Dies ist ein Versuch, eine kanonische Frage im Anschluss an [diese Diskussion über Meta] (https://security.meta.stackexchange.com/questions/2531/would-a-canonical-can-x-see-my-data-over-wi-fi-work-internet-question-be-help/2546) zu stellen. Das Ziel ist es, grundlegende Antworten zu geben, die von einem allgemeinen Publikum verstanden werden können.
Angenommen, ich surfe im Internet und verwende verschiedene Anwendungen, während ich mit dem Netzwerk auf der Arbeit verbunden bin. Kann mein Arbeitgeber (der das Netzwerk kontrolliert) sehen, welche Websites ich besuche, welche E-Mails ich versende, welche IM-Nachrichten ich verschicke, welche Spotify-Songs ich anhöre usw.? Was können sie sehen?
Spielt es eine Rolle, ob ich meinen eigenen Computer benutze oder einen, der mir von meinem Arbeitgeber zur Verfügung gestellt wird? Spielt es eine Rolle, welche Programme ich verwende oder welche Websites ich besuche?
Auch wenn Sie sich nicht sicher sind, gehen Sie immer von "Ja" aus. Selbst wenn Sie sich sicher sind, könnten sie einen Vertrag mit dem ISP haben, einen böswilligen Administrator, der einen Packetlogger installiert hat, eine Videokamera, die Ihren Bildschirm aufzeichnet ... ja.
Alles, was Sie am Arbeitsplatz tun, ist für jeden sichtbar. Vor allem alles, was Sie auf digitalen Medien tun. Vor allem persönliche Dinge. Vor allem Dinge, von denen Sie nicht möchten, dass man sie sieht.
Eine der Grundregeln der Informationssicherheit besagt, dass derjenige, der physischen Zugriff auf die Maschine hat, auch die Maschine hat. Ihr Arbeitgeber hat physischen Zugriff auf alles: den Rechner, das Netzwerk, die Infrastruktur. Er kann Richtlinien hinzufügen und ändern, Zertifikate installieren, Man-in-the-Middle spielen. Sogar Websites mit 'SSL' können abgefangen werden. Dafür gibt es viele triftige Gründe, die meist mit der Sicherheit des eigenen Netzes zusammenhängen (Virenschutz, Protokollierung, Verbot des Zugriffs auf bestimmte Websites oder Funktionalitäten).
Selbst wenn Sie Glück haben und sie den Inhalt Ihrer Nachrichten nicht sehen können, können sie dennoch viele andere Dinge sehen: wie viele Verbindungen Sie hergestellt haben, zu welchen Websites, wie viele Daten Sie gesendet haben, zu welchen Zeiten ... selbst wenn Sie Ihr eigenes Gerät benutzen, selbst wenn Sie eine sichere Verbindung verwenden, können Netzwerkprotokolle ziemlich aufschlussreich sein.
Bitte, wenn Sie bei der Arbeit sind oder einen Arbeitscomputer oder sogar Ihren eigenen Computer im Firmennetzwerk benutzen: Gehen Sie immer davon aus, dass alles, was Sie tun, von Ihrem Arbeitgeber gesehen werden kann.
Es gibt zwei Möglichkeiten, wie Sie überwacht werden können - entweder wird das, was Sie auf Ihrem Computer tun, auf Ihrem Computer protokolliert, oder der Internetverkehr, den er erzeugt, wird irgendwo anders im Netz protokolliert.
Es gibt viele Möglichkeiten, das Ausspähen des Datenverkehrs während des Transports zu verhindern, aber wenn es sich nicht um Ihren Computer (oder Ihr Smartphone oder Tablet) handelt, ist es immer möglich, dass eine Art von Protokollierungssoftware installiert ist, die möglicherweise alles überwacht, was Sie auf dem Gerät tun, ohne Ausnahme. Das Gleiche gilt, wenn Sie Ihrem Arbeitgeber erlaubt haben, das Gerät zu manipulieren, z. B. eine Software zu installieren.
