Ja schon, nur dann hast du in der Firma 50 Laptops die alle gleich sind,
und der 51. ist eine Schneeflocke und erfordert bei allem besondere
Aufmerksamkeit.
Ist das relevant? Weinn eine Firmen-IT einen Rechner für sowas freigibt,
dann sehen sie den Rechner sowieso als "Feindesland". Als Privater hätte
ich am ehesten noch Angst, dass jemand aus der Firmen-IT z.B.
irgendwelche privaten Fotos abgreift, je nach Seriosität der Firma und
Professionalität der IT.
Ich kann mich nicht mehr an die Details erinnern, aber ich hab mal
Reparaturen gehabt, wo ich der Werkstätte sogar Zugriff zur Apple-ID
des Geräts hab geben müssen. Was ist, wenn die sagen: So ein komplexes
Setup reparieren wir nicht? Ich hab keine Ahnung, ob das passieren kann,
aber ich würde es für vorstellbar halten.
Andererseits: Wenn Backups existieren, wovor soll die Trennung dann
schützen, was ist das Angriffsszenario, gegen das die doppelte
Installation hilft?

/ralph

Quintessenz?
Privates hat nichts auf einem Firmenrechner/-gerät verloren.
Ob ein oder zwei Profile oder zwei OS-Installationen wird der Eigentümer
niemals akzeptieren, dass er nicht vollumfänglich die Kontrolle über den
Rechner hat. Im Zweifelsfalle führt das mindestens zu einer Plättung des
Rechners und im Extremfall wohl zur Kündigung.
SIC! Dem OP und seiner Freundin ist die Anschaffung eines privaten
Rechners anzuraten.
In vielen Firmen - besonders im Finanzsektor - inzwischen strengstens
untersagt. Einige Banken mussten deswegen wegen Beihilfe zur Geldwäsche
und Umgehung von Dokumentationspflichten im Zusammenhang mit
Börsengeschäften schon Strafen von mehreren hundert Millionen Dollar,
Pfund, Schweizer Franken oder Euros zahlen. Vor allem, wenn dann noch so
lusches Zeugs wie WhatsApp im Spiel ist/war.
Jörg

Ja, sehe ich auch so, und aus diesem Grund bin ich froh über
moderne Smartphones, die mir unterwegs technisch sehr viel
Unabhängigkeit bieten.

Wenn Arbeitgeber die private Nutzung von Firmen-IT dulden,
finde ich das trotzdem angenehm als Rückfallmöglichkeit.
Auf Dienstreisen nehme ich z.B. kein privates Notebook mit.
Wenn etwas partout nicht mit privatem Smartphone geht,
was mir aber gerade extrem wichtig ist, Privatsphäre hin
oder her, habe ich zumindest die sauber erlaubte Möglichkeit,
dafür das Firmen-Notebook verwenden zu können.

Sich zu sehr mit seinen privaten Sachen auf der Firmen-IT
auszubreiten (auch wenn es die Firma erlaubt), ist spätestens
dann doof, wenn ein Arbeitgeberwechsel ansteht. Egal ob man
aus eigenem Willen geht oder ob die ganze Firma dicht macht.
Dann muss man da sein ganzes Gedöns rausfriemeln. Hab ich
zu Beginn meines Berufslebens so gemacht, das waren aber
auch noch andere Zeiten, doch später habe ich das dann
freiwillig getrennt.

Grüße, Andreas

Das kommt immer auch darauf an, wieviel Betreuung und Händchenhalten
erwartet wird. Da ist das Spektrum breit. Ich hab in Firmen gearbeitet,
wo ich als IT-Admin von irgendwem gesagt bekommen hab: "XY kümmert sich
um seinen Rechner, der weiß was er tut, er wird bei Problemen nicht zu
dir kommen, sondern sie selbst lösen." Und das war perfekt OK für alle
Beiteiligten. Der betreffende Mitarbeiter war hardwarenaher Entwicker
und hätte sowieso Vollzugriff auf seine Maschine benötigt. In Firmen mit
strikterer Regulierung kriegen solche Mitarbeiter vermtulich 2 oder mehr
Geräte für unterschiedliche Aufgaben, allein schon von der Arbeit her.

