Externe Verwaltung - Was kann sie sehen/"ausspähen"?

jtkrk

Lt. Junior Grade
Registriert
März 2016
Beiträge
408
Hallo zusammen,

ich habe ein Ipad von meinem Arbeitgeber bekommen. Darauf ist eine "Externe Verwaltung" eingerichtet. Bei der Einrichtung gab es einige Hinweise, dass die Externe Verwaltung
  • auf das Ipad zugreifen,
  • E-Mails und Einstellungen konfigurieren,
  • Apps installieren und löschen,
  • das Ipad löschen könne.
Ich würde gerne wissen, ob die Verwaltung auch,
  • sieht, welche Apps ich installiert habe,
  • und auf meine privaten Daten (Dokumente, Bilder, etc.) zugreifen und diese einsehen kann.
Oder unterliegen diese Dinge meinem eigenen Datenschutz?

Ist für mich relevant, weil ich das Ipad in bestimmten Fällen sonst nicht verwenden werde.

Danke im Voraus!
 
alles, was die wollen.
es ist ein administrations-account.
und ein administrator hat zwar ned alle rechte, aber er kann sich alle rechte verschaffen.
 
  • Gefällt mir
Reaktionen: alphatau
Naja es ist ein iPad zum Arbeiten und nicht für privaten Kram.
Je nach MDM Lösung kann er mehr oder weniger sehen.
Welche Apps du installierst hast, kann er sicherlich sehen. Das bietet doch jede MDM Lösung an.
Zweiteres ist auszuschließen, es gibt jedoch immer die Möglichkeit, da du keine Rechte auf dem Device hast.
Aber was haben private Daten auf einem Arbeitsgerät zu suchen? Genau, nichts!
 
  • Gefällt mir
Reaktionen: wesch2000
jtkrk schrieb:
ich habe ein Ipad von meinem Arbeitgeber bekommen.
jtkrk schrieb:
auf meine privaten Daten (Dokumente, Bilder, etc.) zugreifen und diese einsehen kann.
jtkrk schrieb:
Auf einem Gerät deines Arbeitgebers haben keine privaten Daten etwas zu suchen und dazu bitte ich dich die Bedingungen zur Nutzung vom Arbeitgeber zur Verfügung gestellten IT durchzulesen. Gibt es sowas nicht, sollte das aber klar definiert werden, ansonsten würde ich nicht ein Bit privater Daten auf dem Ding lassen.

jtkrk schrieb:
Bei der Einrichtung gab es einige Hinweise, dass die Externe Verwaltung
  • auf das Ipad zugreifen,
  • E-Mails und Einstellungen konfigurieren,
  • Apps installieren und löschen,
  • das Ipad löschen könne.
jtkrk schrieb:
Ich würde gerne wissen, ob die Verwaltung auch,
  • sieht, welche Apps ich installiert habe,
ja siehe punkt 4. Wenn das Programm Apps löschen kann ist es logisch das man auch sieht, welche installiert sind, zumindestens mit der verknüpften Apple ID, wie es mit einer zweiten ist, mit der man Apps herunterlädt kann ich so nicht beurteilen.
jtkrk schrieb:
Ist für mich relevant, weil ich das Ipad in bestimmten Fällen sonst nicht verwenden werde.
Genau, wenn du unsicher bist, solltest du deine IT fragen, ansonsten das Arbeitsgerät für genau das nutzen, für das es gedacht ist: Für die Arbeit.
 
Ich würde dienstliche Geräte auch immer nur für dienstliche Zwecke verwenden.
Ich bin Admin und wir können z. B. nur die Geräte (iPhones) zurücksetzen, aber das kann bei einem anderen Arbeitgeber auch anders ausschauen.
Ich verwende mein Dienst-iPhone auch nur dienstlich und fertig.
Selbst wenn es anders erlaubt ist (z. B. zweite SIM Karte für private Zwecke) würde ich das nie nutzen.
 
  • Gefällt mir
Reaktionen: Harry Bo
Wenn vom Arbeitgeber nicht explizit die private Nutzung erlaubt wurde, sollten da gar keine privaten Daten oder gar Apps drauf.
 
Dienst ist Dienst und Schnaps ist Schnaps. Wenn ein dienstliches Gerät nicht explizit für die private Nutzung freigegeben ist, dann hat private Nutzung da drauf nix zu suchen. Wenn private Nutzung erlaubt ist, dann gibt es idR. dazu eine passende Betriebsvereinbarung oder vergleichbares.
Darin ist geregelt wer was darf. Je nach MDM kann man ggf. sehen welche Apps installiert sind aber nicht was in den Apps an Daten ist. Ein Admin könnte dann theoretisch unerwünschte Apps löschen bzw. die Installation dessen unterbinden.
Aber: Nur weil etwas technisch geht, wird das kaum ein Admin machen denn mit solchen Rechten und Pflichten steht man immer schnell mit einem Bein im Knast. Deshalb hat man abseits von KMUs getrennte Rollen. Ein Admin kann MDM oder Mail oder whatever konfigurieren und administrieren aber Zugriffe werden geloggt, ebenso Zugriff oder Versuch der Manipulation der Logs. Im Verdachtsfall kann dann in Absprache mit dem Betriebsrat, Rechtsabteilung/Compliance in den gesammelten Logs genau nachvollzogen werden, welcher Admin da zu neugierig war.
Wenn du in einer kleinen Klitsche bist mit 1-2 Admins oder schlimmer (Chef ist Admin oder hält sich dafür) und es gibt keine solchen Vereinbarungen dann geh davon aus, dass Zugriff auf das Gerät besteht, egal ob legal oder nicht. Dann ist und bleibt es halt ein Dienstgerät.
 
  • Gefällt mir
Reaktionen: Cordesh und Dr. McCoy
Hallo!

Erst einmal danke für die vielen Antworten. Es geht tatsächlich nicht darum, dass ich das Gerät für richtige private Zwecke nutzen will. Ich bin Lehrer und wir haben iPads bekommen, deren Nutzung jedoch so massiv eingeschränkt ist, dass man kaum noch von Nutzen sprechen kann. Das Problem sehen alle von uns im Kollegium gleich.

Die aktuelle Regelung besagt, dass wir jegliche Daten, egal worum es sich handelt, auf einem separaten Server speichern müssen. Die Bearbeitung darf dann auf dem iPad stattfinden. Danach sollen die Daten wieder gelöscht und die Datei als neue Version im Server gespeichert werden. Das ist schlichtweg nicht praktikabel im Schulbetrieb. Aber um ehrlich zu sein, soll dies hier ja gar nicht diskutiert werden. Ich wollte lediglich dartellen, dass private Daten nicht unbedingt private Zwecke bedeuten muss. Mir geht es um eine praktikable Lösung, die den beruflichen Zweck im Mittelpunkt sieht.

Es geht nun im Wesentlichen darum, ob es sicher ist, z. B. das eigene Google Drive oder ein Programm zum Speichern von Noten (natürlich nicht mit Vollnamen) zu installieren oder ob dann jemand Zugriff auf diese Daten haben könnte.

Wenn ich es richtig verstanden habe, hat @snaxilian ja bereits erklärt, das admins (egal welcher Stufe) keinen Zugriff auf die Daten an sich haben. Das heißt, sie können weder auf mein Google Drive zugreifen und sich Zugriff zu meinem privaten Daten verschaffen noch können sie in mein Programm hinein schauen, um gegebenenfalls Noten einzusehen.

Habe ich das richtig verstanden?

Über weitere Hilfe würde ich mich sehr freuen!

Viele Grüße
Peter
 
jtkrk schrieb:
Es geht nun im Wesentlichen darum, ob es sicher ist, z. B. das eigene Google Drive oder ein Programm zum Speichern von Noten (natürlich nicht mit Vollnamen) zu installieren oder ob dann jemand Zugriff auf diese Daten haben könnte.
Nein, nein und nochmal nein!
Im privaten Google Account haben Daten von Schülern nix zu suchen. Wenn dann beschafft euch als Schule https://edu.google.com/intl/ALL_de/.

Die Anweisung/Idee, aktuelle Daten nicht auf den Endgeräten zu speichern hat seine sinnvollen Gründe. Gerät kaputt? Ersatzgerät in MDM aufnehmen, einloggen, weiter arbeiten. Gerät gestohlen oder liegen gelassen? Siehe kaputt.

