Macbook des Arbeitgebers privat nutzen

[Birke]

Hallo zusammen,

ich nutze schon lange ein Macbook Pro meines Arbeitgebers auch für private Zwecke und darf es auch in den Urlaub mitnehmen. Dies ist ausdrücklich erlaubt. Arbeite von zu Hause und muss es daher auch nie hin und her transportieren. Ich habe Admin Rechte da das Macbook selbst verwaltet werden muss. Es ist aber auch Software (Reporting Tools, VPN etc) und ein Account unserer IT installiert. Für die privaten Sachen habe ich aktuell einen zweiten Account angelegt. Ich mache damit privat nicht so viel. Web, iCloud Dienste. Nichts rechenintensives. Habe privat ein MBP und einen Mac Mini aus 2012 doch die haben langsam den Zenit der Zeit überschritten.

Nun überlege ich, wie ich die private Nutzung in Zukunft besser trennen kann. Am einfachsten wäre es ein Macbook Air zu kaufen. Dann habe ich aber zwei Macbook herumstehen und muss auch zwei Geräte verwalten.

Möglichkeiten:

• Ein eigenes Macbook Air kaufen (Teuer und mehr Hardware)
• Eine externe SSD kaufen und auf dieser OSX installieren und mit dieser booten (Günstig aber umständlich)
• Einen USB Stick kaufen und auf diesem OSX installieren und mit diesem booten (Günstig aber umständlich)
• Wäre eine Virtual Machine eine Lösung?

Was denkt ihr wäre da eine gute Lösung?

Viele Grüße Birke

 

[bob rooney]

Erstmal Respekt an deinen Arbeitgeber, ich würde das so nicht gestatten.

Ich denke eine gute Lösung wäre ein eigenes Gerät.
Damit bist du "Safe" und du kannst die Arbeit daheim lassen, wenn es in den Urlaub geht ;-)
Vielleicht ist ein iPad aber auch die Lösung.
Wenn dein Arbeitgeber die Kiste für privat freigibt kannst du ja Briefe Excel usw.. dort machen.
Web, iCloud, Bilder, Netflix, bla bla am Tab.
Das muss man aber persönlich mit sich ausmachen.
Ändert auch nichts an meiner Lösung, ein eigenes Gerät anzuschaffen

 

[Elvisthegreat]

Ich habe sehr lange von zu Hause (neumodisch Home Office) gearbeitet. Die Trennung zwischen den Dingen die der Arbeitgeber zur Verfügung stellt und den eigenen Dingen ist aus meiner Sicht unabdingbar. Denke es könnte sogar steuerliche Probleme geben. Deshalb eigenes Book oder Tablet.

 

[Dextera]

Was denkt ihr wäre da eine gute Lösung?

Dafür würde ich vorher gerne das Problem verstehen?
Was genau an der jetzigen Situation stört denn?

 

[magfoo]

Erstmal Respekt an deinen Arbeitgeber, ich würde das so nicht gestatten

Zumindest sollte es klare Regeln geben was erlaubt ist und was nicht und wer bei Datenverlust der Firmendaten/Systemausfall haftet.

Hängt aber auch alles vom Job ab, was man überhaupt macht.

 

[bob rooney]

Zumindest sollte es klare Regeln geben was erlaubt ist und was nicht und wer bei Datenverlust der Firmendaten/Systemausfall haftet.

habe noch keine gesehen die "taugen", egal was der Job ist.
Ist aber ein anders Thema.....

 

[magfoo]

Das würde ich aber schon klären, wenn ich jemandem Adminrechte gebe und parallel die private Nutzung erlaube. Auch als Nutzer hätte ich ja ein Interesse das zu klären.

mögliche Falle: Rechner beim privaten surfen verseucht: Es fällt ein wichtiger Kundentermin aus wodurch ein finanzieller Schaden entstanden ist. wer haftet?
Andere mögliche Falle: Rechner beim privaten surfen verseucht und befallene Datei ins Firmennetz hochgeladen: Alles verschlüsselt und keine Bitcoins zur Hand. wer haftet?

Die VM ist eine ganz akzeptable Lösung. Alle Firmeninternen Dinge in die VM und diese entsprechend härten.

 

[Birke]

Zumindest sollte es klare Regeln geben was erlaubt ist und was nicht und wer bei Datenverlust der Firmendaten/Systemausfall haftet.

Das ist alles sehr genau geklärt und auch vertraglich definiert. Das MBP verwendet auch entsprechende Softwarelösungen und wird auch demensprechend automatisiert "überwacht". Datenverlust ist ausgeschlossen, da die Daten nicht lokal bei mir liegen.

Mir geht es eigentlich nur um so ein Gefühl, dass meine privaten Dinge privat bleiben. Das hat gar keinen speziellen Grund oder irgendeine Annahme als Grundlage.

 

[magfoo]

Mir geht es eigentlich nur um so ein Gefühl, dass meine privaten Dinge privat bleiben. Das hat gar keinen speziellen Grund oder irgendeine Annahme als Grundlage.

Dann bin ich der VM-Freund. Keine Ahnung ob das unter OSX eine echt Option ist, aber ich hab dafür verschiedene VMs. So ein notebook hat ja heutzutage genug bums um das abzukönnen.

 

[Birke]

Dann könnte ich mal nach einer VM Ware Lösung schauen. Das hört sich auch ganz gut an.

 

[OmarDLittle]

Erstmal Respekt an deinen Arbeitgeber, ich würde das so nicht gestatten.

Ich kenn das von einem Startup, das ist in der Branche eher üblich, ich hab mein Macbook sogar direkt zugeschickt bekommen, noch ungeöffnet, VPN draufinstalliert und fertig. Das durfte ich auch privat nutzen, gab auch keine großartigen Policies.

Mir geht es eigentlich nur um so ein Gefühl, dass meine privaten Dinge privat bleiben. Das hat gar keinen speziellen Grund oder irgendeine Annahme als Grundlage.

Da hilft dir eine VM aber nicht weiter. Wenn der Arbeitgeber Bildschirm oder Tastatureingaben überwacht, kann er das auch für die VM tun. Wenn er das Gerät aus der Ferne löschen will, ist die VM genauso weg. Die Frage ist ob der irgendeine Sicherheits-Software aufgespielt hat, es kann sein dass aller Internettraffic über das VPN läuft und dort von einer Firewall inspiziert wird. Da solltest du klären welche Software aufgespielt ist (vielleicht auch gar keine) und welche Funktionen die hat.

Ganz konkret kann es sein, dass im Browser ein Zertifikat der Unternehmensfirewall eingespielt ist, um sämtliche Webseiten, auch verschlüsselte, auf Schadsoftware prüfen zu können. Das heißt dann, dass der Arbeitgeber auch Sachen wie dein Onlinebanking einsehen kann, wenn du das auf dem Gerät nutzt.

Ich würde hingegen eher davon ausgehen, dass einfach ein Programm fürs Software-Management installiert ist. Damit immer die neuesten Versionen automatisch installiert werden, und sichergestellt ist dass das OS up-to-date ist und keine groben Sicherheitslücken vorhanden sind. Da besteht dann auch keine Gefahr für persönliche Daten.

Von extern ein eigenes MacOS zu booten wäre in der Hinsicht auf jeden Fall das beste, aber da ist fraglich ob diese Funktion freigeschaltet ist und wie sinnvoll es ist einen Laptop von einer externen Platte zu booten. Einer der wenigen Ports ist dann fix belegt und geht die Verbindung unabsichtlich verloren stürzt das System natürlich ab.

 

[magfoo]

Dann könnte ich mal nach einer VM Ware Lösung schauen. Das hört sich auch ganz gut an.

Ich hab dafür vmware Workstation auf meinem Linux-Notebook am laufen.

