Leserechte MDM-Software

[DRVR_]

Liebes Forum,

ich habe durch einen Arbeitgeberwechsel nun erstmalig ein iPhone, welches auch vom Arbeitgeber verwaltet wird. Bisher gab es immer einfach ein iPhone und ich habe es ganz normal selbst eingerichtet (kein MDM). Ich nutze dieses iPhone auch privat und bin kaum eingeschränkt, es funktioniert so gut wie alles.
Es scheint mir, als wären private und geschäftliche Daten recht gut getrennt. Mich beschäftigt allerdings folgende Frage: Dadurch, dass letztendlich mein Arbeitgeber das Gerät unter Kontrolle hat, wäre es theoretisch möglich, dass auch auf meine privaten Daten zugegriffen werden könnte? Insbesondere Lesezeichen und Verlauf in Safari, iCloud Drive und die Fotomediathek.

Ich weiß, keiner kennt die Einstellungen und die Software, welche für das MDM verwendet wird. Aber eventuell hat ja doch wer halbwegs allgemeingültig Antworten was MDM bei Apple betrifft oder verwaltet selbst Geräte über solch eine Software.

 

[Marcel Bresink]

MDM bedeutet normalerweise nur, dass von einem zentralen Server aus digital unterschriebene Voreinstellungswerte an alle oder bestimmte Geräte geschickt werden. Diese Einstellungen lösen dann entsprechende Funktionen im Betriebssystem aus. Es gibt keine zusätzliche Software, die auf dem Gerät laufen würde. Das heißt mit dem Lesen von Daten hat ein MDM nichts zu tun.

Bedenklich finde ich allerdings, dass iCloud auf dem Gerät genutzt wird. Je nach gespeicherten Daten, Land und Rechtsform des Unternehmens kann das gegen Datenschutzgesetze verstoßen und auch gegen Apples Geschäftsbedingungen.

 

[Scotch]

Dadurch, dass letztendlich mein Arbeitgeber das Gerät unter Kontrolle hat, wäre es theoretisch möglich, dass auch auf meine privaten Daten zugegriffen werden könnte?

Ja.

Es gibt keine zusätzliche Software, die auf dem Gerät laufen würde.

Das ist auch gar nicht nötig - alles in iOS/iPadOS integriert...

Es gibt fundamentale Unterschiede, ob MDM geräte- oder benutzerbasiert konfiguriert wird. Hier ist eine schöne Übersicht, was alles geht. Da kann man ja mal 'drüber nachdenken, was man z.B. als Admin mit "Verwaltung von persönlichen Apps übernehmen" so anfangen könnte. Und ich schätze/fürchte, wenn Apple tatsächliche eigene Modem-Chips hinbekommt, gibt's auch am Ende der Tabelle noch ein paar Häkchen - aktuell kommen sie da an das Meiste systembedingt nicht 'dran.

Mit der Übersicht über die API-Hooks wird's noch deutlicher, was man machen kann (das meiste ist zumindest in der EU natürlich unzulässig).

 

[Wuchtbrumme]

auch zur Ausgangsfrage: ich hatte mir für mich die entsprechenden Artikel z.B. bei heise unter "man wird Gast auf seinem Handy" abgespeichert.

 

[Marcel Bresink]

Ja.

Nein, das stimmt so nicht. Lesemöglichkeiten gibt es nur für systembezogene Daten, wie z.B. Versionsnummern von Softwarekomponenten.

Mit der Übersicht über die API-Hooks wird's noch deutlicher

Nein, das sind keine API-Hooks. Das sind Einstellungsdomänen für Werte in der Einstellungsdatenbank, die ab Werk vorgesehen sind. Administratoren steht es allerdings frei, beliebige weitere Einstellungen im Netz zu verteilen, z.B. für hauseigene Apps.

Das Abgreifen von Daten wäre höchstens über das indirekte Umstellen von Ablageorten machbar, z.B. wenn die URL für den Zugriff auf den CalDAV-Terminkalender fest auf einen hauseigenen Server umgestellt wird.

 

[Scotch]

Das Abgreifen von Daten wäre höchstens über das indirekte Umstellen von Ablageorten machbar, z.B. wenn die URL für den Zugriff auf den CalDAV-Terminkalender fest auf einen hauseigenen Server umgestellt wird.

Da kann man ja mal 'drüber nachdenken, was man z.B. als Admin mit "Verwaltung von persönlichen Apps übernehmen" so anfangen könnte.

Soll ich jetzt noch 'ne Anleitung schreiben?!

 

[senderversteller]

An dieser Stelle scheiden sich die Geister, und deshalb nutze ich mein dienstliches iPhone 13 mini ausschließlich für den Zweck, für den es mir mein AG überlassen hat: zum Arbeiten.
Für alles andere habe ich meine privaten Geräte.

 

[Scotch]

Nein, das stimmt so nicht. Lesemöglichkeiten gibt es nur für systembezogene Daten, wie z.B. Versionsnummern von Softwarekomponenten.

Dann schauen wir mal weiter in die verlinkte Liste und überlegen, was man so mit "Globalen HTTP-Proxy konfigurieren" anfangen könnte.

Aber alles gut, wir haben ja TLS. Völlig zusammenhangslos erwähne ich da mal "VPN immer eingeschaltet“ konfigurieren"...

Macht das eine Firma? Hoffentlich nicht. Aber die Frage war: "(...) wäre es theoretisch möglich, dass auch auf meine privaten Daten zugegriffen werden könnte (...)". Die habe ich bejaht.

 

[DRVR_]

Vielen Dank an alle für die bisherigen Antworten!

Diese Einstellungen lösen dann entsprechende Funktionen im Betriebssystem aus. Es gibt keine zusätzliche Software, die auf dem Gerät laufen würde.

Das ist auch meine Interpretation, allerdings wird bei mir die Installation von bestimmten Apps erzwungen und wenn ich sehe, welche weitreichenden Einstellungen möglich sind, dann stellen sich mir eben die besagten Fragen. Stichwort VPN und Proxy, da komm ich unten noch dazu.

Bedenklich finde ich allerdings, dass iCloud auf dem Gerät genutzt wird. Je nach gespeicherten Daten, Land und Rechtsform des Unternehmens kann das gegen Datenschutzgesetze verstoßen und auch gegen Apples Geschäftsbedingungen.

Wieso das? Es ist nicht möglich, Daten aus bspw. dem geschäftlichen OneDrive in das private iCloud Drive zu verschieben. Auch vom Backup sind geschäftliche Daten ausgenommen. Das kann auch in den Einstellungen eingesehen werden.

Hier ist eine schöne Übersicht, was alles geht. Da kann man ja mal 'drüber nachdenken, was man z.B. als Admin mit "Verwaltung von persönlichen Apps übernehmen" so anfangen könnte.

Danke für die Übersicht, das beruhigt mich schonmal etwas, dass unten die vielen Kreuze sind. Das bedeutet private Mails, Notizen, Kontakte und so weiter sind sicher. Allerdings irritiert mich ebenfalls der Part mit "Verwaltung von persönlichen Apps übernehmen" - was genau ist damit gemeint?

An dieser Stelle scheiden sich die Geister, und deshalb nutze ich mein dienstliches iPhone 13 mini ausschließlich für den Zweck, für den es mir mein AG überlassen hat: zum Arbeiten.
Für alles andere habe ich meine privaten Geräte.

Ich habe das kurz praktiziert, zwei Geräte zu benutzen. Kann jeder machen wie er möchte, aber immer zwei dabei zu haben, ging mir relativ schnell auf die Nerven. Nutze jetzt noch meine private SIM im Firmenhandy, dann hab ich die Kontrolle über 2FA und so weiter, selbst wenn das Gerät plötzlich weg sein sollte.

Dann schauen wir mal weiter in die verlinkte Liste und überlegen, was man so mit "Globalen HTTP-Proxy konfigurieren" anfangen könnte.

Aber alles gut, wir haben ja TLS. Völlig zusammenhangslos erwähne ich da mal "VPN immer eingeschaltet“ konfigurieren"...

Macht das eine Firma? Hoffentlich nicht. Aber die Frage war: "(...) wäre es theoretisch möglich, dass auch auf meine privaten Daten zugegriffen werden könnte (...)". Die habe ich bejaht.

Wann eine Verbindung per VPN hergestellt wird, kann ich ja sogar am iPhone einsehen. Eigentlich nur, wenn Daten aus dem hauseigenen App Store geladen werden. Aber den Proxy kann ich nicht einsehen. Apple schreibt nur, ich solle mich an die Admins meiner Organisation wenden. Eventuell mach ich das auch noch, mir ging es mehr um "Wäre es überhaupt möglich?".
Ich denke natürlich nicht, dass darüber überwacht wird. Es ist ein riesiger Arbeitgeber noch dazu.

 

[Scotch]

Deine Frage war, was theoretisch möglich ist. Theoretisch ist es möglich, einen Proxy festzulegen und allen Traffic über VPN auf diesen zu leiten. Wenn der VPN-Server von deinem Arbeitgeber ist, hat er den Schlüssel für die TLS und kann im Prinzip auf dem Proxy alles mitlesen, was nicht Ende-zu-Ende verschlüsselt ist.

Wenn sowas illegaler Weise gemacht wird - üblicherweise durch phishing und spoofing - nennt man sowas Man-in-the-Middle Angriff. Über MDM lässt sich sowas theoretisch vorkonfigurieren.

Hier ist übrigens die Kurzanleitung von Apple dazu. Einfach mal überlegen, was man an allen Stellen wo Apple extra "to improve user privacy" schreibt auch machen könnte, was ggf. zum gegenteiligen Ergebnis führt (z.B. statt einen sicheren DNS-Server anzugeben einen firmeneigenen der alle Zugriffe loggt usw.).

Um eins klarzustellen: Das funktioniert unter Windows mit Group Policies alles ganz genau so und die Proxy und DNS Spielereien würden auch in einer gemanageden Linux-Umgebung funktionieren. Admins haben immer die Möglichkeit, ihre Macht in gemanagedten Umgebungen zu missbrauchen und tun das i.d.R. natürlich nicht - dafür gibt es Betriebsvereinbarungen, die DSGVO usw.

Aber die Frage war, was theoretisch (technisch) möglich ist.

 

[James Atlick]

Macht das eine Firma? Hoffentlich nicht.

Ich plaudere mal bisschen aus dem Nähkästchen.
Grosse Firma, an die 10000 Mitarbeiter.
Haben es ZWEI mal geschafft, versehentlich alle Smartphones per MDM zu löschen!

Für mich ist darum klar, MDM kommt sicher nicht auf mein iPhone!
Viel zu mächtig! Wenn eine Firma MDM will, soll sie mir halt ein Diensthandy geben.

 

[DRVR_]

@James Atlick Es handelt sich natürlich um ein Diensthandy bei mir, kein BYOD o.ä.
Bedenklich würde mich allerdings auch stimmen, dass das zwei Mal bei euch passiert ist.
Mein iCloud Backup ist an (greift natürlich nur meine privaten Daten ab) und in solch einem Falle wäre meine Hoffnung dann, dass meine privaten Daten auf diese Weise gesichert sind. Egal ob das Handy aus Versehen gelöscht wird, ich freigestellt werde und es sofort abgeben muss oder was auch immer. Durch die eigene SIM habe ich auch die Unabhängigkeit was 2FA und die Erreichbarkeit an sich angeht. Würde in so einem Falle dann einfach los und mir selbst ein iPhone kaufen, simpel gesagt.

 

[James Atlick]

Bedenklich würde mich allerdings auch stimmen, dass das zwei Mal bei euch passiert ist.

Disclaimer: Ist nicht meine Firma, aber 5 meiner Freunde arbeiten dort.
Versehentlich zwei mal Handys löschen, ist deren kleinstes IT Problem

 

[senderversteller]

Abgesehen von der Tatsache, dass der Arbeitgeber (theoretisch und illeaglerweise) mitlesen könnte, kommt für mich der Hauptgrund, nur dienstliche Sachen darauf zu machen: nämlich, dass einem das Dienstgerät von jetzt auf gleich entzogen werden kann - und das auch „virtuell“ aus der Ferne… man weiß ja nie, in welche Situation man (möglicherweise unverschuldet) kommt.

Ich habe mir gerade mal das MDM Profil von meinem Firmenhandy angesehen… naja, ich habe da lieber mein privates iPhone für meinen privaten Kram. Aber das ist Geschmackssache, muss jeder für sich selbst entscheiden.

Ich bleibe dabei: Dienst ist Dienst und Schnaps ist Schnaps.

 

[BenSisko]

Ich habe seit einer Weile ein BYOD iPhone mit einer privaten und einer dienstlichen SIM-Karte. Der Arbeitgeber bekommt mittlerweile auch nur mit den Office 365 Apps die komplette Trennung von dienstlichen und privaten Daten ohne MDM hin.
Selbst innerhalb der einzelnen 365 Apps ist kein Datenaustausch zwischen dienstlichem und privatem Account möglich.

Fühle mich mit der Variante ganz wohl.

 

[DRVR_]

Die Variante wäre mir auch am liebsten. Wird das dann extra vergütet wenn man private Geräte verwendet?

 

[Scotch]

Das hängt ja nun komplett von der Firma ab. Bei uns ist's z.B. dein persönliches Hobby, wenn du mit dem von der Firma ansonsten gestellten Gerät nicht zufrieden bist.

 

[BenSisko]

So ist es bei uns auch. Meine Entscheidung.