Fernzugriff — Häufig gestellte Fragen

Q: 1. Was ist der Unterschied zwischen dem VPN und dem Browser-Proxy?

Beide erreichen Geräte in einem Anlagennetzwerk, aber auf unterschiedlichen Ebenen. Das VPN stellt eine vollständige Netzwerkverbindung von Ihrem Computer zu den Anlagennetzwerken her, für die Sie berechtigt sind, sodass jedes Protokoll funktioniert (Web, SSH, Modbus, Ihre eigenen Werkzeuge). Der Browser-Proxy ist enger gefasst und stärker kontrolliert: Er öffnet die HTTP- oder HTTPS-Weboberfläche eines bestimmten Geräts in Ihrem Browser, ohne VPN-Client, und erreicht nur die konfigurierten Web-Ziele. Nutzen Sie den Proxy für schnelle Browser-Aufgaben und das VPN, wenn Sie eine echte Netzwerkverbindung benötigen.

Q: 3. Wer kann sich per VPN mit dem Netzwerk meiner Anlage verbinden?

Nur Personen mit Betreiber-Zugriff auf diese Anlage erhalten eine VPN-Route dorthin — direkt auf der Anlage erteilt, über die Organisationsrolle Administrator oder Moderator vererbt oder über eine Kooperation, die die Betreiber-Aufgabe verleiht. Technische Manager, Asset Manager, Betrachter und kaufmännische Rollen erhalten keine VPN-Konnektivität.

Q: 12. Wer kann den Proxy nutzen?

Der Proxy steht einem breiteren Kreis von Rollen offen als das VPN — Betreiber und Technischer Manager auf der Anlage, einschließlich der Organisations-Administratoren und -Moderatoren, die diesen Aufgaben zugeordnet sind, sowie der Kooperationsmitglieder, die sie innehaben; Betrachter werden abgewiesen. Er ist bewusst weiter gefasst als das nur dem Betreiber vorbehaltene VPN, weil der Schadensradius des Browser-Proxys deutlich kleiner ist: Er erreicht nur konfigurierte Geräte-Weboberflächen, niemals das rohe Anlagennetzwerk.

Q: 13. Erfordert der Proxy eine Zwei-Faktor-Authentifizierung?

Ja. Das Öffnen eines Geräts über den Proxy erfordert eine aktive Zwei-Faktor-Authentifizierung (TOTP) für Ihr Konto. Ohne sie verweigert der Proxy das Öffnen eines Geräts, unabhängig von Ihrer Rolle. Das Gerät kann zusätzlich seine eigene Anmeldung erzwingen, sodass es zwei unabhängige Authentifizierungsebenen geben kann.

Q: 9. Wie wird Zugriff entzogen — und wie schnell?

Wenn Ihre Aufgabe entfernt wird, sich Ihre Organisationsmitgliedschaft ändert oder eine Kooperation endet, wird die Anlage innerhalb von Sekunden nach der Berechtigungsänderung aus Ihren erreichbaren Routen entfernt, und der Netzwerkpfad wird kurz darauf abgebaut. Eine periodische Hintergrundprüfung kontrolliert jedes aktive Profil erneut, um jegliche Abweichung zu korrigieren. Dieselbe Berechtigungsänderung entzieht auch den Proxy-Zugriff.

Q: 20. Wird jeder Zugriff protokolliert? Welchen Standard erfüllt das Protokoll?

Ja — sowohl VPN- als auch Proxy-Zugriffe werden automatisch protokolliert. Das Zugriffsprotokoll ist darauf ausgelegt, die Anforderungen des deutschen KRITIS und der EU-NIS2 an die Protokollierung von Fernzugriffen zu erfüllen: Es erfasst, wer sich wann und von wo verbunden hat, welche Anlagen-Subnetze und Geräte erreicht wurden, welche Protokolle und Ports und wie viel Datenverkehr geflossen ist; beim Proxy zeichnet es zusätzlich die Anfrageaktivität auf Web-Ebene auf. Datensätze werden 730 Tage (24 Monate) aufbewahrt und können von Nutzern nicht bearbeitet oder gelöscht werden.

Q: 21. Wer kann das Zugriffsprotokoll einsehen? Kann ich meine eigenen Verbindungen sehen?

Das vollständige Zugriffsprotokoll einer Anlage ist den verantwortlichen Betreibern dieser Anlage vorbehalten — Technischer Manager und höher auf dieser Anlage, einschließlich eingeladener Kooperationstechniker. Der sich verbindende Nutzer kann das Audit-Log des Betreibers nicht einsehen; er kann nur seinen eigenen Verbindungsverlauf in seinem Profil einsehen. Audit-Datensätze können von Nutzern nicht bearbeitet oder gelöscht werden.

Q: 18. Benötigt mein Anlagennetzwerk einen offenen eingehenden Port?

Nein. Der Agent vor Ort wählt sich immer ausgehend in die Mirox-Cloud ein, sodass Ihr Anlagennetzwerk nur ausgehende Konnektivität benötigt. Es wird kein eingehender Port geöffnet, und das Anlagennetzwerk ist nur erreichbar, solange der ausgehende Tunnel des Agents besteht. Das gilt sowohl für das VPN als auch für den Proxy.

Q: 7. Welche Verschlüsselung verwendet das VPN?

Das persönliche VPN verwendet WireGuard mit moderner Kryptografie — Curve25519-Schlüsselaustausch und authentifizierte Verschlüsselung. Ihr privater Schlüssel wird auf Ihrem eigenen Gerät erzeugt und wird von Mirox niemals gespeichert. Der Tunnel ist gesplittet: Nur Datenverkehr, der für private Anlagennetzwerke bestimmt ist, gelangt hinein, während Ihr normaler Internetverkehr auf Ihrer eigenen Verbindung bleibt.

Q: 5. Kann ein externer Techniker Zugriff auf eine meiner Anlagen erhalten?

Ja, über eine Kooperation, und nur unter denselben Regeln wie Ihre eigenen Mitarbeiter: VPN-Zugriff erfordert weiterhin die Betreiber-Aufgabe auf der geteilten Anlage, Proxy-Zugriff erfordert Betreiber oder Technischer Manager. Die Vergabe ist genau auf das beschränkt, was Sie teilen, jede Verbindung wird protokolliert, und Sie können sie jederzeit widerrufen.

Mirox bietet Ihnen zwei Wege, um von überall auf die Geräte eines Anlagennetzwerks zuzugreifen: das VPN, eine vollständige Netzwerkverbindung für jedes Protokoll, und den Browser-Proxy, einen reinen Browser-Pfad zur Weboberfläche eines Geräts. Diese Seite beantwortet die Sicherheitsfragen, die beide aufwerfen — wer sich verbinden darf, wie Zugriff erteilt und entzogen wird, was protokolliert wird und wie der Dienst verfügbar bleibt. Kurz gesagt: Fernzugriff ist eine bewusst gestufte Least-Privilege-Funktion, jede Verbindung wird einer namentlich genannten Person zugeordnet und zur Compliance protokolliert, und Ihr Anlagennetzwerk muss niemals einen eingehenden Port offenlegen. Die vollständigen Funktionsbeschreibungen finden Sie unter VPN und Proxy; die Audit-Details unter Zugriffs-Audit-Logging.

Wahl zwischen VPN und Proxy

1. Was ist der Unterschied zwischen dem VPN und dem Browser-Proxy?

Sie erreichen Anlagengeräte auf zwei unterschiedlichen Ebenen. Das VPN gibt Ihrem Computer eine echte Netzwerkverbindung in die Anlagennetzwerke, für die Sie berechtigt sind — jedes Protokoll funktioniert (die Web-Oberfläche eines Geräts, SSH, Modbus, SNMP oder Ihre eigenen Engineering-Werkzeuge), was leistungsfähig ist, aber bedeutet, dass es die privilegierteste Zugriffsform ist. Der Browser-Proxy ist die bewusst engere, stärker kontrollierte Option: Er öffnet die HTTP- oder HTTPS-Weboberfläche eines bestimmten Geräts direkt in Ihrem Browser, ohne dass ein Client installiert werden muss, und kann nur die Web-Ziele erreichen, die für ein Gerät konfiguriert wurden — niemals beliebige Adressen und Ports im Anlagen-LAN. Wählen Sie den Proxy für alltägliche Browser-Aufgaben; wählen Sie das VPN, wenn Sie wirklich eine Verbindung auf Netzwerkebene benötigen.

