News Microsoft-Apps: Maßnahmen für höhere Sicherheit für BYOD in Unternehmen

[mischaef]

Microsoft will die Sicherheit in Unternehmensnetzwerken erhöhen, in denen Mitarbeiter auch eigene Geräte verwenden können. Dazu sollen Administratoren dem Unternehmen zufolge eine Vielzahl neuer Kontrollmöglichkeiten erhalten. Diese sollen gleichzeitig die Sicherheit erhöhen und ein komfortableres Arbeiten ermöglichen.

Zur News: Microsoft-Apps: Maßnahmen für höhere Sicherheit für BYOD in Unternehmen

 

[morb]

Hm… bedeutet das, ich müsste diese Tools auf meinem Gerät installieren?
Damit würden die Firmen-ITs Kontrolle über die privaten Geräte erhalten.

Hm…

 

[16-Bit]

Damit würden die Firmen-ITs Kontrolle über die privaten Geräte erhalten.

Aus meiner Sicht ist das ein klarer Datenschutzverstoß wenn man nicht per BV die private Nutzung vorab auschließt, denn man kann nicht zwischen privaten und geschäftlichen Daten differenzieren ohne sie zu verarbeiten...

 

[Woookie]

Hm… bedeutet das, ich müsste diese Tools auf meinem Gerät installieren?
Damit würden die Firmen-ITs Kontrolle über die privaten Geräte erhalten.

Hm…

Es gibt da potentiell zwei Stufen: Managed Container Apps (was hier beschrieben ist) und Managed Device.
Zu beiden ist i.d.R. auch per Betriebsvereinbarung geklärt, wie das genutzt werden darf und was die IT machen kann.
In beiden Fällen kann die IT z.B. festlegen, was Mindestanforderungen an Sicherheitseinstellungen sind (Komplexität Passwörter, sichere Entsperrmethoden - für App oder Gerät), kann eine Fernlöschung durchführen (entweder für die Container-App oder das gesamte Telefon).
Ein Zugriff auf private Daten ist aber nie möglich, sonst wäre das in Deutschland schlicht auch ein Datenschutzverstoß mit einer Betriebsvereinbarung.
Was bei Android ein Thema sein kann, ist die Deaktivierung des Entwicklermodus oder das die Sicherheitsrichtlinien alternative Stores deaktivieren - was ja ein riesigies Sicherheitsrisiko für Malware ist. Aber als DJI-Kunde oder als Amazon-AppStore-Kunde schaut man dann z.B. in die Röhre.

Die meisten Leute die ich kenne, habe sich eigentlich über die Sicherheitseinstellungen beschwert - Lustigerweise hatten die alle unsichere Entsperrmethoden (wie z.B. 4-Stelliges nummerisches Passwort oder Wischmuster). Damit zeigt man eigentlich schon, dass fast egal ist wer da drauf zugreift - aber beschwert sich

 

[aid0nex]

Gibt es wirklich Mitarbeiter, die BYOD wollen? Für mich ist das nur ein weiterer Versuch der Arbeitgeber, die Kosten auf die Arbeitnehmer zu schieben, indem man nur die günstigsten Basis-Geräte zur Verfügung stellt, um seiner Verpflichtung die Arbeitsmittel zu stellen nachzukommen. Wer dann wirklich den ganzen Tag vernünftig damit arbeiten will, schafft sich mit privaten Mitteln ein eigenes Gerät an. Ich kenne sogar Handwerker, bei denen das ähnlich ist. Schlechtes Werkzeug, schlechte Arbeitskleidung usw. Dann fängt sogar der Azubi an sich die Sachen privat zu besorgen und der Arbeitgeber hat wieder Kohle gespart.

 

[silentdragon95]

BYOD hat im Büro meiner Meinung nach nichts verloren. Ich bin dort ja nicht zum persönlichen Vergnügen, sondern weil ich für meinen Arbeitgeber eine Leistung erbringen soll - und dafür muss mir der Arbeitgeber eben auch das nötige Werkzeug zur Verfügung stellen, ansonsten kann ich das halt nicht.

Ganz abgesehen davon ist das sowohl für die Arbeitgeber als auch für die Arbeitnehmer ein potenzieller Datenschutz-Alptraum, wenn eventuell Firmendaten auf privaten Geräten gespeichert werden und mit persönlichen Daten vermischt sind. Also selbst wenn der AG mit BYOD theoretisch Kosten sparen kann halte ich das in der Praxis für höchst fragwürdig, ob sich das lohnt.

 

[mscn]

Hm… bedeutet das, ich müsste diese Tools auf meinem Gerät installieren?

Genau das ist das Problem daran. "Rootkits" installieren auf dem Privatgerät - damit ist BYOD raus (und nur darum scheint es zu gehen). Jeder Text, der in die Zwischenablage geht, wird erstmal auf "Firmeninhalte" geprüft - wer "will" sowas?

Es gab vor ein paar Tagen den Fall vom privaten Tweet eines Polizisten, der dafür versehentlich den Dienst-Account der Polizei-Stuttgart verwendet hat. Klar muss das verhindert werden.

Aber inwiefern hätte Intune/MDM das verhindern können? Gar nicht.
Denn der MA hätte dann auch versehentlich den "Edge-for-Business" (WTF) (statt dem privaten Browser Edge, FF etc) verwenden können, mit dem gleichen Ergebnis.

Wie sich der "Edge-for-Business" von den bisherigen Arbeitsprofilen unterscheidet, ergibt sich mir auch nicht. Ich nutze das intensiv (Edge Privat, Edge Arbeit und dort mit weiteren Umgebungen für Kunden), sperrt man mir den Unternehmenszugang, ist auch das Arbeitsprofil "weg".

 

[Maggus-Desire]

Gibt es wirklich Mitarbeiter, die BYOD wollen? Für mich ist das nur ein weiterer Versuch der Arbeitgeber, die Kosten auf die Arbeitnehmer zu schieben, indem man nur die günstigsten Basis-Geräte zur Verfügung stellt, um seiner Verpflichtung die Arbeitsmittel zu stellen nachzukommen. Wer dann wirklich den ganzen Tag vernünftig damit arbeiten will, schafft sich mit privaten Mitteln ein eigenes Gerät an. Ich kenne sogar Handwerker, bei denen das ähnlich ist. Schlechtes Werkzeug, schlechte Arbeitskleidung usw. Dann fängt sogar der Azubi an sich die Sachen privat zu besorgen und der Arbeitgeber hat wieder Kohle gespart.

Ja, kenne da einige, die das wollen. Alleine der Gedanke, zwei Handys mit sich rumtragen zu müssen, löst bei manchen Kunden Brechreiz aus. Auf der anderen Seite kenne ich auch genug, die nicht mal einen MFA Client auf ihr Privatgerät installieren wollen, um das Firmen Citrix und der Gleichen verwenden zu können.

 

[Woookie]

Gibt es wirklich Mitarbeiter, die BYOD wollen? Für mich ist das nur ein weiterer Versuch der Arbeitgeber, die Kosten auf die Arbeitnehmer zu schieben, indem man nur die günstigsten Basis-Geräte zur Verfügung stellt, um seiner Verpflichtung die Arbeitsmittel zu stellen nachzukommen.

Das kann man so sehen - und wird sicherlich an etlichen Stellen so gelebt werden.
Ich kenne aber auch die Variante, dass Mitarbeiter normalerweise PC, Laptop etc. gestellt wird, die Mitarbeiter aber den Wunsch haben mindestens den Firmenkalender am privaten Handy zur Verfügung zu haben - eben damit man Privatleben und Arbeitsleben besser abstimmen kann.
Und dafür ist BYOD sinnvoll.
Alternative (wird beim meinem AG leider nicht gelebt): BYOD wie es ursprünglich gedacht war - du bekommst ein Budget, besorgst das Device deiner Wahl und arbeitetst damit.

 

[Augen1337]

Ich nutze BYOD. Sollte dieser Spaß auf mein Gerät kommen und ich damit genötigt werden den Edge zu nutzen, bin ich da raus. Dann arbeite ich lieber mit gestellter (, schlechterer und nicht gewollter) Hardware mit der Software, die ich präferiere. Auf dem Firmenlaptop kann ich auch Firefox, Chrome, etc. verwenden.

Dass ich dann aber auch vortrage, dass die Standard("highend")hardware für meine Zwecke nicht ausreicht, muss der AG dann aushalten. Dann darf er auch etwas tiefer in die Tasche greifen.

@Woookie Ja, aber selbst ohne Budget bekommst du eben die Hardware auf der du gerne arbeitest und du kannst natürlich die Kiste von der Steuer voll absetzen. Ergibt in dem Fall nur Sinn, wenn man sich sowieso eigene Hardware gekauft hätte.

 

[knoxxi]

BYOD ist bei uns absolut untersagt. Jeder Furz wird vom AG gestellt, vom PC über USB Sticks oder USB C Kabel. Völlig egal wie mistig das Zeug ist (looking at you dell Maus und Tastatur). Da wir eh keinen Internet Zugriff haben aus dem Netzwerk (dafür gibt es separate Internet PCs in einem separaten Netzwerk) läuft auch Edge nur für Lokale Dinge. WLAN gibt es ebenfalls nicht.

 

[Weyoun]

Gibt es wirklich Mitarbeiter, die BYOD wollen?

Das kann ich mir nur schwerlich vorstellen.

Für mich ist das nur ein weiterer Versuch der Arbeitgeber, die Kosten auf die Arbeitnehmer zu schieben, indem man nur die günstigsten Basis-Geräte zur Verfügung stellt, um seiner Verpflichtung die Arbeitsmittel zu stellen nachzukommen.

So sieht es wohl aus. Dennoch würde es mir im Traum nicht einfallen, die eigenen Geräte mitzubringen, nur weil die Geräte des Arbeitgebers schnarch langsam sind.

Ergänzung (Gestern um 11:02)

Ja, kenne da einige, die das wollen. Alleine der Gedanke, zwei Handys mit sich rumtragen zu müssen, löst bei manchen Kunden Brechreiz aus.

Wenn der Arbeitgeber will, dass ich zum Beispiel für Rufbereitschaft zur Verfügung stehe, muss er mir ein Dienst-Smartphone stellen. Ich werde ganz sicher nicht auf meinem Privat-Smartphone Schnüffel-Software vom Arbeitgeber installieren (lassen).

 

[Woookie]

@Woookie Ja, aber selbst ohne Budget bekommst du eben die Hardware auf der du gerne arbeitest und du kannst natürlich die Kiste von der Steuer voll absetzen. Ergibt in dem Fall nur Sinn, wenn man sich sowieso eigene Hardware gekauft hätte.

Einige sehen das nicht als Vorteil, ich aber schon. Leider gibts BYOD bei meinem AG nur für Mobilgeräte (Tablet, Smartphone).

Ich verstehe auch nicht, warum hier von einem Root-Kit gesprochen wird - denn man installiert eine Software die über die vorgesehenen Management-Schnittstellen genau das macht, wofür sie vorgesehen ist (z.B. Intune).
Die Behauptung, dass die Zwischenablage gescannt wird ist völliger Quatsch.
Was die IT aber einstellen kann ist, dass z.B. aus Outlook Daten nur in andere verwaltete Apps kopiert werden dürfen. Im Sinne der Data-Loss-Prevention kann man da aber auch nicht wirklich drüber meckern, auch wenn es manchmal nervt.

 

[Weyoun]

Ich kenne aber auch die Variante, dass Mitarbeiter normalerweise PC, Laptop etc. gestellt wird, die Mitarbeiter aber den Wunsch haben mindestens den Firmenkalender am privaten Handy zur Verfügung zu haben - eben damit man Privatleben und Arbeitsleben besser abstimmen kann.

Dafür kann man doch den Firmenlaptop bei sich zu Hause nutzen und bei Bedarf nachschauen. Heute hat doch nahezu jeder Mitarbeiter mit Büroplatz die Möglichkeit, ein oder mehrere Tage die Woche Homeoffice zu machen.

 

[Woookie]

@Weyoun Wenn man den Latop in dem Moment dabei hat, wenn man einen privaten Termin ausmacht. Und "mal eben nachschauen" ist mit einem ausgeschaltetem Windows-PC auch nicht in 10s erledigt, wie am Handy oder Tablet.
Von daher -> Ja, es gibt sicher einen Bedarf über den Laptop hinaus, aber nicht in jedem Fall.
Und als Radfahrer nehm ich meinen Laptop auch nicht jeden Tag mit heim.
Ist sicher auch vom Job abhängig - wenn man >10 Termine am Tag hat, dann hat man die auch nicht mehr alle im Kopf.

 

[Weyoun]

@Woookie
Ganz ehrlich? Ich habe feste Büroarbeitszeiten (Kernarbeitszeit) und ich mache es immer andersherum: Wenn ich während der Arbeitszeit private Termine ausmache, checke ich das mit dem Bürokalender ab und habe somit auch private Blocker im Arbeitskalender. Wenn ich nach Feierabend private Termine ausmache, weiß ich ja in etwa, wie lange ich in der Regel im Büro bin. Und sollte es doch mal Konflikte geben Dienstreise, späte Termine im Büro etc., dann kann ich das am nächsten Arbeitstag immer noch geradebiegen. Nur wegen solcher Kleinigkeiten benötigt man kein "BYOD".

 

[SVΞN]

@mischaef mein Freund: Im Teaser ist dir wohl versehentlich ein „v“ mit reingerutscht.

Liebe Grüße Sven

 

[Ferax]

Aha und sollte der Nutzer lokaler Admin sein bringt das alles dann noch genau wie viel ( nebst allen anderen Risiken)? Ich finde die Idee ja interessant Unternehmen Gerätekosten zu ersparen aber nie im Leben empfehle ich auch nur einem Unternehmen auf diesen Zug aufzuspringen.

 

[WhiteHelix]

Jeder Text, der in die Zwischenablage geht, wird erstmal auf "Firmeninhalte" geprüft - wer "will" sowas?

Wie kommst du darauf?

Darüber hinaus lassen sich Purview und Edge for Business so miteinander kombinieren

Es geht doch schon darum, dass du Zugriff auf Unternehmensdaten eh nur über Edge for Business hast. Wenn du dann in Edge for Business Unternehmenskram in Public ChatGPT ballern willst, sagt der halt nö oder lässt dich gar nicht erst dahin. Ob dann deine Zwischenablage aus Edge for Business auch in anderen Tools aufrufbar ist dürfte dann auch fraglich sein. Grade die Compliance Frage ist für LMM und Businessdaten echt ein Thema, dafür läuft bei uns auch n firmeninterner CoPilot. Zumindest offiziell werden die Daten da nicht zum LLM Training verwendet. Ob das wirklich so ist weiß natürlich trotzdem nur MS.


@Weyoun bin oft genug beim Arzt und mach nen Folgetermin aus, ich hab halt immer das Firmenhandy dabei und schau darüber nach. Ist jetzt absolut kein abwegiges Szenario, die Termine sind halt nunmal zu 99% während der Arbeitszeit

 

[mscn]

Wie kommst du darauf?

Reine Spekulation, wie sonst sollten vertrauliche Nachrichten/Texte NICHT versehentlich im falschen Browserfenster/Social-Media landen?

Es geht doch schon darum, dass du Zugriff auf Unternehmensdaten eh nur über Edge for Business hast.

Das braucht es bisher auch nicht. Für Zugang zu Unternehmensdaten muss ich mich ohnehin am AAD (Entra ID) anmelden. Habe ich diesen Zugang nicht oder wird er gesperrt, gibt es keine Unternehmensdaten mehr für mich.

Ob ich mich damit (wie bisher) in einem Arbeitsprofil am bisherigen Edge anmelde oder ein Edge-Browser mit einem anderen Branding daherkommt (und nur dieser die bestimmte Seite besuchen darf, für die ich OHNEHIN angemeldet sein muss) macht keinen Unterschied.

In den Arbeitsprofilen heute ließen sich auch bestimmte Webseiten sperren aber eben nicht verhindern, dass ich versehentlich mit dem X-Account des Unternehmens poste, statt mit meinem Privaten (weswegen ich den "Scan der Zwischenablage auf sensible Daten" angedeutet habe - nur das wäre effektiv).