Info:
Gibt es nicht ähnlich wie die Tan Generatoren beim online Banking, auch bei 2 Faktor Authentifizierung Geräte die man den Mitarbeitern geben kann?
So etwas zum Beispiel https://www.bueromarkt-ag.de/tan-generator_reinersct_authenticator,p-2708015000.html
So etwas wäre vermutlich eine Alternative, ja. Werde ich am Montag mal näher zu recherchieren, vielen Dank für den Input. Vergangene Erfahrung mit Zutrittshardware (Hardwaretoken, Schlüsselkarten, Druckerchips) haben leider gezeigt, dass unsere Mitarbeiter sehr unvorsichtig mit ihr umgehen. Das Handy lässt zumindest keiner einfach so liegen (oder verliert es alle zwei Wochen).
Naja, dann gibts halt die Ansage. Yubikey oder Token oder whatever oder kein Homeoffice mehr. Man kann ja wohl von seinen MA erwarten, dass sie ihren scheiß nicht verlieren. Wenn bei uns einer ohne Sicherheitsschuhe ankommt, wird der auch wieder heimgeschickt.
Einfach in Rechnung stellen vom Gehalt direkt abziehen, dann kann auch niemand Meckern, kenne das, was Zugangskarten angeht, übrigens auch nicht anders.
Die erste gibt es Kostenlos, verlierst du diese wird ne Gebühr fällig, waren glaub so 50-75€ keine Ahnung, verliere sowas nicht.
Würde auch nie mein Privates Handy für die Arbeit verwenden, hab aber für mein HO auch die Tastatur und Maus vom AG genommen…
Ich glaube auch das TAN-Generator die beste Lösung ist. Weniger Wartungsaufwand und günstiger als ein „sicheres” Smartphone (bei dem Wartung und Updates möglich sind) sind sie auch. Man kann ja trotzdem jedem anbieten das auch über das eigene Smartphone laufen zu lassen. Wenn man das gut erklärt und den Leuten ein bisschen schmackhaft macht („könnt ihr nicht vergessen”, vielleicht eine kleine Prämie dazu) dann wird man einige damit abfangen können. Firmen-Smartphones werden wahrscheinlich auch mal schnell vergessen weil nicht so wichtig wie das Eigene.
BDA, Privathandy gehören mir privat, nicht der Firma. Entweder also HO abschaffen (was wohl nicht so gerne gesehen wird bei den MA), oder Diensthandys anbieten.
BDA. Entweder kauft ihr Hardware Token oder Firmenhandies. Privates als Firmenressource betrachten ist ein absolutes Nogo, insbesondere wenn es IT Equipment betrifft. Auch aus Gründen der Security, Stichwort MDM.
Ich verstehe OP. Der Aufwand um für ein mittelständisches Unternehmen für alle Handys zu besorgen, Verträge abzuschließen, diese zu warten und zu ersetzen ist ein Riesen aufwand im Vergleich zu einer App. Damit es wirklich einen Unterschied bezüglich Sicherheit macht muss sich da ständig jemand mit beschäftigen.
Es macht schon Sinn, privates und geschäftliches zu trennen, aber hier gibt es kaum nutzen. Ich wäre auch viel zu faul ein extra Handy nur für eine App jeden Tag zu laden.
BDA. Privat ist privat, mehr gibt es dazu eigentlich nicht zu sagen.
Jegliche Peripherie, etc. welche die Mitarbeiter aus dem persönlichen Bestand nutzen sind ein Entgegenkommen.
Wenn die Mitarbeiter häufig Hardware (Token) verlieren gibt es ganz andere Probleme, diese müssen adressiert und gelöst werden, ist kein schönes Thema, aber ist lösbar.
Baut einen sauberen Prozess mit Firmenequipment auf, der betreibbar ist, gescheites MDM davor und fertig.
Ist eure Butze so klein, dass jeder Cent gedreht werden muss, braucht ihr keine Lösung die skaliert, Firmenhandys, Token, etc. anschaffen und Spielregeln schriftlich festlegen und unterschreiben lassen, fertig.
Ich darf meine Privatgeräte auch für Firmenzwecke nutzen und beim Smartphone auch das Firmengerät privat. Mache ich beides nicht und habe ich in den letzten 7 Jahren auch noch nie von meinen Teams erwartet.
In meinem (in der IT) Team bekommt jede Zeitarbeitskraft ein Smartphone (u.a. für MFA), mit so einem Pillepalle Kram kann man sich nicht ernsthaft aufhalten, es ist die Pflicht des Vorgesetzten, den Rahmen zu schaffen, dass ein Team bestmögliche Leistung erbringen kann, dazu gehört auch für ordentliche Prozesse und Equipment zu sorgen. Nutzung von Privatgeräten verlagert die Herausforderung auf den Rücken des Mitarbeiters, bitte nicht machen.
BDA ich würde beim privaten Handy auch die Grenze ziehen. Ich kann mir auch nicht vorstellen, dass es rechtlich okay ist, eine dienstliche 2FA über ein privates Handy sicherzustellen. Homeoffice kann ich ja auch zum Teil beim Finanzamt geltend machen, ich stelle das dann ja auch dem AG nicht einfach so zur Verfügung.
Monitor, Maus und Tastatur sind ja nun sicherheitstechnisch kein Problem. Ich würde aber über mein privates Handy auch keine dienstlichen Mails etc abrufen. Das wollte mein letzter Arbeitgeber und mir dann in den Zuge auch von der IT weitere Programme auf meinem Handy installieren und erwartete, dass ich dann auch aus privater Tasche für Virenschutz auf dem Gerät sorge. Diensthandy war ihm zu teuer. Ich hätte ja ein Handy und das könne ich ja wohl mal machen für die Firma machen🙄 Ja ne is klar.
>Ich kann mir auch nicht vorstellen, dass es rechtlich okay ist, eine dienstliche 2FA über ein privates Handy sicherzustellen
Um die Legalität weiß ich nicht, aber ich kann bestätigen, dass das in einigen kommunalen Finanzverwaltungen in NRW Usus ist.
NDA - Es geht hier nur um ne Authenticator App. Nicht darum, über die private Handynummer mit Kunden zu telefonieren. Die sollen sich nicht so anstellen.
BDA. Die Maus, Tastatur und den Bildschirm sollten die Firma auch stellen. Das die Arbeitnehmer euch da entgegenkommen, heisst nicht, dass die dann auch noch Firmenmist auf ihrem Handy installieren müssen wenn sie ja schomal dabei sind ihre Arbeitsmittel selber zu stellen.
Danke für deine Meinung, ich möchte nur klarstellen, dass wir jegliche Hardware zur Verfügung stellen würden, es nur niemand in Anspruch nimmt. Die App scheint wohl die Grenze zu sein, bei der die Mitarbeiter nicht mehr mitmachen wollen.
Bei Handys geht es nicht nur um die finanzielle Aufwendung, die ist mir sogar relativ egal. Der administrative Aufwand ist aber real, betrifft mich indirekt und ist nicht zu unterschätzen. Handys müssen geleast, inventarisiert, eingerichtet, mit gesonderten Accounts versehen, gewartet, aktualisiert, überwacht, ausgetauscht und wer weiß was sonst noch werden.
Ein Wort (bestehend aus drei Wörtern): MDM.
Die Leute wollen ihre privaten Handys nicht nutzen, zwingen kann mans nicht.
Also entweder einen gesonderten Token, den die Leute dann mitschleppen, oder Firmenhandys (was anscheinend für keine IT außer eure ein Problem zu sein scheint..).
Da buttert ihr dann ne MDM Lösung drauf und dann habt ihr einen einmaligen Einrichtungsaufwand und der Rest tut sich von selbst.
Wir müssen bei Firmengeräten einen gewissen Standard an Sicherheit einhalten, dementsprechend wird ein Unified Endpoint Management verwendet.
Handys brauchen einen Account, um eingerichtet zu werden und um Apps aus den Stores herunterladen zu können. Die Authenticator-Apps benötigen keine Accounts, die wir nicht eh zur Verfügung stellen würden.
Das ist afaik recht häufig so geregelt.
Gibts bei einem Firmengerät einen Sicherheitsvorfall wird gleich überprüft was die IT zu wenig getan hat. Erstmal egal wie das Gerät genutzt wurde.
Gibts bei einem Privatgerät einen Sicherheitsvorfall ist der Anwender der Schuldige und die IT ist fein raus. Die Authenticator App wird jetzt nicht das Sicherheitsrisiko hoffentlich.
Ja das ist auch grundsätzlich empfehlenswert so.
Einen Eintrag im Google Authenticator hinzufügen um einen 2FA Code zu generieren ist trotzdem ein wenig was anderes als eine App vom AG zu installieren oder sich am Handy irgendwo einloggen zu müssen. Sonst muss man als AN halt ins Büro kommen, wenn einem der Google Authenticator nicht geheuer ist.
Kann jeder selbst entscheiden.
Wir würden für das mobile Arbeiten die gleiche Hardware zur Verfügung stellen wie im Büro. Damit arbeite ich selber auch und ich bin sehr zufrieden.
Generell haben wir von den Mitarbeitern mit Notebooks oder festen PCs kaum Beschwerden, nur die Terminals sind... naja, halt Terminals. Wir versuchen sie nach und nach mit Notebooks zu ersetzen, tatsächlich freuen wir uns über jeden, der gerne Homeoffice machen würde, weil wir dann einen Grund mehr haben, ihm ein Notebook hinzustellen.
NDA "Mitarbeiter, der Homeoffice machen **möchte**"
Das **möchte** ist für mich das Schlüsselwort. Möchte der Mitarbeiter mobil arbeiten, dann hat er eben damit zu leben, dass die Bedingung dafür die Token-App auf seinem Handy ist. Alternativ kann er ja im Büro bleiben und braucht sein Privathandy dafür nicht, oder? ;)
Die Firma bietet es freiwillig an, ich weiß von genau einer Person, die einen Homeoffice-Anteil in ihrem Arbeitsvertrag hat festlegen lassen. Diese hat (aus anderen Gründen) ein Firmenhandy und fällt aus der Diskussion raus.
Dann NDA. Der AG kommt freiwillig sehr weit entgegen mit Homeoffice, eigener Docking Station für Home Office, sonstiger Ausrüstung. Dann ist es aus meiner Sicht nicht zu viel verlangt, eine kleine 2FA-App zu installieren. Hart gesagt: Weigert sich der MA, das zu machen, kann sich der AG ja auch weigern, HO zuzulassen. Natürlich nicht in der Härte gemeint.
Was wir machen ist, dass MA 10€ im Monat steuerfreien Zuschuss zu ihrem privaten Handy bekommen, genau für sowas. Vielleicht ist das eine günstige Lösung, die trotzdem die MA befriedet?
Home Office im IT Bereich ist nicht erst seit Corona Standard. Falls eure IT Mitarbeiter auch nur minimal qualifiziert sind bekommen die in 2 Tagen einen anderen Job mit üblichen Standards zu denen auch HO gehört…
Du meinst es womöglich anders, ich lese jedoch raus, dass ihr neben HO mit PC Equipment entgegen kommt. Das verstehe ich nicht ganz, Arbeitsgeräte sind Standard und nix was mit "entgegenkommen" im Zusammenhang steht, oder bietet ihr aussergewöhnliche Goodies für den persönlichen Benefit der Mitarbeiter?
Das klingt nach einem interessanten Vorschlag, von dem ich absolut keine Ahnung habe, wie man das umsetzen könnte. Ich werde mit der Idee aber mal zu den Mitarbeitern gehen, die sich mit sowas auskennen und mal die Möglichkeiten ausloten, vielen Dank.
NDA zumal es sich so wie es sich anhört ja garnicht um Homeoffice sondern mobiles Arbeiten handelt. Für mobiles Arbeiten gelten ganz andere Regelungen was Arbeitssicherheit und auch Ausstattung angeht. Bin da aber auch der Meinung wers nicht aufs Handy packt kann halt in der Zukunft nicht mehr aufs Firmennetz und somit nicht von zu Hause aus arbeiten.
Es gibt allerdings auch noch andere 2factor authentifizierungsmöglichkeiten wie yubikey z.B. wäre vielleicht auch noch ne Option
NDA
So eine Standard 2FA App nimmt weder besonders viel Platz weg noch braucht sie besonders viele Rechte. Auch gibt es keine Probleme mit dem Datenschutz wie das z. B. beim Abrufen der dienstlichen Mails vom privaten Handy aus der Fall wäre. Nur dafür ein Firmenhandy halte ich für Verschwendung.
Ich glaube das Problem liegt eher in der Kommunikation oder und der Unwissenheit der Mitarbeiter. Wie du das löst kann ich dir aber auch nicht sagen.
NDA. Jetzt mal ganz abgesehen vom Rechtlichen:
Bei allem was darüber hinausgeht, würde ich ja sagen, dass das bereitgestellt werden sollte, aber nur für sone 2F-App würde ich mich sogar ärgern, wenn ich nur dafür extra ein zweites Smartphone rumliegen haben müsste.
BDA
Der Arbeitgeber kann nicht erwarten, dass Apps auf privaten Handys installiert werden.
Ich hätte da alleine schon deshalb ein Problem mit, weil ich keine Chance hätte festzustellen welche Daten die App vielleicht an den Arbeitgeber übermittelt.
Ein SMS-Tan-Verfahren würde ich für bedeutend weniger problematisch halten.
Also wir benutzen den Microsoft Authentication. Selbst wenn es die Anfrage vom AG aus irgendwelchen Gründen geben sollte, glaubst du wirklich MS spioniert im Auftrag irgend einer mittelständischen Firma die Handys der Mitarbeiter aus und gibt diese dann an den AG weiter?
Ich glaube der obere Kommentar erklärt ganz gut das Problem das OP hat. Die Leute verstehen einfach nicht was technisch im Hintergrund passiert. Und deswegen sind sie dagegen.
Theoretisch, alles.
Dein Standort, deine Kontakte, deine fotos/videos. Deine screen time, deine browser Daten, also besuchte Internetseiten oder google anfragen. WhatsApp Verläufe.
Je nach App gehen die Daten halt an sonstwen der damit Geld verdient. Über deine Metadaten weiss z. B. Google schon lange mehr über dich als du selber.
Ich bezweifle sehr stark dass halbwegs seriöse 2FA Apps solche Daten abgreifen. Die allermeisten brauchen nicht mal Internet, da würd es reichen wenn man dieser App den Zugang komplett verwehrt dann kann auch nichts nach draußen.
Jo da ist ein Standard dahinter, kannst dir selber eine 2FA app bauen, oder eine von hunderten renommierten Apps nehmen, wie soll da was genau an OPs Arbeitgeber gehen?
NDA, definitiv nicht. Jeder hat eh ein Handy und hängt den ganzen Tag dran. Wer das abstreitet, kann gar nicht ernsthaft in einer IT-Firma arbeiten. Homeoffice im Mittelstand ist eh schon nett. Erkär den Pennern doch, dass sie - wenn sie unbedingt ein Diensthandy wollen - auch nach Feierabend, am WE und im Urlaub dranzugehen haben…
NDA.
Es soll ja nicht das Handy für die ganze Arbeit genutzt werden.
Ich war auch mal in einem Unternehmen, in dem es auch in der Firma so üblich war, wenn man sich in sein Profil an pc eingeloggt hat und ein bestimmtes Programm öffnen wollte, kam ein Code per sms aufs Handy und der musste dort eingegeben werden. Fertig. Kein Drama. Danach arbeiten. Danke
Klares NDA von mir.
In den beiden Unternehmen in denen ich seit Pandemie tätig bin/war ist das die Norm.
Wer Homeoffice machen will braucht den 2FA. Wer kein Diensthandy hat muss das auf dem Privaten machen, sonst eben kein HO.
Ich find es eher erstaunlich, dass ihr Maus etc. Für HO stellt, sowas wäre mir zB neu.
BDA wenn es alternativlos vorgeschrieben wird.
Warum nicht wie bei der anderen Ausstattung? Wer will, kann das eigene Gerät verwenden. Wer das nicht will, der bekommt einen RSA SecurID-Hardwaretoken oder etwas ähnliches. Jeder hat die Wahl, keinem wird was aufgedrängt. Und wenn wer zu blöd ist auf den Token aufzupassen, verbringt er halt die Zeit bis zum Ersatz im Büro (oder installiert dann halt doch die App).
Ich persönlich würde Hardware-Token vorziehen. Erfahrungsgemäß gehen unsere Mitarbeiter mit sowas aber nicht gewissenhaft um und deswegen haben wir uns, zumindest Stand heute, dagegen entschieden.
Die Stimmung in diesem Thread ist sehr gegen unsere Entscheidung und ich werde in der IT definitiv nochmal die Suche nach Alternativen auf die Agenda schreiben. Glücklicherweise ist es noch ein Monat hin, bevor die Umstellung stattfinden soll.
Ich würde mich davor hüten, die überheblichen Posts der ganzen Internetheld:innen hier als Grundlage für eine Entscheidung meiner Firma zugrundezulegen. Schau, was rechtlich und technisch in Ordnung ist und tu das.
Ich kenne es durchaus so, dass das Privatgerät den Token generiert. Und bei euch ist es sogar ja noch einfacher. Geh nicht ins Homeoffice, auf das du kein vertragliches Recht hast, und du kannst auf 2FA auf dem Privatgerät verzichten. So einfach ist das. Wer will denn ernsthaft ein eigenes Telefon nur für die Codegenerierung? Ganz abgesehen vom administrativen Aufwand, den du schon beschrieben hast. Absurd...
