Kann Firma meinen Browserverlauf sehen über die VPN?

10 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

Es kommt darauf an, wie das VPN konfiguriert ist. Häufig ist es so, dass der komplette Netzwerkverkehr über das VPN und damit über durch die Firma geht. Dann ist aber nicht der Browserverlauf zu sehen, denn der wird vom Browser gespeichert. Es ist zu sehen, welche Server aufgerufen worden sind. facebook.com wird auch ohne Dein Zutun mitunter aufgerufen, weil viele Webseiten diese Social-Network-Buttons auf ihren Seiten haben.

Anders sieht es allerdings aus, wenn die Firma einen TLS-Proxy installiert hat, welcher die HTTPS-Verschlüsselung öffnet. Darüber sollten die Mitarbeiter in der Regel informiert sein. Du kannst das nur prüfen, wenn Du Dir die Zertifikate der Webseiten anschaust. Das Zertifikat von Wikipedia ist z. B. von DigiCert ausgestellt, das von Google von Google Trust Services. Wenn ein TLS-Proxy eingesetzt wird, lautet der Aussteller der Zertifikate anders, und zwar für jede Webseite identisch.

Generell gilt: Niemand wird in der Firma sitzen und ständig überwachen, wer welche Webseite aufruft. Selbst wenn jemand feststellen sollte, dass Du verbotenerweise Facebook aufgerufen hast, gibt es keine Kündigung. Wenn das nur ein einmaliger Aufruf war, wäre das auch festzustellen. Es ist also erkennbar, dass Du nicht ständig und viel Arbeitszeit für privates Daddeln verschwendest. Generell sollte als erstes ein Gespräch mit dem Vorgesetzten stattfinden. Maximal gäbe es eine Abmahnung, die ich aber auch extrem übertrieben empfinden würde. Eine Kündigung gäbe es erst im Wiederholungsfalle.

Über VPN müsste jemand umständlich den Datenverkehr analysieren.

Falls aber jemand, z.B. der Admin Zugriff auf den PC hat, könnte er den Browserverlauf prüfen.

Auch wäre es möglich, dass eine Überwachungssoftware installiert hat. Es wäre auch möglich, dass du im VPN über einen Firmenproxy surfst und dieser protokolliert.

Es ist einfach vieles möglich.

franzhartwig  18.06.2022, 12:13
Über VPN müsste jemand umständlich den Datenverkehr analysieren.

Das VPN Gateway macht das für Dich, alternativ ein Proxy. Da ist nichts Umständliches dran. Kürzlich habe ich das noch für einen Kunden gebaut. Genau ein Gerät, welches VPN-Gateway, Firewall und TLS-Proxy gespielt hat. Du siehst jedes Detail im Log.

Auch wäre es möglich, dass eine Überwachungssoftware installiert hat.

Möglich ja, im Unternehmensumfeld aber alles andere als üblich.

Generell gilt sowohl für den TLS-Proxy als auch für eine "Überwachungssoftware" jeglicher Art: Es ist zustimmungspflichtig im Rahmen der Mitbestimmung, die Mitarbeiter müssen explizit informiert sein. Alles andere ist rechtswidrig.

Bushmills145  18.06.2022, 11:51

Sorry, aber da ist nichts umständlich oder analysieren damit verbunden: default route redirection, Zwangsproxy, und dann in den log geschaut.

Der IT-Beauftragte kann jeglichen Datenverkehr, der über Diensthardware läuft, auswerten.

Ja, das kann die Firma. Aber warum sollte dein web browser Daten vom Internet über das VPN der Firma reinholen? Nicht bloss weil du mit dem VPN verbunden bist.

Also es kann schon, deinen Computer so einzurichten, dass aller Verkehr über das VPN läuft. Aber wenn das der Fall ist, dann ist das das Resultat davon, auch tatsächlich Aktion dahingehend unternommen zu haben. Bloss mit einem VPN verbinden alleine reicht dafür nicht aus.

Als Folge des Verbindens kann dein Computer zwar die Instruktionen erhalten, die ihn veranlassen, allen seinen Verkehr über das VPN zu leiten (also auch das Reinholen von Facebook Webseiten) - aber für lediglich gesicherten Zugang zum Firmennetzwerk ist dies unnötig, und würde darum im Normalfall auch nicht gemacht.

franzhartwig  18.06.2022, 12:08
Aber warum sollte dein web browser Daten vom Internet über das VPN der Firma reinholen?

Weil das VPN so konfiguriert ist? Da hast Du als Benutzer keinen Einfluss drauf.

aber für lediglich gesicherten Zugang zum Firmennetzwerk ist dies unnötig, und würde darum im Normalfall auch nicht gemacht.