Wenn aber der Mitarbeiter selbst für dienstliche Aufgaben sehr viel
Händchenhalten braucht (jeden dritten Tag in der IT-Abteilung steht,
weil der Drucker nicht geht, bei jedem Betriebssystemupdate wieder wegen
irgendwo "OK" klicken verunsichert ist und Betreuungsbedarf hat), dann
ist natürlich eine Dual-Boot-Lösung Gift. Was ist dann, wenn nach einem
Mac-OS-Upgrade die Maschine nicht hochbootet? Hab ich mal gehabt bei
IIRC Sierra, da sind dann 30% der Rechner nach einem Update am nächsten
Tag nicht mehr gebootet. Der Fix war irgendwie harmlos, aber wenn da
plötzlich 10 Leute was von dir wollen, das ist schon Aufwand. Und wenn
dann jemand Sonderlocken und Schneeflocken-Systeme hat, dann ist es
natürlich doppelt blöd (Welche OS hat jetzt Probleme gehabt?
Funktioniert mein Fix jetzt immer noch?).

Oder wenn Hardware getauscht wird. Wie muß ich meine Vorgehensweise beim
Backup jetzt anpassen? Da können u.U. Stunden draufgehen, wenn das alles
getestet und dokumentiert werden soll.
Ich seh das nicht so ganz. Wenn ein Mitarbeiter privat blöd irgendwo
draufklickt, dann macht er es vermutlich dienstlich in ähnlicher Weise.
Wichiger wär *mir* in so einer Rolle, dass der Rechner eines einzelnen
Mitarbeiters a) nicht nennenswert Arbeitsergebnisse verliert und b)
z.B. bei einer Infektion nicht andere Systeme mitreißt. Man kann das
eventuell dadurch erreichen, dass man dienstliche Geräte stärker
vernagelt (z.B. das Installieren eigener Software unterbindet),
allerdings je nach Aufgabe um den Preis großer Unzufriedenheit der
Mitarbeiter (z.B. Softwareentwicklung wird so potentiell sehr mühevoll).
In vielen Firmen wird sowas aber eh nicht praktiziert (und ich würde es
bei einem Verlag als plausibel empfinden, wenn man die Mitarbeiter
selbst über zu installierende Software entscheiden läßt, nach einer
enstprechenden rechtlichen Belehrung).

Realistischer ist es IMHO die zentraleren Systeme (Fileserver mit
Arbeitsergebnissen, ERP-System, finanzielle Systeme, ...) gegen
den Rest des Unternehmens abzuschotten. Nicht jeder Praktikant muß zum
ERP, der Buchhalter muß nicht die Reinzeichnungen der Platinenlayouts
verändern können, der Techniker muß keine Kontodaten für die Bestellung
von Büromöbeln kennen, etc.

Wenn man sowas konsequent organisiert, dann kann man sagen: Macht mit
eurem Laptop was ihr wollt, tut halt nix verbotenes (schwarzkopierte
Software, Kinderpornographie), ansonsten ist uns alles recht. Wenn nicht
irgendwelche rechtlichen Pflichten (und ja, die NIS-Richtlinie wird das
vermutlich unmöglich mahen) bestehen.
Man kann, wenn man *unprivilegierte* Accounts hat sehr weit gehen. Aber
dann macht eben das praktische Arbeiten wenig Spaß, schon gar nicht für
private Nutzung. Und derjenige mit dem Admin-Zugriff (das kann auch eine
Third Party, also eventuell weder AG noch AN sein) hat halt immer
irgendwie Zugriff auf alles.
In die eine Richtung schon (virtualisiertes OS kann nicht wirklich "nach
außen" ausbrechen). Umgekehrt nicht (der, der Kontrolle über das
virtualisierende OS hat hat Kontrolle auch über das virtualisierte) aber
es stimmt natürlich: Derjenige muß den Eingriff ins virtualisierte OS
bewußt setzen, "zufällig" über die Dateien stolpern oder Dinge in
Logfiles auftauchen haben, das gibt es dann kaum.

