Zum Inhalt springen

BYOD Strategien


toothpick

Empfohlene Beiträge

Hallo zusammen,

ich hab das ganze mal unter Security eingeordnet, da es hier wohl vor allem um Sicherheitsbedenken bei BYOD geht.

Im Grunde sieht für mich die einzig umsetzbare BYOD Strategie wie folgt aus: Der Anwender bringt sein eigenes Gerät und übernimmt selbstständig Wartung und Support für das Gerät. Die eigentliche Arbeit muss über eine Remoteverbindung z.B. auf einer VM stattfinden, da ich unbekannten Geräten, die ich nicht identifizieren und nicht verwalten kann niemals direkten Zugriff auf unseren Fileserver oder sonstige Bestandteile des Firmennetzes geben würde. Ich vermute die meisten Admins werden das genauso sehen, oder?

Oder gibt es auch Konzepte bei denen Usern lokal auf Ihrem BYOD Gerät arbeiten und direkten Zugriff auf das Firmennetz haben?

Bei uns geht es im speziellen Fall um CAD Anwendungen, die möglichst aus Performance-Gründen lokal laufen müssen. Somit sehe ich eine BYOD Strategie für uns nicht umsetzbar.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb toothpick:

Hallo zusammen,

Die eigentliche Arbeit muss über eine Remoteverbindung z.B. auf einer VM stattfinden,

Bei uns geht es im speziellen Fall um CAD Anwendungen, die möglichst aus Performance-Gründen lokal laufen müssen. Somit sehe ich eine BYOD Strategie für uns nicht umsetzbar.

In so einem Modell habe ich 2013 zuletzt gearbeitet (VM) - mittlerweile gibt es sicher "weiterentwickelte" Modelle.

Lokale CAD Anwendungen ? Da kann man sich jetzt nicht wirklich viel drunter vorstellen. Wenn so hohe Anforderungen gestellt werden, warum wird dem Benutzer dann kein Gerät zur Verfügung gestellt oder was "bewegt" einen Anwender, ein eigenes Gerät dazu nutzen zu wollen ? Tut mir leid, aber dieses Konzept verstehe ich irgendwie konzeptionell jetzt nicht ganz.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ok ich versuche es nochmal zu erklären.

Das Ganze ist mehr eine theoretische Frage. In der es darum geht zu klären ob BYOD für uns überhaupt umsetzbar wäre und wenn ja auf welche Weise.

Also wir nehmen an: Der User braucht für seine Anwendung lokal Rechen- und Grafikleistung. Über Remote CAD zeichnen möchten wir wegen der Latenz niemanden zumuten. Der User sitzt im Home-Office und wählt per VPN im Firmennetz, wo er alle Server z.B: Fileserver erreicht. Was für ein Gerät er nutzt ist bei BYOD sein eigenes Problem - das ist ja auch Sinn der Sache. 

In einer solchen Konstellation ist für mich keine ausreichende Sicherheit geboten. Ich möchte keine Privatrechner, die ich nicht verwalten und identifizieren kann in meinem Netzwerk haben. 

Also heißt das zusammengefasst: Ich bin der Ansicht wir können weder mit Remoteverbindung arbeiten noch mit Privatgeräten im LAN.

Mich würde jetzt interessieren

1) ob ihr das anders seht als ich

2) Ob es BYOD Konzepte gibt mit denen nicht über Remoteverbindung gearbeitet werden muss und trotzdem die Sicherheit gewährleistet ist

3) Ob Remotedesktop die gängige Arbeitsweise bei BYOD ist

 

Bearbeitet von toothpick
Link zu diesem Kommentar
Auf anderen Seiten teilen

Kannst du mir das Setup für eure CAD Maschinen kurz beschreiben?

Habt ihr einen Server mit Grid GPU oder nehmt ihr da Workstations? Habt ihr eure Clients komplett virtuell?

 

z.B. in AutoCAD auf einer Workstation über RDP waren meine Erfahrungen nicht besonders gut. 

Bearbeitet von toothpick
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb toothpick:

BYOD

Grito Homer Simpsons GIF - Grito HomerSimpsons Scream GIFs

vor einer Stunde schrieb toothpick:

3) Ob Remotedesktop die gängige Arbeitsweise bei BYOD ist

Die RDP Session in einer Sandbox, keine Möglichkeit Daten vom Hostrechner zur RDP Session und anders rum zu transferieren und je nach Paranoia oder Abteilung der Mitarbeiters auch keine Möglichkeit Screenshots anzufertigen. Hier wären vor allem Personal, Buchhaltung, Entwicklung (also deine CAD Maschinen) und IT solche Kandidaten. Und Multifaktor ist dann sowieso Pflicht, aber bitte nicht auf dem BYOD Handy.

Ich würde gar kein BYOD keine andere Zugriffsmöglichkeiten zulassen. Das fängt bei der Sicherheit der Endgeräte an, welche Programme installiert sind hat der AG nicht zu bestimmen, also kann da auch munter jeder Keylogger mitspielen. Dann kommt die Lizenzfrage: Wenn der AN Software benötigt, wer bezahlt sie? Wer installiert sie? Was, wenn der MA ausscheidet? Wie kann man ihn verpflichten die Unternehmenssoftware zu deinstallieren?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich teile deine Meinung in Bezug auf BYOD absolut und bin nicht scharf drauf. Jedoch gibt es bei uns einen kreativen Junior-Chef der gerne mal mit solchen "innovativen Themen" um die Ecke kommt. Ich sehe es also eher als bestätigt an, dass BYOD mehr Probleme als Lösungen schafft.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 16 Minuten schrieb toothpick:

 Ich sehe es also eher als bestätigt an, dass BYOD mehr Probleme als Lösungen schafft.

Vor allem sorgt es für Probleme, wenn es MAs gibt, die nicht ihr eigenes Gerät für Firmeninteressen verfeuern wollen oder gar können. Gibt ja auch inzwischen viele, die gar kein PC/Laptop mehr Zuhause haben und dann komplett in die Röhre gucken.

Klingt eher für mich nach einem Juniorchef, der kein Bock auf das hässliche Firmennotebook hat und lieber das MacBook von Zuhause benutzen will...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb maximemelian:

Klingt eher für mich nach einem Juniorchef, der kein Bock auf das hässliche Firmennotebook hat und lieber das MacBook von Zuhause benutzen will...

Oder er hat gerechnet und - da BWL Absolvent - die falschen Schlüsse gezogen. Natürlich klingt es im ersten Moment verführerisch nicht pro MA 1k+ an Hardware hinstellen zu müssen (Laptop + Docking + 2x Monitor + Peripherie), allerdings ist der Aufwand das Ganze dann auch sicher zu machen mit keinem Bisschen berücksichtigt.

vor 8 Stunden schrieb toothpick:

Der Anwender bringt sein eigenes Gerät und übernimmt selbstständig Wartung und Support für das Gerät.

Alleine schon an dem Punkt wird der 08/15 Anwender scheitern. Sobald ein Problem auftritt, das "ganz sicher erst seitdem das Gerät als BYOD genutzt wird" auftritt, ist der Firmenadmin dafür zuständig. Egal was das Problem ist, wo es herkommt, wer es verursacht hat... Und wenn der Hund drübergek*tzt hat, der MA kann nicht arbeiten, der Admin muss es fixen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Bei mir wird seit Corona ein Mix gefahren, vorher war es nur BYOD bei denen die durften und da ist einiges passiert.

vor 2 Stunden schrieb Maniska:

