem Admin zu Herzen: Wenn ihr ein Raid 5 erstellt, macht bitte zwei dinge: Habt ne Hotspare und Testet nen Ausfall! Und ich kann wirklich nur Raid Controller empfehlen, die lautPiepsen bei nem Ausfall. Alles andere ist billig-käse. als das ding heut morgen piepste, wusste mein vorgesetzer nicht mal, was das war !!!! das kanns nicht sein. das ist nur traurig.

Zu UMTS: Ich musste Qualcom /T-COM UMTS Dinger mal administrieren. Das war der Horror. Ich frag mich, wie man sowas Benutzerunfreundliches bauen kann.
Das stimmt allerdings. WLAN-Router Einrichtung, nachdem UMTS-Karte bereits eingerichtet war. Nach ner Weile war's mir zu blöd, da hab ich den UMTS-Mist erstmal deaktiviert.
Es geht um den Mobilen Zugang per Notebook bei Kunden, oder sonstwo.
Bei so wenigen Leuten und dann beim Kunden dann natürlich UMTS/GPRS. Solange man mit den Kosten klar kommt...
Zum Thema WLAN - ja, ist schon lustig. Ich hatte meine Ausbildung in ner Firma gemacht, die geräte im einsatz hatte, die nur den standard web-key konnten und mac-adresse .
Same here. Von der Ausbildung her sollten wir mal das eigene WLAN hacken, weil der Admin meinte, das wäre sicher genug, hatte bis dahin auch keiner geschafft. Nach ner Stunde war das Thema komplett erledigt. MAC-Filter kann man auch eigentlich nicht als Sicherheitsfunktion ansehen, denn der soll bloß die Benutzer auf die vorhandenen Router aufteilen - und ne MAC-Adresse lässt sich leicht auslesen und fälschen.
WLAN nicht im Adhoc-Modus benutzen, da sonst WPA nicht geht! Wie gesagt Richtfunkt in Betracht ziehen, da ein Rundstrahler natürlich in alle Richtungen ausposaunt, was schlecht für den Speed ist und den Zugriff von Außen erleichtert. Andere Kanäle zu benutzen, hat aus der Sicht der Sicherheit kaum Sinn, da sich das leicht ermitteln lässt - aber hey, das weiß auch nicht jeder. Dann auch noch IP-Masquerating nutzen. Linux als OS wäre für euch wohl keine Alternative, oder?
die idee, WLAN nach xx Uhr zu sperren find ich top. AUf sowas einfach und simples kommt man selbst nicht.
Kann nicht jeder Router - vor dem Kauf drauf achten!
Password Policies hatte ich in meiner alten Firma, war alle 60 Tage, was ich als sehr nervig empfand und aus nichts anderem bestand als ein: "Password1."
Wobei die 1 durch 1+n ersetzt wurde.
Aber was soll ma da tun?
In einer größeren Firma hätte ich gesagt, den Typen mal ermahnen, später etwas ernster. Das lässt sich ja überwachen.
Windows Firewall ... Für mehr ist da kein Geld. Und wenn, soll es was zentral gemanagetes sein. Selbst bei 5 Notebooks hab ich wenig lust, dauernd rumzulaufen und ports einzutragen. Da ists mit der WiFirewall einfacher.
Sygates FW wird ja leider nicht mehr weiterentwickelt, sonst hätte ich gesagt, nimm die. Würde für eure Bedürfnisse schon ausreichen. Aber Windoof FW ist doch mal wirklich vollkommen nutzlos... Vielleicht ZoneAlarm - immer noch besser als die von Windoof.
Wozu nen Proxy?
Ich bin von einer größeren Firma ausgegangen. Da wäre es sinnvoll gewesen, den Zugang zu beschränken und zu filtern. Stellt ja auch ein kleines zusätzliches Hindernis dar. In deinem Fall dann natürlich nicht nötig, vorausgesetzt, dass deine Mitarbeiter sich nicht auf Porno- oder D/L-Seiten rumtreiben.
Email wird Outlook genutzt. VS ist auf allen Clients und Servern. Dazu wird ein ISP genutzt, worauf auch nch ein VS läuft. Mit viren hab ich in der 5 Mann Firma, wo ich 8 Wochen bin, noch KEIN Problem! Ganz im gegensatz zur alten firma von 250 PC Usern.
Je mehr Leute, desto schlimmer. Ist wie ne kleine Herde, auf die man ständig aufpassen muss. Deswegen keine Adminrechte für die User bei vielen Leuten.
Hast du ein paar Quellen, wo man sowas nachlesen kann?
Zum WLAN schon. Ansonsten nicht, sry.

Aus Erfahrung in meinem Unternehmen muss ich sagen, dass ne VPN doch sehr nützlich sein kann. Allerdings vielleicht etwas übertrieben für euch. Ist bei UMTS auch so ne Sache, da muss der Provider mitspielen.

Ich selbst bin kein Admin, sondern Azubi zum Systemelektroniker. ;)
Sicherheit hat mich aber schon immer interessiert, sowohl allgemeine Geländesicherheit, WLAN, LAN, im Büro usw.
Und in meinem Unternehmen sehe ich davon schon einiges - vom Personal zwar oft nur lachs durchgesetzt, aber zumindest prinzipiell wird ein sehr hoher Aufwand betrieben.

@Keel: Wenn du mich in einer Firma für ein Passwort meiner Wahl (ok, die sind eigentlich sicher) ermahnen würdest hättest du definitiv das größere Problem als ich, das garantiere ich dir aber! Denn auch in einer Firma sind das personengebundene Daten die man nicht einsehen darf. Anders ist das natürlich wenn die Mitarbeiter dazu eine Einverständnis abgeben mussen und belehrt werden wie sichere Passwörter auszusehen haaben.

@Topic: Und hämmer allen Kollegen ein das Sie immer ein Auge auf Ihren Notebook haben sollen wenn Sie damit unterwegs sind, das geht verdammt schnell (habs vor Kurzem beobachtet) und dann verschwinden da ohne Einsatz von Verschlüsslung (Truecrypt bspw.) mal eben eine Menge an Daten, halt die auf dem Notebook so drauf sind.

MfG Richard ;)

PS: Ich würde auf W-Lan setzen, man kann mittlerweile an jeder Ecke und in jedem Café ins Internet per W-Lan, dazu noch einen Router in der Firma, per WEP verschlüsselt, aufstellen und damit hat man eigentlich eine Abdeckung von annähernd 100% -- haben den die Notebooks eine integrierte NIC? Wenn ja, könnte man ja auch auf Internet-Connection-Sharing setzen wenn man innerhalb der Firma ist, allerdings fänd ich das wieder ziemlich uncool da man ja einen Notebook hat um sich kabellos zu bewegen!

@Keel: Wenn du mich in einer Firma für ein Passwort meiner Wahl (ok, die sind eigentlich sicher) ermahnen würdest hättest du definitiv das größere Problem als ich, das garantiere ich dir aber! Denn auch in einer Firma sind das personengebundene Daten die man nicht einsehen darf. Anders ist das natürlich wenn die Mitarbeiter dazu eine Einverständnis abgeben mussen und belehrt werden wie sichere Passwörter auszusehen haaben.
So kenne ich das bei mir. Ich würde mir das prinzipiell immer unterschreiben lassen, nachdem ich belehrt habe. Kenne ich auch vom Bund so - man will sich ja auch selbst absichern. Kann keiner behaupten, er wüsste von nichts.

@ Topic
Das NB sollte immer gut versteckt sein (jedenfalls nichts sichtbar), das Kensington Lock sollte auch nicht als solches erkennbar sein.
Was ist eigentlich, wenn du mal krank oder im Urlaub bist? Wer hätte dann die Verantwortung?
Was, wenn euer Netzwerk geknackt wird, oder ein NB mit UMTS-Karte geklaut wird? Es mag zwar banal klingen, aber hast du schonmal ergründet, welche Nummer du dann anrufen müsstest, um die Karte zu sperren?
Und wenn du deinen Kollegen schon Adminrechte geben willst, erstell wenigstens zwei Accounts (oder drei - den Dritten für dich, falls einer sein PW vergessen hat), einen als User-Admin und einen für's Internet.

So kenne ich das bei mir. Ich würde mir das prinzipiell immer unterschreiben lassen, nachdem ich belehrt habe. Kenne ich auch vom Bund so - man will sich ja auch selbst absichern. Kann keiner behaupten, er wüsste von nichts.

