Die häufigsten Fragen während meiner Schulungssitzungen drehen sich um die Privatsphäre von Geräten, insbesondere bei überwachten Geräten. Ein überwachtes Gerät ist ein Gerät, das von einem Unternehmen oder einer Institution an die Mitarbeiter ausgegeben wird und über das ein gewisses Maß an Kontrolle ausgeübt wird, von der Ferninstallation von Updates bis hin zur Erzwingung der Nutzung eines bestimmten Unternehmens-E-Mail-Dienstes oder dem Verhindern, dass Schüler ihr iPad zum Herunterladen von Spielen verwenden.
Wenn ein Unternehmen oder eine Schule hunderte oder tausende von „geliehenen“ Geräten hat, ist es natürlich, dass es diese verwalten, lokalisieren, aktualisieren und im Allgemeinen sicherstellen will, dass sie ordnungsgemäß in der Umgebung funktionieren, für die sie vorgesehen sind. Genauso natürlich ist es, dass die Benutzer dieser Geräte Fragen zur Privatsphäre ihrer Daten haben.
Was ist ein MDM-Gerät?
Ein MDM-Gerät ist ein Gerät, das in das sogenannte Mobile Device Management oder mobile Geräteverwaltung eingeschrieben ist. Eine Plattform, die Apple dem technischen Team eines Unternehmens oder einer Institution zur Verfügung stellt, um die verschiedenen eingeschriebenen Geräte zu verwalten. Damit kann man auf alle gleichzeitig zugreifen, ohne physisch an jedem einzelnen handeln zu müssen.
Überwacht oder nicht überwacht
Das Erste, was man tun sollte, ist zu überprüfen, ob das im MDM registrierte Gerät überwacht wird oder nicht. Ein überwachtes Gerät lässt sich einfach identifizieren: Wenn man die Einstellungen-App öffnet, erscheint oben die Nachricht: „Dieses iPhone wird überwacht und verwaltet von [X]“. Es ist wichtig zu wissen, dass Geräte standardmäßig nicht als überwacht registriert werden. Außerdem müssen Geräte, die nicht überwacht sind, erst vollständig gelöscht und von Grund auf neu konfiguriert werden, um sie als überwachte Geräte zu registrieren.
Warum wird Überwachung gebraucht? Weil es dem Unternehmen oder der Institution mehr Kontrolle über seine Geräte gibt. Mit der Überwachung können Administratoren beispielsweise die Nutzung von AirDrop verhindern, Käufe über den App Store blockieren, Apps aktualisieren oder die Nutzung von Safari filtern.
Wenn das betreffende Gerät überwacht wird, kann man Einstellungen > Allgemein > Profile und Geräteüberwachung öffnen, um genau zu sehen, welche Änderungen (im Vergleich zur Werkskonfiguration) das Unternehmen vorgenommen hat. Obwohl ein überwachtes Gerät für das technische Team des Unternehmens viel zugänglicher ist, ist der Zugriff in beiden Fällen nicht auf die Daten, sondern auf die Fähigkeit, Einschränkungen für das zu setzen, was wir mit dem Gerät tun können.
Kann mein Unternehmen meinen Standort verfolgen?
Die Hauptfrage der Benutzer eines Unternehmens-iPhones. Die Antwort hat drei Teile.
- Wenn wir uns mit dem WLAN des Unternehmens verbinden, kann das technische Team wissen, dass wir dies getan haben und von welchem Zugangspunkt aus.
- Wenn das Unternehmen über Geräteverfolgungsfähigkeiten über Mobilfunknetze verfügt, können sie (genauso wie Telefongesellschaften) das Gerät lokalisieren, wenn es nicht im Flugmodus ist.
- Der Zugriff auf den genauen Standort ist nur möglich, wenn das Gerät in den Verloren-Modus gesetzt wird (und damit unbrauchbar wird), und das ist nur bei überwachten Geräten möglich, genauso wie wir es mit der App Mein iPhone suchen tun würden.
Kann mein Unternehmen meine iMessages lesen?
