Mitarbeiterportal "nach außen offen"

[sebastianbrandt]

Hallo zusammen,
ich brauche einmal euer Feedback; wir führen jetzt bei uns die Sage Hr inkl. Mitarbeiterportal wieder bei uns ein und möchten dieses eigentlich auch für unsere Mitarbeiter nach "aussen offen" machen, damit die Kollegen, ihre Abrechnungen etc. auch ausserhalb des Firmennetzes downloaden, anschauen können usw. .
Alles natürlich unter Berücksichtigung Sicherheitstechnischer Aspekete wie Verschlüsselung und co..
Unser Dienstleister , welcher uns bei der Implementierung und Installation betreut sagt aber , dass dies auf keinen Fall empfohlen wird ......
Wie ist dazu eure Meinung / best Practice?

 

[R.Ziemer]

Moin,

dass ist mit entsprechenden Zertifikaten oder auch zusätzlicher 2-Faktor Authentifizierung genauso sicher wie jedes andere "Online-Mitarbeiter-Portal" auch. Eventuell sogar sicherer, weil das Sicherheitskonzept selbst gesteuert werden kann und wenn ein schädlicher Angriff besteht, dieser gezielt auf euer System stattfinden müsste.

Trotzdem ist der von vielen "vorsichtigen" Kunden gewählte Weg, meistens nur das Zulassen einer Verbindung über eine vorherig aufgebaute VPN-Verbindung. Gerade wenn es um abrechnungsrelevante und personenbezogene Daten geht, ist man lieber einen Schritt vorsichtiger.

Aber solange die Einrichtung fachmännisch erfolgt, sehe ich hier keine gravierenden Sicherheitsbedenken.

 

[ISB-Thomas Wolff]

Hallo zurück,

ein bisschen spät, aber vielleicht der Vollständigkeit halber:

Die Sage HR Suite bietet aktuell keine 2-Faktor Authentifizierung, somit sollte dieses von einem "Vor-System" (Firewall, etc) durchgeführt werden. Den Portalserver empfehle ich nicht einfach in eine DMZ zu stellen.

Gute Erfahrungen haben wir mit dem Azure AD Application Proxy gemacht. Dieses vielleicht als Gedankenanregung.

 

[mcfresh]

Wir fragen tatsächlich auch regelmäßig bei sich beitenden Gelegenheiten an, wann 2FA implementiert wird: gar nicht. Gerade bei der Einführung der SageID bzw. hier 2FA hatten wir das jüngst nochmal zum Anlass genommen: "die Absicherung obliegt dem Kunden".
Einige Kunden setzen hier tatsächlich auf den Azure Application Proxy.