Neulich habe ich von einem Bekannten folgende Anfrage erhalten:
Für mein Google-Geschäftskonto auf meinem Handy ist eine Anmeldung und die Installation eines mir unbekannten Sicherheitsprogramms nötig. Beim Installieren poppt folgende Warnung auf. Ist das normal? Soll ich das tatsächlich tun?
Die Warnung macht klar, dass mit «Sicherheitsprogramm» ein Profil bzw. ein Zertifikat gemeint ist, das die entfernte Verwaltung des Telefons möglich macht. Die Beschreibung zum Zertifikat lautet wie folgt:
Der Administrator kann auf deinem iPhone persönliche Daten sammeln, Accounts und Beschränkungen hinzufügen und entfernen, Apps installieren, verwalten und auflisten sowie Daten fernlöschen.
Man spricht in dem Zusammenhang auch von Mobile-Device-Management: Der Administrator im Unternehmen kann geschäftliche Smartphones aus der Ferne verwalten. Und zwar mit ziemlich weitreichenden Folgen: Der Admin darf Sicherheitsrichtlinien durchsetzen und Geräte so abschotten, dass Geschäftsdaten ausreichend sicher sind.
Natürlich leuchtet es ein, dass Unternehmen sicherstellen wollen, dass geschäftliche Daten nicht über unsichere Geräte in falsche Hände gelangen. Ein Passcode zum Beispiel ist natürlich ein absolutes Muss. Und bei einem Smartphone, das vom Unternehmen gestellt wird, wird es bei dieser Frage keine Diskussion geben.
Die Schattenseite von BYOD
Etwas anders sieht es bei privaten Geräten aus: Den Mobiltelefonen, die man als Mitarbeiter selbst gekauft, bezahlt und aufgesetzt hat. Es ist heute bekanntlich sehr oft der Fall, dass die private Hardware auch für den Beruf genutzt wird: Bring your own device nennt sich das. BYOD wird häufig praktiziert und klingt im ersten Moment nach einer praktischen Sache: Als Mitarbeiter erhält man mehr Flexibilität, indem man auch mal schnell am privaten Handy ein Mail beantworten oder in den Teamkalender sehen kann.
Doch soll man deswegen seinem Arbeitgeber erlauben, das private Mobiltelefon zu administrieren? Ich habe dazu eine klare Meinung, und die eingangs erwähnte Anfrage auch unmissverständlich beantwortet: VERFLUCHT NOCH MAL, AUF GAR KEINEN FALL!
Das geht etwas gar weit!
Tschuldigung für den Fluch und den Capslock-Ausrutscher. Aber ich empfinde das als wirklich übergriffig. Denn wenn der Administrator «persönliche Daten sammeln, Accounts und Beschränkungen hinzufügen und entfernen, Apps installieren, verwalten und auflisten sowie Daten fernlöschen» kann, dann hat er Vollzugriff.
Das birgt erstens ein grosses Missbrauchspotenzial. Ein Admin kann einem Mitarbeiter zum privaten Vergnügen hinterherschnüffeln. Ein Missbrauch ist auch in einer Konfliktsituation denkbar. Man stelle sich eine Situation vor, in der ein Mitarbeiter gegen sein Unternehmen klagen will.
Wenn das Unternehmen die Vermutung hat, dass auf dem Smartphone des Mitarbeiters belastendes Material vorhanden ist, wäre die Versuchung, eine Fernlöschung einzuleiten, mit Sicherheit vorhanden – und es bräuchte gute Kontrollmechanismen und eine einwandfreie Ethik bei den Verantwortlichen, um dieser Versuchung zu widerstehen.
Ein Abhängigkeitsverhältnis
Zweitens ist es ein Missverhältnis: Als Mitarbeiter begibt man sich mit seinen privaten Daten in eine Abhängigkeit zu seinem Unternehmen, ohne dass in der Beschreibung des MDM die Rede von Schutzmechanismen wäre: Wie sieht man als Mitarbeiter, welcher Admin im Unternehmen welche Rechte hat, wie er die Zugriffsmöglichkeiten wahrnimmt und wie er kontrolliert wird? Wird man als Mitarbeiter über Änderungen am eigenen Gerät informiert, kann man sich dagegen wehren und sie ggf. rückgängig machen? Wie werden Meinungsverschiedenheiten zu solchen administrativen Massnahmen geschlichtet? Das bleibt alles im Unklaren.
