Wie bei Homeoffice sicherstellen, dass private Geräte keine Schadsoftware bekommen können?

Bei einem firmeneigenen Rechner ist das natürlich etwas anderes.

Da hast Du vollkommen Recht.

Das hatte ich gerade nicht im Hinterkopf behalten, als ich meine Antwort schrieb.

Und eine solche Router-Kaskade könnte Dir diese IT-Abteilung mit deren eigener Hardware ebenfalls einrichten.

Das geht nämlich einen deutlichen Schritt weiter, als ein "Virtuelles privates Netz" (VPN). Das ist nämlich eine echte Trennung.

Sprich die IT-Abteilung doch einfach mal darauf an, was sie davon halten.

Denn von Deiner privaten Hardware geht natürlich auch die Gefahr eines "Übergriffes" auf die Firmen-Hardware aus. Diese Tür schwingt nämlich in beide Richtungen...

Allerdings sind ein Pi-Hole, bzw. der eBlocker (Pro) auch für Privatleute grundsätzlich eine wirklich feine Sache.

Und das kaskadierte Firmennetzwerk kann man dabei auch völlig unangetastet belassen. Es ist reine Einstellungs-Sache, auf welche DNS-Dienste der dazwischen geschaltete Router zugreift.

Es werden von diesen Blockern zunächst einmal alle Geräte im erreichbaren Lan/WLan abgesichert. Das könnten (z.B.) der SmartTV und diverse Media-Player und sonstige IoTs (Netzwerk-Drucker, Web-Cams, Smart-LEDs, Heizkörperregler, Waschmaschine, Kühlschrank,...) sein.

Und für jedes einzelne Gerät können dann individuelle Einstellungen ausgewählt werden. Das gilt auch für den zweiten Router.

Und die Router-eigenen Firewalls bietet höchstwahrscheinlich zusätzliche Optionen. Nur fallen diese bei einfachen Standard-Routern meist ziemlich begrenzt aus. Das hängt vom jeweiligen Router ab.

Wenn Dein Privater PC kein Kennwort hat zum Einloggen, dann könnte theoretisch ein Virus, der auf dem Firmen-Laptop ist, Deinen privaten PC mit infizieren, zumindest wenn beide gleichzeitig eingeschaltet sind.

Denn falls der "Firmenlaptop" einen Virus weiterschicken will an den privaten PC, wird ja nach keinem Passwort gefragt. Der Virus könnte also ohne Abfrage auch den privaten PC angreifen.

Also entweder erstellt Du für den privaten PC ein Passwort (Systemsteuerung - Benutzerkonten) -oder- Du nutzt immer nur ein Gerät gleichzeitig.

Ansonsten: Entspanne Dich, das Risiko ist generell SEHR gering! :-) Was Klammeraffe schreibt, sind "Perfektionen" die aus meiner Sicht garnicht notwendig sind, da ja ohnehin nur ein minimales Risiko besteht.

gut wenn ich aber ein Passwort erstelle dann ist der Schutz ja auch nur da so lange der Sperrbildschirm aktiv ist, oder? - Denn wenn ich gerade etwas am privaten PC mache und der Firmenrechner ist an, dann ist der private ja auch "offen"? also alleine DASS ein Passwort eingerichtet ist macht ja keine Schutz, oder?

Und Du redest wirklich nur vom Windows Benutzeranmeldepasswort?

Außerdem wie sieht es dann beim Handy aus reicht da wenn es durch das Streichmuster geschützt ist? - Aber auch da gilt doch, wenn man gerade etwas damit macht, ist es offen...

Und Du meinst es bestehn GENERELL nur ein minimales Risiko oder wenn ein Passwort aktiv ist?

Ich frage mich halt wie kann es dann sein, dass in einer Firma EIN Mitarbeiter einen Mailanhang öffnet und die ganzen Firmenrechner dann mit Emotet etc. verseucth wurde? - sowas will ich halt verhindern dass es auf meinen privaten PC überspringt (und natürlich auch andere Schadsoftware)

Und was hältst du von Farons Antwort mit IP sperren? Ist das sicherer wie das Passwort (das ja wie oben beschrieben ohnehin offen ist, wenn man am PC was macht)

Hallo Allocigar,

Doch, alleine dass Du ein Windowskennwort erstellt, bringt Dir bereits Schutz. Denn falls sich ein Virus ungefragt installieren möchte, muss auch der Virus das Kennwort eingeben, und das kann er natürlich nicht. Ohne Kennwort, könnte ein Virus sich auf den privaten PC ohne abfrage installieren.

Um das Hany würde ich mir keine Sorgen machen. Ein Virus der auf dem Laptop wäre, hat ein ganz anderes Datei-Format und kann daher nicht ohne weiteres sich auf Android installieren.

Das Risiko ist generell sehr gering, ja. Mit Passwortschutz ist es extrem gering. :-)

Das Risiko für Mailanhänge existiert nur wenn man 1) fahrlässig Email Anhänge aus SPAM Email öffnet, und zusätzlich 2) die Windowsupdates nicht installiert. :-)

Den Tipp von Faron mit der Sperrung der IP ist noch etwas besser als mit dem Kennwort, aber das habe ich selber auch noch nicht gemacht, müsstest Du also schauen ob Du das hinbekommst. :-)

ok vielen Dank. Und ein Virus müsste auch dann ein Kennwort "eingeben" wenn ich den Bildschirm entsperrt habe er also offen ist? - das verstehe ich nicht ganz... das ist doch nur ein Benutzerkennwort für ein Konto...