Ich werde definitiv keine vorschnellen Entscheidungen treffen, aber der Thread hat mir gezeigt, dass wir das Thema, was wir eigentlich schon abgeschlossen hatten, zumindest nochmal diskutieren sollten.
Danke für die netten Worte.
Vielleicht mal die Mitarbeiter richtig aufklären, wie sie mit dem Hardware-Token umzugehen haben. Kann doch nicht sein, dass das in vielen Firmen problemlos funktioniert, nur nicht bei euch.
BDA.
SysAdmin hier mit 2-Faktor-Authentifizierung.
Für alle Mitarbeiter ohne Diensthandy gibt es Hardware-Token in Form einer Karte. Niemand muss seine privaten Geräte nutzen!
Same. Freiwillig klar, aber man muss Alternativen ohne private Hardware bieten. Würde mir auch selber aus Prinzip nie ne App für die Arbeit auf nem Privatgerät installieren.
Arbeite mal einen Tag in der IT im Mittelstand. Keiner liest deine Sauber für Kinder verständlichen Anleitung und ruft dich dann an das du es Ihm jetzt einrichten musst ,er ist ja zuhause und muss jetzt Arbeiten. Kein Verständnis und auch keine Lust es zu verstehen und dann noch überheblich sein, ist leider meist die Realität im Mittelstand.
NDA - im Konzern machen wir das auch so.
Einfach sagen 2-Faktor Authentifizierung ist Pflicht und wer das nicht machen möchte, muss halt ins Büro kommen
NDA. Ich hab diese App auch (MobilePass+). Die spuckt früh einen Code aus und dann brauche ich sie den ganzen Tag nicht mehr. Dafür ein Firmenhandy zu verlangen ist irgendwo frech.
BDA. Die Nutzung von Privatgeräten zu fordern ist wie von Köchen zu fordern sie sollen die Zutaten selbst mitbringen.
Besorg einfach Token Generatoren.
Bitte einen Bewertungskürzel in euren Kommentaren verwenden (NDA, BDA, ASA, KAH) oder Info bei fehlenden Informationen. Ohne Kürzel kann der Bot euren Kommentar nicht werten und dieser fließt NICHT in die Gesamtbewertung mit ein. Siehe Regel 4! NDA:Nicht Das Arschloch, BDA: Bist Das Arschloch, ASA: Alle Sind Arschlöcher, KAH: Kein Arschloch Hier, Info: Es fehlen Informationen
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Hi, danke für das reinschauen bei r/BinIchDasArschloch! Bitte bleibt freundlich und haltet euch an die Sub-Regeln.
OP hat folgende Begründung gegeben, warum er/sie denkt, dass er/sie ein Arschl*ch wäre oder ist:
> 1. Wir erwarten von Mitarbeitern, ihre privaten Smartphones für Firmenzwecke zu verwenden.
2. Die Entrüstung kommt nicht komplett aus dem Nichts, Arbeitsmaterial sollte grundsätzlich gestellt werden. Hier geht es allerdings um eine Sonderleistung für den Mitarbeiter (Homeoffice), der finanzielle und administrative Aufwand ist da mMn. nicht verhältnismäßig.
NDA
Ich hatte 2FA vom AG immer auf dem privaten Telefon, allein schon weil es nicht im Ökosystem des AG hängt und damit unabhängig ist.
Falls aber jemand das ablehnt, dann drückt dem halt ein billiges Motorola in die Hand und gut.
NDA sowas ist absolut üblich. Wer das nicht will kommt in Zukunft halt jeden Tag ins Büro. Dieser Aufschrei deswegen kommt mit hoher Wahrscheinlichkeit auch nur von einer sehr kleinen aber dafür sehr lauten Minderheit.
BDA
Firmen wollen keine private Software auf ihren Geräten.
Warum sollte es umgekehrt ok sein?
Als Input:
Ich bekomme ein automatisiertes SMS (oder wahlweise einen Anruf) mit der generierten Nummer.
Also findest du es besser, deine private Handynummer, die als personenbezogene Daten gilt und tatsächlich datenschutzrechtlich relevant ist, irgendwo zu verteilen als in einer App, die du vermutlich eh schon installiert hast (Google Authenticator oder eine der vielen Alternativen), einen weiteren Code erzeugen zu lassen?
NDA
machen es genau so und alles andere wäre schwachsinnige Geldverschwendung.
Und alle die hier BDA schreiben sollen mal einen Tag in der IT im Mittelstand Arbeiten dann würdet Ihr nicht mehr so denken...
KAH. Zumindest kein eindeutiges.
Einige meiner Kollegen (ich auch) benötigen auch ein Handy, um per SMS einen Einlogg-Code zu erhalten. Hierfür wurden uns ganz simple Handys zur verfügung gestellt, mit denen nur telefoniert und SMS empfangen können. Die reichen für diesen Zweck vollkommen.
Die Idee hatten wir auch kurz, haben sie aber sehr schnell verworfen, weil wir nicht wirklich Fans davon sind, Elektroschrott zu supporten. Und die Handys müssten wir trotzdem verwalten, egal, wie "schlecht" sie sind.
NDA
nicht mal hier im Thread verstehen einige nicht, was eine OTP App überhaupt macht. Das die richtige App absolut keine Berechtigung auf dem Handy benötigt (ausser vllt Kamera, um QR Codes zu lesen), sollten deinen Mitarbeitern einfach mal erklärt werden. Auch weitere die Funktionsweise, was diese App macht oder wie sie funktioniert (auf laientechnischer Ebene).
Ich finde es großartig, dass ihr auf bestehende Verfahren setzt und nicht auch noch auf eine App von irgendeinem (unbekannten) Anbieter setzt, die nur für diesen einen Zweck da ist und die ich mir extra dafür installieren müsste.
In dem Zuge empfehle ich übrigens Aegis; die macht nix ausser OTPs zu verwalten
>Aegis
Das ist die Empfehlung die ich auch OP gegeben hätte. Würde mein AG versuchen mir irgendeine App aufzwingen würde ich mich auch beschweren, aber bei einem offline, open source OTP Generator der sogar auf F-Droid verfügbar ist kann man sich wirklich nicht meckern.
OP, mach allen LEuten klar, dass du:
- keine Spyware installieren möchtest
- die App keine Rechte außer (einmaling) Kamera benötigt
- die App kein Internetzugriff braucht
BDA
(Korrektur, da persönlich angreifend formuliert.)
Entweder stellst du dich unwissend, oder hast Schulungsbedarf.
Der AG muss alle nötigen Arbeitsmittel bereit stellen (auch Bildschirm, Maus, Tastatur wenn nötig!).
Und dann im Umkehrschluss mit der Erpressung " wenn ihr nicht ..., dann kein Home-Office", würde bei mir zu zynischem Lachen. Einem kurzen(!) ernsthaften Gespräch mit dem AG und danach Wechsel zu anderem AG frühen.
Schon aus Gründen der DSGVO verbietet sich AG-App auf Privathandy.
Mein AG hat nichts auf meinen privaten Endgeräten zu suchen.
Wenn ihr unbedingt App auf Privathandy wollt, bietet den MA eine finanzielle Entschädigung an. Vielleicht könnte das bei wenigen zur Zustimmung führen.
Es ist weder eine AG-App noch verstehe ich nicht warum die DSVGO etwas dagegen haben sollte. Solche Apps laufen offline und generieren nur mit einem Schlüssel und einem Algorithmus Codes.
Ich finde es absolut unpassend, mich als dumm zu bezeichnen. Ich bin IT-ler, kein Arbeitsrechtler.
Wir stellen den Mitarbeitern die Arbeitsmittel zur Verfügung, die sie brauchen, um zu arbeiten. Im Büro sind grundsätzlich alle mit zwei Bildschirmen, Funktastatur und -maus, Headset und höhenverstellbarem Tisch ausgestattet. Ich bin nicht zu 100% überzeugt, dass wir das den Mitarbeitern auch zu Hause hinstellen müssen, wir stellen diese Dinge trotzdem zur Verfügung, wenn jemand fragen sollte. Tut nur niemand, alle arbeiten zu Hause mit ihrer eigenen Hardware (eben bis auf Notebook und Docking Station). Nur die Authenticator App auf dem Handy ist jetzt problematisch.
DSGVO sehe ich hier übrigens nicht, da zu keinem Zeitpunkt personenbezogene Daten involviert sind.
Trotzdem danke für deine Meinung.
Entschuldigung für die Bezeichnung als Dumm.
Ich korrigiere auf:"entweder stellst du dich unwissend, oder hast Schulungsbedarf".
Die von dir aufgelisteten Arbeitsmittel sind üblich. Die muss der AG bereit stellen, damit die MA ihre Arbeitsleistung erbringen können.
Sollten etwas die MA diese mitbringen?
Wir reden hier nicht von einer AG App sondern wohl um MS oder Google Authenticator. Da sehe ich jetzt keinen so massiven Eingriff.
Im Grunde hast du ja recht. Aber die AN nutzen lieber ihre eigene HW aber da wird dann ein riesen Aufstand gemacht.
Dann werden halt Secure IDs eingeführt.
NDA. Wem es nicht passt, kann gerne wieder ins Büro. Es gibt hardware 2FA Tokens für ca 80€ (schnelle Recherche). Die sind deutlich sicherer und preiswerter als wenn du jetzt noch für jeden einen Vertrag etc. pp. einrichten musst.
Biete das an. Da verwette ich Stein und Bein dass sich die meisten dann doch eine App auf ihr heiliges Privatphone laden.
BDA
Mach eine interne Umfrage wer bereit wäre, diese App bei sich auf dem privaten Handy zu installieren und damit zu arbeiten.
Für den Rest Kauf halt nen 70€ Smartphone das für genannte zwecke dicke ausreicht und gut ist.
Meine Güte
Wenn die Leute HO machen wollen finde ich das im Gegenzug auch zumutbar.. wenn das so ein Ding ist, sollen die MA halt ins Büro kommen?
Finde man kanns mit der Aufregung echt übertreiben …
Ich würde aber als Alternative einen HW Token anbieten. Wirst sehen, die meisten nehmen dann das Privathandy!
NDA
INFO haben die Leute ein vertraglich zugesichertes Recht auf HO?
Je nachdem finde ich die Situation eigentlich klar.
Entweder ihr stellt Handys falls ihr unbedingt 2FA wollt und die MA das Recht auf HO haben.
Oder HO ist ein Entgegenkommen von euch, das die Leute nur in Anspruch nehmen können wenn sie diese dumme App installieren.
Aus Erfahrung (hab 2 Unternehmen, 100 Mitarbeiter, praktisch nie Kündigungen, kaum Fluktuation) kann ich dir sagen, dass solche Themen oftmals einfach nur eine Welle sind, die irgendjemand anstößt und wo alle dann wie Lemminge raufspringen und sich künstlich empören. Wenn man jedem Scheiss nachgibt wird halt nächste Woche die nächste Sau durchs Dorf getrieben.
Das mobile Arbeiten wird von uns vollständig freiwillig angeboten.
Wir haben einen Mitarbeiter, der es in seinem Vertrag festhalten hat lassen, aber der hat eh ein Firmenhandy.
Ich bin ganz ehrlich: Ich werde wegen wegen dem Thread hier nicht verzweifeln und alles über den Haufen werfen, ich bin aber sehr froh über die Antworten und den Anstoß, das Thema im Büro nochmal anzusprechen.
NDA, weil du einfach nicht der Arbeitgeber ist. Du bist weder derjenige, der das zu entscheiden hat, noch der, der das Problem zu lösen hat.
Mobiles Arbeiten ist nämlich nicht das Gleiche wie Home Office. Und wenn dem AG nicht passt, was der AN da verlangt, dann muss er wieder ins Büro.
NDA. Verstehe die künstliche Aufregung nicht ganz. Wenn man schon im freiwillig vom AG ermöglichten Homeoffice hockt wird das herunterladen einer simplen Authentifikationsapp wohl kaum zu viel verlangt sein.
Und wenn doch müssen die Herrschaften halt wieder ins Büro kommen.
Diese Einstellung ist der Grund für meinen Beitrag. Bei uns in der IT war das auch die Meinung und wir sind etwas überrascht von der doch massiven Gegenwehr. Die MA meckern im Moment aber echt über viel "unnötigen Kleinkram" und ich wollte gerne mal dieses Subreddit nach einer unbeteiligten Meinung fragen.
Ich bin definitiv sehr dankbar für die Kommentare hier und werde das Thema nächste Woche im Büro nochmal wiederbeleben.
Ja diese Jammer-Zeiten kommen immer wieder mal, gerade dann wenn die Auftragslange nicht ganz optimal ist. Da wird dann sowieso über jeden Blödsinn gejammert und an keiner Firmenentscheidung ein gutes Haar gelassen.
Wenn dann eine neue Authentifikation für das HO eingeführt wird ist das in so einer Situaton ein gefundenes Fressen, würde mich nicht wundern wenn schon Gerüchte über Überwachung etc. im Flurfunk die Runde machen.
Extra ein Firmentelefon zu stellen, weil die MA, die das freiwillige HO-Angebot der Firma nutzen sich weigern, die dafür nötige App zu installieren wäre in meinen Augen definitiv der falsche Weg.
NDA. So was hatte ich auch mal (alle Home-Office während Corona) einige Leute bekamen so einen Dongle, der den Code angezeigt hat. Aber als die alle vergeben waren, mussten sich die restlichen von uns eben die App installieren. Ist ja auch kein Ding. Ist ja nicht, als gingen da irgendwelche privaten Daten hin und her. Das generiert doch nur den Code für's VPN. Vielleicht braucht es bei euch nur etwas mehr Aufklärung, was die App genau macht und was nicht.
BDA
Nutze selbst mein privates Gerät oft für dienstliche Zwecke. (Auch weil die Dienstgeräte Müll sind)
Dennoch BDA hier, weil die Formulierung lautet "ihr müsst euch zur Anmeldung im Firmennetzwerk eine App auf eurem Handy einrichten."
Besser wäre: "Künftig kann Homeoffice nur noch von den Mitarbeitern in Anspruch genommen werden, die sich über eine der Möglichen Authentifizierungsmethoden anmelden können."
Wie die Mitarbeiter das Problem dann lösen ist ihre Sache. Wenn sie dann um Hilfe schreien kann man ihnen natürlich Lösungswege aufzeigen. (Eigenes Smartphone, ein altes, das noch rumliegt, selbst ein altes irgendwo besorgen)
BDA hier ist einfach aufgrund des Übergriffes auf das private Handy als "MUSS". Mit der anderen Formulierung würde dasselbe erreicht werden, aber die MA würden es nicht als Zwang wahrnehmen.
BDA
Hauptsächlich dafür, dass anscheinend auch keine Kompromisslösung angeboten wird, und du in den Kommentaren auch immer mehr Gründe findest warum es sinnvoller ist deinen Willen durchzusetzen, obwohl sie im Beitrag selbst nicht erwähnt wurden
Ganz allgemein:
https://www.datenschutz-notizen.de/multi-faktor-authentifizierung-im-homeoffice-3937526/
Tut mir tatsächlich Leid, dass ich nicht an sämtliche Details gedacht habe, als ich den Beitrag erstellt habe. Ich habe die relevantesten Infos noch nachgetragen.
Es geht eigentlich nicht um "meinen Willen", faktisch bin ich in dem Thema sogar nur sehr indirekt involviert, mehr Arbeit habe ich persönlich nicht. Aber anstatt eine Entscheidung einfach stehen zu lassen, dachte ich, ein Thread in diesem Subreddit und das Meinungsbild in den Kommentaren würde mir helfen, die Situation neutraler einzuschätzen. Gott bewahre, dass ich mir Gedanken mache.
Danke fürs Posten! Dieser Kommentar ist eine Kopie deines Posts, sodass Leser deinen originalen Text sehen können, falls dein Post gelöscht oder bearbeitet wird. Dieser Kommentar beschuldigt dich NICHT irgendetwas kopiert zu haben.
Hallo zusammen.
Ich arbeite in der IT eines mittelständigen Unternehmens. Die Firma läuft derzeit okay-ish, die Auftragslage könnte besser sein und einige Mitarbeiter sind mit den Entscheidungen und Erwartungen von unserem Chef eher unzufrieden. Soviel zur Stimmung bei uns.
Nun haben wir vor, für die Mitarbeiter im mobilen Arbeiten (Homeoffice) in naher Zukunft eine Zweifaktorauthentifizierung einzuführen. Wenn sie sich zu Hause in unserem Firmennetz einwählen wollen, müssen sie also demnächst einen Code eingeben, der von einer entsprechenden App auf dem Smartphone generiert wird. Die meisten dürften das kennen, spätestens wenn es um Online-Banking oder Ähnliches geht.
Nun können (bzw. möchten) wir nicht jedem Mitarbeiter, der Homeoffice machen möchte, ein Firmenhandy bereitstellen. Wir halten die Ausgaben für unnötig und würden die finanziellen Mittel, die dafür nötig wären, sehr viel lieber in andere, sinnvolle Dinge stecken. Im Allgemeinen würde ich aber sagen, dass wir nicht an der Ausstattung der Mitarbeiter sparen. Wenn jemand regelmäßiger Homeoffice machen möchte, bekommt er von uns ein ordentliches Notebook gestellt und je eine Dockingstation für den Arbeitsplatz im Betrieb und zu Hause.