Und drittens gibt es Leute wie mich, die nur in Teilzeit angestellt sind: Müssen die, falls sie für mehrere Unternehmen arbeiten, mehrere solche MDM-Lösungen akzeptieren? Und wie vermeidet man, in Teufels Küche zu kommen, wenn Arbeitgeber A die Möglichkeiten nutzt, um via mein Telefon etwas über Arbeitgeber B in Erfahrung zu bringen? Und selbst wenn das etwas nach Verschwörungstheorie klingt, so möchte ich als Besitzer des Telefons das von vornherein ausschliessen – allein deswegen, weil ich keinen Zweifel daran lasse, dass ich jedem meiner Arbeitgeber die Loyalität und Diskretion zukommen lasse, die er auch erwartet.
Fazit: Man muss sich wundern, dass sich manche Unternehmen das überhaupt getrauen – in Zeiten, wo man gern mit dem Finger auf Unternehmen zeigt, die keinen Respekt vor persönlichen Daten haben. Mir scheint, das müsste gesetzlich reguliert werden.
Das sind die Regeln, die es bräuchte
Und da müssten einige Dinge festgehalten werden:
- Die geschäftliche Nutzung des privaten Smartphones muss auf absoluter Freiwilligkeit basieren und nicht eingefordert werden, auch nicht andeutungsweise oder unterschwellig.
- Es sollte nur das absolut notwendige Minimum an Zugriffsrechten angefordert werden, zum Beispiel die Aktivierung des Passcodes. Über die Notwendigkeit, das Gerät bei Verlust fernzulöschen, kann man diskutieren – aber es muss klar sein, dass das Gerät nur komplett ferngelöscht werden kann, und dass das nur bei Verlust geschehen darf. Im Gegenzug muss der Arbeitgeber eine gute Backup-Lösung für die privaten Inhalte bereitstellen und zum Beispiel die Kosten fürs iCloud-Backup übernehmen.
- Die Berechtigung zur Fernwartung muss jederzeit zurückgezogen werden können. Man muss die Mitarbeiter informieren, wie das geht und dass es keine Sanktionen zur Folge hat.
- Es braucht Kontrollmechanismen und eine klare Information, was auf den Geräten passiert und warum.
- Und der Arbeitgeber muss sich von Anfang an bereiterklären, Schadenersatz zu leisten, wenn versehentlich oder missbräuchliche Zugriffe auf die privaten Telefone der Mitarbeiter erfolgen.
- Und schliesslich müsste man die Bereitschaft der Arbeitnehmer, ihre privaten Geräte bereitzustellen und gewisse Rechte abzutreten, auch finanziell entschädigen. Das würde BYOD auch vom Ruch befreien, dass es vor allem eine simple Sparmethode für die Unternehmen ist.
Sinnvoll wären auch technische Schutzmassnahmen. Apple könnte zum Beispiel bei iOS endlich mehrere Nutzerkonten einführen. Der Nutzer hätte dann die Möglichkeit, auf seinem privaten Mobilgerät ein geschäftliches Konto einzurichten und das vom Arbeitgeber administrieren zu lassen. Wenn sich die MDM-Möglichkeiten nur auf das Geschäftskonto beschränken, bleibt man uneingeschränkter Herr über sein privates Benutzerkonto.
Beitragsbild: Dank MDM in einem Rutsch gelöscht (Gabriel Freytez/Pexels, CC0)
Sehr wichtiges Thema! Was viele Benutzer nicht wissen: Richtet man ein ActiveSync-Konto (also Exchange oder einen ActiveSync-kompatibler Dienst wie Google Business) auf dem Smartphone ein, kann der Admin das Gerät verwalten, ohne dass man eine MDM-Lösung installiert.
Er kann keine Apps installieren oder in die privaten Daten schauen, aber er kann eine Bildschirmsperre erzwingen, die Kamera deaktivieren oder das Gerät fernlöschen. Dies gilt für das ganze Gerät, nicht nur die Geschäfts-E-Mails.
Die Lösung dafür ist, das geschäftliche E-Mail-Konto nicht direkt auf dem Smartphone einzurichten, sondern in einer App wie „Outlook for iOS“. Dann wird beim Fernlöschen nur die App geleert.
Bis Smartphones endlich mehrere Benutzerkonten kennen (was noch lange dauern könnte…), muss ein Arbeitgeber, der MDM will, entweder Geschäfts-Smartphones abgeben oder in eine Lösung wie Citrix Worx investieren. Das ist eine saubere Sache: man hat eine App, in welcher E-Mail-Client, Kalender, Kontakte, Dateimanager etc. vereint sind. Schön getrennt vom privaten Teil. Der Benutzer muss keine Angst haben, dass sein Gerät gelöscht wird und der Arbeitgeber kann jederzeit die geschäftlichen Daten von den Smartphones entfernen.