Ja genau, ein Virus müsste auch dann ein Kennwort "eingeben" wenn Du den Bildschirm entsperrt hast! Dein Bildschirm gilt nur für Dich als Anwender. Der Virus vom Laptop wäre eine "ganz andere Person", die sich auch erst freischalten müsste.

Das Kennwort hat mehr Funktionen als die, die Du selber sehen kannst. Es schützt vor jedem Fremdling, der auf Deinen PC zugreifen will.

Ohne Kennwort darf jeder an Deinen PC, der sich im lokalen Netz befindet. Mit Kennwort darf das niemand ohne Eingabe des Kennwortes. :-)

ok dann vielen Dank!

Allerdings wechselt doch die IP mit jedem Neustart oder? Dann müsste ich ja jeden Tag eine neue Sperre auf meinem Rechner und noch einem weiteren im Netzwerk befindlichen Rechner einrichten oder?

Das verwechselst du mit der öffentlichen IP. Die lokale bleibt i.d.R. gleich

Wie sieht es mit den privaten Smartphones im Netzwerk aus (Android) kann ich hier auch die IP sperren?

Dann noch die Frage was ist mit Smart TV etc ist der auch gefährdet? Dort kann ich ja vermutlich keine IP sperren.

Smartphone wird schwierig, SmartTV nein. Aber diese Geräte sind relativ geschlossen und haben auch andere Betriebssysteme (meist Linux-basiert), da geht keine Gefahr aus. Mir ist auch kein einziger Fall bekannt dass Smartphones auf die Weise infiziert wurden.

Desweiteren muss ich auch mein Firmen IP Telefon in den Router stöpseln. Geht hier eine Gefahr aus?

Nein. Aus den selben Gründen wie beim SmartTV

Und in Deinem Artikel steht das geht bei Vista sowie Win 7 und 8. Ich nehme mal an das liegt am Alter des Artikels und geht auch bei Win10? (Derzeit habe ich noch 7 privat aber muss mannja demnächst ändern).

Ja, geht auch in 10.

Und was vielleicht einfacher wäre gibt es anstatt bei allen privaten Geräten die IP des Firmenrechners zu sperren nicht die Möglichkeit umgekehrt am Router einzustellen dass einfachbder Firmenrechner überall gesperrt ist? (Muss natürlich beim Speedport 921V möglich sein sonst nutzt es nichts)

Ja. D.h. falls du bereit bist ein paar Euro auszugeben und dir ein weiteres Gerät hinstellen willst.

untagged VLANs (portbasierte virtuelle LANs) sind genau das was in diesem Szenario die perfekte Lösung ist/wäre. Mit einem VLAN-fähigem Switch (bzw. Router) kann man z.B. sagen: Anschluss 1+2 gehören zum VLAN 'geschäftlich', 3+4 zu 'privat' und 5 ist ein normaler Anschluss (der in Richtung Internet). Dann kann nichts von 1/2 zu 3/4 und umgekehrt, aber jeder zu 5. Wunderbar saubere Trennung ohne dass eine Änderung an irgendeinem Endgerät notwendig ist.

Das blöde ist nur dass die Funktion Endkunden-Router wie Fritzbox und Speedport die Funktion nicht haben. Deswegen bräuchtest du ein extra Gerät, wie z.B. ein Netgear GS105e oder generell ein Switch/Router der VLAN-fähig ist.

VLAN hatte unsere IT auch vorgeschlagen, aber gleich gesagt, dass das mein Router nicht kann und daher sofort verworfen. Aber Du meinst ich kann an meinen Speedport 921V einen VLAN Switch anschließen somit meinen 921 weiter nutzen und habe trotzdem VLAN? Das wäre ja perfekt,  sofern das Ding nicht zu teuer ist. Was kostet sowas? Hast Du nen Link?

Ja, das geht. Du musst deinen Speedport ohnehin weiter benutzen, Switches sind ja keine Router. Die haben kein DSL-Modem und keine Layer-3-Funktionalität

Preise variieren je nach Portanzahl, wie bei anderen Switches auch. Aber für um die 30€ bekommt man schon welche

https://www.amazon.de/Netgear-GS105E-200PES-Managed-konfigurierbar-deutscher/dp/B00GWKN1Q2?th=1

ok nur was ich jetzt nicht ganz verstehe, dann habe ich ja im Router Ports und im Switch. Das heißt die geschäftlichen müssen dann in den Switch und die privaten lasse ich wie bisher im Router? - Und das Switch ist dann auf VLAN einstellbar? Ändert das etwas an der Internetgeschwindigkeit?

Nein, man schließt *alle* Geräte am Switch an und verbindet ihn dann mit dem Router. Die VLAN-Unterteilung stellt man dann am Switch ein (per Web-Interface oder mitgelieferter Software)

Ändert das etwas an der Internetgeschwindigkeit?

Nein

und die dann übrigen Ports am Router kann ich nicht mehr verwenden oder kann ich die für Geräte verwenden, die nicht so gefährdet sind - also z. B. TV oder sind die Anschlüsse dann tot bzw. mehr gefährdet als vorher? - Weil sonst reichen die Anschlüsse vom Switch nicht - gibts auch welche mit mehr Anschlüssen?

Tot sind die Ports nicht, nur nicht separiert vom 'geschäftlichen' VLAN. D.h. sie sind genau so sicher/unsicher als würdest du nicht mit VLAN trennen. Kann man also weiter benutzen für TV etc.

In dem verlinkten Amazon-Angebot für den Switch gibts auch Optionen für 8 oder noch mehr Ports

Super das hört sich gut an. Jetzt fällt mir aber gerade ein, was ist denn mit den Geräten die über WLAN angebunden sind - wobei Du ja meintest fürs Smartphone geht keine Gefahr aus, da es ein geschlossenes System ist, richtig?