Wieso wo besteht das Problem?
Nu haste mich doch nochmal erwischt.... Ich erklär Dir gerne wo das Problem liegt (zumindestens aus meiner Sicht)
Die Beurteilung meiner IT Sicherheit kann sich glaube ich niemand ein Urteil bilden.
Ach... nein? Weil? Du sowas beruflich machst? Weil Du darin ausgebildet wurdest? Oder weil Du Dich mit dem Thema IT-Sicherheit schon Jahrzehnte beschäftigst? Da muss ich wohl "irgendwo" irgendwie "irgendwas" ganz heftig übersehen haben. Versteh mich nicht falsch, aber es gibt "Fakten" und es gibt "Deine Meinung". Der springende Punkt ist einfach folgender: "Deine Meinung" hat mit "Fakten" mal so "rein garnichts" zu tun. Das geht jetzt nicht gegen Dich, das "ist" einfach so. Keine Ahnung was Du beruflich machst, aber ich bin mir "ziemlich" sicher, dass es irgendwo in Deinem Tätigkeitsfeld ein ähnliches Szenario geben wird.... Insofern ist Deine Aussage eigentlich schon ziemlich... "naja"... ?
Dann mache ich das mit einem Kumpel zusammen
Achja... stimmt... ganz vergesssen... DAS ist dann wieder das heutzutage so TYPISCHE Konstrukt... da kennt nämlich jemanden wen, der hat sogar schon mal ein Windows installiert (ist jetzt nur mal salopp runtergebrochen, denke Du weisst, was ich meine...), also ist der jetzt auch in der Firma für IT zuständig, der hat nämlich voll die Ahnung! Frei nach dem Motto "Unter den Blinden...". Ich sag es jetzt mal ganz trocken:
1) Die IT ist mittlerweile VERDAMMT weitläufig.
2) Jemand der "alles" kann, kann "nichts" richtig (allein schon für "alles ein bisschen" ist es einfach VIEL zu viel, selbst das geht schon garnicht mehr...)
3) Jemand der sagt, er arbeite "in der IT" hat eh schon verloren. (Ich bin als Administrator und IT-Dienstleister (nur um die Fachgebiete schon direkt mal "grob" einzuschränken) und bin z.B. an Kubernetes quasi "verzweifelt" - das ist übrigens auch "IT", ebenso wie "SAP", woran ich vermutlich auch verzweifeln würde...). Kurzum: Arbeitet in der IT? Aussagekraft = NULL. Leute die anderen Leuten das eigene ERP-System erklären, arbeiten auch in der IT. Kannste also alles in die Tonne kloppen...
4) Jetzt kommt noch so ein ganz großer Trugschluss: Leute die IT "studiert" haben, wissen/können es besser. Wie was wieso warum??? Die haben es doch studiert! (btw... auch hier gibt es wieder verschiedene Segmente, wie z.B. die "
Wirtschaftsinformatik"
Drehen wir das Konstrukt mal kurz auf den Hausbau: Wer ist besser im "Mauer bauen" - der "Architekt", oder der "Maurer"? Leute die "studieren" beschäftigen sich mit der "Theorie" (haben sicherlich auch Praxisanteile). Damit will ich das nicht schlecht reden, sondern das schlussendliche Betätigungsfeld ist id.R. ein ganz anderes. Bei Wikipedia ist der Artikel dazu mittlerweile auch übrigens schön angepasst (früher waren es halt einfach nur die "Computer-Leute")....:
https://de.wikipedia.org/wiki/Informatiker Somit sind "Informatiker" eigentlich "Wissenschaftlicher" (Theorie) und keine "Handwerker" (Praxis). Weiss ein Architekt, wie man den Mörtel richtig anrührt (mit reinspucken, oder ohne)... vermutlich... theoretisch... er macht sich die Hände ja nicht schmutzig... Weiss der Maurer es? Unter Garantie, denn er macht es täglich und wennn seine "Berufserfahrung" ihm sagt, dass es mit Spucke einfach besser hält, dann "ist" das wohl so. Nicht aufgrund der Theorie, sondern der praktischen Erfahrung. Andersrum wird ein Maurer "nie" in die Verlegenheit kommen, ein Haus planen zu müssen.
