ComputerBase Menü
Aktuelles

Microsoft Authenticator App Android

F

FGF111

Newbie
Registriert
Sep. 2023
Beiträge
5
Hallo!

Ich habe eine etwas "komische Frage". Ich habe mir heute auf Betreiben der IT Abteilung meines Arbeitgeber (großes deutsches Unternehmen) die Microsoft Authenticator App auf mein privates Android Smartphone installiert, weil ich sie für die 2-Faktor-Authentifizierung bei Teams und Office benötige.

Nun habe ich folgende Frage: Hat mein Arbeitgeber dadurch Remote-Zugriff auf meine Daten, also kann er die Verzeichnisse auf meinem Handy durchbrowsen oder Aktivitätsprotokolle ziehen oder Telefongespräche mithören, so wie es bei meinem Arbeitslaptop über die Fernwartung theoretisch möglich ist?

Ich habe das kurz recherchiert. In den FAQs zum Authenticator steht:

Registrieren eines Geräts​


F: Bedeutet die Registrierung eines Geräts die Zustimmung für den Zugriff auf das Gerät durch das Unternehmen oder den Dienst?


A: Durch das Registrieren eines Geräts erhält Ihr Gerät Zugriff auf die Dienste Ihrer Organisation, ohne dass Sie Ihrer Organisation erlauben, auf Ihr Gerät zuzugreifen.
Zum Vergrößern anklicken....

Quelle: https://support.microsoft.com/de-de...ator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd
Zum Vergrößern anklicken....

Das würde bedeuten, dass kein Zugriff durch den Arbeitgeber möglich ist.

Ich habe auch im Internet nirgends gefunden, dass die Authenticator-App remote Zugriff zur Fernwartung o.ä. ermöglicht.

Auf meinen Arbeitslaptop hat die IT für die Fernwartung vollen Zugriff, der aber natürlich nur nach Absprache genutzt wird und das ist jedem bekannt. Unsere IT hat mir auch gesagt, dass sie keinen Zugriff auf Daten durch den Authenticator haben. Denen traue ich aber nur soweit über den Weg, wie ich sie werfen kann, weil unsere IT teilweise selbst nicht weiss, was sie tut.

Kritisch gestimmt hat mich nämlich folgender Punkt in den FAQ zum Authenticator (Fett):

F: Welche Daten sammelt und speichert der Authenticator in meinem Auftrag, und wie kann ich diese Daten löschen?


A: Die Authenticator-App erfasst drei Arten von Informationen:


  • Kontoinformationen, die Sie beim Hinzufügen Ihres Kontos angeben. Nach dem Hinzufügen Ihres Kontos werden Ihre Kontodaten je nach den Features, die Sie für das Konto aktivieren, möglicherweise mit der App synchronisiert. Diese Daten werden auf Ihrem Gerät gespeichert und können durch Entfernen Ihres Kontos entfernt werden.
  • Nicht persönlich identifizierbare Nutzungsdaten, z. B. aggregierte Details zum Erfolg oder Misserfolg wichtiger Vorgänge, die verwendet werden, um verringerte Zuverlässigkeit und Fehler zu erkennen. Diese minimalen Daten sind erforderlich, um die App auf dem neuesten Stand und sicher zu halten. Sie müssen die Benachrichtigung über diese Datensammlung akzeptieren, wenn Sie die App zum ersten Mal verwenden.

    Sie können auch die Freigabe zusätzlicher nicht personenbezogener Nutzungsdaten zulassen, indem Sie die Umschaltfläche "Nutzungsdaten" auf der Einstellungsseite der App aktivieren oder die App zum ersten Mal verwenden. Diese Daten ermöglichen es unseren Technikern, die App auf eine Weise zu verbessern, die für Sie wichtig ist. Diese Einstellung kann jederzeit aktiviert oder deaktiviert werden.
  • Diagnoseprotokolldaten, die nur in der App verbleiben, bis Sie im oberen Menü der App Feedback senden auswählen, um Protokolle an Microsoft zu senden. Diese Protokolle können personenbezogene Daten wie E-Mail-Adressen, Serveradressen oder IP-Adressen sowie Gerätedaten enthalten. Dazu zählen z. B. der Gerätename und die Betriebssystemversion. Alle gesammelten personenbezogenen Daten sind auf Informationen beschränkt, die zur Behandlung von App-Problemen erforderlich sind. Sie können diese Protokolldateien jederzeit in der App durchsuchen, um die gesammelten Informationen anzuzeigen. Wenn Sie Ihre Protokolldateien senden, verwenden Die Entwickler der Authenticator-App diese nur zur Behandlung von kundenseitig gemeldeten Problemen.
Zum Vergrößern anklicken....

Kann es sein, dass über so ein Diagnose-Protokoll Beispielsweise persönliche Daten, wie Messenger-Nachrichten abfließen, weil sie in irgendeinem Protokoll oder Speicherdump landen und mein Arbeitgeber oder Microsoft dann darauf Zugriff haben? Ich weiß, dass es das Problem früher bei Windows gab. Dann erhält der Arbeitgeber zwar keinen Zugriff über die Fernwartung auf mein Handy, aber wenn etwas nicht "stimmt" u.U. irgendwelche Diagnoseprotokolle, die Daten aus meinem Privatleben enthalten.

Ich weiß, meine Frage klingt etwas paranoid, aber ich will nur verhindern, dass meine ganze private Kommunikation durch einen doofen Zufall bei meinem Arbeitgeber landet, weil der IT-Support auf mein Handy Zugriff hat. Deshalb frage ich hier lieber nochmal nach.

Auf ein Diensthandy will ich nicht bestehen, weil das meine Kollegen auch nicht tun. Ich habe mir schon überlegt mir einfach ein zweites Handy zu kaufen, aber wenn es geht würde ich das gerne vermeiden.

Es wäre nett, wenn ihr mir hier weiterhelfen könntet.

Danke
FGF111
 
FGF111 schrieb:
Hat mein Arbeitgeber dadurch Remote-Zugriff auf meine Daten, also kann er die Verzeichnisse auf meinem Handy durchbrowsen oder Aktivitätsprotokolle ziehen oder Telefongespräche mithören, so wie es bei meinem Arbeitslaptop über die Fernwartung theoretisch möglich ist?
Zum Vergrößern anklicken....
Nein.

FGF111 schrieb:
Das würde bedeuten, dass kein Zugriff durch den Arbeitgeber möglich ist.
Zum Vergrößern anklicken....
Richtig.
FGF111 schrieb:
Kann es sein, dass über so ein Diagnose-Protokoll Beispielsweise persönliche Daten, wie Messenger-Nachrichten abfließen, weil sie in irgendeinem Protokoll oder Speicherdump landen und mein Arbeitgeber oder Microsoft dann darauf Zugriff haben?
Zum Vergrößern anklicken....
Kann nicht sein.

FGF111 schrieb:
Ich weiß, dass es das Problem früher bei Windows gab.
Zum Vergrößern anklicken....
Wo? Nenne zuverlässige Quellenangaben.


FGF111 schrieb:
aber wenn es geht würde ich das gerne vermeiden.
Zum Vergrößern anklicken....
Klar geht das, fahre deine Paranoia ein wenig runter.

CU
redjack
 
  • Gefällt mir
Reaktionen: aragorn92, Xero261286, Brati23 und eine weitere Person
FGF111 schrieb:
Auf ein Diensthandy will ich nicht bestehen, weil das meine Kollegen auch nicht tun. Ich habe mir schon überlegt mir einfach ein zweites Handy zu kaufen, aber wenn es geht würde ich das gerne vermeiden.
Zum Vergrößern anklicken....
Wir nutzen ebenfalls die App und wir haben (arbeitsbedingt sowieso) Arbeitshandys dafür bekommen. Fände es auch seltsam das als must have vorzugeben, aber die Gerätschaften dafür nicht anzubieten...
 
Danke für die Antwort. Ich wollte nur auf Nummer sicher gehen, weil ich mich mit den "Segnungen" der Computertechnik in letzter Zeit nicht mehr so genau beschäftigt habe.

Ich hab für das Windows-Problem jetzt auf die schnelle keine andere Quelle mehr als Wikipedia, aber vor 10-15 Jahren (oder ist es länger her?) ging das mit den persönlichen Daten in den Windows Fehlerreports mal groß durch die Medien.

Hier der Wiki-Artikel:

https://en.wikipedia.org/wiki/Windows_Error_Reporting

Wikipedia geht nur am Rande drauf ein, aber zu XP Zeiten war es z.B. so, dass sogar Passwörter und alles mögliche andere in Fehlerberichten unverschlüsselt an Microsoft gesendet worden, weil bei einem von Windows diagnostizierten Problem ein Hauptspeicher-Dump erstellt und an Microsoft übertragen wurde und zwar unverschlüsselt. Der Dump enthielt zwar normalerweise nicht den ganzen Haupt-Speicher, aber kann trotzdem persönliche Daten enthalten, wenn man Pech hat. Später (ab Windows 7) sind bei Error-Reports immernoch Daten abgeflossen, aber wenigstens die Übertragung der Absturzprotokolle übers Internet wurde dann verschlüsselt.

Hier der entsprechende Absatz zum Datenschutz bei Windows Error Reports aus der Wikipedia:

Privacy concerns and use by the NSA​

Although Microsoft has made privacy assurances, they acknowledge that personally identifiable information could be contained in the memory and application data compiled in the 100-200 KB "minidumps" that Windows Error Reporting compiles and sends back to Microsoft. They insist that in case personal data is sent to Microsoft, it won't be used to identify users, according to Microsoft's privacy policy.[24][25] But in reporting issues to Microsoft, users need to trust Microsoft's partners as well. About 450 partners have been granted access to the error reporting database to see records related to their device drivers and apps.[26]

Older versions of WER send data without encryption; only WER from Windows 8 uses TLS encryption.[27] In March 2014, Microsoft released an update (KB2929733) for Windows Vista, 7 and Server 2008 that encrypts the first stage of WER.[28]

In December 2013, an independent lab found that WER automatically sends information to Microsoft when a new USB device is plugged to the PC.[27]

According to Der Spiegel, the Microsoft crash reporter has been exploited by NSA's TAO unit to hack into the computers of Mexico's Secretariat of Public Security. According to the same source, Microsoft crash reports are automatically harvested in NSA's XKeyscore database, in order to facilitate such operations.[29]
Zum Vergrößern anklicken....

Und hier noch ein alter Artikel von PC-Mag:

https://www.pcmag.com/news/windows-error-reporting-exposes-your-vulnerabilities

Das Problem war damals, dass bei Abstürzen Auszüge aus dem Hauptspeicher zu Microsoft übertragen wurden und alle Daten die da drin waren unverschlüsselt übers Internet und an Microsoft gingen. Da war ich mir nicht sicher, ob es sowas heute nicht auch noch gibt.
 
Du kannst dafür auch eine andere Authenticator nutzen, wenn du möchtest, deine IT empfiehlt diese nur, außer man kann das bei Azure explizit anfordern, das es diese App sein muss, auf meinem Firmen Smartphone ist z.B. auch Google Auth anstatt Microsoft drauf, auch wenn unsere IT das als bevorzuge App vorschlägt
 
ich arbeite in einem großen, internationalen Konzern in der IT Abteilung.
wer kein Firmen-Handy hat, bekommt einen FIDO Key für die MFA und kann sich dann entscheiden, ob er außerdem noch den MS-Authenticator auf dem privaten Handy nutzen möchte. Tatsächlich entscheiden sich viele Leute für das private Handy, weil es eh immer griffbereit und einfacher zu handhaben ist.

Deine IT Abteilung hat dadurch definitiv KEINEN Zugriff auf deine Daten!
rein theoretisch (das geht dann aber schon ein bisschen in Richtung Verschwörungstheorie ;) ) könnte "man" (mit Hilfe von MS) vielleicht heraus bekommen, wann dein Handy online ist/war. Das ist aber schon das allerschlimmste, was ich mir vorstellen kann und sagt ja nun wirklich nichts aus (wann war dein Handy das letzte Mal komplett offline? Meins im Flieger vor einem 1/4 Jahr...).
 
  • Gefällt mir
Reaktionen: aragorn92 und Brati23
Danke für die Antworten! Dann nutze ich die App auf meinem Handy weiter. FIDO Key wäre vielleicht auch eine Lösung. Ich muss mal fragen, ob unsere IT sowas anbietet.
 
Ich bin auch in einem Großen Konzern in der IT tätig und bitte nerve die IT Kollegen nicht mit deiner Paranoia die haben vermutlich genug um die Ohren mit richtigen IT Problemen
 
  • Gefällt mir
Reaktionen: aragorn92
Also ich nutze eine Drittanbieter App für 2FA für Windows. Soweit ich weis, kann das der Admin auch abstellen, aber dann würde ich Fordern ein Firmenhandy zu bekommen, denn ich habe keinen Google Playstore auf meinem Android ergo keine Möglichkeit die MS App zu installieren.
 
Pyrukar schrieb:
Also ich nutze eine Drittanbieter App für 2FA für Windows.
Zum Vergrößern anklicken....
2FA/MFA ist nicht immer (T)OTP!
die Drittanbieter Apps kannst du eben nur für "einfaches" OTP nutzen.
mit der MS App gibt es darüber hinaus ausgefeiltere Möglichkeiten mit Push-Notification, die "der Admin" einstellen kann.
konkret: die einfachere Variante pusht eine Abfrage, die nur (von einem verifizierten User) bestätigt werden muss. Die nächste Stufe ist, dass man dazu eine Zahl bekommt, die man bei der Bestätigung auswählen muss. Und die höchste (mir bekannte...) Stufe ist: man bekommt eine Zahl und muss die selber eintippen und nicht aus einer 3fach-Vorgabe auswählen).

aber bitte nicht zu sehr auf der (lokalen) IT herum hacken!
es gibt da häufig Vorgaben "von oben", entweder die übergeordnete IT oder anderen Management (am "besten" sind die Firmen, bei denen die armen IT Kollegen Finance unterstellt sind :( ), die haben gar keine Wahl.

am Ende ist das ein Spagat zwischen Sicherheit und "Schikane". Mal ganz ehrlich, wie viele Passworte werden nach "Ausgabe" (letzter Änderung durch Admin, weil vergessen) nicht mehr geändert?
Und wenn wir mal eine Gauß-Kurve aufmalen, wie weit unterscheiden sich die aktuellen Passworte von dem "Start0815" bis maximal "St@rt!2O23"?
wenn ich nicht zu blöd dafür wäre, würde ich hier jetzt gerne eine Abstimmung einfügen, wer sich gerade ertappt fühlt? ;)
Wobei das in solch einem Forum hier wahrscheinlich weniger schlimm ausgehen würde als in der "realen Welt". Es gibt ja auch den typischen "Handwerker" (und das meine ich definitiv nicht abwertend, sondern ganz im Gegenteil wertschätzend!), der den ganzen Tag hart malocht und Abends noch im SAP seine Bedarfe eintippen "darf", der weniger PC affin ist.

Pyrukar schrieb:
Soweit ich weis, kann das der Admin auch abstellen
Zum Vergrößern anklicken....
s.o. oft hat man "lokal" gar nicht die Möglichkeiten, die "nur theoretisch" da sind.
Pyrukar schrieb:
aber dann würde ich Fordern ein Firmenhandy zu bekommen, denn ich habe keinen Google Playstore auf meinem Android ergo keine Möglichkeit die MS App zu installieren.
Zum Vergrößern anklicken....
da könnte man sich jetzt fragen, ob ein "Smartphone", auf dem man über keinen "App-Store" (oder andere Tricks) an den MS-Authenticator kommt, als solches bezeichnet werden darf?!? Das ist ein Telefon aber nicht Smart...
btw.: Handy ist eh so ein "Fachbegriff", für den man außerhalb D-Lands nur ziemlich blöd angeguckt wird.
die Dinger hießen schon früher auf der ganzen Welt nur Cell- oder Mobile-Phones, bevor sie dann "Smart" wurden (mehr als Snake spielen konnten).
 
  • Gefällt mir
Reaktionen: aragorn92
Mickey Mouse schrieb:
da könnte man sich jetzt fragen, ob ein "Smartphone"
Zum Vergrößern anklicken....
Mein Fairphone 2 mit Fairphone Open ist 1. Smart 2. Komplett Open Source und 3. einem vergoogleten Android nicht unterlegen solange man auf Banking apps verzichtet ... und wenn du jetzt ernsthaft einer Open Source Lösung das Smart absprechen möchtest kannst du das zwar gerne tun, das macht dein Argument jedoch nicht Valide.

gruß
Pyrukar
 
Pyrukar schrieb:
Mein Fairphone 2 mit Fairphone Open ist 1. Smart
Zum Vergrößern anklicken....
offensichtlich für den "üblichen Gebrauch" nicht Smart genug!
da kannst du jetzt lamentieren so lange du willst, ist halt so...

das heißt ja nicht, dass man es nicht nutzen kann oder es unsinnig wäre, jeder hat halt andere Ansprüche an den Alltagswert seiner Werkzeuge.

"vergoogelten Android" ist echt klasse ;)
 
Phill__ schrieb:
Ich bin auch in einem Großen Konzern in der IT tätig und bitte nerve die IT Kollegen nicht mit deiner Paranoia die haben vermutlich genug um die Ohren mit richtigen IT Problemen
Zum Vergrößern anklicken....
Keine Sorge. Ich "belästige" die IT nur dann, wenn es notwendig ist. Aber ich frage lieber einmal zu viel, wenn ich mich auf einem Gebiet nicht auskenne, bevor ich etwas kaputt mache oder etwas dummes tue, das ich oder andere später bereuen.
 
Weil ich z.B. Verwaltungsaufgaben machen muss, wie Benutzerkonten und Softwareinstallationen/Lizenzen für Praktikanten und Trainees zu beauftragen und deshalb immer wieder Kontakt gegeben ist und der läuft halt manchmal leider sehr chaotisch.
 
Mickey Mouse schrieb:
offensichtlich für den "üblichen Gebrauch" nicht Smart genug!
Zum Vergrößern anklicken....
okay wie definierst du denn bitte dann Smart genug? Nur weil ich nicht bei Laden A sondern bei Laden B "Einkaufe" ist alles schlecht? ... Das klingt ziemlich hart nach "mimimi" aber wenn du inhaltliche Punkte vorzubringen hast, kannst du das gerne per PM machen, denn hier fürt das nur Off Topic.
 
Wie auch immer. Geschäftlich auf hat auf dem privaten Handy nix verloren. Das gilt in beide Richtungen. Man sollte das schon aus privaten Interessen nicht vermischen. Erst ist es nur diese eine App und auf einmal liest du die Mails auch mit dem privaten Handy usw. Es gibt durchaus Firmen die sich das so wünschen. Andersrum gibt es aber auch MA, die das von sich aus machen, obwohl ein Firmenhandy vorhanden ist... Denn erreichbar biste dann noch besser. Anders als ein Fimenhandy kann man das private schlecht in der Firma lassen.

Ich bin strikt gegen sowas und werde für solche Dinge immer nur das Firmenhandy nutzen. Am Ende musst du das aber selbst entscheiden. Eine Gefahr der persönlichen Daten sehe ich durch das nutzen der App nicht. Verstehe nur nicht, warum du nicht ohnehin eine Authenticator-App auf dem privaten Handy hast. Die braucht man heute eigentlich.
 
.one schrieb:
Wie auch immer. Geschäftlich auf hat auf dem privaten Handy nix verloren. Das gilt in beide Richtungen. Man sollte das schon aus privaten Interessen nicht vermischen.
Zum Vergrößern anklicken....
für mich klingt das ein bisschen danach, als wenn man auch niemals den Schlüssel vom Büro an den privaten Schlüsselbund hängen darf...

.one schrieb:
Ich bin strikt gegen sowas und werde für solche Dinge immer nur das Firmenhandy nutzen.
Zum Vergrößern anklicken....
es hat nicht jeder ein Firmenhandy!
nur so als Beispiel: bei uns lokal arbeiten ca. 500 Leute, 350 AD Accounts, ca. 150 "eigene" PCs und gut 100 Firmen-Handys.
es gibt also ca. 200 Leute, die sich "nur alle Jubeljahre" mal an einem PC anmelden müssen.

aus IT Sicht sind aber genau DIESE 250 Accounts die kritischen, was die Sicherheit angeht und sollten auf jeden Fall per MFA abgesichert werden sollten.

ich stimme zu 100% zu, dass der Arbeitgeber alle Arbeitsmittel zur Verfügung stellen muss. Wenn er MFA verlangt, dann muss er auch das "Werkzeug" für den zweiten Faktor liefern!
nur ist es heute halt so, dass der Microsoft Authenticator die "am einfachsten zu handhabende" Methode ist und (trotzdem) alle (unsere!) Sicherheitsanforderungen erfüllt.
es spricht also für mich(!) absolut gar nichts dagegen, den Authenticator zusätzlich zu z.B. einem Fido Key einzusetzen.
genauso gibt es aber natürlich auch das Gegenteil: z.B. im Prototypen oder Muster-Bereich sind Handys strikt verboten, da muss man sogar etwas anderes haben.

.one schrieb:
Verstehe nur nicht, warum du nicht ohnehin eine Authenticator-App auf dem privaten Handy hast. Die braucht man heute eigentlich.
Zum Vergrößern anklicken....
hatte ich schon versucht zu erklären, "primitives" OTP (wie es die ganzen "Standard" Programme bieten) ist nicht exakt dasselbe wie das, was der MS Authenticator bietet!
 
Mickey Mouse schrieb:
es hat nicht jeder ein Firmenhandy!
Zum Vergrößern anklicken....
Er will aber keins, weil seine Kollegen keins wollen.

Und wen der AG etwas verlangt, muss er es auch selbst finanzieren.


Mickey Mouse schrieb:
als wenn man auch niemals den Schlüssel vom Büro an den privaten Schlüsselbund hängen darf...
Zum Vergrößern anklicken....
Ich habe tatsächlich einen eigenen Schlüsselbund für die Arbeit. Macht aber mehr die Menge aus und ist auch ein schlechter Vergleich.
 
ich war bei uns im betrieb der erste der sich zumindest eine zweite nummer zugelegt hat, bei allen meinen Kollegen hat mein Chef wie selbstferständlich die Private Handynummer mit auf die Visitenkarten drucken lassen. Und ja, die Nummer zahle ich privat ... nicht das die 4€ im Monat mich umbringen würden, aber die Private Nummer ist mMn genau das PRIVAT. Aber ja Firmenhandys gibts bei uns nicht obwohl jeder (abgesehen von Azubis und Praktikanten) auch mit dem Handy geschäftlich telefoniert
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Albert_Wesker
Was spioniert Facebook App am Handy aus
Antworten
6
Aufrufe
721
Madcat69
M
I
App von Handy zu Handy übertragen
Antworten
11
Aufrufe
699
cruse
cruse
micha`
Container / App Locker für Android /
Antworten
12
Aufrufe
416
micha`
micha`
G
Authenticator Backup Speicherort
Antworten
9
Aufrufe
1.112
M@rsupil@mi
M
N
Sehr häufig Abfragefenster beim Start von Outlook (Office 365)
Antworten
2
Aufrufe
566
PatrickS3
PatrickS3

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz