nachgefragt
Goto Top

Gefahren durch Nutzung von EOL Smartphones (end of life support)

Hallo Administratoren,

weil Freitag ist erlaube ich mir die Frage (brainstorming):

  • Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, welches keine Software- und/oder vor allem Sicherheitsupdates mehr bekommen?
  • Hattet ihr damit schon Probleme in der Praxis?
  • Natürlich muss ich ein Smartphone nicht direkt entsorgen, nur weil es keine Updates mehr bekommt, aber...?
  • Wie geht ihr mit den Geräten um?

Ausgangslage sind u.a. Benutzer, welche ihr Smartphone privat und/oder beruflich (BYOD) nutzen (dürfen).

Vielen Dank und schönes Wochenende.

Content-ID: 1418324000

Url: https://administrator.de/contentid/1418324000

Printed on: October 4, 2024 at 01:10 o'clock

Doskias
Solution Doskias Oct 22, 2021 at 09:43:41 (UTC)
Goto Top
Moin,

grade bei BYOD zur beruflichen Nutzung sollte man aufpassen. Laut DSGVO ist man verpflichtet aktuelle Software verwenden. Wenn ich jetzt den Patch nicht direkt am Erscheinungstag einspiele mag das Ok sein, wenn ich ein halbes Jahr keine Updates installiere ist das schon kritisch. Wenn ich aber EOL-Geräte nutze und dadurch einen Datenschutzverstoß (und sei es nur als Einfallstor) entsteht, dann war/ist das handeln grob fahrlässig mit den entsprechenden juristischen Konsequenzen. Aus Erfahrung weiß ich, dass man sich gegen die Kosten einen DSGVO-Verstoßes versichern kann. Bei EOL-Geräten zahlt die Versicherung dann aber wg. grober Fahrlässigkeit nicht mehr.

Bei BYOD sollte man sich immer überlegen ob man das will. Der Wille sollte beidseitig da sein. Meist ist BYOD reine Bequemlichkeit. ich bin an der Stelle gerne für eine klare Trennung zwischen beruflichen und privatem Gerät. Ich hab gerne die Kontrolle über Geräte in meinem Netzwerk, grade aus dem Sicherheits-Aspekt. Und dann kommen noch so fragen hinzu in die Richtung: Will ich wirklich, dass meine Anwender Firmeninternes auf dem privaten Handy haben?

Ansonsten trenne dich einfach von der Differenzierung zwischen PC und Smartphone. Würdest du einen Rechner im Netzwerk betreiben, der seit 2 Jahren keine Updates mehr bekommt? Wenn ja, welche Gründe gibt es dafür? Wenn nein, warum nicht. Die gleiche Messlatte kannst du für Smartphones anlegen. Wenn es bestimmte APPs gibt, die Unverzichtbar sind und nicht auf neueren Versionen laufen, wird es kein Weg vorbei geben. Aber aus reiner Bequemlichkeit und Kostengründen würde ich keine EOL-Gerät (egal ob Smartphone oder PC) in meinem Firmennetzwerk dulden.

Gruß
Doskias
nachgefragt
nachgefragt Oct 22, 2021 updated at 10:06:15 (UTC)
Goto Top
Zitat von @Doskias:
Laut DSGVO ist man verpflichtet aktuelle Software verwenden.
Danke, im Hinterkopf dazu habe ich "Stand der Technik".
Bei BYOD sollte man sich immer überlegen ob man das will.
Ob oder ob nicht soll hier gar nicht Thema sein, ich wollte nur die Option einbringen (ich persönlich würde es meiden).
Ansonsten trenne dich einfach von der Differenzierung zwischen PC und Smartphone.
So ist auch mein Ansatz.
Aber aus reiner Bequemlichkeit und Kostengründen würde ich keine EOL-Gerät (egal ob Smartphone oder PC) in meinem Firmennetzwerk dulden.
Danke für deinen Beitrag.
Doskias
Doskias Oct 22, 2021 at 10:13:18 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @Doskias:
Laut DSGVO ist man verpflichtet aktuelle Software verwenden.
Danke, im Hinterkopf dazu habe ich "Stand der Technik".
Ja genau.
von https://www.datenschutz-praxis.de/grundlagen/stand-der-technik/
In In Artikel 32 (Sicherheit der Verarbeitung) ist zu lesen „Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Bei BYOD sollte man sich immer überlegen ob man das will.
Ob oder ob nicht soll hier gar nicht Thema sein, ich wollte nur die Option einbringen (ich persönlich würde es meiden).
Naja es geht dabei ja nicht nur um das Ob. ich persönlich würde zum Beispiel bei einem BYOD auch darauf pochen, dass dort unsere IT-Sicherheitsrichtlinien gelten. Sprich: Ich definiere welcher Virenscanner drauf kommt und es wird keine SW ohne Rücksprache mit der IT installiert und es werden (je nach Wichtigkeit der Person) regelmäßig Offline-Backups im Firmennetzwerk von der IT gemacht. Darauf muss der User sich auch einlassen wollen. Wenn nicht, dann leibt sein Gerät halt fern meines Netzwerkes ;). Du kannst niemanden verpflichten mit seinem eigenem Gerät zu arbeiten. Es nur ein Anbieten, aber dann zu meinen Bedingungen. face-wink. Genau so, wie wenn ich erlaube das dienstliche Gerät privat zu nutzen. Dann auch nur zu meinen Bedingungen. Letzteres lehne ich übrigens ab.