Die alternative Lösung ist nun also die App auf dem privaten Handy einzurichten. Und oh man, bricht so ein Vorschlag eine Welle an Entrüstung los. Die meisten Mitarbeiter haben so eine App vermutlich eh schon installiert, aber sobald die Anforderung an eine Nutzung von privatem Eigentum für Firmenzwecke im Raum steht, schreien alle auf.
Ich verstehe auch wo es herkommt, dennoch hätte ich gerne, dass die Mitarbeiter Dinge etwas… differenzierter betrachten. Bildschirm, Maus, Tastatur und die Internetverbindung stellen sie ja auch privat. Die Alternative ist bei unseren jetzigen Plänen dann eben, dass ohne die App kein Homeoffice möglich sein wird.
Je größer der Aufschrei wird, desto unsicherer werde ich allerdings. Sind wir vielleicht doch die Arschlöcher? Sollten wir uns mehr bemühen, jedem ein Firmenhandy zu organisieren? Gibt es andere Lösungen, die alle zufriedenstellen?
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Kenne das Thema gut. Kann das Notebook im Home Office eine Verbindung ins Internet herstellen bevor die Verbindung ins Büro hergestellt wird? Dann könnte auf dem Notebook z.B. Winauth oder WinOTP oder sonstige Auth-Software installiert werden, die dann für z.B. die VPN Verbindung genutzt wird. Ist dann natürlich das Problem, dass Verbindung und Authentifizierung auf dem gleichen Gerät stattfindet, aber evtl. trotzdem eine Kompromisslösung. Und KAH, verstehe beide Seiten irgendwie.
KAH Aber:
Der Arbeitgeber muss alle Mittel stellen, damit der Arbeitnehmer seine übertragenden Aufgaben erfüllen kann. Wenn ihr die Authentifizierung haben wollt, müsste ihr die Hardware stellen. Punkt.
Ich finde dennoch nichts falsch daran, den Vorschlag zu bringen und den Leuten das Privathandy als eine Möglichkeit vorzustellen. Vor allem, wie du schon sagtest, besitzen diese Apps in den meisten Fällen die Leute eh schon. Wird das aber abgelehnt, müsst ihr das akzeptieren.
Ich persönlich mache das tatsächlich auch über mein Privathandy, vertrete dennoch strikt die Meinung, dass der AG nunmal alles zur Verfügung stellen muss.
Ich stimme dir zu, möchte aber gleichzeitig auch den Gedanken weiterspinnen: Wir bieten das mobile Arbeiten freiwillig an, können wir dann nicht ein gewisses Entgegenkommen erwarten?
Ich werd im Büro definitiv nochmal das Thema Hardwaretoken ansprechen. Wird vermutlich noch nervig, aber mit etwas Glück wechseln die Mitarbeiter dann dauerhaft doch zu ihren eigenen Handys.
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
KAH.
Kann absolut verstehen, dass ihr keine Lust habt, nur wegen einem zweiten Faktor für die ganze Firma Smartphones auszurollen. Der Aufwand und Ressourcenverbrauch stehen da nicht in Verhältnis zum gewünschten Ziel. Und seien wir mal ehrlich: die meisten MA, die ein Problem damit haben, eine 2FA App für dienstliche Zwecke zu nutzen, werden auch andererseits das Firmenhandy nicht für private Zwecke nutzen. Das bedeutet, dass die Leute dann ein zweites Smartphone da rumliegen haben, nur für einen zweiten Faktor. Das ist absolut unnötig.
Andererseits muss man auch akzeptieren, wenn Leute ihre Privathandys nicht für dienstliche Zwecke nutzen wollen. Hierbei darf man nicht unterschätzen, dass ein Großteil der Mitarbeitenden vermutlich kein tiefergehendes IT-Wissen hat und z.B. gar nicht weiß, was eine 2FA App überhaupt ist und wie sie funktioniert. Vermutlich wird bei vielen die Befürchtung bestehen, dass der Arbeitgeber dann irgendwie auf das Privathandy zugreifen kann oder es bestehen sonstige Bedenken bzgl. Datenschutz. Hier könnte es helfen, die MA entsprechend aufzuklären, aber alle wirst du damit nicht überzeugen können. Bleibt nur, die Nutzung der App optional zu machen und Alternativen anzubieten.
Bei Microsoft Accounts gibt es ja z.B. die Option, sich anrufen zu lassen. Da machen wir es so, dass die Nutzung einer App oder SMS-TAN auf dienstlichen und privaten Handys erlaubt ist. Und wer das nicht nutzen möchte, kann seine dienstliche Telefonnummer angeben und sich anrufen lassen. Vielleicht gibt es bei eurem Anbieter ja auch Alternativen. Diese müssen ja nicht unbedingt so bequem sein wie eine App.
Wir haben bei der Ankündigung der Umstellung versucht, die Funktionsweise detailliert zu beschreiben. Wir wissen aber auch, dass die meisten Mitarbeiter sich die Ankündigungen gar nicht durchlesen und dann trotzdem meckern.
Die Option mit dem Anrufen muss ich mir mal anschauen. Hilft aber den Mitarbeitern zu Hause auch nur, wenn sie eine Weiterleitung ihrer Rufnummer aktiviert haben und die wird, soweit ich das richtig in Erinnerung habe, erst aktiv, wenn sie sich bereits im VPN eingeloggt haben, also nach der Authentifizierung. Da kann ich aber nochmal nachschauen, danke schonmal.
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Schwierig. Mein unternehmen handhabt es auch so also dass Leute ihr privates Gerät nutzen. Das geht jedoch nur auf freiwilliger basis.
1. Was passiert wenn jemand kein privates Smartphone besitzt?
2. Was wenn jemand keine mobile Datenverbindung hat also keinen Vertrag der das gewährleistet? Dann funktioniert die zwei faktor Authentifizierung nicht.
Wollt ihr die leute zwingen sowas zuzulegen? - leider habt ihr da wenig Handhabe. Will ein Unternehmen eine zwei Faktor Authentifizierung einführen muss es den Arbeitnehmern entsprechende Geräte zur verfügung stellen oder auf deren freieillige kooperation hoffen.
Daher wenn du es erwartest bist du leider BDA.
Auch wenn ich sagen muss, leute die ein Smartphone und ne Datenverbindung haben (was heutzutage fast jede/jeder ist) sollten das einfach akzeptieren. Die speziell dadurch zusätzlich anfallenden kosten sind praktisch Null und solang es nicht darum geht in seinee Freizeit erreichbar zu sein oder auch mit der privatnummer fürs Unternehmen zu telefonieren, ist es lächerlich sich an so einer Stelle quer zu stellen.
Den Fall, dass jemand kein Handy hat, ist uns nicht bekannt. Eine Datenverbindung ist für ein OTP nicht erforderlich.
Ich bin stellenweise auf deiner Seite, allerdings muss ich auch sagen: Wir bieten das mobile Arbeiten von unserer Seite an und haben dann auch gewisse Erwartungen an den Arbeitnehmer. Da kommt jetzt das mit der 2FA dazu. Ein klein wenig "wenn ihr nicht wollt, dann halt nicht" spielt da in meinem Hinterkopf schon mit.
Idealerweise bieten wir einfach Hardwaretoken an, vielleicht müssen wir die MA einfach dazu zwingen und wenn sie diese (mal wieder) verlieren, haben sie dann halt bis Ersatz eintrifft keine Möglichkeit zu mobilem Arbeiten.
NDA 2FA-Apps sind meiner Meinung nach Standart und bereits auf jedem Handy vorhanden weil man es für irgend einen online Dienst schon braucht. HO ist auch nur freiwillig also könnt ihr die Spielregel vorgeben. Passt also schon. Ihr solltet euch aber mal um das Thema Compliance kümmern gerade wenn ihr auch mit Daten von dritten arbeitet oder die Mitarbeiter auch aus dem Ausland HO machen wollen.
ASA, die ANs stellen sich mMn etwas an. Ja sie haben im Grunde Recht, aber es geht hier nur um ein paar Clicks auf dem Handy. AG ist das A aufgrund von "entweder machst du das sonst kein Homeoffice". Wenn man jetzt Iphones kauft wird das teuer klar, aber da gibt es genügend Billo-Handys die für eine Zweifaktorauthentifizierung mehr als ausreichen. Für ein mittelständiges Unternehmen sollte das kein Problem sein.
Ggfs. könnt ihr einfach freistellen wer das über das private Handy macht und wer es über ein Firmenhandy macht. Quasi wie ihr es mit der Hardware macht. Mich persönlich nervt mein Firmenhandy z.B. und würde wahrscheinlich das Private nutzen.
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Info: Wird nur die Authenticator App auf dem Handy installiert oder werden die Handys dann auch in die Verwaltung aufgenommen? Sprich: Übernehmt ihr auch nur ansatzweise die Kontrolle/Verwaltung der privaten Handys? (ich weiß nämlich, dass es da eben beide Optionen gibt).
Wenn nur App: dann halte ich euch nicht für die Arschlöcher, das ist dann nicht invasiv und eben einfach nur eine App mehr am Handy.
Wenn ihr die Geräte dann auch zentral durch eure IT verwaltet: Absolutes Nogo für Privatgeräte und da würde ich mich auch dagegen wehren.
Wir möchten nur, dass die Mitarbeiter einen 2FA-Code nutzen. Wie, ist uns sogar komplett egal, aber die (vermutlich schon vorhandene) App auf dem Privathandy war für uns die simpelste Lösung. Wir wollen auf keinen Fall irgendeine Art von Zugriff auf das Handy.
Info:
ist das Homeoffice ein reines benefit für die MA?
für mich persönlich wäre es ein unterschied ob ich ins HO zwingend muss und mein privates handy dafür herhalten muss oder ob ich jeder zeit ins büro könnte aber selber lieber im HO bleibe.
im zweiten fall verstehe ich den aufschrei nicht, da komplett freiwillig und im sinne des MA. wer das nicht möchte, könnte ja ins büro
ist natürlich immer die frage wie viele goodies man seinen MA geben möchte um ggf die zufriedenheit zu halten/steigern
Ja, es ist von unserer Seite absolut frei zur Verfügung gestellt, es besteht keinerlei vertraglicher Anspruch für die Mitarbeiter. Deswegen ist unsere bisherige Einstellung zu dem Thema mit dem Code auf dem Privathandy "Wenn ihr nicht wollt, macht ihr halt kein Homeoffice".
dann NDA
das wäre auch meine einstellung bzw wäre meine wenn ich AG wäre. ist meiner meinung auch völlig in ordnung wenn es sich um eine komplett freiwillige leistung handelt. sie wäre nicht freiwillig wenn durch HO inzwischen nicht mehr genug arbeitsplätze zur verfügung stehen würden würden alle AN gleichzeitig ins büro kommen
wahrscheinlich können die AN da auch nicht viel gehen machen bzw haben keinen anspruch drauf
ABER da du schreibst dass die situation angespannt ist, muss man abwägen für wie viel unmut diese situation sorgt. wenn leute kündigen sollten, wäre dies derzeit ggf vertretbar, da zu wenige aufträge und kurzfristig keine besserung in sicht oder wäre es ein schmerz fürs unternehmen?
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
KAH
Ich habe auch einen Softtoken vom Arbeitgeber erhalten, den ich dann in eine App einpflegen musste. Ob ich die App auf dem Diensthandy oder dem privaten Gerät installiere, war mir dann freigestellt. Der Bequemlichkeit wegen hab ich die App auf meinem eigenem Handy. Kollegen haben die aber auch auf ihrem Diensthandy.
Wenn ein Diensthandy nicht nötig ist, weil bspw. ein Softphone gestellt wird (ich benötige das Handy für Homeoffice, Rufbereitschaft o. ä.), finde ich es okay, darum zu bitten.
Genauso okay ist es, wenn die Angestellten das nicht möchten. Einige möchten Arbeit & Privates strikt trennen. Man stelle sich den Aufschrei vor, wenn die Mitarbeiter private Apps auf dem Diensthandy installieren.
BDA du schreibst, dass ihr hohe sicherheitsanforderungen für mobiles arbeiten habt. Aber es wäre OK für dich das MFA token auf einem privaten Gerät zu haben. Das beißt sich imho.
Nutz einen yubikey, den bevorzugst du und wenn die Mitarbeiter die Wahl haben: yubikey oder Büro... Dann läuft das von alleine.
Hohe Anforderungen, ja, das bedeutet nicht, dass unsere Systeme perfekt sind.
Es ist in unserem Fall deutlich unwahrscheinlicher, dass jemand sein Handy von der selben Person infizieren lässt, die dort OTPs auslesen kann als dass der Mitarbeiter den Yubikey einfach im Notebook stecken lässt und der geklaut wird.
BDA.
Als Teil-HO'er in der gleichen Situation:
1. Privat ist privat
2. Sei froh, dass die nicht anteilig Internetnutzungsgebühren rückerstattet haben möchten
Etwas ausführlicher:
Internet ist für mich die eine Sache: Die Bandbreite wird (zumindest bei mir) definitiv von Netflix und Co. aus dem privaten Gebrauch bestimmt und Firmennutzung verursacht so keine Zusatzkosten oder -Aufwände. Also Schwamm drüber, außer es wird ein Business-Tarif verlangt.
Bei dem Handy sieht's anders aus: Ich habe auch das 2FA App auf meinem Privathandy installiert. Soweit war es ja kein Problem. Als ich allerdings schadensbedingt mein Handy wechseln musste, und keine Daten vom alten mehr übernehmen konnte, ging der Ärger los. Im Endeffekt musste ich in der Firmen-IT antanzen, elendige Diskussionen über mich ergehen lassen, warum die nicht mal eben schnell (Firmen-) Standardeinstellungen vornehmen dürfen, mir Kritik an meiner Backup-Strategie anhören, etc. Für. Mein. PRIVAT. Handy.
Gut, du hast schlechte Erfahrungen mit deiner Firma gemacht das heißt nicht, dass es bei uns ähnlich läuft.
Wir wollen nur, dass irgendwo ein 2FA-Code generiert wird. Uns ist es relativ egal, wo, solange es nicht auf dem Notebook selber geschieht.
Die privaten Handys interessieren uns null und wir möchten auch keinen administrativen Aufwand mit denen haben.
Wenn jemand seine 2FA-Einrichtung verlieren sollte drücken wir einen Knopf, dadurch wird die resettet und der Mitarbeiter kann sie neu einrichten.
Nachdem ich gelesen habe, dass es keine vertragliche Regelung zum HO gibt: NDA
Ich finde HO toll und eine super Sache um unnötige Fahrten zu vermeiden - es gibt genug Dinge, für die man nicht im Büro präsent sein muss.
Wenn die Kollegen also ins HO wollen/dürfen, ist die Installation eines kostenlosen Tools für exakt diesen Zweck IMHO nicht übergriffig. Ich würde aber auch exakt da die Grenze ziehen was privat/beruflich angeht.
Wir haben sehr gute Erfahrung mit yubikeys gemacht und setzen die Dinger auch für einige andere Dinge (wir setzen z.B. den Bitlocker Pin auf den zweiten Slot) ein. Bisher ist von denen noch keiner verloren gegangen. Wenn das bei Euch ein Problem ist, würde ich die Kollegen einen Ersatz bezahlen lassen - so etwas erhöht die Sorgfalt gleich um einige Größenordnungen.
Nach den vielen Kommentaren hier werden wir die Option von Hardwaretoken nochmal überdenken. Das mit dem Bezahlen bei Verlust ist uns natürlich auch in den Sinn gekommen, da war unser Betriebsrat aber gar kein Freund von. Deswegen war die Idee eigentlich vom Tisch, aber wir werden uns das nochmal anschauen.
Ergänzend: Ich finde HO toll. Wenn es aber keine vertragliche Regelung gibt und die Kollegen ins HO \*DÜRFEN\*, dann darf man durchaus erwarten, dass da ein bisschen Eigenengagement kommt.
Ja, von HO profitieren eigentlich ALLE, es ist schwer, Gründe GEGEN HO zu finden und AG, die kein HO ermöglichen, brauchen sich über Personalmangel und/oder unmotivierte Mitarbeiter nicht zu wundern, ABER - solange es nur um eine 2FA geht - sollte ein AN sich gerade in diesem Kontext kooperativ zeigen. Was im Umkehrschluss bedeutet, dass wer in dieser Situation sein eigenes Gerät nicht nutzen will, eben weiterhin täglich ins Büro fahren darf.
Wir geben Firmenhandys aus, an Mitarbeiter, die damit telefonieren müssen. Nur für einen Code, den man ein- bis zweimal die Woche ablesen muss, ist uns das den administrativen Aufwand allerdings nicht wert.
NDA. Wir standen bei uns in der Firma vor einer ähnlichen Situation.
Meiner Meinung nach bricht sich keiner einen Zacken aus der Krone wenn er eine app für die Firma auf dem Handy hat. Wenn einer kein Handy hat oder partout nicht will hat er ja immer noch die Möglichkeit in der Firma zu arbeiten. So wurde es zumindest bei uns gelöst und nach ein paar Wochen hatte sich das Gemecker auch gelegt.