Dies ist zwar nicht so wahrscheinlich wie die Aufzeichnung Ihres Datenverkehrs, da viele Arbeitgeber, die nicht in einem Hochsicherheitsbereich arbeiten, den Aufwand nicht für lohnenswert halten, aber es ist dennoch eine sehr reale Möglichkeit. Wenn Sie also ein von Ihrem Arbeitgeber zur Verfügung gestelltes Gerät verwenden, kann er möglicherweise alles sehen, was Sie tun, egal welche Vorsichtsmaßnahmen Sie treffen.
Nehmen wir an, Sie verwenden Ihr eigenes Gerät und Ihr Arbeitgeber hat nichts darauf installiert (vielleicht verbinden Sie Ihr privates Smartphone mit dem Wi-Fi im Büro). Kann er trotzdem sehen, welche Webseiten Sie besuchen, indem er den Netzwerkverkehr überwacht?
Das hängt davon ab, ob Sie einfaches HTTP oder HTTPS verwenden. Wenn die von Ihnen besuchte Adresse mit "https://" beginnt, bedeutet dies, dass die Kommunikation verschlüsselt ist - das "S" steht für "Secure" -, wenn sie jedoch mit "http://" beginnt, ist dies nicht der Fall. Sie können auch überprüfen, ob in der URL-Leiste ein Vorhängeschloss-Symbol zu sehen ist - siehe Anweisungen für Firefox hier.
Allerdings gibt es hier einige große Vorbehalte:
https://example.com/secret
besuchen, kann Ihr Arbeitgeber sehen, dass Sie example.com
besucht haben, aber nicht, dass Sie speziell die Seite secret
besucht haben, was dort geschrieben wurde oder was Sie gepostet haben.Wir tun mehr im Internet, als nur Webseiten mit einem Browser zu besuchen. Sowohl auf Ihrem Computer als auch auf Ihrem Telefon sind wahrscheinlich Dutzende von Anwendungen installiert, die das Internet irgendwie nutzen. Was ist mit diesen?
Leider ist dies ein wenig undurchsichtiger. Standardmäßig kann der Eigentümer des Netzes alles lesen (und ändern), was Sie über das Netz senden oder empfangen. Um dies zu verhindern, muss eine Art Verschlüsselung verwendet werden.
Ob eine bestimmte App eine (korrekt implementierte) Verschlüsselung verwendet oder nicht, ist schwer zu erkennen, es sei denn, die Hersteller der App werben aktiv damit (und Sie vertrauen ihnen...). Einige Apps, wie z.B. [WhatsApp] (https://www.whatsapp.com/faq/en/general/28030015), verwenden bekanntermaßen Verschlüsselung, während andere dies nicht tun. Ich würde Ihnen empfehlen, davon auszugehen, dass der Datenverkehr nicht verschlüsselt ist, es sei denn, Sie wissen, dass er verschlüsselt ist.
Es kommt darauf an. Um auf der sicheren Seite zu sein, sollten Sie davon ausgehen, dass dies der Fall ist, und alle sensiblen Angelegenheiten über Ihr eigenes privates Heimnetzwerk erledigen.
Das hängt von der Größe des Unternehmens ab und davon, wie viel es in seine Netzwerk-/Sicherheitsinfrastruktur investiert hat.
Benötigen Sie bei der Nutzung des Internets eine Authentifizierung? Gibt es Inhaltsfilter, die den Zugriff auf soziale Medien oder humoristische Seiten verhindern? In der Regel werden Sie von Forcepoint oder BlueCoat darauf hingewiesen.
Wenn Sie für ein Finanzinstitut oder die Regierung arbeiten, lautet die Antwort höchstwahrscheinlich ja.
Sie erhalten eine Liste der URLs und IPs, die Sie besucht haben. Bei YouTube können sie die URL sehen und daraus das Video ablesen, das Sie sich angesehen haben.
Die internen E-Mails und IM-Dienste werden sichtbar sein.