2. Welchen sollte ich nutzen, und warum sind sie unterschiedlich beschränkt?

Nutzen Sie den Proxy, wenn die Aufgabe im Browser stattfindet — das Portal eines Wechselrichters, die Oberfläche eines Datenloggers, die Web-Administration eines Switches prüfen. Nutzen Sie das VPN, wenn Sie ein Nicht-Web-Protokoll benötigen oder Ihre eigenen Werkzeuge direkt mit Geräten sprechen sollen. Sie sind bewusst unterschiedlich abgesichert: Das VPN ist nur der Rolle Betreiber vorbehalten, weil ein vollständiger Netzwerk-Tunnel einen großen Schadensradius hat; der Proxy steht einem breiteren Kreis von Rollen offen, weil er immer nur vorab genehmigte Webseiten erreichen kann, sodass der schlimmste Fall weit kleiner ausfällt. Das mächtige Werkzeug eng und das begrenzte Werkzeug offener zu beschränken, ist der Kern des Least-Privilege-Designs.

VPN — Zugriff und Berechtigungen

3. Wer kann sich per VPN mit dem Netzwerk meiner Anlage verbinden?

VPN-Konnektivität wird ausschließlich der Aufgabe Betreiber erteilt — es ist die privilegierteste Stufe des Anlagenzugriffs und die einzige Rolle, die VPN-Routen materialisiert. Eine Person erreicht die Betreiber-Ebene auf eine von drei Arten: durch eine direkte Betreiber-Vergabe auf der konkreten Anlage, durch Vererbung über die Organisationsrolle Administrator oder Moderator (beide werden auf den Anlagen der eigenen Organisation dem Betreiber zugeordnet) oder über eine Kooperation, die die Betreiber-Aufgabe auf einer geteilten Anlage verleiht. Alle darunter — Technischer Manager, Asset Manager (Technisch), Asset Manager (Kaufmännisch), Betrachter, einfache Mitglieder und Gäste — erhalten keine VPN-Route. Dies ist ein bewusst gestuftes Design: Das breite Tagesgeschäft-Publikum erhält niemals einen rohen Netzwerk-Tunnel in die Anlage.

4. Was kann ein Technischer Manager tun, wenn nicht per VPN verbinden?

Ein Technischer Manager erhält keinen Netzwerk-Tunnel, ist aber nicht von der Fernarbeit ausgeschlossen. Er kann den Browser-Proxy nutzen, um die Weboberfläche eines Geräts direkt im Browser zu öffnen, er kann das vollständige Zugriffs-Audit-Log der Anlage einsehen, und auf Organisationsebene kann er Organisations-VPN-Dienste und Anlagenzuweisungen verwalten. Die Aufteilung ist beabsichtigt: Der reine Browser-Proxy hat einen viel kleineren Schadensradius als ein vollständiger Netzwerk-Tunnel und steht daher einem breiteren Kreis von Rollen offen, während die rohe VPN-Route der Betreiber-Ebene vorbehalten bleibt. Siehe das Berechtigungssystem für die vollständige Zuordnung von Rolle zu Aufgabe.

5. Kann ein externer Techniker Zugriff auf eine meiner Anlagen erhalten?

Ja — über eine Kooperation — und unter genau denselben Regeln wie Ihre eigenen Mitarbeiter. VPN-Zugriff erfordert weiterhin, dass die Kooperation der externen Person die Aufgabe Betreiber auf der geteilten Anlage verleiht; Proxy-Zugriff erfordert Betreiber oder Technischer Manager. Keine Kooperation kann mehr vergeben, als Sie zu teilen wählen, jede Verbindung des externen Technikers wird genau wie eine interne im Zugriffs-Audit-Log Ihrer Anlage erfasst, und Sie können die Kooperation jederzeit herabstufen oder widerrufen, was den Zugriff innerhalb von Sekunden entfernt.

VPN — Profile, Schlüssel und Routing

6. Warum erhält jede Person ihr eigenes VPN-Profil statt eines gemeinsamen?

Ein persönliches Profil ist das, was Nachvollziehbarkeit erst möglich macht. Weil jede Verbindung an ein namentlich genanntes Mirox-Konto gebunden ist, kann das Compliance-Audit-Log für jede Sitzung beantworten, „wer sich verbunden hat" — ein gemeinsamer Schlüssel würde das unmöglich machen. Ein persönliches Profil ermöglicht es jedem Nutzer auch, seine eigenen Schlüssel unabhängig zu rotieren oder zu widerrufen, ohne andere zu stören, und es behält die Schlüsselhoheit auf der Nutzerseite: Der private Schlüssel wird auf dem eigenen Gerät des Nutzers erzeugt und wird von Mirox niemals gespeichert. Die Konfiguration wird nur einmal angezeigt, wenn Sie sie erstellen oder rotieren; verlieren Sie sie, rotieren Sie einfach, um eine neue zu erhalten.