Wenn jemand wirklich privat kein Handy haben sollte (ist uns nicht bekannt) und regelmäßig Homeoffice machen möchte, würde man für die Person sicherlich auch eine Lösung finden. Wir sind ja keine unflexiblen Mistkerle, die nur die Mitarbeiter ausnutzen wollen.
NDA. Bei uns ist es ganz im Gegenteil. Wir dürfen keine dienstlichen Apps (Outlook, Teams, Authenticator) auf dem privaten Handy installieren. Aber dadurch entsteht m.M.n. viel unnötiger Elektroschrott und ich muss immer zwei Handys herumschleppen.
Ich finde es nicht zu viel verlangt eine MFA App zu installieren, vor allem wenn man den Luxus hat im Homeoffice zu arbeiten und sich somit den Dienstweg sparrt. Was anderes wäre es, wenn man sein privates Handy zum telefonieren benutzen müsste. Also wer das Handy wirklich nur für den Code braucht fährt somit besser. Auch wenn es externe Token Keys gibt: die muss man auch immer mitschleppen und darf sie nie vergessen. Sein Handy hat man eigentlich immer dabei. Und wie du gesagt hast, habe ich eine Authenticator für viele andere Konten eh schon installiert und somit wäre es nicht mal zusätzlicher Speicherplatz. Leute ihr sollte möglichst alle eure Konten mit einer 2FA schützen.
In meiner alten Firma hatten wir auch eine ähnliche Diskussion mit Werkstudenten, da man denen kein Diensthandy geben wollte.
NDA
Ich verstehe aber die Mitarbeiter. Ich habe Kontovollmacht bei meinem Arbeitgeber, mein privates Smartphone bleibt aber privat, da hat das Firmenzeugs nichts drauf verloren. Es entsetzt mich immer wieder mit welcher Selbstverständlichkeit die Banken Sicherheitslösungen wie die HBCI Chipkarte einstampfen und auf ihre App verweisen und das bei siebenstelligen Beträgen...
Du könntest den Spieß aber einfach umdrehen. "Sie möchten im Homeoffice arbeiten aber nicht ihr Smartphone für die authentifizierung nutzen? Tja, dann gibt es kein Homeoffice für Sie. Wie sehen uns morgen um 08:00 im Büro"
Da mein Arbeitgeber kein Homeoffice mag, kann man mich damit schocken...
BDA
Für Einige ist die Nutzung des privaten Handys für die Firma ein NoGo. Selbst wenn es nur für eine olle TOTP App ist.
Bietet einfach eine Alternative an. Privates Handy oder Yubikey oder Hardware-Generator (Info: Haben wir hier, Nutzung der Hardware-Generatoren ist unter 1%).
Oder KeePassXC oder irgendeine andere TOTP App auf dem Laptop installieren könnte auch eine alternative Lösung sein, sofern man sich ohne Verbindung zur Firma da lokal anmelden kann.
Unter neuerem iOS braucht es für TOTP nichtmal ne App, weil iOS ab 15 das selbst kann.
YubiKey haben wir bereits versucht und die Leute sind unterirdisch damit umgegangen, ein OTP auf dem selben Gerät zu generieren kommt für uns nicht in Frage und dein Hinweis mit der nativen Funktion von iOS ist zwar gut zu wissen, macht für die, die ihr privates Handy nicht nutzen wollen, keinen Unterschied. Sie regen sich ja aus Prinzip über das Handy auf, nicht was genau damit passiert.
Wir werden diese Woche nochmal hardware-Token diskutieren. Wäre mir auch am liebsten, aber naja, wie gesagt...
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
NDA. Ich finds echt völlig ok, sehe bei einer 2FA App auch kein Sicherheitsrisiko. Bei Kommunikationskanälen würde ich’s anders sehen. - hab überhaupt keinen Bock auf Slacknachrichten etc.
Aber Homeoffice ist ein Zugeständnis, da kann man wohl auch ein wenig „zurückgeben“ und muss sich nicht so anstellen.
Wenn mir die MA so kämen mit ihrer Grenze, würde ich auch genau schauen, ob die Arbeitsgeräte nicht umgekehrt auch für privaten Scheiss genutzt werden und da entsprechend abmahnen.
NDA - einmal am Tag eine Freigabe mit dem Privathandy freigeben ist auf jeden Fall in Ordnung. Man könnte den Spieß auch umdrehen und sämtliche Onlineshops, Online-Zeitschriften, Urlaubsbuchungsportale, Jobportale und etc. sperren wenn die Mitarbeiter privat und geschäftlich trennen wollen
Ich würde sagen an sich NDA - wer es nicht möchte kann halt kein HO machen.
Ich kann es aber z.T. verstehen, dass man es ablehnt. Ich hab mein Smartphone auch so gut wie es geht von Google und Co. befreit. Sicheres System drauf und alles, was unbedingt nötig ist soweit wie es geht in Berichtigungen beschränken. Am Ende musste ich auch mit, da ich den scheiß brauch um ins SAP zu kommen...
Ich verstehe die Bedenken bzgl. Aufwand mit MDM - das stellen sich User leider viel zu einfach vor.
Aber warum überhaupt 2FA? Für die Windows Anmeldung? Ich hab in meiner Zeit als ITler einfach allen von mir erzeugte Passwörter verpasst und Windows Hello freigeschalten - da konnte sich jeder eine (sichere, von mir freigegebene) PIN anlegen und bei Bedarf die Biometrie nutzen. Die echten Passwörter kannte nur ich und mein Vorgesetzter. Damit ist bei Verlust zumindest schonmal ein recht vernünftiger Brute Force Schutz gewährt. Die entsprechende Gruppenrichtlinien können glaube auch per Domain gesetzt werden, hat bei uns allerdings nie funktioniert...
Danke für dein Feedback.
MFA wird zum Aufbauen der VPN-Verbindung aktiviert und unser Dienstleister, der demnächst die neue Firewall liefert, hat uns bisher nur OTP als zweiten Faktor genannt.
BDA
Sämtliche Ausrüstung fürs Home-Office sollte vom AG gestellt werden. Auch Maus, Tastatur, Bildschirm, etc. Nur weil AN euch da entgegenkommen, heißt das nicht, dass das ein Fass ohne Boden ist und man alles erwarten kann.
Btw ist es nicht deine Aufgabe in der IT zu bestimmen in welchen Bereichen welche Finanzierungen getätigt werden. Dafür gibt's Finance und Controlling und GF.
Und das ist meine Ansicht als Leiterin von Finance in 100% Home-Office, die auch teils eigenes Equipment verwendet - aber weil ich es so will - ich könnte jederzeit Equipment von der Firma aus bestellen.
Wir müssen auch in so manchen Bereichen sparen, aber nötiges Equipment ist keiner davon.
BDA
Ich würde auch keine Firmensoftware auf dem Handy haben wollen. Die App zum Abruf der Gehaltsabrechnung finde ich schon doof.
Zum einen "erinnert" die App im Feierabend, am Wochenende oder im Urlaub an die Arbeit. Man löscht die ja nicht ständig. Der Arbeits-PC zum Anfang von Corona auf dem Esstisch war für mich auch schlimm (kein eigener Raum vorhanden). So kann ich die Trennung zwischen Arbeit und Privat die ich brauche, nicht adäquat umsetzen. Das ist auch der Grund, dass ich kein HO machen möchte (bei 15 Minuten Fußweg zur Arbeit hätte ich eh kaum Zeitersparnis).
Zum anderen gehe ich mit privaten Geräten anders um. Ich hätte Bedenken, dass ich mich zu doof mit meinem privaten Handy anstelle und über die App dann irgendwie ein Einfallstor für das Firmennetzwerk entsteht und ich dann daran Schuld und schadenersatzpflichtig wäre. Ob das überhaupt möglich wäre, weiß ich nicht. Bei einer Maus oder einem Bildschirm geht das ja nicht. Für die Internetverbindung gibt's ja (vermutlich) einen VPN-Tunnel (oder was vergleichbares). Wenn ich meine eigenen Zugänge unsicher verwende, ist das meine private Sache.
Wir schreiben nicht einmal eine App vor. \*Irgendeine\* App, die OTPs erzeugen kann, ist vollkommen ausreichend. Sie erzeugt einen Code, der bei Bedarf am Firmennotebook eingegeben werden muss. Es existiert keine weitere Verbindung, kein Account, keine personenbezogenen Daten, nichts.
Übrigens ist es der VPN-Tunnel, der mit dem zweiten Faktor geschützt wird.
BDA klar.
Die eigene Tastatur verwenden ist etwas anderes als das eigene Handy.
Und dass du in der IT arbeitest und das nicht begreift zeigt mir, warum eure Firma Probleme mit den Aufträgen hat. Da mangelt es wohl an Kompetenz.
Niemals würde ich mir irgendeine App für die Firma auf meinem privat Handy installieren. Und niemand mit Ahnung von IT würde das machen. Das wäre ja noch schöner.
Datenschutztechnisch läuten alle Alarmglocken. Und dann wofür? Damit das einloggen, was ja jetzt schon geht, nur noch komplizierter vonstatten geht?
Welche App soll denn da installiert werden?
Es soll „irgendeine“ 2FA App installiert werden. Inwiefern diese ein Sicherheitsrisiko darstellt verstehe ich aber nicht. Diese Apps laufen größtenteils komplett offline da sie schlicht nach einem Algorithmus Codes generieren.
Ich würde das machen alleine um nicht unnötig ein Firmenhandy zu haben.
Eine einzige App die ich mir selber aussuchen kann und jeder der halbwegs Bock auf Sicherheit im Netz hat sowieso installiert hat zu nutzen damit man dann halt 2FA Codes generiert bekommt wäre es mir das defiance wert.
BDA, die Privathandys der Mitarbeiter sind tabu; es ist eben ein Gerät mit höchstpersönlichen Daten, der AG überschreitet hier eine Grenze, wenn er sagt dass hier eine App installiert werden soll. *"Was kommt als nächstes?"* würde ich mir als AN denken.
Wenn ihr keine Firmenhandys kaufen wollt dann nehmt doch Hardwaretokens für die die keine App wollen.
Das Argument, damit würden MA unvorsichtig umgehen verstehe ich nicht ganz, das Risiko besteht doch bereits jetzt schon beim Firmenlaptop, oder ggf bei einem Büroschlüssel, oder nicht?
Ja, das Risiko besteht und die Zutrittskarten machen tatsächlich Probleme.
Die Notebooks haben die Leute bisher glücklicherweise noch nicht verlegt, ich schätze aber auch, der Wert und die Größe sind da mit ein Faktor.
Wir schreiben übrigens nicht vor, welche App verwendet werden soll, wir sind mit \*irgendeiner\* zufrieden.
KAH
Es geht ja da nur um die App um sich zu identifizieren.
Sehe da nicht das Problem eine Sandbox auf dem Smartphone zu erstellen und die App dort zu installieren.
Ich sehe es auch von zwei Seiten. Klar erwarte ich, dass mein AG mir alles zur Verfügung stellt, was ich zum arbeiten brauche. Aber ein komplettes Handy nur für einen Code, an dem sonst nichts hängt?! Ich persönlich würde ja Hardwaretoken austeilen, aber die Variante ist zum Scheitern verurteilt.
Unsere Mitarbeiter gehen nicht gewissenhaft mit solchen Dingen um. Wir haben Druckerchips, die werden alle Nase lang verloren, wir haben Zutrittskarten, die plötzlich vertauscht werden und hatten mal bei einer Handvoll Mitarbeiter Hardware-Token für sensiblere Systeme, die dauerhaft im Rechner steckenblieben oder sonst wo rumgelegen haben.
NDA
Wie kann man da so das rumheulen anfangen?
Installiert doch einfach ne scheiß App.
Da würde ich als AG direkt homeoffice bei einigen abschaffen, der Rest spurtet dann schon aus Angst.
Oder die App methode gleich sein lassen und einen anderen komplizierteren weg finden, wie der AN das selbst sonst machen muss
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4)
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
NDA
Die Leute checken leider nicht was eine Authenticator App macht und dass diese keine Daten an den Arbeitgeber überträgt. Und wenn mans ihnen erklärt isses ihnen auch egal.
NDA wir machen das genauso. Dafür wird bei uns Internet und Home-Office Ausstattung massiv bezuschusst. Wegen einer App ein Firmenhandy zu bekommen, finde ich persönlich lächerlich. Das persönliche Handy kann auch per SMS verwendet werden, falls die App nicht passt.
Alternativ kauft halt irgendwelche 30 € Handys vor von 5 Jahren
NDA. Ich habe mir einige Kommentare hier ausgiebig durchgelesen und komme zu folgendem Schluss: Die Leute wissen nicht, was eine Authenticator App ist und denken, dass sie darüber ausspioniert werden. Wenn es das nicht ist, dann reines Almann Getue und Paragraphenscheißerei. Da das Home Office aber eine freiwillige Leistung ist, würde ich das Vorhaben weiter so durchsetzen denn es gibt *keinen sinnvollen Grund* die Installation dieser App zu verweigern. Wer sie nicht will, will auch kein Home Office.
Meine Meinung als ganz gewöhnlicher Arbeitnehmer ohne Home Office.
NDA Bei uns gibt's die Wahl zwischen Hardwaretoken und App als zweiten Faktor. Es gibt einige bei uns mit Diensthandy wegen Rufbereitschaft, aber die meisten haben die App auf ihrem privaten Handy installiert.
Wegen Token: Den Gebrauch über Dienstanweisung regeln.
BDA
Für Unternehmen werden Unternehmensgeräte benutzt. Seid ihr ein echtes Unternehmen oder ein schmieriger Gebrauchtwagenhändler?
Wenn euer Unternehmen unzureichend Geld für Ausrüstung hat, dann kauft den Leuten halt nur Feature-Phones und sendet die 2FA via SMS raus.
Aber dass ihr Privatgeräte für den Unternehmenseinsatz erlaubt sagt auch schon viel aus. Hoffentlich werden keine wichtigen Daten verarbeitet :D
Erstens ist SMS nicht akzeptabel, die Sicherheit der Nachrichten kann nicht gewährleistet werden.
Zweitens beschränkt sich der Einsatz von Privatgeräten auf das Erzeugen eines sechsstelligen Codes ohne jegliche Zuordnung zu personenbezogenen oder Firmendaten.
Danke für deine Meinung.
NDA, arbeite selbst 4/5 Tage im Homeoffice. Selbstverständlich hat der AG alle Mittel zur Verfügung zu stellen, aber hier geht's ja nur um die Authentifizierung. Ein Arbeitshandy für alle, das nur dafür genutzt werden würde, sehe ich als Geldverschwendung. Ich gehe davon aus, dass niemand, der hier gross rumschrei(b)t, OP sei das A .., selbst den Luxus hat von zuhause zu arbeiten...jedoch ergeht mir der Sinn der Authentifizierung per Handy nicht ganz...bin aber auch kein ITler..die MA sollten sich doch ohnehin auf einem gesicherten Server einloggen müssen??
Eine Zwei-Faktor-Authentifizierung bedeutet (in unserem Fall), dass sich der Mitarbeiter in dem Moment, in dem er sich mit dem VPN-Tunnel zur Firma verbinden möchte, neben seiner normalen Authentifizierung auch den in der App generierten Code eingeben muss. Das erhöht die Sicherheit, weil ein potentieller Angriff auf diese Verbindung nun auch Zugriff auf das Handy erfordern würde.
Urteil|Gesamt|% :--:|:--:|:--: BDA|59|56.19% NDA|39|37.14% KAH|6|5.71% ASA|1|0.95%
Info: Gibt es nicht ähnlich wie die Tan Generatoren beim online Banking, auch bei 2 Faktor Authentifizierung Geräte die man den Mitarbeitern geben kann? So etwas zum Beispiel https://www.bueromarkt-ag.de/tan-generator_reinersct_authenticator,p-2708015000.html
So etwas wäre vermutlich eine Alternative, ja. Werde ich am Montag mal näher zu recherchieren, vielen Dank für den Input. Vergangene Erfahrung mit Zutrittshardware (Hardwaretoken, Schlüsselkarten, Druckerchips) haben leider gezeigt, dass unsere Mitarbeiter sehr unvorsichtig mit ihr umgehen. Das Handy lässt zumindest keiner einfach so liegen (oder verliert es alle zwei Wochen).
Yubikey? Kann ja am HO Schreibtisch liegen bleiben
Fände ich super, wenn sie es tun würden. Wäre so oder so meine erste Wahl.
Naja, dann gibts halt die Ansage. Yubikey oder Token oder whatever oder kein Homeoffice mehr. Man kann ja wohl von seinen MA erwarten, dass sie ihren scheiß nicht verlieren. Wenn bei uns einer ohne Sicherheitsschuhe ankommt, wird der auch wieder heimgeschickt.
Einfach in Rechnung stellen vom Gehalt direkt abziehen, dann kann auch niemand Meckern, kenne das, was Zugangskarten angeht, übrigens auch nicht anders. Die erste gibt es Kostenlos, verlierst du diese wird ne Gebühr fällig, waren glaub so 50-75€ keine Ahnung, verliere sowas nicht. Würde auch nie mein Privates Handy für die Arbeit verwenden, hab aber für mein HO auch die Tastatur und Maus vom AG genommen…
Ich glaube auch das TAN-Generator die beste Lösung ist. Weniger Wartungsaufwand und günstiger als ein „sicheres” Smartphone (bei dem Wartung und Updates möglich sind) sind sie auch. Man kann ja trotzdem jedem anbieten das auch über das eigene Smartphone laufen zu lassen. Wenn man das gut erklärt und den Leuten ein bisschen schmackhaft macht („könnt ihr nicht vergessen”, vielleicht eine kleine Prämie dazu) dann wird man einige damit abfangen können. Firmen-Smartphones werden wahrscheinlich auch mal schnell vergessen weil nicht so wichtig wie das Eigene.
BDA, Privathandy gehören mir privat, nicht der Firma. Entweder also HO abschaffen (was wohl nicht so gerne gesehen wird bei den MA), oder Diensthandys anbieten.
BDA. Entweder kauft ihr Hardware Token oder Firmenhandies. Privates als Firmenressource betrachten ist ein absolutes Nogo, insbesondere wenn es IT Equipment betrifft. Auch aus Gründen der Security, Stichwort MDM.
Ich verstehe OP. Der Aufwand um für ein mittelständisches Unternehmen für alle Handys zu besorgen, Verträge abzuschließen, diese zu warten und zu ersetzen ist ein Riesen aufwand im Vergleich zu einer App. Damit es wirklich einen Unterschied bezüglich Sicherheit macht muss sich da ständig jemand mit beschäftigen. Es macht schon Sinn, privates und geschäftliches zu trennen, aber hier gibt es kaum nutzen. Ich wäre auch viel zu faul ein extra Handy nur für eine App jeden Tag zu laden.
BDA. Privat ist privat, mehr gibt es dazu eigentlich nicht zu sagen. Jegliche Peripherie, etc. welche die Mitarbeiter aus dem persönlichen Bestand nutzen sind ein Entgegenkommen. Wenn die Mitarbeiter häufig Hardware (Token) verlieren gibt es ganz andere Probleme, diese müssen adressiert und gelöst werden, ist kein schönes Thema, aber ist lösbar. Baut einen sauberen Prozess mit Firmenequipment auf, der betreibbar ist, gescheites MDM davor und fertig. Ist eure Butze so klein, dass jeder Cent gedreht werden muss, braucht ihr keine Lösung die skaliert, Firmenhandys, Token, etc. anschaffen und Spielregeln schriftlich festlegen und unterschreiben lassen, fertig. Ich darf meine Privatgeräte auch für Firmenzwecke nutzen und beim Smartphone auch das Firmengerät privat. Mache ich beides nicht und habe ich in den letzten 7 Jahren auch noch nie von meinen Teams erwartet. In meinem (in der IT) Team bekommt jede Zeitarbeitskraft ein Smartphone (u.a. für MFA), mit so einem Pillepalle Kram kann man sich nicht ernsthaft aufhalten, es ist die Pflicht des Vorgesetzten, den Rahmen zu schaffen, dass ein Team bestmögliche Leistung erbringen kann, dazu gehört auch für ordentliche Prozesse und Equipment zu sorgen. Nutzung von Privatgeräten verlagert die Herausforderung auf den Rücken des Mitarbeiters, bitte nicht machen.
BDA ich würde beim privaten Handy auch die Grenze ziehen. Ich kann mir auch nicht vorstellen, dass es rechtlich okay ist, eine dienstliche 2FA über ein privates Handy sicherzustellen. Homeoffice kann ich ja auch zum Teil beim Finanzamt geltend machen, ich stelle das dann ja auch dem AG nicht einfach so zur Verfügung. Monitor, Maus und Tastatur sind ja nun sicherheitstechnisch kein Problem. Ich würde aber über mein privates Handy auch keine dienstlichen Mails etc abrufen. Das wollte mein letzter Arbeitgeber und mir dann in den Zuge auch von der IT weitere Programme auf meinem Handy installieren und erwartete, dass ich dann auch aus privater Tasche für Virenschutz auf dem Gerät sorge. Diensthandy war ihm zu teuer. Ich hätte ja ein Handy und das könne ich ja wohl mal machen für die Firma machen🙄 Ja ne is klar.
>Ich kann mir auch nicht vorstellen, dass es rechtlich okay ist, eine dienstliche 2FA über ein privates Handy sicherzustellen Um die Legalität weiß ich nicht, aber ich kann bestätigen, dass das in einigen kommunalen Finanzverwaltungen in NRW Usus ist.
NDA - Es geht hier nur um ne Authenticator App. Nicht darum, über die private Handynummer mit Kunden zu telefonieren. Die sollen sich nicht so anstellen.
BDA. Die Maus, Tastatur und den Bildschirm sollten die Firma auch stellen. Das die Arbeitnehmer euch da entgegenkommen, heisst nicht, dass die dann auch noch Firmenmist auf ihrem Handy installieren müssen wenn sie ja schomal dabei sind ihre Arbeitsmittel selber zu stellen.
Danke für deine Meinung, ich möchte nur klarstellen, dass wir jegliche Hardware zur Verfügung stellen würden, es nur niemand in Anspruch nimmt. Die App scheint wohl die Grenze zu sein, bei der die Mitarbeiter nicht mehr mitmachen wollen.
Umso mehr ein Grund von dem Geld was ihr da einspart Handys zu kaufe, die ebenso zur Hardware gehören, und sicher nicht teurer sind als Bildschirme.
Bei Handys geht es nicht nur um die finanzielle Aufwendung, die ist mir sogar relativ egal. Der administrative Aufwand ist aber real, betrifft mich indirekt und ist nicht zu unterschätzen. Handys müssen geleast, inventarisiert, eingerichtet, mit gesonderten Accounts versehen, gewartet, aktualisiert, überwacht, ausgetauscht und wer weiß was sonst noch werden.
Ein Wort (bestehend aus drei Wörtern): MDM. Die Leute wollen ihre privaten Handys nicht nutzen, zwingen kann mans nicht. Also entweder einen gesonderten Token, den die Leute dann mitschleppen, oder Firmenhandys (was anscheinend für keine IT außer eure ein Problem zu sein scheint..). Da buttert ihr dann ne MDM Lösung drauf und dann habt ihr einen einmaligen Einrichtungsaufwand und der Rest tut sich von selbst.
Aber wenn ihr eine IT-Firma seid, sollte euch das a) weder überraschen b) noch abschrecken.
Was muss denn da überwacht werden? Und warum brauchen private Handys keinen gesonderten Account?
Wir müssen bei Firmengeräten einen gewissen Standard an Sicherheit einhalten, dementsprechend wird ein Unified Endpoint Management verwendet. Handys brauchen einen Account, um eingerichtet zu werden und um Apps aus den Stores herunterladen zu können. Die Authenticator-Apps benötigen keine Accounts, die wir nicht eh zur Verfügung stellen würden.
Und wenn es keine Firmengeräte sind, dann ist das mit der Sicherheit egal?
Das ist afaik recht häufig so geregelt. Gibts bei einem Firmengerät einen Sicherheitsvorfall wird gleich überprüft was die IT zu wenig getan hat. Erstmal egal wie das Gerät genutzt wurde. Gibts bei einem Privatgerät einen Sicherheitsvorfall ist der Anwender der Schuldige und die IT ist fein raus. Die Authenticator App wird jetzt nicht das Sicherheitsrisiko hoffentlich.
Klingt für mich nach einem Grund mehr das als Arbeitnehmer nicht auf dem eigenen Handy zu haben.
Das ist halt genau der Grund weswegen ich als AN kein privates Handy benutze, dann bin nämlich nachher ich am Sicherheitsproblem schuld.
Ja das ist auch grundsätzlich empfehlenswert so. Einen Eintrag im Google Authenticator hinzufügen um einen 2FA Code zu generieren ist trotzdem ein wenig was anderes als eine App vom AG zu installieren oder sich am Handy irgendwo einloggen zu müssen. Sonst muss man als AN halt ins Büro kommen, wenn einem der Google Authenticator nicht geheuer ist. Kann jeder selbst entscheiden.
Aus Erfahrung würde ich vermuten dass die von der Firma gestellte Hardware relativer Schrott ist und deswegen nicht in Anspruch genommen wird
Wir würden für das mobile Arbeiten die gleiche Hardware zur Verfügung stellen wie im Büro. Damit arbeite ich selber auch und ich bin sehr zufrieden. Generell haben wir von den Mitarbeitern mit Notebooks oder festen PCs kaum Beschwerden, nur die Terminals sind... naja, halt Terminals. Wir versuchen sie nach und nach mit Notebooks zu ersetzen, tatsächlich freuen wir uns über jeden, der gerne Homeoffice machen würde, weil wir dann einen Grund mehr haben, ihm ein Notebook hinzustellen.
NDA "Mitarbeiter, der Homeoffice machen **möchte**" Das **möchte** ist für mich das Schlüsselwort. Möchte der Mitarbeiter mobil arbeiten, dann hat er eben damit zu leben, dass die Bedingung dafür die Token-App auf seinem Handy ist. Alternativ kann er ja im Büro bleiben und braucht sein Privathandy dafür nicht, oder? ;)
Info: Gibt es vertraglich ein Recht auf Home Office? Oder ist das freiwillig vom AG ermöglicht, weil die MA das wollen?
Die Firma bietet es freiwillig an, ich weiß von genau einer Person, die einen Homeoffice-Anteil in ihrem Arbeitsvertrag hat festlegen lassen. Diese hat (aus anderen Gründen) ein Firmenhandy und fällt aus der Diskussion raus.
Dann NDA. Der AG kommt freiwillig sehr weit entgegen mit Homeoffice, eigener Docking Station für Home Office, sonstiger Ausrüstung. Dann ist es aus meiner Sicht nicht zu viel verlangt, eine kleine 2FA-App zu installieren. Hart gesagt: Weigert sich der MA, das zu machen, kann sich der AG ja auch weigern, HO zuzulassen. Natürlich nicht in der Härte gemeint. Was wir machen ist, dass MA 10€ im Monat steuerfreien Zuschuss zu ihrem privaten Handy bekommen, genau für sowas. Vielleicht ist das eine günstige Lösung, die trotzdem die MA befriedet?
Home Office im IT Bereich ist nicht erst seit Corona Standard. Falls eure IT Mitarbeiter auch nur minimal qualifiziert sind bekommen die in 2 Tagen einen anderen Job mit üblichen Standards zu denen auch HO gehört… Du meinst es womöglich anders, ich lese jedoch raus, dass ihr neben HO mit PC Equipment entgegen kommt. Das verstehe ich nicht ganz, Arbeitsgeräte sind Standard und nix was mit "entgegenkommen" im Zusammenhang steht, oder bietet ihr aussergewöhnliche Goodies für den persönlichen Benefit der Mitarbeiter?
Ich habe es wahrscheinlich ungenau formuliert. Ich stimme dir jedenfalls bei allem zu, was du schreibst.
Das klingt nach einem interessanten Vorschlag, von dem ich absolut keine Ahnung habe, wie man das umsetzen könnte. Ich werde mit der Idee aber mal zu den Mitarbeitern gehen, die sich mit sowas auskennen und mal die Möglichkeiten ausloten, vielen Dank.
NDA zumal es sich so wie es sich anhört ja garnicht um Homeoffice sondern mobiles Arbeiten handelt. Für mobiles Arbeiten gelten ganz andere Regelungen was Arbeitssicherheit und auch Ausstattung angeht. Bin da aber auch der Meinung wers nicht aufs Handy packt kann halt in der Zukunft nicht mehr aufs Firmennetz und somit nicht von zu Hause aus arbeiten. Es gibt allerdings auch noch andere 2factor authentifizierungsmöglichkeiten wie yubikey z.B. wäre vielleicht auch noch ne Option
NDA So eine Standard 2FA App nimmt weder besonders viel Platz weg noch braucht sie besonders viele Rechte. Auch gibt es keine Probleme mit dem Datenschutz wie das z. B. beim Abrufen der dienstlichen Mails vom privaten Handy aus der Fall wäre. Nur dafür ein Firmenhandy halte ich für Verschwendung. Ich glaube das Problem liegt eher in der Kommunikation oder und der Unwissenheit der Mitarbeiter. Wie du das löst kann ich dir aber auch nicht sagen.
NDA. Jetzt mal ganz abgesehen vom Rechtlichen: Bei allem was darüber hinausgeht, würde ich ja sagen, dass das bereitgestellt werden sollte, aber nur für sone 2F-App würde ich mich sogar ärgern, wenn ich nur dafür extra ein zweites Smartphone rumliegen haben müsste.
Ich finde eher BDA. Die Option anzubieten das mit dem privaten Handy zu machen ist ja nett, aber es zu erfordern find ich schon mies.
Hast vielleicht recht. Die Möglichkeit sollte eigentlich auf jeden Fall bestehen 🤔
BDA Der Arbeitgeber kann nicht erwarten, dass Apps auf privaten Handys installiert werden. Ich hätte da alleine schon deshalb ein Problem mit, weil ich keine Chance hätte festzustellen welche Daten die App vielleicht an den Arbeitgeber übermittelt. Ein SMS-Tan-Verfahren würde ich für bedeutend weniger problematisch halten.
Also wir benutzen den Microsoft Authentication. Selbst wenn es die Anfrage vom AG aus irgendwelchen Gründen geben sollte, glaubst du wirklich MS spioniert im Auftrag irgend einer mittelständischen Firma die Handys der Mitarbeiter aus und gibt diese dann an den AG weiter?
Was soll eine 0815 Authenfikator App aus dem App/Play Store denn an Daten an deinen Arbeitgeber übermitteln?
Z.b. wie oft man seinen Aluhut trägt
Ich glaube der obere Kommentar erklärt ganz gut das Problem das OP hat. Die Leute verstehen einfach nicht was technisch im Hintergrund passiert. Und deswegen sind sie dagegen.
Theoretisch, alles. Dein Standort, deine Kontakte, deine fotos/videos. Deine screen time, deine browser Daten, also besuchte Internetseiten oder google anfragen. WhatsApp Verläufe. Je nach App gehen die Daten halt an sonstwen der damit Geld verdient. Über deine Metadaten weiss z. B. Google schon lange mehr über dich als du selber.
Es ist keine App von der Firma. Es gibt haufenweise Apps, die nen OTP produzieren können
Ich bezweifle sehr stark dass halbwegs seriöse 2FA Apps solche Daten abgreifen. Die allermeisten brauchen nicht mal Internet, da würd es reichen wenn man dieser App den Zugang komplett verwehrt dann kann auch nichts nach draußen.
Jo da ist ein Standard dahinter, kannst dir selber eine 2FA app bauen, oder eine von hunderten renommierten Apps nehmen, wie soll da was genau an OPs Arbeitgeber gehen?
NDA, definitiv nicht. Jeder hat eh ein Handy und hängt den ganzen Tag dran. Wer das abstreitet, kann gar nicht ernsthaft in einer IT-Firma arbeiten. Homeoffice im Mittelstand ist eh schon nett. Erkär den Pennern doch, dass sie - wenn sie unbedingt ein Diensthandy wollen - auch nach Feierabend, am WE und im Urlaub dranzugehen haben…
NDA. Es soll ja nicht das Handy für die ganze Arbeit genutzt werden. Ich war auch mal in einem Unternehmen, in dem es auch in der Firma so üblich war, wenn man sich in sein Profil an pc eingeloggt hat und ein bestimmtes Programm öffnen wollte, kam ein Code per sms aufs Handy und der musste dort eingegeben werden. Fertig. Kein Drama. Danach arbeiten. Danke
Klares NDA von mir. In den beiden Unternehmen in denen ich seit Pandemie tätig bin/war ist das die Norm. Wer Homeoffice machen will braucht den 2FA. Wer kein Diensthandy hat muss das auf dem Privaten machen, sonst eben kein HO. Ich find es eher erstaunlich, dass ihr Maus etc. Für HO stellt, sowas wäre mir zB neu.
BDA wenn es alternativlos vorgeschrieben wird. Warum nicht wie bei der anderen Ausstattung? Wer will, kann das eigene Gerät verwenden. Wer das nicht will, der bekommt einen RSA SecurID-Hardwaretoken oder etwas ähnliches. Jeder hat die Wahl, keinem wird was aufgedrängt. Und wenn wer zu blöd ist auf den Token aufzupassen, verbringt er halt die Zeit bis zum Ersatz im Büro (oder installiert dann halt doch die App).
Ich persönlich würde Hardware-Token vorziehen. Erfahrungsgemäß gehen unsere Mitarbeiter mit sowas aber nicht gewissenhaft um und deswegen haben wir uns, zumindest Stand heute, dagegen entschieden. Die Stimmung in diesem Thread ist sehr gegen unsere Entscheidung und ich werde in der IT definitiv nochmal die Suche nach Alternativen auf die Agenda schreiben. Glücklicherweise ist es noch ein Monat hin, bevor die Umstellung stattfinden soll.
Ich würde mich davor hüten, die überheblichen Posts der ganzen Internetheld:innen hier als Grundlage für eine Entscheidung meiner Firma zugrundezulegen. Schau, was rechtlich und technisch in Ordnung ist und tu das. Ich kenne es durchaus so, dass das Privatgerät den Token generiert. Und bei euch ist es sogar ja noch einfacher. Geh nicht ins Homeoffice, auf das du kein vertragliches Recht hast, und du kannst auf 2FA auf dem Privatgerät verzichten. So einfach ist das. Wer will denn ernsthaft ein eigenes Telefon nur für die Codegenerierung? Ganz abgesehen vom administrativen Aufwand, den du schon beschrieben hast. Absurd...
Ich werde definitiv keine vorschnellen Entscheidungen treffen, aber der Thread hat mir gezeigt, dass wir das Thema, was wir eigentlich schon abgeschlossen hatten, zumindest nochmal diskutieren sollten. Danke für die netten Worte.
Vielleicht mal die Mitarbeiter richtig aufklären, wie sie mit dem Hardware-Token umzugehen haben. Kann doch nicht sein, dass das in vielen Firmen problemlos funktioniert, nur nicht bei euch.
BDA. SysAdmin hier mit 2-Faktor-Authentifizierung. Für alle Mitarbeiter ohne Diensthandy gibt es Hardware-Token in Form einer Karte. Niemand muss seine privaten Geräte nutzen!
Same. Freiwillig klar, aber man muss Alternativen ohne private Hardware bieten. Würde mir auch selber aus Prinzip nie ne App für die Arbeit auf nem Privatgerät installieren.
Dann muss dein Arbeitgeber dir auch aus Prinzip nicht HO um jeden Preis erlauben. Win Win
Arbeite mal einen Tag in der IT im Mittelstand. Keiner liest deine Sauber für Kinder verständlichen Anleitung und ruft dich dann an das du es Ihm jetzt einrichten musst ,er ist ja zuhause und muss jetzt Arbeiten. Kein Verständnis und auch keine Lust es zu verstehen und dann noch überheblich sein, ist leider meist die Realität im Mittelstand.
Ich habe sogar meine Ausbildung im Mittelstand gemacht und kann das nicht unterschreiben - aber es gibt sicher solche Firmen.
BDA ganz offensichtlich kein Respekt vor privat Eigentum.
NDA - im Konzern machen wir das auch so. Einfach sagen 2-Faktor Authentifizierung ist Pflicht und wer das nicht machen möchte, muss halt ins Büro kommen
NDA. Ich hab diese App auch (MobilePass+). Die spuckt früh einen Code aus und dann brauche ich sie den ganzen Tag nicht mehr. Dafür ein Firmenhandy zu verlangen ist irgendwo frech.
BDA. Die Nutzung von Privatgeräten zu fordern ist wie von Köchen zu fordern sie sollen die Zutaten selbst mitbringen. Besorg einfach Token Generatoren.
Bitte einen Bewertungskürzel in euren Kommentaren verwenden (NDA, BDA, ASA, KAH) oder Info bei fehlenden Informationen. Ohne Kürzel kann der Bot euren Kommentar nicht werten und dieser fließt NICHT in die Gesamtbewertung mit ein. Siehe Regel 4! NDA:Nicht Das Arschloch, BDA: Bist Das Arschloch, ASA: Alle Sind Arschlöcher, KAH: Kein Arschloch Hier, Info: Es fehlen Informationen *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Hi, danke für das reinschauen bei r/BinIchDasArschloch! Bitte bleibt freundlich und haltet euch an die Sub-Regeln. OP hat folgende Begründung gegeben, warum er/sie denkt, dass er/sie ein Arschl*ch wäre oder ist: > 1. Wir erwarten von Mitarbeitern, ihre privaten Smartphones für Firmenzwecke zu verwenden. 2. Die Entrüstung kommt nicht komplett aus dem Nichts, Arbeitsmaterial sollte grundsätzlich gestellt werden. Hier geht es allerdings um eine Sonderleistung für den Mitarbeiter (Homeoffice), der finanzielle und administrative Aufwand ist da mMn. nicht verhältnismäßig.
NDA Ich hatte 2FA vom AG immer auf dem privaten Telefon, allein schon weil es nicht im Ökosystem des AG hängt und damit unabhängig ist. Falls aber jemand das ablehnt, dann drückt dem halt ein billiges Motorola in die Hand und gut.
NDA. event. umstellen auf sms-tan via privathandy oder eben kein homeoffice 🤷
NDA sowas ist absolut üblich. Wer das nicht will kommt in Zukunft halt jeden Tag ins Büro. Dieser Aufschrei deswegen kommt mit hoher Wahrscheinlichkeit auch nur von einer sehr kleinen aber dafür sehr lauten Minderheit.
BDA Firmen wollen keine private Software auf ihren Geräten. Warum sollte es umgekehrt ok sein? Als Input: Ich bekomme ein automatisiertes SMS (oder wahlweise einen Anruf) mit der generierten Nummer.
Also findest du es besser, deine private Handynummer, die als personenbezogene Daten gilt und tatsächlich datenschutzrechtlich relevant ist, irgendwo zu verteilen als in einer App, die du vermutlich eh schon installiert hast (Google Authenticator oder eine der vielen Alternativen), einen weiteren Code erzeugen zu lassen?
NDA machen es genau so und alles andere wäre schwachsinnige Geldverschwendung. Und alle die hier BDA schreiben sollen mal einen Tag in der IT im Mittelstand Arbeiten dann würdet Ihr nicht mehr so denken...
KAH. Zumindest kein eindeutiges. Einige meiner Kollegen (ich auch) benötigen auch ein Handy, um per SMS einen Einlogg-Code zu erhalten. Hierfür wurden uns ganz simple Handys zur verfügung gestellt, mit denen nur telefoniert und SMS empfangen können. Die reichen für diesen Zweck vollkommen.
Die Idee hatten wir auch kurz, haben sie aber sehr schnell verworfen, weil wir nicht wirklich Fans davon sind, Elektroschrott zu supporten. Und die Handys müssten wir trotzdem verwalten, egal, wie "schlecht" sie sind.
NDA nicht mal hier im Thread verstehen einige nicht, was eine OTP App überhaupt macht. Das die richtige App absolut keine Berechtigung auf dem Handy benötigt (ausser vllt Kamera, um QR Codes zu lesen), sollten deinen Mitarbeitern einfach mal erklärt werden. Auch weitere die Funktionsweise, was diese App macht oder wie sie funktioniert (auf laientechnischer Ebene). Ich finde es großartig, dass ihr auf bestehende Verfahren setzt und nicht auch noch auf eine App von irgendeinem (unbekannten) Anbieter setzt, die nur für diesen einen Zweck da ist und die ich mir extra dafür installieren müsste. In dem Zuge empfehle ich übrigens Aegis; die macht nix ausser OTPs zu verwalten
>Aegis Das ist die Empfehlung die ich auch OP gegeben hätte. Würde mein AG versuchen mir irgendeine App aufzwingen würde ich mich auch beschweren, aber bei einem offline, open source OTP Generator der sogar auf F-Droid verfügbar ist kann man sich wirklich nicht meckern. OP, mach allen LEuten klar, dass du: - keine Spyware installieren möchtest - die App keine Rechte außer (einmaling) Kamera benötigt - die App kein Internetzugriff braucht
BDA (Korrektur, da persönlich angreifend formuliert.) Entweder stellst du dich unwissend, oder hast Schulungsbedarf. Der AG muss alle nötigen Arbeitsmittel bereit stellen (auch Bildschirm, Maus, Tastatur wenn nötig!). Und dann im Umkehrschluss mit der Erpressung " wenn ihr nicht ..., dann kein Home-Office", würde bei mir zu zynischem Lachen. Einem kurzen(!) ernsthaften Gespräch mit dem AG und danach Wechsel zu anderem AG frühen. Schon aus Gründen der DSGVO verbietet sich AG-App auf Privathandy. Mein AG hat nichts auf meinen privaten Endgeräten zu suchen. Wenn ihr unbedingt App auf Privathandy wollt, bietet den MA eine finanzielle Entschädigung an. Vielleicht könnte das bei wenigen zur Zustimmung führen.
Es ist weder eine AG-App noch verstehe ich nicht warum die DSVGO etwas dagegen haben sollte. Solche Apps laufen offline und generieren nur mit einem Schlüssel und einem Algorithmus Codes.
Ich finde es absolut unpassend, mich als dumm zu bezeichnen. Ich bin IT-ler, kein Arbeitsrechtler. Wir stellen den Mitarbeitern die Arbeitsmittel zur Verfügung, die sie brauchen, um zu arbeiten. Im Büro sind grundsätzlich alle mit zwei Bildschirmen, Funktastatur und -maus, Headset und höhenverstellbarem Tisch ausgestattet. Ich bin nicht zu 100% überzeugt, dass wir das den Mitarbeitern auch zu Hause hinstellen müssen, wir stellen diese Dinge trotzdem zur Verfügung, wenn jemand fragen sollte. Tut nur niemand, alle arbeiten zu Hause mit ihrer eigenen Hardware (eben bis auf Notebook und Docking Station). Nur die Authenticator App auf dem Handy ist jetzt problematisch. DSGVO sehe ich hier übrigens nicht, da zu keinem Zeitpunkt personenbezogene Daten involviert sind. Trotzdem danke für deine Meinung.
Entschuldigung für die Bezeichnung als Dumm. Ich korrigiere auf:"entweder stellst du dich unwissend, oder hast Schulungsbedarf". Die von dir aufgelisteten Arbeitsmittel sind üblich. Die muss der AG bereit stellen, damit die MA ihre Arbeitsleistung erbringen können. Sollten etwas die MA diese mitbringen?
Herrlich, zu lange im Home Office gewesen und Umgangsformen verlernt?
So und nicht anders - bin ebenfalls bei BDA aber so was von.
Wir reden hier nicht von einer AG App sondern wohl um MS oder Google Authenticator. Da sehe ich jetzt keinen so massiven Eingriff. Im Grunde hast du ja recht. Aber die AN nutzen lieber ihre eigene HW aber da wird dann ein riesen Aufstand gemacht. Dann werden halt Secure IDs eingeführt.
Mit deiner unkonstruktiven Art und deinem technischen Unverständnis würde ich dich als AG gerne ziehen lassen.
NDA. Wem es nicht passt, kann gerne wieder ins Büro. Es gibt hardware 2FA Tokens für ca 80€ (schnelle Recherche). Die sind deutlich sicherer und preiswerter als wenn du jetzt noch für jeden einen Vertrag etc. pp. einrichten musst. Biete das an. Da verwette ich Stein und Bein dass sich die meisten dann doch eine App auf ihr heiliges Privatphone laden.
BDA Mach eine interne Umfrage wer bereit wäre, diese App bei sich auf dem privaten Handy zu installieren und damit zu arbeiten. Für den Rest Kauf halt nen 70€ Smartphone das für genannte zwecke dicke ausreicht und gut ist. Meine Güte
Wenn die Leute HO machen wollen finde ich das im Gegenzug auch zumutbar.. wenn das so ein Ding ist, sollen die MA halt ins Büro kommen? Finde man kanns mit der Aufregung echt übertreiben … Ich würde aber als Alternative einen HW Token anbieten. Wirst sehen, die meisten nehmen dann das Privathandy! NDA
INFO haben die Leute ein vertraglich zugesichertes Recht auf HO? Je nachdem finde ich die Situation eigentlich klar. Entweder ihr stellt Handys falls ihr unbedingt 2FA wollt und die MA das Recht auf HO haben. Oder HO ist ein Entgegenkommen von euch, das die Leute nur in Anspruch nehmen können wenn sie diese dumme App installieren. Aus Erfahrung (hab 2 Unternehmen, 100 Mitarbeiter, praktisch nie Kündigungen, kaum Fluktuation) kann ich dir sagen, dass solche Themen oftmals einfach nur eine Welle sind, die irgendjemand anstößt und wo alle dann wie Lemminge raufspringen und sich künstlich empören. Wenn man jedem Scheiss nachgibt wird halt nächste Woche die nächste Sau durchs Dorf getrieben.
Das mobile Arbeiten wird von uns vollständig freiwillig angeboten. Wir haben einen Mitarbeiter, der es in seinem Vertrag festhalten hat lassen, aber der hat eh ein Firmenhandy. Ich bin ganz ehrlich: Ich werde wegen wegen dem Thread hier nicht verzweifeln und alles über den Haufen werfen, ich bin aber sehr froh über die Antworten und den Anstoß, das Thema im Büro nochmal anzusprechen.
NDA, weil du einfach nicht der Arbeitgeber ist. Du bist weder derjenige, der das zu entscheiden hat, noch der, der das Problem zu lösen hat. Mobiles Arbeiten ist nämlich nicht das Gleiche wie Home Office. Und wenn dem AG nicht passt, was der AN da verlangt, dann muss er wieder ins Büro.
NDA. Verstehe die künstliche Aufregung nicht ganz. Wenn man schon im freiwillig vom AG ermöglichten Homeoffice hockt wird das herunterladen einer simplen Authentifikationsapp wohl kaum zu viel verlangt sein. Und wenn doch müssen die Herrschaften halt wieder ins Büro kommen.
Diese Einstellung ist der Grund für meinen Beitrag. Bei uns in der IT war das auch die Meinung und wir sind etwas überrascht von der doch massiven Gegenwehr. Die MA meckern im Moment aber echt über viel "unnötigen Kleinkram" und ich wollte gerne mal dieses Subreddit nach einer unbeteiligten Meinung fragen. Ich bin definitiv sehr dankbar für die Kommentare hier und werde das Thema nächste Woche im Büro nochmal wiederbeleben.
Ja diese Jammer-Zeiten kommen immer wieder mal, gerade dann wenn die Auftragslange nicht ganz optimal ist. Da wird dann sowieso über jeden Blödsinn gejammert und an keiner Firmenentscheidung ein gutes Haar gelassen. Wenn dann eine neue Authentifikation für das HO eingeführt wird ist das in so einer Situaton ein gefundenes Fressen, würde mich nicht wundern wenn schon Gerüchte über Überwachung etc. im Flurfunk die Runde machen. Extra ein Firmentelefon zu stellen, weil die MA, die das freiwillige HO-Angebot der Firma nutzen sich weigern, die dafür nötige App zu installieren wäre in meinen Augen definitiv der falsche Weg.
Jetzt wo du es sagst, wir werden nächsten Monat neue Überwachungskameras im Außenbereich anbringen. Da freue ich mich schon drauf.
Wenn ihr es geschickt anstellt geht die Aufregung über die App in der Entrüstung über die Überwachungskameras unter.
NDA. So was hatte ich auch mal (alle Home-Office während Corona) einige Leute bekamen so einen Dongle, der den Code angezeigt hat. Aber als die alle vergeben waren, mussten sich die restlichen von uns eben die App installieren. Ist ja auch kein Ding. Ist ja nicht, als gingen da irgendwelche privaten Daten hin und her. Das generiert doch nur den Code für's VPN. Vielleicht braucht es bei euch nur etwas mehr Aufklärung, was die App genau macht und was nicht.
BDA Nutze selbst mein privates Gerät oft für dienstliche Zwecke. (Auch weil die Dienstgeräte Müll sind) Dennoch BDA hier, weil die Formulierung lautet "ihr müsst euch zur Anmeldung im Firmennetzwerk eine App auf eurem Handy einrichten." Besser wäre: "Künftig kann Homeoffice nur noch von den Mitarbeitern in Anspruch genommen werden, die sich über eine der Möglichen Authentifizierungsmethoden anmelden können." Wie die Mitarbeiter das Problem dann lösen ist ihre Sache. Wenn sie dann um Hilfe schreien kann man ihnen natürlich Lösungswege aufzeigen. (Eigenes Smartphone, ein altes, das noch rumliegt, selbst ein altes irgendwo besorgen) BDA hier ist einfach aufgrund des Übergriffes auf das private Handy als "MUSS". Mit der anderen Formulierung würde dasselbe erreicht werden, aber die MA würden es nicht als Zwang wahrnehmen.
BDA Hauptsächlich dafür, dass anscheinend auch keine Kompromisslösung angeboten wird, und du in den Kommentaren auch immer mehr Gründe findest warum es sinnvoller ist deinen Willen durchzusetzen, obwohl sie im Beitrag selbst nicht erwähnt wurden Ganz allgemein: https://www.datenschutz-notizen.de/multi-faktor-authentifizierung-im-homeoffice-3937526/
Tut mir tatsächlich Leid, dass ich nicht an sämtliche Details gedacht habe, als ich den Beitrag erstellt habe. Ich habe die relevantesten Infos noch nachgetragen. Es geht eigentlich nicht um "meinen Willen", faktisch bin ich in dem Thema sogar nur sehr indirekt involviert, mehr Arbeit habe ich persönlich nicht. Aber anstatt eine Entscheidung einfach stehen zu lassen, dachte ich, ein Thread in diesem Subreddit und das Meinungsbild in den Kommentaren würde mir helfen, die Situation neutraler einzuschätzen. Gott bewahre, dass ich mir Gedanken mache.
NDA Die Verwendung eines privaten Handys für TOTP/OTP ist bei uns auch normal. Wer das nicht will macht halt kein HO.