Wenn ihr alle damit nicht arbeiten könnt dann sucht das Gespräch. Findet gemeinsam Lösungen. Denkt und handelt gemeinsam anstatt Gegeneinander und drum herum zu pfuschen.
jtkrk schrieb:
Wenn ich es richtig verstanden habe
Nein hast du nicht. Weder kennen wir das verwendete MDM noch dessen Konfiguration. Es ist daher auch möglich "Vollzugriff" auf das Gerät zu haben, vor allem wenn es beispielsweise auch so per Betriebsvereinbarung o.ä. vereinbart ist.
 
  • Gefällt mir
Reaktionen: BalthasarBux, Cordesh und nkler
Hi...
jtkrk schrieb:
[...] ob dann jemand Zugriff auf diese Daten haben könnte.
Mal zum grundlegenden Verständnis etwas "globaler" beschrieben:
Alle Daten, und dazu gehören natürlich auch Zugangsdaten (zu Onlinespeicher, wie bspw. dem GoogleDrive), werden auf dem dazu benutzten Endgerät gespeichert - manchmal zwar nur temporär, aber grundsätzlich wäre natürlich dadurch zumind. rein theoretisch ein Abfluß/eine Entnahme der Daten, egal von wem, möglich.
Daher halt neben dementsprechend optimaler unterstütztem sowie einfacher zu handhabenden Endgerätetausch bei Kompromittierung, Defekt oder Verlust auch dieser von @snaxilian richtigerweise so beharrlich vertretene Hinweis auf strikte Trennung zwischen privaten und allen anderen Daten, zumal priorisiert sowieso die gesetzlichen Datenschutzbestimmungen zu beachten sind.
jtkrk schrieb:
Es geht nun im Wesentlichen darum, ob es sicher ist, z. B. das eigene Google Drive oder ein Programm zum Speichern von Noten (natürlich nicht mit Vollnamen) zu installieren [...]
Klares, eindeutiges NEIN! NIE!

jtkrk schrieb:
[...] deren Nutzung jedoch so massiv eingeschränkt ist, dass man kaum noch von Nutzen sprechen kann.
[...]
Mir geht es um eine praktikable Lösung, die den beruflichen Zweck im Mittelpunkt sieht.
Das ist i. O., aber diese Einschränkung(en) müßt ihr (nötigenfalls mit dem gesamten Kollegium) gegenüber der IT-Betreuung kommunizieren und dann gemeinsam nach für alle beteiligten Parteien praktikablen Lösungen suchen - zielorientierte Kompromisse sind vorprogrammiert.
So lange ist eine, wenn vllt. auch umständlich und wenig praktikabel, dennoch konsequente Befolgung der bestehenden Regelung(en) unabdingbar, um nicht in Kalamitäten zu geraten.​
 
  • Gefällt mir
Reaktionen: snaxilian
jtkrk schrieb:
ass wir jegliche Daten, egal worum es sich handelt, auf einem separaten Server speichern müssen.
Und dazu ist genau welcher Server vorgegeben worden?

jtkrk schrieb:
Es geht nun im Wesentlichen darum, ob es sicher ist, z. B. das eigene Google Drive oder ein Programm zum Speichern von Noten (natürlich nicht mit Vollnamen) zu installieren oder ob dann jemand Zugriff auf diese Daten haben könnte.
Natürlich nicht. Sowas hat in einem "eigenen" (und somit privaten) Account überhaupt nichts zu suchen! Das würde ja im Endeffekt bedeuten, dass jede Lehrkraft irgendwo alles Mögliche speichert, der eine bei diesem Cloud-Dienstleister, der andere bei jenem. Und schon wären sensible Daten unkontrolliert und auf Basis verbreiteter sicherheits- und datenschutztechnischer Unkenntnis der Lehrkräfte willkürlich im Netz verteilt. Katastrophe!

