Sozusagen inspiriert durch Günter Borns Beitrag
Systeme zur Zeiterfassung mit Internetanbindung als Risiko – Teil 2
greife ich mal in Teilen das Thema “Absicherung von TiMaS” auf.
Einer unserer Kunden setzt TiMaS ein, die Inhouse-IT stolperte schon bei der Installation über einen Port-Konflikt, was daran lag, das auf dem Server schon so einiges läuft. Nachdem die Zeiterfassung zunächst nur im LAN betrieben wurde kam wenig verwunderlich bei Außendienstlern und mehreren Standorten der Wunsch auf, diese auch über das Internet verwenden zu können.
Sozusagen ab Werk nutzt TiMaS lediglich http, ein SSL_/TLS-Zertifikat (für https) kann vmtl. hinterlegt oder konfiguriert werden, allerdings findet sich hierzu nichts in der Dokumentation. Schaut man ins Forum sieht es auch nicht viel besser aus. In den wenigen Beiträgen wird schnell auf den Hersteller, den Support oder dem Händler verwiesen.
So wie es scheint läuft im Hintergrund ein Tomcat-Server, den man entsprechend konfigurieren kann, wenn man weiß wie. Spannend dürfte die Frage sein, was im Update- und/oder Support-Fall geschieht, aber das ist eine andere Geschichte.
Jedenfalls haben wir das Ganze über den Reverse Proxy einer Securepoint UTM gelöst, d.h. über eine eigens angelegte Sub-Domain samt Zertifikat erfolgt seitdem intern wie extern der Zugriff auf TiMaS. Ferner wurden die externen Zugriffe via GeoIP eingeschränkt und den Rest erledigt das IDS/IPS.
Man weiß zwar nun nicht, wie gut oder schlecht der TiMaS-Server an sich abgesichert oder gar aktuell ist, aber wenigstens konnte man so etwas Risiko minimieren.
Wie man dem Kommentar von “Mr. Shaggy” vom 21. April 2025 um 20:57 Uhr unter oben verlinkten Beitrag entnehmen kann macht das so oder so ähnlich auch der Hersteller.
Idealer wäre natürlich, wenn die externen Zugriffe nur via VPN möglich wären und die Geräte via MDM verwaltet werden. Wir sind nicht die Ersten die das beim Kunden nicht durchbekommen haben.
Wie hat Dir der Artikel gefallen ?
(2 Stimmen, durchschnittlich 5,00 von 5 Sternen)
Loading...
Du möchtest den Blog unterstützen ?
Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Eine Zeiterfassung im Internet erreichbar machen ist das Eine. Aber wenn die Software vermutlich auch noch auf Java bzw. Apache Tomcat läuft, müssen alle Alarmglocken schrillen.
Ohne eine vernünftige WAF wird das Dinge früher oder später ein Problem sein. Da ist Geoblocking sicherlich ein erster Ansatz. Aber das hält maximal ein paar Kiddies ab. Die wo es drauf anlegen, merken das und kommen mit entsprechender IP-Adresse.
Weil je nach Umfang und erfasste Daten könnte das ein nur der Anfang sein. Wenn auf der Büchse auch noch andere Software läuft, ist der Schaden im Worst Case richtig groß und nur weil ein paar Leute ne Zeiterfassung im Internet haben möchten und nicht auf VPN Lösungen gesetzt wurde.
Ich hoffe du haftest dafür nicht.