Was hier allerdings grade passiert ist folgendes: "Jemand" hat im Garten eine kleines Mäuerchen gebaut. Hat gut geklappt und hält... 3m lang, 40cm hoch. Weil das jetzt so super einfach war und auch so gut geklappt hat, geht man halt hin und baut sich jetzt ein Haus. Warum? Ist doch das gleiche wie bei der Mauer und das war doch super einfach und hat wunderbar geklappt!
Genau da liegt jetzt aber der Trugschluss, denn z.B. Themen die Statik und was weiss ich nicht noch alles (bin halt auch kein Architekt oder Maurer
) spielen auf einmal eine viel wesentlichere Rolle, als das sie es noch bei dem kleinen Mäuerchen im Garten getan hätten. So... hm... was tun? Genau, ab ins Internet, ins nächste Forum voller Privatleute und erstmal die Frage stellen "Wie baue ich ein Haus?".
Da wird es die eine Fraktion geben, welche Dir sagen wird: "Ist doch ganz einfach: 'Stein auf Stein!'", die interessiert aber auch alles weitere einen feuchten <piep> und dann gibt es noch die, die es "ehrlich" und "gut" mit Dir meinen und ggf. darauf verweisen, dass das Haus vllt besser mit einem Architekten geplant und von Handwerkern gebaut wird. Ganz zum Schluss gibt es noch die Leute, die letzteres schon hunderten anderen Leuten davor erzählt haben, der ganzen Sache einfach müde sind und sich dann einfach zurückziehen.
Bei der Frage, wie man Stein auf Stein legt... da war man noch dabei, als dann klar wurde, dass es um einen Hausbau ging (und alle wichtigen Themen ignoriert werden bzw. das Wissen schlichtweg nicht vorhanden ist, um sowas "vernünftig" beurteilen zu können) waren dann halt einige einfach "raus".
Kurzum (von einem anderen ITler in knapper formuliert)...:
Wenn sich einer von der Brücke stürzen möchte erkläre ich ihm nicht auch noch den Weg dort hin.
Oder anders ausgedrückt: Wir wollen Dir nicht dabei helfen, Deine geschäftliche IT vor die Wand zu fahren. Du hast genau (anscheinend) keinerlei Ahnung von den möglichen Risiken, das Thema "Sicherheit" kommt hier überhaupt nicht auf den Punkt, wer sich mit irgendwelchen öffentlichen VPN-Anbietern abgibt, hat meist sowieso irgendwelche "fragwürdigen" Dinge laufen (das ist jetzt keine Unterstellung, das ist einfach nur praktische Erfahrung und somit pauschale Aussage, mag sein, dass Du zu den LEGEN... warte es kommt gleich.... DÄREN 0,1% gehörst, bei denen es nicht so ist) und sowas in irgendeiner Art und Weise mit dem Firmennetz zu koppeln (in diesem Fall wäre der gemeinsame Punkt eben das NAS)... ne, geht mal so "garnicht". Vernünftige Systeme für solche Vorhaben (im Fachjargon auch "Firewall" genannt - wir reden hier übrigens von "Hardware") können sowas vernünftig lösen, inkl. Mechanismen wie IDS/IPS/etc., Du bastelst Dir halt einen zusammen.... Ist völlig in Ordnung, privat eh (sind halt nur private Daten dann), bei der Firma stehen mitunter Arbeitsplätze auf dem Spiel (überhaupt nicht schön, da gibt es normalerweise von mir bei solchen Spielereien immer direkt einen großen Einlauf, aber... ich bin ja auch lernfähig, bleibt Dir also erspart
).... und im Grunde genommen bleibt unterm Strich halt nur ein: Wenn Du meinst, Du musst das machen und anstatt Fachpersonal zu bezahlen popelst Du halt lieber selbst rum (ohne die Risiken zu kennen)... MACH das... es kann Dir keiner verbieten. Mit den Folgen musst Du halt auch leben (was Du sicherlich auch kannst und wirst), ABER: Du musst dann eben auch Verständnis dafür haben, wenn sich Leute mit entsprechendem Background auch einfach aus der Nummerm rausziehen.
Ist auch definitiv nichts gegen Dich persönlich(!), es ist eher die Praktik, welche die - mit entsprechendem Background - fragwürdig finden, daher auch wieder der Verweis auf das Zitat von
@NSFH. Heisst lange nicht, dass es auch so kommen "muss"/"wird", kannst auch 100x aus dem ersten Stock springen, ohne Dir was zu brechen. Ganz ausgeschlossen ist es aber nicht. Ist halt Dein eigenenes unternehmerisches Risiko (unter welchem dann dummerweise auch Deine Angestellten leiden werden - je nach Schweregrad eben).
Kleiner Schwenk noch am Rande: Ist zwar schon ein paar Jahre her, die IT war damals auch noch nicht SO gewaltig vertreten wie heute, aber dennoch: Ich habe mal jemanden kennengelernt, der den ganzen Tag wirklich "nur" (ausschliesslich!) das Thema Firewall behandelt hat. Der war fit wie sonstwas, echt ein krasser Typ. Nur bei anderen Dingen hat er halt "völlig" versagt... wie z.B.? Die Bildung einer Summenformel in Excel.... (möcht schon fast behaupten, dass das heutzutage irgendwie jeder hinkriegt). Der springende Punkt ist einfach, dass man sich heutzutage schon "sehr" mit bestimmten Thematiken beschäftigen muss, um nur "halbwegs" mitzukommen (daher auch oben gesagt "niemand kann alles wissen", nichtmals im Ansatz...). Kurzum: Je spezialisierter die Leute sind, desto weniger können Sie Ahnung von anderen Dingen haben (der Faktor "Zeit" ist nunmal ein sehr begrenzter). Ist auch nicht böse (oder sonstwie) gemeint, sollte man einfach nur mal im Hinterkopf behalten.
In diesem Sinne - halt die Ohren steif, vllt überlegste Dir das einfach nochmal und weiterhin gutes Gelingen! ??
P.S.: Wir haben Verständnis für Dich, hab Du auch Verständnis für uns, wenn wir dann irgendwann "aussteigen", der Job ist - platt gesagt - Leute/Firmen zu "beschützen" und vor grösserem Unheil zu bewahren, nicht anders herum ??
EDIT: Was übrigens auf solche Erklärunge immer gerne folgt ist dann eine "Forderung" im Sinne von "Na dann sag mir doch, was ich besser machen kann!" und dann entsteht ein Interessenskonflikt, da die Gegenseite sowas entweder auf selbstständiger Basis macht und damit den Lebensunterhalt verdient, oder weil man es im Job macht. "On top" kommt dann noch die etlichen Möglichkeiten, die Nicht-Kenntnis über die vorhandene Infrastruktur (und Mitarbeiter und Software und und und), das ist dann eben so, wie wenn man sagt: Erklär mir doch "mal eben" wie man ein Haus baut. Logische Antwort? Sorry, aber... dafür habe ich grade echt keine Zeit/Nerv und man zieht sich freundlich aus der Thematik heraus, weil es schlussendlich einfach "viel zu viel" ist. Auch nicht böse gemeint, sind halt nur "Fakten" ?
EDIT2: Haha... grade noch in einem anderen Tab gefunden, was ich ursprünglich mal schreiben wollte, es aber doch nicht getan habe (das passt grade so gut)...:
----------------
Wieso wo besteht das Problem?
Ne sorry, ich werd Dir nicht meinen Job erklären....
----------------
?
EDIT3: Mal unter uns Gewerbetreibenden... *tuscheltuschel*... Hättest Du die ganze Zeit, welche Du hier (sorry2say) Zeit vertrödelt hast (kein Ding, kannste ja machen), einfach mal bezahlterweise gearbeitet, hätteste vermutlich schon ein "paar" Standorte mit vernünftiger Firewall/VPN-Hardware versorgen können ? (Ich rede hier auch nur von Hardware, nicht von irgendwelchen Fachleuten)