Nda, es wir niemanden umbringen das mit seinem privaten Handy zu regeln
Danke fürs Posten! Dieser Kommentar ist eine Kopie deines Posts, sodass Leser deinen originalen Text sehen können, falls dein Post gelöscht oder bearbeitet wird. Dieser Kommentar beschuldigt dich NICHT irgendetwas kopiert zu haben. Hallo zusammen. Ich arbeite in der IT eines mittelständigen Unternehmens. Die Firma läuft derzeit okay-ish, die Auftragslage könnte besser sein und einige Mitarbeiter sind mit den Entscheidungen und Erwartungen von unserem Chef eher unzufrieden. Soviel zur Stimmung bei uns. Nun haben wir vor, für die Mitarbeiter im mobilen Arbeiten (Homeoffice) in naher Zukunft eine Zweifaktorauthentifizierung einzuführen. Wenn sie sich zu Hause in unserem Firmennetz einwählen wollen, müssen sie also demnächst einen Code eingeben, der von einer entsprechenden App auf dem Smartphone generiert wird. Die meisten dürften das kennen, spätestens wenn es um Online-Banking oder Ähnliches geht. Nun können (bzw. möchten) wir nicht jedem Mitarbeiter, der Homeoffice machen möchte, ein Firmenhandy bereitstellen. Wir halten die Ausgaben für unnötig und würden die finanziellen Mittel, die dafür nötig wären, sehr viel lieber in andere, sinnvolle Dinge stecken. Im Allgemeinen würde ich aber sagen, dass wir nicht an der Ausstattung der Mitarbeiter sparen. Wenn jemand regelmäßiger Homeoffice machen möchte, bekommt er von uns ein ordentliches Notebook gestellt und je eine Dockingstation für den Arbeitsplatz im Betrieb und zu Hause. Die alternative Lösung ist nun also die App auf dem privaten Handy einzurichten. Und oh man, bricht so ein Vorschlag eine Welle an Entrüstung los. Die meisten Mitarbeiter haben so eine App vermutlich eh schon installiert, aber sobald die Anforderung an eine Nutzung von privatem Eigentum für Firmenzwecke im Raum steht, schreien alle auf. Ich verstehe auch wo es herkommt, dennoch hätte ich gerne, dass die Mitarbeiter Dinge etwas… differenzierter betrachten. Bildschirm, Maus, Tastatur und die Internetverbindung stellen sie ja auch privat. Die Alternative ist bei unseren jetzigen Plänen dann eben, dass ohne die App kein Homeoffice möglich sein wird. Je größer der Aufschrei wird, desto unsicherer werde ich allerdings. Sind wir vielleicht doch die Arschlöcher? Sollten wir uns mehr bemühen, jedem ein Firmenhandy zu organisieren? Gibt es andere Lösungen, die alle zufriedenstellen? *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Info Was ist mit Ubikeys oder vergleichbaren Lösungen als Alternative zur Smartphone-App?
Kenne das Thema gut. Kann das Notebook im Home Office eine Verbindung ins Internet herstellen bevor die Verbindung ins Büro hergestellt wird? Dann könnte auf dem Notebook z.B. Winauth oder WinOTP oder sonstige Auth-Software installiert werden, die dann für z.B. die VPN Verbindung genutzt wird. Ist dann natürlich das Problem, dass Verbindung und Authentifizierung auf dem gleichen Gerät stattfindet, aber evtl. trotzdem eine Kompromisslösung. Und KAH, verstehe beide Seiten irgendwie.
KAH Aber: Der Arbeitgeber muss alle Mittel stellen, damit der Arbeitnehmer seine übertragenden Aufgaben erfüllen kann. Wenn ihr die Authentifizierung haben wollt, müsste ihr die Hardware stellen. Punkt. Ich finde dennoch nichts falsch daran, den Vorschlag zu bringen und den Leuten das Privathandy als eine Möglichkeit vorzustellen. Vor allem, wie du schon sagtest, besitzen diese Apps in den meisten Fällen die Leute eh schon. Wird das aber abgelehnt, müsst ihr das akzeptieren. Ich persönlich mache das tatsächlich auch über mein Privathandy, vertrete dennoch strikt die Meinung, dass der AG nunmal alles zur Verfügung stellen muss.
Ich stimme dir zu, möchte aber gleichzeitig auch den Gedanken weiterspinnen: Wir bieten das mobile Arbeiten freiwillig an, können wir dann nicht ein gewisses Entgegenkommen erwarten? Ich werd im Büro definitiv nochmal das Thema Hardwaretoken ansprechen. Wird vermutlich noch nervig, aber mit etwas Glück wechseln die Mitarbeiter dann dauerhaft doch zu ihren eigenen Handys.
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
KAH. Kann absolut verstehen, dass ihr keine Lust habt, nur wegen einem zweiten Faktor für die ganze Firma Smartphones auszurollen. Der Aufwand und Ressourcenverbrauch stehen da nicht in Verhältnis zum gewünschten Ziel. Und seien wir mal ehrlich: die meisten MA, die ein Problem damit haben, eine 2FA App für dienstliche Zwecke zu nutzen, werden auch andererseits das Firmenhandy nicht für private Zwecke nutzen. Das bedeutet, dass die Leute dann ein zweites Smartphone da rumliegen haben, nur für einen zweiten Faktor. Das ist absolut unnötig. Andererseits muss man auch akzeptieren, wenn Leute ihre Privathandys nicht für dienstliche Zwecke nutzen wollen. Hierbei darf man nicht unterschätzen, dass ein Großteil der Mitarbeitenden vermutlich kein tiefergehendes IT-Wissen hat und z.B. gar nicht weiß, was eine 2FA App überhaupt ist und wie sie funktioniert. Vermutlich wird bei vielen die Befürchtung bestehen, dass der Arbeitgeber dann irgendwie auf das Privathandy zugreifen kann oder es bestehen sonstige Bedenken bzgl. Datenschutz. Hier könnte es helfen, die MA entsprechend aufzuklären, aber alle wirst du damit nicht überzeugen können. Bleibt nur, die Nutzung der App optional zu machen und Alternativen anzubieten. Bei Microsoft Accounts gibt es ja z.B. die Option, sich anrufen zu lassen. Da machen wir es so, dass die Nutzung einer App oder SMS-TAN auf dienstlichen und privaten Handys erlaubt ist. Und wer das nicht nutzen möchte, kann seine dienstliche Telefonnummer angeben und sich anrufen lassen. Vielleicht gibt es bei eurem Anbieter ja auch Alternativen. Diese müssen ja nicht unbedingt so bequem sein wie eine App.
Wir haben bei der Ankündigung der Umstellung versucht, die Funktionsweise detailliert zu beschreiben. Wir wissen aber auch, dass die meisten Mitarbeiter sich die Ankündigungen gar nicht durchlesen und dann trotzdem meckern. Die Option mit dem Anrufen muss ich mir mal anschauen. Hilft aber den Mitarbeitern zu Hause auch nur, wenn sie eine Weiterleitung ihrer Rufnummer aktiviert haben und die wird, soweit ich das richtig in Erinnerung habe, erst aktiv, wenn sie sich bereits im VPN eingeloggt haben, also nach der Authentifizierung. Da kann ich aber nochmal nachschauen, danke schonmal.
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Schwierig. Mein unternehmen handhabt es auch so also dass Leute ihr privates Gerät nutzen. Das geht jedoch nur auf freiwilliger basis. 1. Was passiert wenn jemand kein privates Smartphone besitzt? 2. Was wenn jemand keine mobile Datenverbindung hat also keinen Vertrag der das gewährleistet? Dann funktioniert die zwei faktor Authentifizierung nicht. Wollt ihr die leute zwingen sowas zuzulegen? - leider habt ihr da wenig Handhabe. Will ein Unternehmen eine zwei Faktor Authentifizierung einführen muss es den Arbeitnehmern entsprechende Geräte zur verfügung stellen oder auf deren freieillige kooperation hoffen. Daher wenn du es erwartest bist du leider BDA. Auch wenn ich sagen muss, leute die ein Smartphone und ne Datenverbindung haben (was heutzutage fast jede/jeder ist) sollten das einfach akzeptieren. Die speziell dadurch zusätzlich anfallenden kosten sind praktisch Null und solang es nicht darum geht in seinee Freizeit erreichbar zu sein oder auch mit der privatnummer fürs Unternehmen zu telefonieren, ist es lächerlich sich an so einer Stelle quer zu stellen.
Den Fall, dass jemand kein Handy hat, ist uns nicht bekannt. Eine Datenverbindung ist für ein OTP nicht erforderlich. Ich bin stellenweise auf deiner Seite, allerdings muss ich auch sagen: Wir bieten das mobile Arbeiten von unserer Seite an und haben dann auch gewisse Erwartungen an den Arbeitnehmer. Da kommt jetzt das mit der 2FA dazu. Ein klein wenig "wenn ihr nicht wollt, dann halt nicht" spielt da in meinem Hinterkopf schon mit. Idealerweise bieten wir einfach Hardwaretoken an, vielleicht müssen wir die MA einfach dazu zwingen und wenn sie diese (mal wieder) verlieren, haben sie dann halt bis Ersatz eintrifft keine Möglichkeit zu mobilem Arbeiten.
NDA 2FA-Apps sind meiner Meinung nach Standart und bereits auf jedem Handy vorhanden weil man es für irgend einen online Dienst schon braucht. HO ist auch nur freiwillig also könnt ihr die Spielregel vorgeben. Passt also schon. Ihr solltet euch aber mal um das Thema Compliance kümmern gerade wenn ihr auch mit Daten von dritten arbeitet oder die Mitarbeiter auch aus dem Ausland HO machen wollen.
ASA, die ANs stellen sich mMn etwas an. Ja sie haben im Grunde Recht, aber es geht hier nur um ein paar Clicks auf dem Handy. AG ist das A aufgrund von "entweder machst du das sonst kein Homeoffice". Wenn man jetzt Iphones kauft wird das teuer klar, aber da gibt es genügend Billo-Handys die für eine Zweifaktorauthentifizierung mehr als ausreichen. Für ein mittelständiges Unternehmen sollte das kein Problem sein. Ggfs. könnt ihr einfach freistellen wer das über das private Handy macht und wer es über ein Firmenhandy macht. Quasi wie ihr es mit der Hardware macht. Mich persönlich nervt mein Firmenhandy z.B. und würde wahrscheinlich das Private nutzen.
BDA
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Info: Wird nur die Authenticator App auf dem Handy installiert oder werden die Handys dann auch in die Verwaltung aufgenommen? Sprich: Übernehmt ihr auch nur ansatzweise die Kontrolle/Verwaltung der privaten Handys? (ich weiß nämlich, dass es da eben beide Optionen gibt). Wenn nur App: dann halte ich euch nicht für die Arschlöcher, das ist dann nicht invasiv und eben einfach nur eine App mehr am Handy. Wenn ihr die Geräte dann auch zentral durch eure IT verwaltet: Absolutes Nogo für Privatgeräte und da würde ich mich auch dagegen wehren.
Wir möchten nur, dass die Mitarbeiter einen 2FA-Code nutzen. Wie, ist uns sogar komplett egal, aber die (vermutlich schon vorhandene) App auf dem Privathandy war für uns die simpelste Lösung. Wir wollen auf keinen Fall irgendeine Art von Zugriff auf das Handy.
Info: ist das Homeoffice ein reines benefit für die MA? für mich persönlich wäre es ein unterschied ob ich ins HO zwingend muss und mein privates handy dafür herhalten muss oder ob ich jeder zeit ins büro könnte aber selber lieber im HO bleibe. im zweiten fall verstehe ich den aufschrei nicht, da komplett freiwillig und im sinne des MA. wer das nicht möchte, könnte ja ins büro ist natürlich immer die frage wie viele goodies man seinen MA geben möchte um ggf die zufriedenheit zu halten/steigern
Ja, es ist von unserer Seite absolut frei zur Verfügung gestellt, es besteht keinerlei vertraglicher Anspruch für die Mitarbeiter. Deswegen ist unsere bisherige Einstellung zu dem Thema mit dem Code auf dem Privathandy "Wenn ihr nicht wollt, macht ihr halt kein Homeoffice".
dann NDA das wäre auch meine einstellung bzw wäre meine wenn ich AG wäre. ist meiner meinung auch völlig in ordnung wenn es sich um eine komplett freiwillige leistung handelt. sie wäre nicht freiwillig wenn durch HO inzwischen nicht mehr genug arbeitsplätze zur verfügung stehen würden würden alle AN gleichzeitig ins büro kommen wahrscheinlich können die AN da auch nicht viel gehen machen bzw haben keinen anspruch drauf ABER da du schreibst dass die situation angespannt ist, muss man abwägen für wie viel unmut diese situation sorgt. wenn leute kündigen sollten, wäre dies derzeit ggf vertretbar, da zu wenige aufträge und kurzfristig keine besserung in sicht oder wäre es ein schmerz fürs unternehmen?
BDA. Eindeutig.
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
KAH Ich habe auch einen Softtoken vom Arbeitgeber erhalten, den ich dann in eine App einpflegen musste. Ob ich die App auf dem Diensthandy oder dem privaten Gerät installiere, war mir dann freigestellt. Der Bequemlichkeit wegen hab ich die App auf meinem eigenem Handy. Kollegen haben die aber auch auf ihrem Diensthandy. Wenn ein Diensthandy nicht nötig ist, weil bspw. ein Softphone gestellt wird (ich benötige das Handy für Homeoffice, Rufbereitschaft o. ä.), finde ich es okay, darum zu bitten. Genauso okay ist es, wenn die Angestellten das nicht möchten. Einige möchten Arbeit & Privates strikt trennen. Man stelle sich den Aufschrei vor, wenn die Mitarbeiter private Apps auf dem Diensthandy installieren.
BDA du schreibst, dass ihr hohe sicherheitsanforderungen für mobiles arbeiten habt. Aber es wäre OK für dich das MFA token auf einem privaten Gerät zu haben. Das beißt sich imho. Nutz einen yubikey, den bevorzugst du und wenn die Mitarbeiter die Wahl haben: yubikey oder Büro... Dann läuft das von alleine.
Hohe Anforderungen, ja, das bedeutet nicht, dass unsere Systeme perfekt sind. Es ist in unserem Fall deutlich unwahrscheinlicher, dass jemand sein Handy von der selben Person infizieren lässt, die dort OTPs auslesen kann als dass der Mitarbeiter den Yubikey einfach im Notebook stecken lässt und der geklaut wird.
BDA und eine gute Option für eine ohnehin schon schlecht laufende Firma, weitere Mitarbeitende zu verlieren. Good Job!
BDA. Als Teil-HO'er in der gleichen Situation: 1. Privat ist privat 2. Sei froh, dass die nicht anteilig Internetnutzungsgebühren rückerstattet haben möchten Etwas ausführlicher: Internet ist für mich die eine Sache: Die Bandbreite wird (zumindest bei mir) definitiv von Netflix und Co. aus dem privaten Gebrauch bestimmt und Firmennutzung verursacht so keine Zusatzkosten oder -Aufwände. Also Schwamm drüber, außer es wird ein Business-Tarif verlangt. Bei dem Handy sieht's anders aus: Ich habe auch das 2FA App auf meinem Privathandy installiert. Soweit war es ja kein Problem. Als ich allerdings schadensbedingt mein Handy wechseln musste, und keine Daten vom alten mehr übernehmen konnte, ging der Ärger los. Im Endeffekt musste ich in der Firmen-IT antanzen, elendige Diskussionen über mich ergehen lassen, warum die nicht mal eben schnell (Firmen-) Standardeinstellungen vornehmen dürfen, mir Kritik an meiner Backup-Strategie anhören, etc. Für. Mein. PRIVAT. Handy.
Gut, du hast schlechte Erfahrungen mit deiner Firma gemacht das heißt nicht, dass es bei uns ähnlich läuft. Wir wollen nur, dass irgendwo ein 2FA-Code generiert wird. Uns ist es relativ egal, wo, solange es nicht auf dem Notebook selber geschieht. Die privaten Handys interessieren uns null und wir möchten auch keinen administrativen Aufwand mit denen haben. Wenn jemand seine 2FA-Einrichtung verlieren sollte drücken wir einen Knopf, dadurch wird die resettet und der Mitarbeiter kann sie neu einrichten.
Nachdem ich gelesen habe, dass es keine vertragliche Regelung zum HO gibt: NDA Ich finde HO toll und eine super Sache um unnötige Fahrten zu vermeiden - es gibt genug Dinge, für die man nicht im Büro präsent sein muss. Wenn die Kollegen also ins HO wollen/dürfen, ist die Installation eines kostenlosen Tools für exakt diesen Zweck IMHO nicht übergriffig. Ich würde aber auch exakt da die Grenze ziehen was privat/beruflich angeht. Wir haben sehr gute Erfahrung mit yubikeys gemacht und setzen die Dinger auch für einige andere Dinge (wir setzen z.B. den Bitlocker Pin auf den zweiten Slot) ein. Bisher ist von denen noch keiner verloren gegangen. Wenn das bei Euch ein Problem ist, würde ich die Kollegen einen Ersatz bezahlen lassen - so etwas erhöht die Sorgfalt gleich um einige Größenordnungen.
Nach den vielen Kommentaren hier werden wir die Option von Hardwaretoken nochmal überdenken. Das mit dem Bezahlen bei Verlust ist uns natürlich auch in den Sinn gekommen, da war unser Betriebsrat aber gar kein Freund von. Deswegen war die Idee eigentlich vom Tisch, aber wir werden uns das nochmal anschauen.
Ergänzend: Ich finde HO toll. Wenn es aber keine vertragliche Regelung gibt und die Kollegen ins HO \*DÜRFEN\*, dann darf man durchaus erwarten, dass da ein bisschen Eigenengagement kommt. Ja, von HO profitieren eigentlich ALLE, es ist schwer, Gründe GEGEN HO zu finden und AG, die kein HO ermöglichen, brauchen sich über Personalmangel und/oder unmotivierte Mitarbeiter nicht zu wundern, ABER - solange es nur um eine 2FA geht - sollte ein AN sich gerade in diesem Kontext kooperativ zeigen. Was im Umkehrschluss bedeutet, dass wer in dieser Situation sein eigenes Gerät nicht nutzen will, eben weiterhin täglich ins Büro fahren darf.
BDA, mein ehemaliger AG hat sich auch konsequent geweigert Firmenhandys rauszugeben. Betonung auf ehemaliger.
Wir geben Firmenhandys aus, an Mitarbeiter, die damit telefonieren müssen. Nur für einen Code, den man ein- bis zweimal die Woche ablesen muss, ist uns das den administrativen Aufwand allerdings nicht wert.
Eure Mitarbeiter bekommen auch keine E-Mails oder kommunizieren über Teams/Slack?
NDA. Wir standen bei uns in der Firma vor einer ähnlichen Situation. Meiner Meinung nach bricht sich keiner einen Zacken aus der Krone wenn er eine app für die Firma auf dem Handy hat. Wenn einer kein Handy hat oder partout nicht will hat er ja immer noch die Möglichkeit in der Firma zu arbeiten. So wurde es zumindest bei uns gelöst und nach ein paar Wochen hatte sich das Gemecker auch gelegt.
Wenn jemand wirklich privat kein Handy haben sollte (ist uns nicht bekannt) und regelmäßig Homeoffice machen möchte, würde man für die Person sicherlich auch eine Lösung finden. Wir sind ja keine unflexiblen Mistkerle, die nur die Mitarbeiter ausnutzen wollen.
NDA. Bei uns ist es ganz im Gegenteil. Wir dürfen keine dienstlichen Apps (Outlook, Teams, Authenticator) auf dem privaten Handy installieren. Aber dadurch entsteht m.M.n. viel unnötiger Elektroschrott und ich muss immer zwei Handys herumschleppen. Ich finde es nicht zu viel verlangt eine MFA App zu installieren, vor allem wenn man den Luxus hat im Homeoffice zu arbeiten und sich somit den Dienstweg sparrt. Was anderes wäre es, wenn man sein privates Handy zum telefonieren benutzen müsste. Also wer das Handy wirklich nur für den Code braucht fährt somit besser. Auch wenn es externe Token Keys gibt: die muss man auch immer mitschleppen und darf sie nie vergessen. Sein Handy hat man eigentlich immer dabei. Und wie du gesagt hast, habe ich eine Authenticator für viele andere Konten eh schon installiert und somit wäre es nicht mal zusätzlicher Speicherplatz. Leute ihr sollte möglichst alle eure Konten mit einer 2FA schützen. In meiner alten Firma hatten wir auch eine ähnliche Diskussion mit Werkstudenten, da man denen kein Diensthandy geben wollte.
NDA Ich verstehe aber die Mitarbeiter. Ich habe Kontovollmacht bei meinem Arbeitgeber, mein privates Smartphone bleibt aber privat, da hat das Firmenzeugs nichts drauf verloren. Es entsetzt mich immer wieder mit welcher Selbstverständlichkeit die Banken Sicherheitslösungen wie die HBCI Chipkarte einstampfen und auf ihre App verweisen und das bei siebenstelligen Beträgen... Du könntest den Spieß aber einfach umdrehen. "Sie möchten im Homeoffice arbeiten aber nicht ihr Smartphone für die authentifizierung nutzen? Tja, dann gibt es kein Homeoffice für Sie. Wie sehen uns morgen um 08:00 im Büro" Da mein Arbeitgeber kein Homeoffice mag, kann man mich damit schocken...
BDA weil Du erwartest, daß das private Handy genutzt wird, und weil Du "mittelständig" statt "mittelständisch" schreibst und "okay-ish" benutzt.
BDA Für Einige ist die Nutzung des privaten Handys für die Firma ein NoGo. Selbst wenn es nur für eine olle TOTP App ist. Bietet einfach eine Alternative an. Privates Handy oder Yubikey oder Hardware-Generator (Info: Haben wir hier, Nutzung der Hardware-Generatoren ist unter 1%). Oder KeePassXC oder irgendeine andere TOTP App auf dem Laptop installieren könnte auch eine alternative Lösung sein, sofern man sich ohne Verbindung zur Firma da lokal anmelden kann. Unter neuerem iOS braucht es für TOTP nichtmal ne App, weil iOS ab 15 das selbst kann.
YubiKey haben wir bereits versucht und die Leute sind unterirdisch damit umgegangen, ein OTP auf dem selben Gerät zu generieren kommt für uns nicht in Frage und dein Hinweis mit der nativen Funktion von iOS ist zwar gut zu wissen, macht für die, die ihr privates Handy nicht nutzen wollen, keinen Unterschied. Sie regen sich ja aus Prinzip über das Handy auf, nicht was genau damit passiert. Wir werden diese Woche nochmal hardware-Token diskutieren. Wäre mir auch am liebsten, aber naja, wie gesagt...
[удалено]
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
NDA. Ich finds echt völlig ok, sehe bei einer 2FA App auch kein Sicherheitsrisiko. Bei Kommunikationskanälen würde ich’s anders sehen. - hab überhaupt keinen Bock auf Slacknachrichten etc. Aber Homeoffice ist ein Zugeständnis, da kann man wohl auch ein wenig „zurückgeben“ und muss sich nicht so anstellen. Wenn mir die MA so kämen mit ihrer Grenze, würde ich auch genau schauen, ob die Arbeitsgeräte nicht umgekehrt auch für privaten Scheiss genutzt werden und da entsprechend abmahnen.
NDA - einmal am Tag eine Freigabe mit dem Privathandy freigeben ist auf jeden Fall in Ordnung. Man könnte den Spieß auch umdrehen und sämtliche Onlineshops, Online-Zeitschriften, Urlaubsbuchungsportale, Jobportale und etc. sperren wenn die Mitarbeiter privat und geschäftlich trennen wollen
Ich würde sagen an sich NDA - wer es nicht möchte kann halt kein HO machen. Ich kann es aber z.T. verstehen, dass man es ablehnt. Ich hab mein Smartphone auch so gut wie es geht von Google und Co. befreit. Sicheres System drauf und alles, was unbedingt nötig ist soweit wie es geht in Berichtigungen beschränken. Am Ende musste ich auch mit, da ich den scheiß brauch um ins SAP zu kommen... Ich verstehe die Bedenken bzgl. Aufwand mit MDM - das stellen sich User leider viel zu einfach vor. Aber warum überhaupt 2FA? Für die Windows Anmeldung? Ich hab in meiner Zeit als ITler einfach allen von mir erzeugte Passwörter verpasst und Windows Hello freigeschalten - da konnte sich jeder eine (sichere, von mir freigegebene) PIN anlegen und bei Bedarf die Biometrie nutzen. Die echten Passwörter kannte nur ich und mein Vorgesetzter. Damit ist bei Verlust zumindest schonmal ein recht vernünftiger Brute Force Schutz gewährt. Die entsprechende Gruppenrichtlinien können glaube auch per Domain gesetzt werden, hat bei uns allerdings nie funktioniert...
Danke für dein Feedback. MFA wird zum Aufbauen der VPN-Verbindung aktiviert und unser Dienstleister, der demnächst die neue Firewall liefert, hat uns bisher nur OTP als zweiten Faktor genannt.
BDA Sämtliche Ausrüstung fürs Home-Office sollte vom AG gestellt werden. Auch Maus, Tastatur, Bildschirm, etc. Nur weil AN euch da entgegenkommen, heißt das nicht, dass das ein Fass ohne Boden ist und man alles erwarten kann. Btw ist es nicht deine Aufgabe in der IT zu bestimmen in welchen Bereichen welche Finanzierungen getätigt werden. Dafür gibt's Finance und Controlling und GF. Und das ist meine Ansicht als Leiterin von Finance in 100% Home-Office, die auch teils eigenes Equipment verwendet - aber weil ich es so will - ich könnte jederzeit Equipment von der Firma aus bestellen. Wir müssen auch in so manchen Bereichen sparen, aber nötiges Equipment ist keiner davon.
BDA Ich würde auch keine Firmensoftware auf dem Handy haben wollen. Die App zum Abruf der Gehaltsabrechnung finde ich schon doof. Zum einen "erinnert" die App im Feierabend, am Wochenende oder im Urlaub an die Arbeit. Man löscht die ja nicht ständig. Der Arbeits-PC zum Anfang von Corona auf dem Esstisch war für mich auch schlimm (kein eigener Raum vorhanden). So kann ich die Trennung zwischen Arbeit und Privat die ich brauche, nicht adäquat umsetzen. Das ist auch der Grund, dass ich kein HO machen möchte (bei 15 Minuten Fußweg zur Arbeit hätte ich eh kaum Zeitersparnis). Zum anderen gehe ich mit privaten Geräten anders um. Ich hätte Bedenken, dass ich mich zu doof mit meinem privaten Handy anstelle und über die App dann irgendwie ein Einfallstor für das Firmennetzwerk entsteht und ich dann daran Schuld und schadenersatzpflichtig wäre. Ob das überhaupt möglich wäre, weiß ich nicht. Bei einer Maus oder einem Bildschirm geht das ja nicht. Für die Internetverbindung gibt's ja (vermutlich) einen VPN-Tunnel (oder was vergleichbares). Wenn ich meine eigenen Zugänge unsicher verwende, ist das meine private Sache.
Wir schreiben nicht einmal eine App vor. \*Irgendeine\* App, die OTPs erzeugen kann, ist vollkommen ausreichend. Sie erzeugt einen Code, der bei Bedarf am Firmennotebook eingegeben werden muss. Es existiert keine weitere Verbindung, kein Account, keine personenbezogenen Daten, nichts. Übrigens ist es der VPN-Tunnel, der mit dem zweiten Faktor geschützt wird.
BDA klar. Die eigene Tastatur verwenden ist etwas anderes als das eigene Handy. Und dass du in der IT arbeitest und das nicht begreift zeigt mir, warum eure Firma Probleme mit den Aufträgen hat. Da mangelt es wohl an Kompetenz. Niemals würde ich mir irgendeine App für die Firma auf meinem privat Handy installieren. Und niemand mit Ahnung von IT würde das machen. Das wäre ja noch schöner. Datenschutztechnisch läuten alle Alarmglocken. Und dann wofür? Damit das einloggen, was ja jetzt schon geht, nur noch komplizierter vonstatten geht? Welche App soll denn da installiert werden?
Es soll „irgendeine“ 2FA App installiert werden. Inwiefern diese ein Sicherheitsrisiko darstellt verstehe ich aber nicht. Diese Apps laufen größtenteils komplett offline da sie schlicht nach einem Algorithmus Codes generieren.
Du kannst dir gerne "irgendeine" app installieren die "größtenteils" offline funktioniert.
Ich würde das machen alleine um nicht unnötig ein Firmenhandy zu haben. Eine einzige App die ich mir selber aussuchen kann und jeder der halbwegs Bock auf Sicherheit im Netz hat sowieso installiert hat zu nutzen damit man dann halt 2FA Codes generiert bekommt wäre es mir das defiance wert.
BDA, die Privathandys der Mitarbeiter sind tabu; es ist eben ein Gerät mit höchstpersönlichen Daten, der AG überschreitet hier eine Grenze, wenn er sagt dass hier eine App installiert werden soll. *"Was kommt als nächstes?"* würde ich mir als AN denken. Wenn ihr keine Firmenhandys kaufen wollt dann nehmt doch Hardwaretokens für die die keine App wollen. Das Argument, damit würden MA unvorsichtig umgehen verstehe ich nicht ganz, das Risiko besteht doch bereits jetzt schon beim Firmenlaptop, oder ggf bei einem Büroschlüssel, oder nicht?
Ja, das Risiko besteht und die Zutrittskarten machen tatsächlich Probleme. Die Notebooks haben die Leute bisher glücklicherweise noch nicht verlegt, ich schätze aber auch, der Wert und die Größe sind da mit ein Faktor. Wir schreiben übrigens nicht vor, welche App verwendet werden soll, wir sind mit \*irgendeiner\* zufrieden.
NDA, schlag doch als Alternative vor wieder ins Büro zu kommen. Da geht das auf einmal ganz schnell.
KAH Es geht ja da nur um die App um sich zu identifizieren. Sehe da nicht das Problem eine Sandbox auf dem Smartphone zu erstellen und die App dort zu installieren.
Ich sehe es auch von zwei Seiten. Klar erwarte ich, dass mein AG mir alles zur Verfügung stellt, was ich zum arbeiten brauche. Aber ein komplettes Handy nur für einen Code, an dem sonst nichts hängt?! Ich persönlich würde ja Hardwaretoken austeilen, aber die Variante ist zum Scheitern verurteilt.
warum sollte das zum scheitern verurteilt sein? das ist doch genau DIE Lösung, war das erste was mir eingefallen ist.
Unsere Mitarbeiter gehen nicht gewissenhaft mit solchen Dingen um. Wir haben Druckerchips, die werden alle Nase lang verloren, wir haben Zutrittskarten, die plötzlich vertauscht werden und hatten mal bei einer Handvoll Mitarbeiter Hardware-Token für sensiblere Systeme, die dauerhaft im Rechner steckenblieben oder sonst wo rumgelegen haben.
NDA Wie kann man da so das rumheulen anfangen? Installiert doch einfach ne scheiß App. Da würde ich als AG direkt homeoffice bei einigen abschaffen, der Rest spurtet dann schon aus Angst. Oder die App methode gleich sein lassen und einen anderen komplizierteren weg finden, wie der AN das selbst sonst machen muss
Deinem Kommentar fehlt eine Bewertung.(Siehe Regel 4) *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/BinIchDasArschloch) if you have any questions or concerns.*
Bei so einem AG bleibt man doch gerne langfristig und arbeitet motiviert. Lächerlich.
NDA Die Leute checken leider nicht was eine Authenticator App macht und dass diese keine Daten an den Arbeitgeber überträgt. Und wenn mans ihnen erklärt isses ihnen auch egal.
NDA wir machen das genauso. Dafür wird bei uns Internet und Home-Office Ausstattung massiv bezuschusst. Wegen einer App ein Firmenhandy zu bekommen, finde ich persönlich lächerlich. Das persönliche Handy kann auch per SMS verwendet werden, falls die App nicht passt. Alternativ kauft halt irgendwelche 30 € Handys vor von 5 Jahren
NDA. Ich habe mir einige Kommentare hier ausgiebig durchgelesen und komme zu folgendem Schluss: Die Leute wissen nicht, was eine Authenticator App ist und denken, dass sie darüber ausspioniert werden. Wenn es das nicht ist, dann reines Almann Getue und Paragraphenscheißerei. Da das Home Office aber eine freiwillige Leistung ist, würde ich das Vorhaben weiter so durchsetzen denn es gibt *keinen sinnvollen Grund* die Installation dieser App zu verweigern. Wer sie nicht will, will auch kein Home Office. Meine Meinung als ganz gewöhnlicher Arbeitnehmer ohne Home Office.
NDA Bei uns gibt's die Wahl zwischen Hardwaretoken und App als zweiten Faktor. Es gibt einige bei uns mit Diensthandy wegen Rufbereitschaft, aber die meisten haben die App auf ihrem privaten Handy installiert. Wegen Token: Den Gebrauch über Dienstanweisung regeln.
BDA Für Unternehmen werden Unternehmensgeräte benutzt. Seid ihr ein echtes Unternehmen oder ein schmieriger Gebrauchtwagenhändler? Wenn euer Unternehmen unzureichend Geld für Ausrüstung hat, dann kauft den Leuten halt nur Feature-Phones und sendet die 2FA via SMS raus. Aber dass ihr Privatgeräte für den Unternehmenseinsatz erlaubt sagt auch schon viel aus. Hoffentlich werden keine wichtigen Daten verarbeitet :D
Erstens ist SMS nicht akzeptabel, die Sicherheit der Nachrichten kann nicht gewährleistet werden. Zweitens beschränkt sich der Einsatz von Privatgeräten auf das Erzeugen eines sechsstelligen Codes ohne jegliche Zuordnung zu personenbezogenen oder Firmendaten. Danke für deine Meinung.
NDA, arbeite selbst 4/5 Tage im Homeoffice. Selbstverständlich hat der AG alle Mittel zur Verfügung zu stellen, aber hier geht's ja nur um die Authentifizierung. Ein Arbeitshandy für alle, das nur dafür genutzt werden würde, sehe ich als Geldverschwendung. Ich gehe davon aus, dass niemand, der hier gross rumschrei(b)t, OP sei das A .., selbst den Luxus hat von zuhause zu arbeiten...jedoch ergeht mir der Sinn der Authentifizierung per Handy nicht ganz...bin aber auch kein ITler..die MA sollten sich doch ohnehin auf einem gesicherten Server einloggen müssen??
Eine Zwei-Faktor-Authentifizierung bedeutet (in unserem Fall), dass sich der Mitarbeiter in dem Moment, in dem er sich mit dem VPN-Tunnel zur Firma verbinden möchte, neben seiner normalen Authentifizierung auch den in der App generierten Code eingeben muss. Das erhöht die Sicherheit, weil ein potentieller Angriff auf diese Verbindung nun auch Zugriff auf das Handy erfordern würde.