Alleine schon an dem Punkt wird der 08/15 Anwender scheitern

Das ist ein sehr wahrer Punkt. Es gibt Anwender für die ist es kein Problem, aber auf der anderen seit gibt es die Null-Bezug zu Technik haben "Wieso soll ich etwas machen? Sie sind doch der Experte." , die uralten Schrott verwenden wollen "Ich verstehe nicht warum es Problem gibt. Mein Freund hat den Extra neu aufgesetzt." "Das Teil ist 14 Jahre alt." "Na und? Für die 2000€ hat der sich lange gehalten." , die gepimpten uralten Schrott verwenden "Mein Mann hat mir  ein wiederaufgearbeites Notebook gegeben, das können verwenden oder?" (Es hatte schon gute 15 Jahre auf dem Buckel. Der Vistaaufkleber war noch drauf. Eine SSD war an einen SATA 1 Anschluss angeschlossen.), die beiden das alter eine große Rolle spielt und bei denen du immer Schuld bist (Was dir gerne auch vom technikaffinen Partner erklärt wird).

vor 6 Stunden schrieb maximemelian:

 wenn es MAs gibt, die nicht ihr eigenes Gerät für Firmeninteressen verfeuern wollen oder gar können. Gibt ja auch inzwischen viele, die gar kein PC/Laptop mehr Zuhause haben und dann komplett in die Röhre gucken.

Ich durfte auch schon einige tolle Telefonate führen, weil Mitarbeiter ihre Firmengeräte für privaten Kram verwendet haben und der Virenscanner angeschlagen ist.

Link zu diesem Kommentar
Auf anderen Seiten teilen

BYOD kann klappen, wenn man es freiwillig macht. Und ganz klare Regeln schriftlich fixiert sind, bis wohin wessen Verantwortlichkeit geht. Dann können MA mit ihrem Eqiupment arbeiten, wo sie wollen.

Aber die normalen Endanwender kaufen sich Consumer-Hardware für möglichst wenig Geld im Discounter, schließen sie per ungepatchtem & provider-vermurkstem Router an einem Consumer-16M-ADSL-Anschluss an und wundern sich, warum sie das YouTube-Video nicht wie im Büro gewohnt auf maximaler Auflösung und ohne Ruckler sehen können, während drölf Toolbars, Miningviren und Spamscripts alle Kerne der CPU auslasten.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Stunde schrieb allesweg:

BYOD kann klappen, wenn man es freiwillig macht. Und ganz klare Regeln schriftlich fixiert sind, bis wohin wessen Verantwortlichkeit geht. Dann können MA mit ihrem Eqiupment arbeiten, wo sie wollen.

In dem Zusammenhang auch immer interessant, egal ob private Hardware, Privatwagen oder angeordnetes mobiles Arbeiten (vulgo: (Corona) HomeOffice): Welche Kosten werden wann wie wo durch wen übernommen?

  • Wenn mein privater Laptop auf einer Geschäftsreise beschädigt wird, wer hat für Reparatur/Ersatz zu sorgen, und in welchem Zeitraum? Will ich unter den Umständen meinen 2k€ Laptop* überhaupt "bringen"?
  • Wer übernimmt die Kosten bei einem selbst verschuldeten Unfall? Vor allem den Punkt "Höhere Eingruppierung bei der KFZ Versicherung"?

*nein, ich habe keinen 2k€ Laptop, aber andere haben so was :D

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb allesweg:

BYOD kann klappen, wenn man es freiwillig macht. Und ganz klare Regeln schriftlich fixiert sind, bis wohin wessen Verantwortlichkeit geht. Dann können MA mit ihrem Eqiupment arbeiten, wo sie wollen.

Aber auch nur per remote auf einer Maschine im LAN. Oder würdest du Fremdgeräte auf allen Ports (SMB für Netzlaufwerke usw.) in dein LAN lassen? Mir wäre das Risiko z.B. in Bezug auf Ransomware viel zu groß.

Bearbeitet von toothpick
Link zu diesem Kommentar
Auf anderen Seiten teilen

@toothpick bin ich lebensmüde? BYOD natürlich nur als dummes Terminal zum Zugriff auf abgesicherte Firmeninfrastruktur - ohne Möglichkeit des direkten Datenaustauschs.

Sprich es gibt keine Möglichkeit, Dateien zwischen Privatgerät und Firmennetz auszutauschen (außer E-Mail), keine Druck-Möglichkeit, nichts.

Screenshots/Screencorder kann man teils verhindern, aber gegen Bildschirm echt abfotografieren/abfilmen kann man (auch auf Firmengeräten) nichts machen.

Gegen Keylogger kann man sich dann aber nicht mehr zu 100% schützen, was bei der Eingabe von Zugangsdaten zu berücksichtigen sein kann...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Und wenn jemand BYOD einführen will, soll er mir bitte vorrechnen, ab wann sich diese zusätzliche Zugnagsart inkl. alleine dafür nötige Absicherungsmaßnahmen im Vergleich zu Firmengeräten rechnet.

Also ab wie vielen Nutzern, für welche keine entsprechende Firmenhardware neu angeschafft werden muss - unter Berücksichtigung der bestehenden Ausstattung und üblicher Verwendbarkeit der vorhandenen Geräte.

Spoiler

"Wir beschaffen normalerweise jährlich 3 neue Notebooks und nur wenn wir stattdessen diese Leute auf BYOD umstellen, haben wir in 5 Jahren 5 BYOD-Geräte mit 15*x€ Jahreslizenz für $Zugangstool und dadurch $BruchteilDerSumme pro Jahr an Hardware gespart. Die Softwarelizenzen brauchen wir ja weiterhin. Hupps - BYOD ist ja gar nicht günstiger? :o "

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Zitat

Sprich es gibt keine Möglichkeit, Dateien zwischen Privatgerät und Firmennetz auszutauschen (außer E-Mail), keine Druck-Möglichkeit, nichts.

This!

Zitat

Screenshots/Screencorder kann man teils verhindern, aber gegen Bildschirm echt abfotografieren/abfilmen kann man (auch auf Firmengeräten) nichts machen.

This!

Wobei abfilmen/fotografieren Vorsatz oder zumindest grob fahrlässiges Verhalten voraussetzt. Entweder ist es der User selbst, der genau weiß, dass er etwas Verbotenes tut, oder er hat vorsätzlich gegen Arbeitsanweisungen (Sperren des Arbeitsplatzes, Bildschirm nicht von draußen einsehbar, ...) verstoßen. Beide Male kann er Verantwortlich gemacht werden.

Schlussendlich kann ich solches Verhalten auch im Büro nicht wirksam unterbinden.

Screenshots können über kompromitierte Endgeräte auch unbemerkt vom User erstellt und versendet werden, bei BYOD ist m.E. der AG dann selbst schuld wenn Schadsoftware so etwas anrichtet, da er (der AG) nicht alles technisch Mögliche und Zumutbare getan hat um das zu verhindern.

Zitat

Gegen Keylogger kann man sich dann aber nicht mehr zu 100% schützen, was bei der Eingabe von Zugangsdaten zu berücksichtigen sein kann...

Ohne Multifaktorauthentifizierung darf so ein Konstrukt daher auch nicht in Betrieb genommen werden. Bei kompletten BYOD Strukturen muss mE auch das Handy, das mit der App den 2. Faktor darstellt, bzw die App selbst mit Fingerabdruck oder PIN (ich bin eher für Fingerabdruck, den kann man nicht aufschreiben) abgesichert sein.

vor 4 Minuten schrieb allesweg:

Also ab wie vielen Nutzern, für welche keine entsprechende Firmenhardware neu angeschafft werden muss - unter Berücksichtigung der bestehenden Ausstattung und üblicher Verwendbarkeit der vorhandenen Geräte.

Bitte bei den Kosten den administrativen Mehraufwand einrechnen der daraus entsteht dass der Firmenadmin im Schnitt 1 Tag/Woche damit zubringt bei Hardwareproblemen zu helfen die man ohne BYOD nicht hätte.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...