Wenn man ein paar Jahre als IT-Admin gearbeitet hat, dann steht man da
(wenn man eine vernünftige Persönlichkeit hat) aber eh irgendwann mal
drüber. Wenn mir klar ist, dass in einem Ordner auf einem
Arbeitscomputer Pornos sind, dann schau ich da nicht rein, und auch die
offensichtlich sexuellen Mitteilungen schau ich mir nicht an, wenn ich
per Zufall drüber stolper. Ich erzähle auch niemand was.
IMHO nein, mit einer VM mit privatem Zeug hätte ich als Firmen IT
keinerlei Problem, außer die regulatorischen Rahmenbedingungen verbieten
es (aber dann gib es wohl so oder so keine Privatnutzung). Aus meiner
Sicht ist das wie ein weiteres Programm, das installiert wird.
Aus meiner Sicht, mit heutiger Consumer-Hardware: Nein.

Aus meiner Sicht hat es Sinn dienstliche Hardware für Dinge zu
verwenden, die für mich als Privatperson keinen extremen
Geheimhaltungsbedarf haben (Onlinebanking wär für mich schon grenzwertig
und würd ich nicht mehr machen), private Bastelprojekte, private Nutzung
teurer Software (wenn legal möglich), private Nutzung von teurer
Hardware, die man sich nicht selbst kaufen würde, am dienstlichen Gerät
im Hintergrund den BBC-Radiostream laufen lassen. Das sind so die Dinge,
für die *ich* persönlich private Nutzung sinnvoll finde.

/ralph

Also ich bin kein Experte für Apple-Hardware, doch in der
PC-Welt mit Windows und Unix/Linux ist es ja so, dass jede
Installation - sobald sie gebootet ist - vollen Zugriff auf
die Hardware hat, insbesondere auch die Speichermedien, Boot-
Loader, also absolut alles. Da Apple-Hardware über viele Jahre
auch bloß normale PC-Hardware gewesen ist, würde es mich
wundern, wenn es dort grundsätzlich so viel anders wäre.

Aufgrund der Verschlüsselung kann man zwar nicht direkt in die
anderen Partitionen reinsehen und Daten auslesen oder ändern,
aber man kann am Boot-Loader rumfummeln, sodass ein anderes
OS in einem manipulierten Kontext läuft und somit ausspioniert
werden kann, und da nützt dann auch die Verschlüsselung nichts.
Ganz normales Szenario, das seit Ewigkeiten praktiziert wird.

In der PC-Welt hat man z.B. "Secure Boot" eingeführt, um fremder
Fummelei am Boot-Vorgang ein paar Steine in den Weg zu legen,
aber in der Praxis hat sich der Sicherheitsgewinn als eher
durchwachsen herausgestellt, dafür ist der Support-Aufwand in
ungeahnte Höhen geschossen.

"Secure Boot" und "Dual Boot" sind prinzipbedingt Feinde. :-)
Du denkst jetzt im Moment vielleicht nur daran, dass man das
irgendwo anklickt und dann ist Dual-Boot aktiv. Aber was ist
mit der weiteren Pflege? Die IT-Abteilung wird ja sicherlich
Updates verwalten. Und da kann es ein großer Unterschied sein,
ob man z.B. bei erforderlichen Änderungen am Boot-Loader plötzlich
mehrere Installationen berücksichtigen muss.

Dual-Boot ist vermutlich die arbeitsintensivste aller Lösungen.

Wenn irgendwas nicht funktioniert, weil die eine Installation
der anderen Installation irgendwo reingegrätscht hat (das muss
ja keine böse Absicht gewesen sein, sondern das passiert eben
bei der Administration manchmal), dann muss die IT-Abteilung
Zeit fürs Debugging opfern.

Was ist, wenn der Mitarbeiter bis dahin arbeitsunfähig ist?

Der wirtschaftliche Schaden für die Firma kann schon nach
kurzer Zeit so hoch sein, dass es günstiger gewesen wäre,
dem Mitarbeiter ein zweites Notebook zu überlassen zur
privaten Nutzung.
Also ich sehe in Dual-Boot nicht primär einen Sicherheitsvorteil,
eher im Gegenteil, Dual-Boot schwächt das System, weil man weiteren
Spielern vollen Zugriff gewährt, den man nachträglich mühsam wieder
einzuschränken versucht.