Meine Erfahrung sagt etwas anderes. Was nötig ist und was unnötig ist, hängt von vielen Faktoren ab. Ein sogenannter Split Tunnel, wo also der Internetzugriff lokal stattfindet und nur die Firmenressourcen über das VPN übertragen werden, kann ein Sicherheitsrisiko sein.

Bushmills145  18.06.2022, 12:14
@franzhartwig

Dann unterscheiden sich unsere Erfahrungen in diesem Punkt. Womöglich wird von Firma zu Firma anders entschieden, denn allen Traffic über das FirmenVPN zu leiten kann ebenfalls ein Sicherheitsrisiko darstellen.

franzhartwig  18.06.2022, 12:26
@Bushmills145
denn allen Traffic über das FirmenVPN zu leiten kann ebenfalls ein Sicherheitsrisiko darstellen.

Eher nicht. Wo sollte hier das Problem liegen?

Das Problem liegt eher darin, dass sämtlicher Datenverkehr über das Gateway und die Internetanbindung der Firma läuft. Das Gateway und die Anbindung müssen entsprechend kräftig dimensioniert sein. Sicherheitstechnisch ist das die bessere Methode, weil der Mitarbeiter-Rechner vollständig im Firmennetz steht und zentrale Regelwerke verwendet werden können.

Bushmills145  18.06.2022, 12:33
@franzhartwig

Beispiel: durch welche Aktion auch immer, Versehen, programmierte Reaktivierung, wird auf der Mitarbeitermaschine ein, sagen wir, torrent Client gestartet. Oder reaktiviert. Der setzt z.B. einen Download fort von "block buster 3" und teilt bereits erhaltenes mit anderen. MGM findet, dass das gar nicht kann, und lässt denjenigen mit der IP Adresse des Gateways abmahnen - die Firma.

Wäre stattdessen der Traffic nicht redirected, träfe es stattdessen den Mitarbeiter statt der Firma.

franzhartwig  18.06.2022, 13:23
@Bushmills145
Beispiel: durch welche Aktion auch immer, Versehen, programmierte Reaktivierung, wird auf der Mitarbeitermaschine ein, sagen wir, torrent Client gestartet. Oder reaktiviert.

Was soll eine "programmierte Reaktivierung" sein? Warum sollte sich der Torrent-Client auf der Maschine befinden? Warum lässt die standardmäßig aktivierte Windows-Firewall das zu? In der Regel hat der Benutzer meines Wissens keine Rechte, die Firewall zu modifizieren.

Der setzt z.B. einen Download fort von "block buster 3" und teilt bereits erhaltenes mit anderen. MGM findet, dass das gar nicht kann, und lässt denjenigen mit der IP Adresse des Gateways abmahnen - die Firma.

Dafür habe ich Logfiles, um den entsprechenden MItarbeiter zu identifizieren.

Zudem habe ich ein Regelwerk auf der zentralen Firewall, welches lediglich die notwendigen Protokolle zulässt. Torrent zählt in der Regel nicht dazu. Und wenn, dann ist Torrent nur zu definierten Zielen erforderlich.

Bushmills145  18.06.2022, 13:32
@franzhartwig

"programmierte Reaktivierung" - z.b. "up/down speed 0 von 6 Uhr bis 16 Uhr, danach upload limit von X, download limit aufgehoben". Generell, wieder aktivieren ohne dass Interaktion.

"um den entsprechenden MItarbeiter zu identifizieren" - klar, aber Abmahnung geht trotzdem an den Betrieb.

"habe ich ein Regelwerk" - welches demnach alle erdenklichen potentiell schädlichen Szenarien aussschließt - welche dadurch, dass *nicht* aller Traffic über das VPN geleitet würde, implizit ausgeschlossen wären?

Du fragtest, wo das Problem liegen könnte - ich hab dir ein Beispiel genannt. Möglich, dass du für dieses Beispiel Vorkehrungen getroffen hast, um das auszuschließen. Kannst du auch sicher sein, dass alle Betriebe das taten?

Bushmills145  18.06.2022, 13:36
@franzhartwig

" Warum sollte sich der Torrent-Client auf der Maschine befinden?" - warum sollte das ausgeschlossen sein?

"Warum lässt die standardmäßig aktivierte Windows-Firewall das zu?" - eventuell weil diese auf filterung von eingehendem, nicht auf ausgehenden traffic fokussiert - und Antwortpakete auf bereits bestehende Verbindungen zulässt.

"Windows" - gibt's nix anders`

franzhartwig  18.06.2022, 13:49
@Bushmills145
" Warum sollte sich der Torrent-Client auf der Maschine befinden?" - warum sollte das ausgeschlossen sein?

Weil ein vom Unternehmen administrierter Rechner nur die vom Unternehmen vorgesehene Software installiert hat. Torrent-Clients gehören in der Regel nicht dazu. Installieren kann der Benutzer aufgrund mangelnder Rechte nichts.

Ja, ich weiß, der Benutzer kann portable Software verwenden, die muss nicht installiert werden. Da gibt es auch Torrent-Clients. In dem Fall greift die Firewall. Zunächst die im Regelfall aktive Windows-Firewall, ansonsten auch die zentrale Firewall, über die aufgrund des entsprechend konfigurierten VPNs sämtlicher Datenverkehr ins Internet geht.

"Warum lässt die standardmäßig aktivierte Windows-Firewall das zu?" - eventuell weil diese auf filterung von eingehendem, nicht auf ausgehenden traffic fokussiert - und Antwortpakete auf bereits bestehende Verbindungen zulässt.

Eine Firewall lässt, wenn sie nicht komplett unsinnig konfiguriert ist, keinen eingehenden Verkehr zu. Für gewünschten eingehenden Verkehr muss eine Regel eingerichtet werden.

"programmierte Reaktivierung" - z.b. "up/down speed 0 von 6 Uhr bis 16 Uhr, danach upload limit von X, download limit aufgehoben". Generell, wieder aktivieren ohne dass Interaktion.

Auf diese Weise wird Datenverkehr limitiert, aber kein Torrent Client oder andere Software aktiviert.

"um den entsprechenden MItarbeiter zu identifizieren" - klar, aber Abmahnung geht trotzdem an den Betrieb.

Ich schilderte bereits, dass es zur Abmahnung gar nicht kommt. Wenn der Administrator nicht in der Lage ist, die Sicherheitsinfrastruktur, insbesondere die Firewall nicht richtig zu konfigurieren, sollte man dieses Manko nicht durch eine unsichere Konfiguration des VPN versuchen zu beheben.

"habe ich ein Regelwerk" - welches demnach alle erdenklichen potentiell schädlichen Szenarien aussschließt

Als Administrator der Firewall sollte ich wissen, welche Protokolle benötigt werden. Torrent gehört in der Regel nicht dazu.

- welche dadurch, dass *nicht* aller Traffic über das VPN geleitet würde, implizit ausgeschlossen wären?

Ich verstehe die Frage nicht. Du behauptest, dass es ein Sicherheitsrisiko sein kann, wenn sämtlicher Datenverkehr über das VPN und die zentrale Firewall geht. Ich habe also kein Szenario geschildert, in dem ein Sicherheitsrisiko ausgeschlossen wird, wenn der Internetzugang lokal erfolgt.

Du fragtest, wo das Problem liegen könnte - ich hab dir ein Beispiel genannt.

In einem Unternehmen, wo dieses Beispiel zu Problemen führt, ist ein unfähiger Administrator tätig.

Möglich, dass du für dieses Beispiel Vorkehrungen getroffen hast, um das auszuschließen. Kannst du auch sicher sein, dass alle Betriebe das taten?

In dem Sinne einigen wir uns doch auf die Aussage: Ein Internetzugang kann ein Sicherheitsrisiko bedeuten.

Bushmills145  18.06.2022, 14:01
@franzhartwig

"Unternehmen administrierter Rechner" ... Home Office wurde genannt. Womöglich privater Computer. Warum sollte die Firma eine Maschine im Home Office administrieren? Da hat der Nutzer auch Rechte zum Installieren von firmenfremder Software.

"Eine Firewall lässt, wenn sie nicht komplett unsinnig konfiguriert ist, keinen eingehenden Verkehr zu" - Nicht ganz richtig. Antwortpakete sind ebenfalls eingehender Verkehr - lediglich kein Verkehr, der eine neue Verbindung aufbaut (also Verkehr, in dessen erstem Paket das SYN bit gesetzt ist). Darum würde ich deine Aussage dahingehend verändern: "Eine Firewall lässt, wenn sie nicht komplett unsinnig konfiguriert ist, keinen Verkehr zu, der eine neue Verbindung aufbaut". Braucht es aber auch nicht - du kannst eingehenden Verkehr mittels polling ermöglichen - was bei genannten torrent clients auch gerne praktiziert wird, insbesondere wenn sie hinter einer Firewall laufen ...

"Torrent gehört in der Regel nicht dazu"- mit erwähntem polling lässt sich der Traffic nicht mehr dadurch blockieren, dass Zugriff auf spezifische ports unterbunden wird. Packet inspection wäre nötig. Schwer bei verschlüsseltem Verkehr.

"In einem Unternehmen, wo dieses Beispiel zu Problemen führt, ist ein unfähiger Administrator tätig." Oder womöglich ein Admin, der sich als fähig ansieht, und plötzlich mit einer Realität konfrontiert wird, die nicht mit seiner Selbsteinschätzung übereinstimmt. Unternehmen mit unfähigen Admins gibt es aber tatsächlich.

"Ein Internetzugang kann ein Sicherheitsrisiko bedeuten." - dem kann ich ohne Weiteres zustimmen.

franzhartwig  18.06.2022, 14:05
@Bushmills145
"Unternehmen administrierter Rechner" ... Home Office wurde genannt.

Unterscheide "Homeoffice" von BYOD. Im Homeoffice arbeitet man in der Regel mit einem Endgerät, welches von der Firma gestellt und administriert ist.

"Eine Firewall lässt, wenn sie nicht komplett unsinnig konfiguriert ist, keinen eingehenden Verkehr zu" - Nicht ganz richtig. Antwortpakete sind ebenfalls eingehender Verkehr - lediglich kein Verkehr, der eine neue Verbindung aufbaut

Das habe ich damit gemeint.

(also Verkehr, in dessen erstem Paket das SYN bit gesetzt ist).

SYN gibt es nur bei TCP. Es gibt aber noch andere Dinge außer TCP.

Bushmills145  18.06.2022, 14:14
@franzhartwig

Richtig, es gibt andere Dinge ausser TCP. So kennen verbindungsfreie Protokolle kein SYN bit. Da dieses Beispiel allerdings auf torrent beruhte, dürfen wir ruhig das damit bevorzugt benutzte TCP dafür heranziehen. UDP wäre sogar problematischer, da nicht mehr eindeutig zwischen initialen Paketen und Folge- bzw. Antwortpaketen unterschieden werden kann. Es macht nämlich Sinn, um zur Auslotung der möglichem Probleme bei einem Beispielfall auch die Protokolle zu berücksichtigen, die vom Beispiel verwendet würden, statt "andere Dinge", die auf das Beispiel weniger oder keinen Bezug mehr haben.

franzhartwig  18.06.2022, 14:21
@Bushmills145
UDP wäre sogar problematischer, da nicht mehr eindeutig zwischen initialen Paketen und Folge- bzw. Antwortpaketen unterschieden werden kann.

Keine Sorge. Eine Firewall schafft das mit ausreichender Genauigkeit.

Bushmills145  18.06.2022, 14:23
@franzhartwig

so z.B. beim Tunneln von Daten über port 53, verpackt in DNS queries und replies :)

Wie auch immer, ich hab ThickQueen mal gefragt, ob es sich um Firmen- oder eigenen Computer handelt.

ThickQueen 
Beitragsersteller
 18.06.2022, 11:42

Also bei Beginn der Arbeit muss ich mich in die VPN loggen von der Firma um auf firmeninterne Programme zuzugreifen.

Mit der VPN war ich verbunden und habe da im Google Chrome Facebook geöffnet.

Deshalb ist meine Angst da

Bushmills145  18.06.2022, 11:48
@ThickQueen

Führe mal ein traceroute aus zu Facebook, während du mit dem VPN verbunden bist - das zeigt dir die Route, die dein Netzwerkverkehr dann nimmt. Also ob oder ob nicht durch das Firmenvpn. (Mit Einschränkungen, weil z.B. die mögliche Verwendung eines web proxies durch deinen browser habe ich jetzt nicht berücksichtigt)

Bushmills145  18.06.2022, 14:17
@ThickQueen

Wurde der Computer vom Unternehmen gestellt, oder ist das dein eigener Computer, den du im home office verwendest?

Kann Firma meinen Browserverlauf sehen über die VPN?

Den Browserverlauf über VPN? Nein.
Dazu müsste sie Zugriff auf den Browser haben.

Kann der Arbeitgeber wenn ich über die VPN der Firma eingeloggt bin ,sehen was ich im Internet gesurft habe?

Nein, aber das ist auch nicht der Browserverlauf - Du solltest Dich vielleicht einigen, was Du fragen möchtest.

Habe einmal die Facebook Website geöffnet und habe jetzt angst vor Kündigung.

Naja - wenn privates Surfen ein sofortiger Kündigungsgrund sein sollte, dann solltest Du unruhig werden, denn dass Du mit einem VPN-Anbieter verbunden warst, das kann anhand der Netzwerklogs definitiv nachvollzogen werden.
Und damit auch, dass Du privat unterwegs warst - egal ob facebook oder p*rnhub... ist vollkommen wuppe. 🤷‍♂️

ThickQueen 
Beitragsersteller
 18.06.2022, 11:40

Danke für die Info, man kann es auch freundlich und wertschätzend rüberbringen.

Zudem bin ich kein IT-spezialist

mchawk777  18.06.2022, 11:43
@ThickQueen

Ich halte es für eine absolute Unverschämtheit mir das zu Unterstellen.
Da hofft man ja gleich, dass Dein AG strickt durchgreifen wird. 🤷‍♂️

Wenn ich in die Richtung gedacht hätte, dann hätte ich mit "Was für ein Honk!" denkend gar nicht geantwortet.
Aber so kann man sich auch zukünftige Beantwortungen von Fragen "ersparen". In diesem Sinne: PLONK!