Nein. SMS und iMessage-Nachrichten sind zu keinem Zeitpunkt für irgendjemanden sichtbar. Es kann die Anzahl der gesendeten oder empfangenen Nachrichten gesehen werden, aber niemals, an wen sie gesendet werden oder deren Inhalt. Es sollte betont werden, dass SMS-Nachrichten (nicht iMessages) über den Anbieter eingeholt werden können, aber das ist etwas, das über Apple oder die Nachrichten-App hinausgeht.
Die Nutzung von Nachrichten kann jedoch vollständig deaktiviert werden. Außerdem sollte beachtet werden, dass, wenn das Unternehmen das Gerät anfordert, es einfach durch Entsperren die gesendeten Nachrichten sehen kann, aber niemals aus der Ferne.
Kann mein Unternehmen meine Fotos in der Fotos-App sehen?
Wie bei iMessage gibt es kein MDM-Protokoll, um irgendwelche Fotos in der Fotos-App (einschließlich der Fotos in iCloud) zu sehen, zu ändern oder zu löschen. Die technische Abteilung kann nur sehen, wie viele Fotos das Gerät enthält oder Funktionen wie Fotos in iCloud deaktivieren (nützlich, wenn ein kostenloses Apple-ID mit einem Speicherlimit von 5GB verwendet wird).
Es sollte bedacht werden, dass Drittanbieter-Apps, die Zugriff auf Fotos anfordern, freien Zugriff auf alle Inhalte sowie deren Standorte haben und damit machen können, was sie wollen.
Kann mein Unternehmen meine E-Mails von meinem persönlichen Konto lesen?
Ob wir Safari oder die Mail-App nutzen, um auf unsere E-Mails zuzugreifen, kann vom technischen Team nachvollzogen werden. Was jedoch empfangen oder gesendet wurde, bleibt unbekannt. In der Mail-App könnte die Möglichkeit, persönliche Konten hinzuzufügen, eingeschränkt sein.
Kann mein Unternehmen mein Gerät fernsteuern?
In iOS oder iPadOS nicht. Auf dem Mac gibt es einige Steuerungsoptionen, aber immer mit einer Vorwarnung, dass das Gerät aus der Ferne gesteuert wird. Auf dem Mac kann das technische Team aggressivere Tools verwenden, um die Maschine zu steuern. Apple bietet keine offizielle API dafür. Als allgemeine Regel gilt, dass wir auf unserem Mac niemals etwas anderes als ein MDM-Profil installieren lassen sollten.
Kann mein Unternehmen den Browserverlauf sehen?
Mit MDM nicht. Es kann nur den Zugriff auf bestimmte Webseiten verhindern. Andererseits kann es die Verwendung eines Unternehmens-VPNs erzwingen, das den Datenverkehr über das Unternehmensnetz überwachen kann.
Mehr Privatsphäre, als es scheint
MDM-Tools sind dafür konzipiert, Geräte zu konfigurieren und zu verwalten, nicht um sie zu kontrollieren oder auf die darauf gespeicherten Daten zuzugreifen. Apple hat stets die Privatsphäre der Nutzer geachtet und setzt dies fort, was sich auch im Design seiner MDM-Tools widerspiegelt.
Bei iOS sind die MDM-Richtlinien strenger, was durch das geschlossene Ökosystem bedingt ist. Dies sorgt für eine konsequente Einhaltung der Datenschutzstandards.
Im Gegensatz dazu bietet der Mac größere Flexibilität. Die Möglichkeit, jede beliebige Anwendung zu installieren oder Systemänderungen vorzunehmen, erlaubt den Einsatz inoffizieller Tools, die nicht unbedingt den Datenschutzrichtlinien von Apple folgen.
Es ist wichtig, alle persönlichen Konten, die auf dem Gerät verwendet wurden, vor der Übergabe zur Reparatur oder Rückgabe an die technische Abteilung zu entfernen. Nachdem dies erledigt ist und in Anbetracht all dessen, was wir erörtert haben, können wir beruhigt sein: Unsere Privatsphäre ist umfassender geschützt, als es zunächst den Anschein haben mag.