Dual-Boot hat eher den Vorteil der sehr klaren Datentrennung,
und der Mitarbeiter kann in seiner privaten Installation auch
eigene Software installieren (z.B. ein Spiel), die vielleicht
nur direkt auf der echten Hardware passabel läuft.
Die leichtgewichtigte Abschottung durch mehrere User-Accounts
ist heutzutage selten geworden. Früher war das gängige Praxis.

Das Sicherheitsniveau ist gut. Man hat eine Datentrennung.
Man kann parallel arbeiten. Man hat viele Freiheiten.

Keine Ahnung, warum das Konzept der Nutzer-Accounts heutzutage
so stiefmütterlich behandelt wird. Nur bei Server-Diensten wird
das hingegen sehr konsequent durchgezogen zur Abschottung. Wenn
es dort sogar als Sicherheitsfeature gilt, warum nicht für die
menschlichen Nutzer? Ich habe keine Antwort.
Gute Nachrichten für Dich, die Technologie existiert, und es gibt
sogar verschiedene Produkte und Sicherheitsansätze. :-)

Man legt einen Virtualisierer drunter (der natürlich von der Firma
verwaltet wird), und *alle* Installationen, egal ob Firmen-OS oder
Privat-OS laufen nur noch virtualisiert. Sehr sicher, sehr gute
Trennung, sehr gut verwaltbar. Keine Installation kann der anderen
in die Quere kommen.

Natürlich ist das wiederum ein zusätzliches und leider auch etwas
komplexeres Setup, um das sich die Firmen-IT kümmern muss. Hier
kann man aber erstmals überhaupt von echter "Sicherheit" reden.
Apple-Hardware ist nicht mein Fachgebiet. Vielleicht gibt es
dort auch so etwas wie "Secure Boot" wie in der Windows-Welt.
Wenn nicht, wird jede Installation jeder anderen Installation
in deren Boot-Vorgang eingreifen können.
Das Ausbrechen aus virtuellen Maschinen ist möglich, aber es
ist durchaus anspruchsvoll. Sowas ist nicht die Art von Malware,
die man sich einfängt, wenn man auf dubiosen Websites surft und
aus Versehen den falschen Link anklickt.

Wäre ich eine Firma, würde ich meine Mitarbeiter lieber in einer
virtuellen Maschine innerhalb des von mir kontrollierten OS sehen
als in ihrer komplett eigenen Dual-Boot-Umgebung.

Für die Firma ist der Support-Aufwand nahezu null. Der Nutzer
kümmert sich um den Virtualisierer und alles darin selbst.
Für die Firma ist das sogar die beste Lösung, weil der Nutzer
sehr viel seltener Malware einschleppt in den Firmen-Bereich.

Vor allem bei technikaffinen Nutzern ist diese Lösung meines
Wissens sehr weit verbreitet.
Für die Firmen-IT ist das eigentlich sogar die ideale Lösung.
Solche Virtualisierer sind teilweise kostenlos bzw. für wenig
Geld zu bekommen.

Bei Apple mag ein Problem sein, ob das Gerät noch auf klassicher
PC-Hardware läuft oder auf den proprietären Apple-Chips. Kann sein,
dass man dort für Virtualisierer eher zahlen muss. Üblicherweise ist
das aber kein nennenswertes Geld, das ist ein Allerweltsfeature.
Der Admin des Geräts kann (leider? zum Glück?) immer in die
privaten Daten und Abläufe reinschauen, wenn er dies wirklich
möchte. Das Gerät gehört der Firma. Die Firma hat die Kontrolle.

Wer solche Befürchtungen hat und seinem Arbeitgeber misstraut,
sollte keine Firmen-IT für Privates verwenden. Der Arbeitgeber
hat nicht nur grundsätzlich das Recht dazu, es ist im Zweifelsfall
sogar seine Pflicht, auch auf die privaten Bereiche zuzugreifen.

Und wenn ein böser Admin im Spiel ist, spielt das Gesetz sowieso
keine Rolle.

Ohne zumindest ein bisschen Vertrauen funktioniert IT nicht. :-)

Grüße, Andreas