"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Mobile Device Management Lösungen

Redphex 08.12.2018 - 13:48 3223 36
Posts

uebi

Here to stay
Registered: Jan 2003
Location: AT
Posts: 1568
Zitat aus einem Post von spunz
Bei den üblichen Systemen hat der Admin/Arbeitgeber keinen Zugriff auf die Positionsdaten. Große Firmen lassen sich dies in Zusammenarbeit mit dem BR auch extern bescheinigen.

ja, hamma. für in "notfälle".

spunz

Super Moderator
tot durch snu-snu
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 10395
Zitat aus einem Post von uebi
ja, hamma. für in "notfälle".

"für Notfälle" ist halt nichts was ein Arbeitsinspektor interessiert. Der Grund muss genau definiert und klar verständlich sein, alles andere wird richtig teuer.

Ein besseres Druckmittel kann man unzufriedenen Mitarbeitern gar nicht in die Hände geben...

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 39977
Zitat aus einem Post von spunz
Grundsätzlich sind MDM Systeme nicht restriktiv, dein Arbeitgeber macht diese Regeln.

Natürlich, obwohl die Voreinstellung schon alles dicht macht. Klar geht's immer um die Einstellung und nicht um das Stück Software.

@uebi
Viele der MDM machen nur einen Container und VPN Tunnel für die Firmenapps.
Wenn ihr frei drehende Admins oder Kontrollfreaks in der Geschäftsführung habt sollte man überlegen ob man da weiter arbeiten mag. Das beschränkt sich ja dann nicht nur aufs Mobiltelefon

uebi

Here to stay
Registered: Jan 2003
Location: AT
Posts: 1568
prinzipiell geht es mir beim mdm net um die einschränkung des gerätes an sich (schließlich isses ein von der firma gestelltes und bezahltes arbeitsmittel, bei dem ich extra keine privatnutzung wollen habe).

aber allein die möglichkeit, dass ich getrackt werden könnte (auch wenn sie es net tun und hoch und heilige versprechen) is mit zu viel.

schließlich hab ich keine einsicht auf das MDM wo ich überprüfen könnte ob wer wissen wollte wo ich bin. ich kann das also nicht mehr kontrollieren.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15165
Gibt bei MDM Lösungen von bis. Hab unterschiedliches gesehen. Es gibt Lösungen die so bescheiden sind dass die User unglücklich sind. Liegt aber wenig an der Auswahl des MDM Produktes sondern vielmehr an der Implementierung. Im besten Fall ist die Security so konzipiert, dass es dem User nicht auffällt und er alles hat was er zum arbeiten benötigt. Wenn es gut implementiert ist wollen die User sogar MDM Lösungen weil es sie enabled Sachen selbständig zu lösen: Stichwort Apple DEP: kauft/bestellt sich das Smartphone und ist automatisch im MDM und erhält alle seine Daten und Zugänge (VPN, wlan inkl. Zertifikate). Mit Android Enterprise sind hier auch ähnliche Lösungen auf allen androids möglich, rollout via QR code, kein google account notwendig udgl.

spunz

Super Moderator
tot durch snu-snu
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 10395
Zitat aus einem Post von uebi
prinzipiell geht es mir beim mdm net um die einschränkung des gerätes an sich (schließlich isses ein von der firma gestelltes und bezahltes arbeitsmittel, bei dem ich extra keine privatnutzung wollen habe).

aber allein die möglichkeit, dass ich getrackt werden könnte (auch wenn sie es net tun und hoch und heilige versprechen) is mit zu viel.

Genau genommen kann ich per MDM diverse Trackinglösungen (nachweisbar) unterbinden. Ohne MDM kann ich dir als Arbeitgeber recht einfach etwas unterschieben und du wirst davon nicht viel mitbekommen. Von daher ist MDM ein Werkzeug was aus Betriebsratssicht absolut unabdingar ist. Grundsätzlich lassen sich derartige Tools natürlich auch umgekehrt nutzen - mit entsprechenden Risiko und v.a. gewaltigen Vertrauensverlust der Mitarbeiter.


Zitat aus einem Post von uebi
schließlich hab ich keine einsicht auf das MDM wo ich überprüfen könnte ob wer wissen wollte wo ich bin. ich kann das also nicht mehr kontrollieren.

Dazu bieten die meisten Hersteller ein Selfservice Frontend an wo die aktivien Features/Regeln/Historie für dein Gerät einsehbar sind.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15165
Tracking durch ein MDM scheint zb. Auch bei iOS in den privacy settings auf. Kann der User auch selbstständig overrulen. Gefährlicher sind da selbst entwickelte Apps, bei denen unklar ist was getrackt wird. bessere MDMs sind da sehr transparent und bieten auch Unterlagen für den Betriebsrat. Auch SIEM Integration ist möglich um notfallstracking außerhalb des Tools protokolliert zu haben.
Es ist auch möglich permissions so zu gestalten, dass beispielsweise nur der Betriebsrat tracken kann - bei 24/7 etwas problematisch, bei 8-18 Service Zeit aber praktisch durchführbar. Diese Notfälle treten aber nur sehr selten ein.

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2309
Oh mann, bei uns wird jetzt auch MDM eingeführt. Aber witzig, nur eine Mail mit "du musst da was installieren und hier ist die Anleitung"
Muss man da nicht ein wenig Beitext mitsenden? Was wird gesichert, getrackt,... "spioniert?"
Wir dürfen die Firmentelefone ausdrücklich auch privat verwenden.

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 4569
Wenn ich das richtig im Kopf habe, muß nur ein Betriebsrat (wenn vorhanden) vorab informiert werden.
Der Mitarbeiter darf zwar während der Privatnutzung (wenn explizit erlaubt) nicht ausspioniert werden, aber ich glaube nicht, dass das Unternehmen proaktiv darüber informieren muß, wie das sichergestellt wird.
D.h. Du müsstest jetzt selbst aktiv werden, und beim Unternehmen nachfragen.
Bei Telefonen ist das jetzt auch nicht das große Thema, weil Du es ja nicht privat nutzen musst (mache ich zB genau wegen MDM nicht). Blöder ist sowas bei Firmenwägen die zB mit GPS Tracker ausgestattet sind, und für die man auch Sachbezug zahlen muß. Da kann man nur der Firma vertrauen, und bei Verdachtsmomenten oder unzureichenden Antworten zum Anwalt gehen.

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2309
BR haben wir nicht.
Ich verstehs eh, dass wir MDM bekommen. Wir sind in der Weltgeschichte verstreut und letzthin zB. mit iOS13 ist die Synchronisation zusammengebrochen. Da versteh ich schon, dass unsere externe IT die Geräte gesammelt verwalten und fernwarten möchten.
Ich selber kann da nicht aktiv werden (bin schon zu oft mit IT-Verbesserungsvorschlägen aufgefallen/abgeblitzt/ausgebremst worden) und verhalt mich da still und rede jemandem anderen ein, dass man sich da mal informieren sollte :D (die externe IT hat mich schon auf unseren internen Ansprechpartner verwiesen)
Mal aussitzen... aktuell hab ich ja eh ein BYOD in Verwendung.
Aber ich will auf keinen Fall mit 2 Geräten rumlaufen!

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15165
Zitat aus einem Post von lagwagon
Oh mann, bei uns wird jetzt auch MDM eingeführt. Aber witzig, nur eine Mail mit "du musst da was installieren und hier ist die Anleitung"
Muss man da nicht ein wenig Beitext mitsenden? Was wird gesichert, getrackt,... "spioniert?"
Wir dürfen die Firmentelefone ausdrücklich auch privat verwenden.

auf ios kannst ansich viel unterbinden.
was du nicht verhindern kannst:
eingebuchtes GSM netz. kann -wenn so konfiguriert- dafür verwendet werden um das land zu bestimmen.
auslesen der installierten apps
auslesen des verwendeten WLANs
IP im wlan

das sind vermutlich die tragischen sachen.
lokalisierung kannst du eh einfach disablen.

mitlesen welche seiten du ansurfst können sie nur, wenn du entweder ein vpn oder ein loopback vpn (zum abgreifen der DNS-requests) hast.
ansich sehr privacy freundlich umgesetzt.

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2309
Ok, bei uns muss jetzt zwingend ManageEngine MDM installiert werden. Bzw. hab ichs jetzt installiert. Einstellungsmöglichkeiten gibt es keine. In den Privacy "Einstellungen" (einstellen kann man ja nichts), sehe ich dass IMEI, Serial No, Device name, Phone No, App Information und Location auf "Collect and display" stehen. Complete wipe ist enabled und Remote view ist User controlled.

Es gibt ein schriftliches Statement, dass die Software nur im Bedarfsfall zum Ermitteln des Standortes der letzten Nutzung und Remote löschen verwendet wird. Trackingdaten werden nicht gespeichert oder zum Spionieren des Privatlebens genutzt.

Soweit so gut, aber trotzdem... kann sich jetzt einer hinsetzen und einfach mal die Daten rausziehen?
Bildschirmzeit, Fotos, Daten aus Apps, Browserverlauf, Telefonbuch aus dem iPhone oder Gmail-Account, Anrufhistorie, uvm...

Ich hätte ein zweites Gerät liegen und sogar eine Ersatz-eSIM und könnte theoretisch sofort beruflich und privat trennen, aber darauf hab ich eigentlich überhaupt keinen Bock. Mich unsicher zu fühlen, dass irgendjemand (sei es von meiner Firma oder unserer externen IT) mein Telefon, wie ein offenes Buch vorliegen hat, ist noch schlimmer. (Nein, ich mach keine dreckigen Sachen am Handy ^^)

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15165
iPhone kannst keinen Browser Verlauf, Bildschirm Zeit etc. auslesen.
Auch Standort Abfrage kann der User mit iOS permissions overrulen. Netzwerk/wlan inkl. IP Adressen werden aber in den Inventar Infos übertragen.
Generell gilt auf iOS dass das MDM nur inventarisieren und Richtlinien pushen darf die dann das iPhone umsetzt. Das MDM ist kein laufender Prozess in dem Sinn sondern eine OS Schnittstelle. Die MDM app selbst ist nur für gewisse Infos und push notifications notwendig. Technisch würde es auch ohne App klappen.

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2309
Das macht alles Sinn was du schreibst.
Auf der anderen Seite, wenn man ein wenig nach den negativen Aspekten von MDM nachgoogelt, kommen die ärgsten Sachen auf. Angefangen vom auslesen privater eMails bis zum Abfangen vom Browserverlauf und Socialmedia Zugängen... (wenn die Verbindung über den Firmenserver passiert)
Das Abfragen des Standortes macht mir da sogar noch weniger Sorgen.
click to enlarge

uebi

Here to stay
Registered: Jan 2003
Location: AT
Posts: 1568
bei uns kommt nun auch mdm (ms intune). heisst das die können meinen standort wirklich nur auslesen bei ios, indem sie das devices vom mdm aus in den managed lost mode setzen -> das würde ich aber sehen und könnte fragen was das soll?

ist es eigentlich möglich daten (wlan und 4g) bei ios komplett abzuschalten im mdm? ich brauch das misthandy nur zum telefonieren und sonst nix, ich will eh keine emails mehr drauf lesen müssen :D
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz