Debugger

Viele von uns haben die Idee aufgegeben, ein spezielles Arbeitstelefon mit sich herumzutragen. Warum sollte man sich die Mühe machen, wenn man alles, was man braucht, auch auf seinem privaten Smartphone haben kann?

Ein Grund dafür ist, dass Ihr Arbeitskonto Sie im Hintergrund ausspionieren könnte.

Wenn Sie Ihrem Telefon eine berufliche E-Mail-Adresse hinzufügen, werden Sie wahrscheinlich aufgefordert, ein so genanntes Mobile Device Management (MDM)-Profil zu installieren. Die Chancen stehen gut, dass Sie das blind akzeptieren. (Welche andere Wahl haben Sie?) MDM wird von der IT-Abteilung Ihres Unternehmens eingerichtet, um im Hintergrund auf Ihr Telefon zuzugreifen und sicherzustellen, dass Ihr Gerät sicher ist, dass sie wissen, wo es sich befindet, und dass Ihre Daten aus der Ferne gelöscht werden, wenn das Telefon gestohlen wird.

Aus Sicht Ihres Unternehmens gibt es offensichtliche Sicherheitsgründe für die Installation eines MDM auf dem Telefon eines Mitarbeiters. Aber für die Mitarbeiter ist es schwer zu erkennen, was diese unsichtbaren Profile im Hintergrund sammeln, da sie den Mitarbeitern Ihres Unternehmens eine unsichtbare Kontrolle über Ihr Gerät ermöglichen. Aus diesem Grund ist es eine gute Idee, Arbeit und Freizeit zu trennen, wenn es um Ihr Telefon geht, egal wie sehr Sie Ihrer IT-Abteilung vertrauen.

MDM-Profile, gepaart mit Geräteverwaltungs-Tools, ermöglichen es Unternehmen, die Telefone ihrer Mitarbeiter in einem einzigen Dashboard zu überwachen. Sie können Sicherheitsverletzungen oder potenziellen Schaden durch einen unvorsichtigen Mitarbeiter abwenden. Wenn Sie beispielsweise für eine Anwaltskanzlei arbeiten und Ihr Chef befürchtet, dass Sie vertrauliche E-Mails über Ihr Smartphone verschicken, kann er Ihre Daten aus der Ferne löschen. MDM-Profile können Sie auch dazu zwingen, ein langes Passwort auf Ihrem Gerät zu verwenden, anstatt einer einfachen PIN, neben anderen Richtlinien.

Bis das iPhone vor mehr als einem Jahrzehnt auf den Markt kam und Smartphones für die breite Masse brachte, war es üblich, dass Unternehmen einen Firmen-BlackBerry oder Palm Pilot ausgaben, damit ihre Mitarbeiter ihre E-Mails unterwegs abrufen und mehr Arbeit erledigen konnten.

Als das iPhone aufkam, wollten die Mitarbeiter plötzlich ihre schicken neuen Telefone im Büro benutzen und nicht mehr das klobige, von der Firma zur Verfügung gestellte Gerät mit der physischen Tastatur. Sie fügten ihre Arbeits-E-Mails auf ihrem Smartphone hinzu, wenn sie konnten, oder ersannen heimtückische Workarounds, um Zugriff darauf zu erhalten.

MDM-Funktionen gab es schon vorher, aber mit dem Smartphone-Boom wurden sie zu einem zentralen Bestandteil der IT-Richtlinien. Unternehmen ließen ihre Mitarbeiter gerne über ihre eigenen Geräte auf ihre E-Mails zugreifen, was die Kosten für den Kauf separater Arbeitstelefone und Datentarife sparte, aber es bedeutete auch, dass Einzelpersonen, die diese Vereinbarung akzeptierten, die Kontrolle über ihre sensiblen Daten verloren.

Diese Tools gehen blind davon aus, dass die IT-Abteilung und das Management vertrauenswürdig und unfehlbar sind, und sie scheinen nicht zu bedenken, ob ein Missbraucher direkten Zugang zu ihnen haben könnte.

In vielen Fällen gibt MDM den Unternehmen die Möglichkeit, Ihren Standort zu verfolgen und ein Firmen-VPN zu installieren. Das bedeutet, dass sie Ihren Datenverkehr durch ein Netzwerk leiten können, das dem Unternehmen gehört – und wenn sie dieses Netzwerk besitzen, kann das Unternehmen den Datenverkehr darin überwachen und so einen einseitigen Einblick in Ihr Leben gewähren, ohne dass es eine Möglichkeit gibt, zurückzuschauen.

Einige MDM-Tools von Drittanbietern beziehen all dies auf die Mitarbeiterproduktivität. Hexnode zum Beispiel vermarktet sein Tool mit der Aussage, dass „die Leistung der Mitarbeiter durch die Überwachung des Standortberichts dieser Geräte bewertet werden kann“ und dass „die Dauer der an einem bestimmten Standort verbrachten Zeit einen Gesamtüberblick über ihre Leistung gibt.“ Kommt Ihnen das bekannt vor?

Technisch gesehen ist es unter iOS und Android nicht möglich, Standortdaten ohne die Zustimmung des Nutzers zu verfolgen. Lösungen von Drittanbietern können dies jedoch umgehen, indem sie Sie zwingen, eine App zu installieren, die die Verfolgung selbst durchführt, wenn Sie Ihrem Gerät eine Unternehmens-E-Mail-Adresse hinzufügen.

Diese Tools ermöglichen es den Administratoren oft, auch die Nutzung des Telefons auszuspähen, indem sie Anrufprotokolle, SMS-Verläufe und in den extremsten Fällen vollständige Protokolle des Surfens im Internet abrufen. Diese Art der Überwachung können Sie bei einem speziellen Arbeitsgerät erwarten, aber vielleicht nicht bei Ihrem privaten Telefon. Sobald jedoch Ihre Arbeits-E-Mail und MDM installiert sind, ist beides im Wesentlichen dasselbe.

Vertrauen Sie Ihrem Administrator?

Ein bösartiger Akteur in der IT-Abteilung könnte seinen Zugang missbrauchen, um den Standort von Mitarbeitern zu verfolgen oder in das Privatleben von Personen einzudringen, ohne dass diese jemals davon erfahren. Es gibt im Grunde genommen keine Möglichkeit für Sie zu sehen, wer Zugriff auf Ihre Daten hat oder ob sie eingesehen wurden oder nicht. Nur der Administrator hat Zugang zu den Protokollen, die dies zeigen würden, obwohl es sich um Informationen über ein Gerät handelt, das Ihnen gehört.

Im letzten Jahr schrieb die New York Times darüber, wie das Internet der Dinge häusliche Gewalt ermöglicht hat, und es gibt viele Parallelen dazu, wie wenig Rücksicht die IT-Tools der Unternehmen auf die Sicherheit der Nutzer nehmen, die ihrer Überwachung unterworfen sind. Wahrscheinlich haben Sie Verständnis dafür, dass Ihr Chef auf Ihre E-Mails zugreifen kann – wenn auch nur mit echtem Grund -, aber wie wäre es, wenn er jeden Ihrer Schritte auf Abruf verfolgen könnte?

Diese Tools gehen blind davon aus, dass die IT-Abteilung und die Geschäftsleitung vertrauenswürdig und unfehlbar sind, und sie scheinen nicht daran zu denken, dass ein Missbraucher direkten Zugang zu ihnen haben könnte oder dass diese Tools dazu verwendet werden könnten, jemanden innerhalb des Unternehmens zu belästigen.

So ist es eine gute Idee, innezuhalten, wenn Sie eine Arbeits-E-Mail zu Ihrem Gerät hinzufügen und es Sie zur Installation eines MDM-Profils auffordert. Wie können Sie sicher sein, dass angemessene Kontrollen vorhanden sind, um zu verhindern, dass sich jemand Zugang zu Ihrem Gerät verschafft?

Unter Android gibt es Tools, die verhindern, dass die IT-Abteilung auf Ihr Telefon zugreift. Wenn Ihr Administrator es erlaubt, können Sie ein separates „Arbeitsprofil“ erstellen, das Sandbox-Versionen Ihrer Anwendungen enthält, um die Grenze zwischen Privat- und Arbeitsbereich nicht zu verwischen. Das Arbeitsprofil kann dann bei Bedarf deaktiviert und nur bei Bedarf wieder aktiviert werden, was ein Maß an Kontrolle bietet, das iOS noch nicht zulässt.

Für iOS-Nutzer gilt: Wenn eine App mit Ihrer Arbeits-E-Mail installiert werden muss, deaktivieren Sie den Standortzugriff in den Einstellungen, um sie vom GPS abzuschneiden, oder fügen Sie über die Kindersicherung eine „Einschränkung“ hinzu, die den Start der App von vornherein verhindert.

Persönlich würde ich es vorziehen, die Arbeit ganz von meinem privaten Telefon fernzuhalten. Das Beste, was Sie tun können, um sich zu schützen, ist, Ihre beruflichen E-Mails nicht auf Ihrem eigenen Telefon zu speichern und ein von der Arbeit zur Verfügung gestelltes Telefon zu verlangen. Wenigstens ist es heutzutage kein Palm Pilot mehr.