Hier haben die Lehrer/innen in ihrem Verhalten natürlich auch Vorbildfunktion gegenüber ihren Schülern im Umgang mit sensiblen Daten, auch das ist ein wichtiges Element.

jtkrk schrieb:
Das heißt, sie können weder auf mein Google Drive zugreifen und sich Zugriff zu meinem privaten Daten verschaffen
Nochmal: Eine Verknüpfung dieses schulischen Tablets mit einem privaten Account ist der falsche Weg.
 
jtkrk schrieb:
iPads bekommen, deren Nutzung jedoch so massiv eingeschränkt ist, dass man kaum noch von Nutzen sprechen kann
was natürlich zu erwarten war/ist/auch in zukunft zu erwarten ist.
denn eines ist so sicher wie das amen im gebet:
das wird von leuten gemacht, die niemals je in ihrem leben in der praxis mit dem zu tun haben, was sie erzeugen. und so ist es halt gestrickt.
das massivste übel ist, das das auf quasi unzähligen ebenen so funktioniert. und zunehmen nur so.
 
Ja, da habt ihr wohl recht. Also der Tenor hier ist ja eindeutig und genau deshalb habe ich dieses Thema ins Leben gerufen.

Bislang ist gängige Praxis, dass Lehrkräfte zur Unterrichtsvorbereitung von Schulrechnern aus auf ihre Cloud (welche auch immer) zugreifen. Da sprechen wir jetzt nicht von sensiblen Daten, aber dass ein einziger Rechner nun Schnittstelle für so viele Clouds ist, ist sicher auch nicht Sinn der Sache bzw. gewollt. Die Möglichkeit besteht trotzdem und Sperrungen dieser Dienste existieren nicht. Hier ist es zumindest möglich, sich durch konsequentes Ausloggen und Nichtspeichern von Passwörtern auf dem Rechner in einer gewissen Sicherheit zu wägen (auch wenn mir viele von euch jetzt wahrscheinlich aufzeigen werden, dass hier auch keine Sicherheit besteht).

Hinsichtlich des IPads scheint eine andere Ausgangslage vorzuliegen. Ich nehme die hier vertretene Position gerne an, komme aber zu dem Schluss, dass ein Arbeiten so für mich nicht möglich ist. Dann bleibt das Ipad jetzt original verpackt im Schrank liegen, bis sich etwas ändern. Wie @whats4 aufgezeigt hat, ist dies jedoch wahrscheinlich nicht in naher Zukunft zu erwarten. Aber dafür kann ich ja nichts. Dann wird es wohl ein privates Ipad werden, wo diese Datenschutzrichtlinien (ausgenommen sensibler Daten) nicht gelten.

Danke an alle für eure Einschätzungen!
 
jtkrk schrieb:
Ich bin Lehrer und wir haben iPads bekommen, deren Nutzung jedoch so massiv eingeschränkt ist, dass man kaum noch von Nutzen sprechen kann. Das Problem sehen alle von uns im Kollegium gleich.
Und genau das ist doch datenschutzkonform, du kannst am iPad nichts ändern, nur der it-Admin, in deinem Fall das Bundesamt für Schulwesen (oder wie das genau heisst). Das heisst dein iPad ist gesichert gegen mutwillige Änderungen und somit sicherheitstechnisch unbedenklich.
wegen dem emailverkehr würde ich direkt die Institution fragen, bei der du „unterstellt“ bist. Meine Schätzung: Mail werden verschlüsselt und nicht gelesen.
Statt das iPad im Schrank verrotten zu lassen…. Es gibt andere Lehrer die sicher dankbar dafür sind, überhaupt in einer digitalen Form zu unterrichten und die Pfeifen auf „Spionage“ oder „eingeschränkte Nutzung“
Oder verstehe ich deine eigentliche Frage nicht?
 
jtkrk schrieb:
aber dass ein einziger Rechner nun Schnittstelle für so viele Clouds ist
Nur weil du da jetzt nur einen Namen oder Adresse siehst bedeutet dies nicht, dass da nur ein einzelner Rechner sein wird. Solche Redundanzen kann man problemlos bauen ohne dass dies ein Anwender auch nur jemals sehen wird oder davon etwas weiß.

Anstatt dich also konstruktiv an der Lösung des Problems zu beteiligen bockst du lieber herum wie ein Dreijähriger, rührst das dienstliche Gerät nicht an und pfuscht lieber weiter an privaten Lösungen herum wo du als offensichtlicher laienhafter Anwender keine Ahnung vom Thema Datenschutz und Datensicherheit hast, verstehe ich das richtig? Da bist du ja ein tolles Vorbild.
 
  • Gefällt mir
Reaktionen: BalthasarBux und Cordesh
Zurück
Oben