7. Welche Verschlüsselung verwendet das VPN?

Das persönliche VPN verwendet WireGuard mit moderner Kryptografie: Curve25519-Schlüsselaustausch und authentifizierte Verschlüsselung. Ihr privater Schlüssel wird auf Ihrem eigenen Gerät erzeugt und verlässt es niemals — Mirox sieht immer nur Ihren öffentlichen Schlüssel. Der Tunnel ist ein Split-Tunnel: Nur Datenverkehr, der für private Anlagennetzwerke bestimmt ist, gelangt hinein, während Ihr gewöhnlicher Internetverkehr (Web, E-Mail, Videoanrufe) auf Ihrer eigenen Verbindung bleibt und niemals durch Mirox läuft. Siehe die Anleitung zur Einrichtung des persönlichen VPN, wie Sie Ihr Profil ausstellen und importieren.

8. Wie erscheinen neue Anlagen in meinem VPN, ohne dass ich etwas neu herunterladen muss?

Ihre Konfigurationsdatei ist für die Lebensdauer Ihres Profils fest — Sie importieren sie nie neu, wenn sich Ihr Zugriff ändert. Was sich bewegt, wird auf der Mirox-Seite gepflegt: Die Menge der Anlagen-Subnetze, die Ihr Profil erreichen darf, wird aus Ihren aktuellen Berechtigungen berechnet und fortlaufend synchron gehalten. In dem Moment, in dem Ihnen Betreiber-Zugriff auf eine neue Anlage erteilt wird, werden die Netzwerke dieser Anlage über Ihren bestehenden Tunnel erreichbar, typischerweise innerhalb von Sekunden, ohne Neuinstallation und ohne Zutun Ihrerseits. Eine Anlage, deren Agent vor Ort noch nicht bereitgestellt ist, wird als „noch nicht erreichbar" angezeigt und geht automatisch live, sobald ihr Agent online ist.

VPN — Widerruf und Isolation

9. Wie wird Zugriff entzogen — und wie schnell?

Wenn Ihr Betreiber-Zugriff endet — weil Ihre Aufgabe entfernt wird, sich Ihre Organisationsmitgliedschaft ändert oder eine Kooperation herabgestuft oder beendet wird — wird die betroffene Anlage innerhalb von Sekunden nach der Berechtigungsänderung aus Ihren erreichbaren Routen entfernt, und der Netzwerkpfad wird beim nächsten Abgleich kurz darauf abgebaut. Eine periodische Hintergrundprüfung kontrolliert unabhängig jedes aktive Profil gegen die aktuellen Berechtigungen und korrigiert jede Route, die nicht mehr existieren sollte, sodass ein einzelnes verpasstes Ereignis den Zugriff nicht offen lassen kann. Dieselbe Berechtigungsänderung entzieht auch Ihren Proxy-Zugriff. Wird Ihr Nutzerkonto gelöscht, stoppt Ihr Fernzugriff innerhalb von Sekunden, während die von Ihnen erzeugte Compliance-Historie für die gesetzliche Aufbewahrungsfrist erhalten bleibt.

10. Wie werden verschiedene Anlagen und Organisationen voneinander isoliert?

Die Verbindung jedes Nutzers ist auf eine isolierte Menge von Routen beschränkt, die ausschließlich aus den eigenen Betreiber-Berechtigungen dieses Nutzers plus jedem ausdrücklich eingeladenen Kooperationsumfang abgeleitet wird. Subnetze, für die Sie nicht berechtigt sind, werden für Sie schlicht niemals geroutet — es gibt keinen Netzwerkpfad von Ihrem Tunnel zu den Anlagennetzwerken einer anderen Organisation, und die Nutzer einer Organisation können die einer anderen nicht sehen. Die Erreichbarkeit ist durchgängig berechtigungsabgeleitet, sodass die Isolation durch das durchgesetzt wird, was geroutet wird, nicht bloß durch das, was in der Oberfläche angezeigt wird.

