[11.0 Big Sur] Big Sur - Cisco-VPN Systemerweiterung blockiert

[Mitglied 217675]

Hallo liebe Apfelgemeinde,

seit dem Update auf Big Sur habe ich einen Problem mit der VPN-Software Cisco (v. 4.9.00086):
Bei jedem Neustart des Rechners erscheint immer eine Benachrichtig mit der Aufforderung in der Systemeinstellung/Sicherheit die Blockade gegenüber der Cisco-Software aufzuheben. Wenn ich mich dorthin weiterleiten lassen durch den Knopf unten. Ist dort leider keine Option die Software zuzulassen. Ich kann das Fenster also nur schließen. Der Prozess läuft weiterhin.
Die Software, der VPN Aufbau klappt ansich tadellos und keine weiteren Benachrichtigungen tauchen auf.
Nur bei runterfahren des iMac (Ende 2015) erschein das Dialogfeld wieder, als wäre das nie beendet worden.

Ich habe bereits:
- Cisco mehrmals neuinstalliert ➔ Die Installation läuft reibungslos
- Big Sur neuinstalliert
- Den Prozess über die Aktivitätsanzeige zu stoppen ➔ popt immer wieder auf

Ich hoffe, jemand hat einen. Tipp.

Grüße
Der maXim

 

[Wuchtbrumme]

Du hast auf Allow gedrückt? Du hast auf das Schlosssymbol und dann auf Allow gedrückt?
Setzt Du vielleicht den Wacom-Treiber ein, benutzt BTT oder ähnliches, was eine Art von Mauspfeilfeature ist oder greifst gar per Remote auf Deinen Mac zu? Das alles könnte ein Sicherheitsfeature berühren, wo macOS den Druck auf Allow nicht akzeptiert.

Eine weitere Möglichkeit ist die, dass die Software noch nicht Big-Sur-kompatibel ist. Hast Du das geprüft (ich weiß es nicht)?

 

[Mitglied 217675]

@Wuchtbrumme: Danke für die schnelle Antwort!

Das hatte ich vergessen zu erwähnen: Der „Erlauben“ Button existiert nicht! Das ist die wo etwas nicht stimmt. Ob ich die Systemeinstellung vorher oder nachher öffen (alle Kombis schon getestet), nie ist da der Knopf! Deswegen auch immer diese Dialogfeld, denke ich.
Irgendwelche Extras habe ich nicht installiert. Zur Kompatibilität habe ich im Netz nix gefunden, aber die Software macht was sie soll und es kommen keinerlei Fhlermeldungen. Ich weiß also auch nicht welche weiteren Rechte diese benötigen sollte.

 

[froyo52]

Diese VPN-Software verträgt sich noch nicht mit Big Sur. Kann auch anderen Threads im Internet entnommen werden.

 

[Mitglied 217675]

@ froyo52: Danke!

das heißt wohl abwarten und Apfelsaft trinken...

 

[Prof Hase]

Habe gleiches Problem mit Cisco AnyConnect in Version: 4.8.00175
Zusätzlich funktioniert keiner meiner Normal über Apple konfigurierten VPN mehr auf zb. eine FritzBox.
Der Tunnel wird aufgebaut, ich erhalte auch eine IP aus dem Netz aber kann auf nichts zugreifen, PING auf Ressourcen ebenfalls nicht möglich. Auch eine Neuanlage der VPN Konfiguration bringt kein Ergebnis.
Klasse Sache....

 

[ottomane]

Danke für die Info. Wieder ein Grund mehr, Big Sur nicht zu nutzen.

Du hast auf Allow gedrückt? Du hast auf das Schlosssymbol und dann auf Allow gedrückt?

Interessant ist, dass in der Hilfe das Schloss geschlossen ist, der Allow-Button aber freigegeben ist. Das beruhigt ungemein

 

[Wuchtbrumme]

Interessant ist, dass in der Hilfe das Schloss geschlossen ist, der Allow-Button aber freigegeben ist. Das beruhigt ungemein

ich meine, dass es tatsächlich mal so war, dass man nicht entsperren musste, um zu erlauben.

 

[Mitglied 217675]

ich meine, dass es tatsächlich mal so war, dass man nicht entsperren musste, um zu erlauben.

Das absurde bei mir ist, der Allow-Button erscheint gar nicht. Ich kann also noch nicht mal entscheiden!
Und die Software (Cisco) läüftt trotzdem...

 

[Metamorphoser]

Genau das ist der Grund warum bei uns Big Sur noch nicht freigeben ist

 

[ottomane]

Ist es denn schon fertig?

Sorry, musste sein.

 

[thrillseeker]

Cisco AnyConnect, das von zahlreichen Firmen und Hochschulen genutzt wird, ist insgesamt eine extrem gruselige Angelegenheit. Das Programm greift tief ins System ein und erhält weitreichende Kontrolle, nicht nur über die Netzwerkeinstellungen.

Die Software überwacht den gesamten Datenverkehr des Rechners – und zwar nicht nur bei aktiver VPN-Verbindung, sondern auch bei ausgeschaltetem VPN:



Selbst, wenn der AnyConnect-Client noch gar nicht gestartet wurde, laufen bereits diverse Paket- und Contentfilter sowie weitere Hintergrundprozesse und kontrollieren die Netzwerk-Einstellungen des Rechners. (Interessanterweise kann man die in den Screenshots abgebildeten Netzwerk-Komponenten allesamt entfernen, ohne dass die VPN-Funktionalität darunter leidet.)



Über die Komponente Host Scan sammelt das Programm zudem Informationen u.a. über das Betriebssystem (na gut), über installierte Software und über Firewall-Einstellungen und leitet diese ohne Wissen der Nutzer*innen an den Betreiber des VPN-Dienstes weiter.

Ich bin überrascht, dass Datenschützer*innen angesichts dieser Schnüffelei nicht längst Alarm geschlagen haben.

 

[ottomane]

Ich habe den Client installiert, aber diese ganzen Komponenten sind nicht zu sehen. Ich nutze aber noch Catalina. Tauchten die erst mit Big Sur auf?

 

[thrillseeker]

Ich habe den Client installiert, aber diese ganzen Komponenten sind nicht zu sehen. Ich nutze aber noch Catalina. Tauchten die erst mit Big Sur auf?

Ja, genau so ist es: Unter Catalina waren sie nicht zu sehen. Allerdings meldete Little Snitch auch dort schon einzelne Verbindungsversuche des VPN-Hintergrundprozesses zu verschiedenen IPs, obwohl der Client selbst gar nicht gestartet war.

 

[Marcel Bresink]

Ich bin überrascht, dass Datenschützer*innen angesichts dieser Schnüffelei nicht längst Alarm geschlagen haben.

In der Standardsituation, in der VPNs üblicherweise genutzt werden, gehören VPN-Client und VPN-Server der gleichen Partei und die Nutzung von möglicherweise personenbezogenen Daten wird durch Betriebsvereinbarungen geregelt. Es findet also überhaupt kein Transfer von Informationen statt, der für den Datenschutz relevant wäre.

Es gibt natürlich Leute, die per VPN auf freme Anonymisierungsdienste zugreifen, aber dazu werden ja eher selten die proprietären Cisco-Protokolle eingesetzt.

 

[ottomane]

Aber ist es im Interesse des AG, wenn Cisco den AN ausspioniert?

Oder ist es so, dass das Tool die Daten nur dem AG liefert?

 

[Marcel Bresink]

Es war nirgendwo davon die Rede, dass Cisco die Daten bekommen würde. Das Ganze ist als Netzwerk-Management-Funktion gedacht, damit der VPN-Server prüfen kann, ob der VPN-Client bestimmte technische Anforderungen einhält, z.B. dass eine bestimmte Firewall in einer bestimmten Version gemäß den Sicherheitsvorschriften einer Organisation installiert ist.

 

[Balkenende]

Um es juristisch normal verständlich zu machen:

Stufe 1 ist erstmal die Erhebung von Daten.

Das ist hier wie Marcel richtig schreibt der Betreiber des Dienstes. Das ist ja nicht Cisco.

Stufe ist 2 ist die der eventuellen Verarbeitung oder sonstiger Form der Nutzung.

Das spielt sich im Normfall landläufig gesagt also innerhalb der Firma ab.

Das Missverständnis kommt meist daher, dass Erhebung von Daten bei einer Software X mit der Erhebung durch den Anbieter der Software reflexartig gleich gesetzt wird.

 

[ottomane]

Das spielt sich im Normfall landläufig gesagt also innerhalb der Firma ab.

Das verstehe ich ja. Nur traue ich dem VPN-Betreiber zu, dass er nichts von den erweiterten Funktionen weiß bzw. die Dinge nicht ganz so eingestellt sind, wie es erforderlich wäre, um mich und auch die Firma zu schützen.

Dass das Tool tiefgreifende Managementfunktionen braucht, erklärt sich natürlich schon dadurch, dass es ins Routing eingreifen muss.

Ich bin allerdings irritiert, dass offenbar netzrelevante Komponenten auch dann aktiv sind, wenn kein VPN genutzt wird. Hierfür gibt es keinen technischen Grund.

Ich nutze das VPN nur im Ausnahmefall und abgesehen von diesen Zeiten geht es das VPN-betreibende Unternehmen in meinem Fall nichts an, was ich mit dem Rechner mache. Vermutlich ist es in meinem Fall das beste, wenn ich das Tool vom Rechner lösche.

 

[Marcel Bresink]

Ich bin allerdings irritiert, dass offenbar netzrelevante Komponenten auch dann aktiv sind, wenn kein VPN genutzt wird. Hierfür gibt es keinen technischen Grund.

Wenn der Anbieter gezwungen ist, die Funktionalität über Kernel-Erweiterungen bereitzustellen, geht das nicht anders, denn in modernen Versionen von macOS können solche Erweiterungen nicht mehr im laufenden Betrieb geladen werden. Hierzu ist zwingend ein Neustart von macOS erforderlich.