 

[magfoo]

Da hilft dir eine VM aber nicht weiter. Wenn der Arbeitgeber Bildschirm oder Tastatureingaben überwacht, kann er das auch für die VM tun. Wenn er das Gerät aus der Ferne löschen will, ist die VM genauso weg. Die Frage ist ob der irgendeine Sicherheits-Software aufgespielt hat, es kann sein dass aller Internettraffic über das VPN läuft und dort von einer Firewall inspiziert wird. Da solltest du klären welche Software aufgespielt ist (vielleicht auch gar keine) und welche Funktionen die hat.

Das macht man anders herum: Das dienstliche kommt in einen Container/VM welche dann eben unter der Kontrolle der Firma ist. Gleicher Weg wie bei smartphones und BYOD etc.
Kein Admin will Zugriff auf deine privaten Daten. da hat man gleich wieder einen ganzen Haufen an Problemen mit.

 

[OmarDLittle]

Das macht man anders herum: Das dienstliche kommt in einen Container/VM welche dann eben unter der Kontrolle der Firma ist.

Ja so mach ich es. Aber das hilft dem TS nicht, er kann nicht einfach den Mac wipen und sich eine VM für die Arbeitstools installieren, das müsste sein Arbeitgeber anbieten/umsetzen.

 

[tocotronaut]

Ich würde einfach beim Privaten Benutzer auf dem Dienstlichen Gerät bleiben...


Oder den Mac mini gegen einen neuen Ersetzen und vom Dienstlichen Gerät mit VNC/Jump Desktop darauf zugreifen.
Dann hast du den Mini in schick und neu und komplette Trennung der Daten.

Mit einer VM musst du ja noch ein System mehr managen...

 

[magfoo]

Ja so mach ich es. Aber das hilft dem TS nicht, er kann nicht einfach den Mac wipen und sich eine VM für die Arbeitstools installieren, das müsste sein Arbeitgeber anbieten/umsetzen.

ich dachte er ist admin:

Ich habe Admin Rechte da das Macbook selbst verwaltet werden muss. Es ist aber auch Software (Reporting Tools, VPN etc) und ein Account unserer IT installiert.

Ob der Rest die Möglichkeit zu sehr einschränkt hängt vom Einzelfall ab. eventuell kann man die Dinge ja in die VM übertragen.

 

[tobo78]

Ähnliche Situation bei mir, hatte folgende Punkte:

- vermeiden dass private und geschäftliche Daten vermischt werden oder wie oben beschrieben Daten des AG gefährdet sind
- kein Cisco-Mist etc der meine private Nutzung beeinträchtigt (vieles wird systemweit installiert, da hilft ein separater Benutzeraccount nichts)
- zeitliche Trennung von privater und beruflicher Nutzung

Habe das mit drei Partitionen gelöst, die ich durch Neustart jeweils im Boot Manager ausgewählt habe
1. macOS private Installation, mit Filevault verschlüsselt
2. macOS Arbeit, ebenfalls mit Filevault verschlüsselt
-> die jeweiligen Installationen haben nie den FV-Schlüssel der jeweils anderen gesehen.
3. gemeinsame Daten (iTunes, FinalCut etc), Filevault Schlüssel in 1 und 2 gespeichert.

Die doppelte Installation ist zwar etwas mehr Aufwand, hat sich aber voll und ganz gelohnt.

Mittlerweile habe ich den Arbeitgeber gewechselt, und hier ein MBP gestellt bekommen. Da ich dieses nicht einfach neu installieren kann, habe ich nun meist noch mein privates M1 Air mit im Rucksack, das geht auch.

 

[Exemega]

Für den Firmensupporter ist ein gleichzeitig privat und geschäftlich genutztes Gerät der schiere Horror...
Muss mal gesagt werden hier!

 

[dg2rbf]

 

[tocotronaut]

Sehr anmaßend.
Ihr wisst doch gar nicht wie die IT Skaliert und Segmentiert ist.

Das Gerät kann ein reiner Client für einen Terminalserver sein.