11. Was passiert, wenn zwei Anlagen denselben internen IP-Bereich verwenden?

Dies wird ausdrücklich behandelt. Wenn zwei Anlagen, die Sie erreichen können, beide denselben lokalen Bereich verwenden (zum Beispiel zwei Anlagen auf 192.168.1.0/24), erkennt das System die Überlappung und markiert sie in Ihrer Routenliste, anstatt zu raten. Sie entscheiden, welche der widersprüchlichen Anlagen für Sie Vorrang hat, sodass es nie eine Mehrdeutigkeit darüber gibt, welches Netzwerk Sie erreichen. Sie können auch eine Route vorübergehend deaktivieren, um die andere zu erreichen, und dann zurückwechseln.

Der Browser-Proxy

12. Wer kann den Proxy nutzen?

Der Proxy steht Betreiber und Technischer Manager auf der Anlage offen — einschließlich der Organisations-Administratoren und -Moderatoren, die diesen Aufgaben zugeordnet sind, sowie der Kooperationsmitglieder, die sie innehaben. Betrachter und kaufmännische Rollen werden abgewiesen. Dies ist bewusst weiter gefasst als das nur dem Betreiber vorbehaltene VPN, aus einem Grund: Der Proxy kann immer nur vorab genehmigte Geräte-Weboberflächen erreichen, sodass selbst im schlimmsten Fall die Exposition weit kleiner ist als bei einem vollständigen Netzwerk-Tunnel. Zu konfigurieren, welche Geräte-Webseiten als Ziele existieren, ist selbst eine Aktion für Technischen Manager und höher.

13. Erfordert der Proxy eine Zwei-Faktor-Authentifizierung?

Ja. Das Öffnen eines Geräts über den Proxy erfordert eine aktive Zwei-Faktor-Authentifizierung (TOTP) für Ihr Konto; ohne sie verweigert der Proxy das Öffnen eines Geräts, unabhängig von Ihrer Rolle. Dies ist strenger als der Rest der Plattform, gerade weil der Proxy ein Pfad zu lebender Technik ist. Zusätzlich zu Ihrer Mirox-Anmeldung und 2FA kann das Gerät selbst seine eigene Anmeldung verlangen, sodass ein Gerät oft durch zwei unabhängige Authentifizierungsebenen geschützt ist.

14. Werden meine Gerätepasswörter gespeichert, und wer kann sie sehen?

Gerätezugangsdaten, die Sie für den Proxy (und für Geräteverbindungsprüfungen) speichern, werden in einem verschlüsselten Zugangsdaten-Tresor gehalten, und der Zugriff zum Eingeben oder Verwenden ist auf Betreiber und Technischer Manager auf der Anlage beschränkt. Sie werden niemals anderen Rollen offengelegt, niemals dem KI-Assistenten gezeigt und niemals in Protokolle geschrieben. Der Proxy übernimmt nur den Transport und die Mirox-seitige Zugriffssteuerung; die eigene Authentifizierung des Geräts bleibt in Kraft.

15. Kann jemand hineingelangen, wenn ich einen Proxy-Link teile?

Nein — eine Proxy-URL ist keine Zugriffsvergabe. Die Adresse für die geproxyte Weboberfläche eines Geräts ist stabil und teilbar, aber jeder, der sie öffnet, muss dennoch bei Mirox angemeldet sein, die Zwei-Faktor-Authentifizierung bestehen und die erforderliche Rolle auf dieser Anlage innehaben. Ein Link allein erreicht nichts; die Berechtigungsprüfung erfolgt bei jeder Anfrage.

Verfügbarkeit und Ausfallsicherheit

16. Wie robust ist der Fernzugriff — was passiert, wenn ein Server oder eine Region ausfällt?

Die Plattform läuft gleichzeitig über mehrere unabhängige europäische Rechenzentrumsregionen, von denen jede den vollständigen Stack betreibt, und innerhalb jeder Region wird der Fernzugriff von mehreren Servern bedient — sodass es keinen Single Point of Failure gibt. Ihre Verbindung hängt sich immer an einen gesunden Einstiegspunkt; wird einer nicht verfügbar, wird sie automatisch gegen einen anderen gesunden Server wiederhergestellt, und Sie müssen nichts neu konfigurieren. In Kombination mit der automatischen Überwachung der Agents vor Ort ist die Architektur darauf ausgelegt, eine Verfügbarkeit von 99,999 % zu liefern.

17. Was hält die Anlagenseite verfügbar?

Der Agent vor Ort jeder Anlage wird von einer Orchestrierungsschicht überwacht, die in einem kurzen Zyklus fortlaufend sowohl seine Existenz als auch seine Einsatzbereitschaft prüft. Fehlt ein Agent, antwortet er nicht mehr oder fällt sein Host aus, wird er automatisch neu gestartet, neu bereitgestellt oder auf einen anderen gesunden Host verlagert — ohne Vor-Ort-Einsatz. Ein Schutzmechanismus stellt sicher, dass derselbe Agent niemals an zwei Orten gleichzeitig läuft. Da der Agent die anlagenseitige Verbindung sowohl für das VPN als auch für den Proxy terminiert, ist es diese Überwachung, die Ihre Anlage erreichbar hält.

18. Benötigt mein Anlagennetzwerk einen offenen eingehenden Port?

Nein. Der Agent vor Ort ist immer die Partei, die sich ausgehend in die Mirox-Cloud einwählt; die Verbindung wird von innerhalb Ihres Anlagennetzwerks aufgebaut. Ihre Firewall benötigt daher nur ausgehende Konnektivität — es wird kein eingehender Port geöffnet, und nichts im öffentlichen Internet kann eine Verbindung in Richtung Ihres Anlagennetzwerks initiieren. Das gilt sowohl für das VPN als auch für den Proxy.

19. Ist der Agent der einzige Weg in mein Anlagennetzwerk?

Ja. Das Anlagennetzwerk wird über die Plattform nur erreichbar, solange der ausgehende Tunnel des Agents vor Ort besteht, und der gesamte autorisierte Datenverkehr — VPN oder Proxy — erreicht die Anlage über diesen Agent. Er ist der einzige Einstiegspunkt und ist auf seine eigene Anlage begrenzt: Er kann keine andere Anlage oder kein anderes Netzwerk erreichen und ist auch kein Pfad in diese.

Audit und Datenschutz

20. Wird jeder Zugriff protokolliert? Welchen Standard erfüllt das Protokoll?

Ja — jede VPN-Verbindung und jede Proxy-Sitzung wird von der Plattform automatisch protokolliert, während der Datenverkehr fließt; Nutzer können nicht beeinflussen, was erfasst wird. Das Zugriffsprotokoll ist darauf ausgelegt, die Anforderungen des deutschen KRITIS und der EU-NIS2 an die Protokollierung von Fernzugriffen zu erfüllen. Für jeden Zugriff erfasst es, wer sich wann und von wo verbunden hat (Quell-IP und geografische Region), welche Anlagen-Subnetze und Geräte erreicht wurden und welche Protokolle und Ports; beim Proxy erfasst es zusätzlich die Web-Anfrageaktivität (das erreichte Gerät, Anfragezahlen und -methoden, Datenvolumen). Datensätze werden standardmäßig 730 Tage (24 Monate) aufbewahrt und dann automatisch gelöscht. Die Tiefe dieses Audits wird vollständig auf der Seite Zugriffs-Audit-Logging behandelt.

21. Wer kann das Zugriffsprotokoll einsehen? Kann ich meine eigenen Verbindungen sehen?

Das vollständige Anlagen-Zugriffsprotokoll ist nur den verantwortlichen Betreibern dieser Anlage sichtbar — Technischer Manager und höher auf der Anlage, einschließlich eingeladener Kooperationstechniker. Der sich verbindende Nutzer sieht das Audit-Log des Betreibers nicht; diese Oberfläche ist der Partei mit der Berichtspflicht vorbehalten. Sie können jedoch Ihren eigenen Verbindungsverlauf aus Ihrem Profil einsehen: wann jede Sitzung begann, aus welcher Region und Quell-IP, der ungefähre Standort und wie viele Daten geflossen sind. Weder Betreiber noch Nutzer können Audit-Datensätze bearbeiten oder löschen — siehe den Abschnitt zu Aufbewahrung und Manipulationssicherheit des Audit-Logs.

22. Sieht Mirox den Inhalt meiner Sitzungen?

Nein. Das Audit erfasst Metadaten — Verbindungen, Endpunkte, Ports, Protokolle, Zeitstempel und Datenverkehrsvolumen sowie welche Geräte-Webseiten eine Proxy-Sitzung berührt hat — nicht den Inhalt dessen, was Sie tun. VPN-Paket-Nutzdaten, die Inhalte von Webseiten, Tastatureingaben und Bildschirmaufnahmen werden bewusst nicht erfasst, weil dies sowohl datenschutzproblematisch als auch für die Compliance-Berichterstattung unnötig wäre. Die Datenschutzgrenze wird ausführlich im Datenschutzabschnitt von Zugriffs-Audit-Logging beschrieben.