Naja, dann passt das ja, aber ich kenns auch nicht anders. Wobei in der Vereinbarung auch geregelt sein muss das der Admin diese Daten einsehen darf, wobei ich mir selbst dann nicht sicher bin ob das überhaupt ganz legal ist in Bezug aufs Datenschutzrecht. Aber eigentlich sollte das jeder Admin in einer Firma tun: Als erstes seine Kollegen über sichere Passwörter aufklären.

Ich betreue ja 2 Firmen was IT betrifft und habe diese Vereinbarung dort mehr oder weniger auch getroffen, Jeder hat sein Passwort und ich kenne diese Passwörter auch (wurde so abgesprochen damit ich per Remote-Zugriff im Notfall von Zuhause aus warten kann) -- die ersten Vorschläge die da an Passwörter kamen waren haarsträubend und kurz danach gabs eine zweite Belehrung/Anweisung was sichere Passwörter betrifft. Gibt jetzt in den Firmen sogar interne Richtlinien wie E-Mails mit Zip-Anhängen geschützt werden müssen.

Ich Frage mich bei einigen Leuten manchmal ob Sie sich garkeine Gedanken über so ein Thema machen oder einfach nur kein Interesse an Datenschutz haben. Ich meine auf so einem Server lagert dann direkt mal das Firmenkapital und das muss ja geschützt werden. Das ist so wie wenn ich den Schlüssel zum Archiv (das Archiv der einen Firma ist echt enorm, die haben einen 50qm² Raum im Keller) unter dem Fussabstreicher vor dessen Tür verstecke. Naja, ich hab dazu gelernt und achte nun strikt drauf!

@Topic: Das was Keel da sagt ist echt nicht verkehrt, am besten einen Notfallplan in der Schublade liegen haben für den Fall das etwas mit dem Notebook passiert. Gleich wenn der Anruf kommt sagen können das die UMTS-Karte (falls dann vorhanden) gleich gesperrt wird, das der Truecrypt-Container (falls dann vorhanden) so sicher is das Keiner damit was anfangen kann und so weiter. Es kommt immer drauf an wie sensibel die Daten auf dem Gerät sind und was für einen Schaden entstehen kann wenn Jemand Zugriff darauf hat (eine Konkurenzfirma bspw.) -- dort würde ich z. B. ansetzen und ein Konzept entwickeln auf dem das Alles aufbaut. Kenigston-Lock halte ich persöhnlich für übertrieben, aber wie schon gesagt: Ganz unten ansetzen und jede Schwachstelle systematisch ausmerzen. W-Lan schützen, LAN absichern -- sogar Telefone und die Telefonanlage der Firma würde ich mir mal genauer anschauen. Und viel Erfolg bei der Sache so nebenbei ... ich habe schon manche Lektion durch einen Fehltritt gelernt und man lernt ja bekanntlich nicht aus!

MfG Richard ;)

@ geforce
Das mit dem Kensington-Lock hat ja noch einen besonderen Hintergrund: Versicherungsschutz. Ob das Teil nun letztlich vor Diebstahl schützt sei mal dahin gestellt, aber zumindest wird sich eine Versicherung dagegen sträuben zu zahlen, wenn das NB einfach nur lose im Auto lag.

Und stimmt, sehr viele Leute gehen sehr lachs mit diesem Thema um. Ich persönlich bevorzuge da die Schocktherapie: Den Kollegen ruhig mal sanft auf die Nase fallen lassen. Muss der Chef ja nicht mitkriegen, aber so merkt sich derjenige das vielleicht mal.
Und fest definierte Richtlinien sind auf jeden Fall gut. Jeder muss belehrt werden und dafür unterschreiben, diese Richtlinien muss er auch jederzeit einsehen können.

@ Topic
Noch was zur Datensicherheit: Könnt ihr bei euren Books die Leseköpfe der Festplatten sicher parken wie bei IBM und Panasonic? Weil gerade im Außendienst fällt doch so manch einem mal schnell das NB runter, schon ist die Platte pfutsch (wer weiß, was sonst noch).

Edit: Auch mal das Verhalten eines Routers nach Stromausfall testen. Behält der seine Einstellungen, oder verliert er sie und steht offen wie ein Scheunentor?