Danke für deinen Beitrag.
Gerne. Schönes Wochenende dann.
148656
148656 Oct 22, 2021 updated at 10:27:45 (UTC)
Goto Top
Zitat von @Doskias:
Sprich: Ich definiere welcher Virenscanner drauf kommt und es wird keine SW ohne Rücksprache mit der IT installiert und es werden (je nach Wichtigkeit der Person) regelmäßig Offline-Backups im Firmennetzwerk von der IT gemacht. Darauf muss der User sich auch einlassen

Und schon hast du die A-Karte.
Du hast in deinem Firmennetzwerk sehr persönliche Daten. Von Kinderfotos in der Badewanne (§184b StGB) bishin zu Kontakdaten, die dein Unternehmen nix angehen.
tikayevent
Solution tikayevent Oct 22, 2021 at 10:50:53 (UTC)
Goto Top
Es ist egal, welche Geräteklasse es betrifft. Alle vernetzten Geräte, die keine Updateversorgung mehr nutzen (benutzerseitig) oder erhalten (herstellerseitig) stellen eine Gefahr dar. Es ist völlig unabhängig davon, ob es ein PC, ein Smartphone, ein Router oder eine Waschmaschine mit Internetverbindung ist.
Es ist auch egal, ob das Gerät mit einem Firmennetz, mit dem heimischen Netzwerk oder einem öffentlichen Netz verbunden ist, ebenso wie es egal ist, ob es direkten Zugriff aufs Internet nehmen kann oder in einem abgesonderten Teil eines an anderer Stelle mit dem Internet verbundenen Netzwerks ist.

Heutige Angriffsvarianten sind nicht mehr darauf angewiesen, direkten Zugriff auf ein Ziel haben zu müssen. Viele der aktuellen erfolgreichen Angriffe erfolgen unter Ausnutzung von Sicherheitslücken in geschützten Netzwerkbereichen unter Ausnutzung von Benutzerinteraktionen (Mails lesen, Dokumente öffnen, Webnutzung).

Da es ein aussichtsloses Unterfangen ist, Benutzern die sinnvolle Hirnnutzung beizubringen, muss man also den anderen Teil beheben, also Sicherheitslücken, soweit bekannt schließen. Ist es nicht möglich, muss man die Verwendung solcher potentiellen Gefahren beenden.
Es ist auch egal, ob das Gerät jetzt durch technische Maßnehmen beschränkt ist, weil die Lücke doch da ist oder sein könnte. Ein Sicherheitsproblem im einen Gerät kann sich aber auch an anderer Stelle zeigen.

Die aktuelle Ransomware-Welle ist das beste Beispiel dafür. Ein Benutzer macht ###, irgendein System ist nicht aktualisiert und schon steht ein Großunternehmen oder eine komplette Behörde still.

Daher: Bei Ende der Updateversorgung gehört ein Gerät in Recycling, auch eine private Weiternutzung ist inakzeptabel.
maretz
maretz Oct 22, 2021 at 12:47:33 (UTC)
Goto Top
Nun - wenn ich mir einige Kommentare so durchlese weiss ich warum IT-Abteilungen immer so den Status "Elfenbeinturm" haben. Bei den "jüngeren" mag es ja so sein das die sich drauf einlassen würden wenn die Firma sagt "bei deinem privatem Gerät musst du trotzdem installieren was die Firma will". Ich würde da eben genauso stur reagieren - mit nem klaren "nö". Dann wird das private Gerät halt nicht für die Firma genutzt - so what? Das FIRMENGERÄT bleibt dann eben auch in der Firma bzw. wenns nen Firmenauto gibt dann halt im Auto (schön auf dem Beifahrersitz) da ich natürlich auch dann privat keine "Lagerhalle" für Firmengeräte habe (andere würden das "Wohnung" oder "Haus" nennen - aber in meinem privatem Raum hat dann ein Firmengerät auch nix verloren). Spätestens nachm ersten Totalausfall (wenn man aus der Technik kommt) bzw. beim ersten grösseren Vertrag der verloren ist (wenns eher die Vertriebsseite ist) entscheidet oft die finanzielle Seite und es gibt von oben ne klare Ansage... Aber ich würde mich einfach nicht drauf einlassen heute noch mit 2 Geräten rumzulaufen weil die _FIRMA_ meint ich soll bitte erreichbar sein. Die ERREICHBARKEIT in meiner Freizeit ist ein Entgegenkommen von mir - und dafür soll ich auch noch dem Admin erlauben auf meinem privaten Gerät zu schnüffeln? Was kommt eigentlich als nächstes? Die Admins machen bei mir ne Wohnungsinspektion ob ich auch wirklich das Laptop in nem vergittertem Raum inkl. Videoüberwachung und 3 Selbstschussanlagen abgestellt habe - nich das die Familie ggf. doch einfach mal aufm Bildschirm guckt?

Da bin ich dann doch ganz froh in einer Firma zu sein in der das etwas lockerer gesehen wird - und es mag überraschen, auch da gibt es trotzdem nich jeden Tag zig Anwaltsschreiben oder tausende erfolgreiche Angriffe... Merkwürdig...
nachgefragt
nachgefragt Oct 22, 2021 at 13:07:02 (UTC)
Goto Top
Zitat von @maretz:
Merkwürdig...
Keine Ahnung worauf du hinaus möchtest, Thema ist im Kern der Umgang mit EOL Smartphones, quasi egal ob privat oder beruflich.
Doskias
Doskias Oct 22, 2021 at 13:25:47 (UTC)
Goto Top
Zitat von @148656:

Zitat von @Doskias:
Sprich: Ich definiere welcher Virenscanner drauf kommt und es wird keine SW ohne Rücksprache mit der IT installiert und es werden (je nach Wichtigkeit der Person) regelmäßig Offline-Backups im Firmennetzwerk von der IT gemacht. Darauf muss der User sich auch einlassen

Und schon hast du die A-Karte.
Du hast in deinem Firmennetzwerk sehr persönliche Daten. Von Kinderfotos in der Badewanne (§184b StGB) bishin zu Kontakdaten, die dein Unternehmen nix angehen.

Ich frag mal so blöd, aber hast du §184 gelesen? Ein Kinderfoto in d er Badewanne entspricht nämlich nicht $184b. Aber egal. Um den Paragraphen geht es nicht. Es geht im Prinzip um das was du auch sagst: ich habe in dem Netzwerk dann sehr persönliche Daten und das gilt es zu klären. Die Daten habe ich aber auch, wenn der Mitarbeiter sein Handy ungefragt mitnimmt oder die Daten schickt. Wenn ich aber im Vorfeld eine entsprechende Regelung treffe, dann mache ich den Anwender darauf aufmerksam. Und wenn ich dem MA darauf Hinweise, dass wir die Kontakte sichern, dann muss er dafür sorgen, dass die entsprechenden Kontakte nicht mit gesichert sind, wenn ich sie nicht sehen sollte. Was meinst du? Auf so eine Regelung wird sich kein MA einlassen? Ziel erreicht face-wink

Zitat von @maretz:
Ich würde da eben genauso stur reagieren - mit nem klaren "nö". Dann wird das private Gerät halt nicht für die Firma genutzt - so what?
Genau das ist der Grundgedanke bei dem Sicherheitsaspekt, dass das Private Handy im Firmennetz nichts zu suchen hat.

Das FIRMENGERÄT bleibt dann eben auch in der Firma bzw. wenns nen Firmenauto gibt dann halt im Auto (schön auf dem Beifahrersitz)
Hier musst du Aufpassen. Auch wenn es Lustig klingt, ist ein Handy auf dem Beifahrersitz eine Verleitung zum Diebstahl. Ja ich weiß, das klingt lustig, ist es aber nicht. Wenn das Auto aufgebrochen wird um das Handy zu klauen, trifft dich eine Mitschuld und du bleibst auf den Kosten sitzen. Wenn du es absichtlich machst, sind wir wieder bei dem Thema grob fahrlässig.

Aber ich würde mich einfach nicht drauf einlassen heute noch mit 2 Geräten rumzulaufen weil die _FIRMA_ meint ich soll bitte erreichbar sein. Die ERREICHBARKEIT in meiner Freizeit ist ein Entgegenkommen von mir - und dafür soll ich auch noch dem Admin erlauben auf meinem privaten Gerät zu schnüffeln?
Lustig wie schnell wir von Sicherung zu Daten durchschnüffeln kommen. Aber im Kern vermischt du hier in meinen Augen was. Ein Diensthandy hat in keiner Weise (zumindest in meinen Augen und dem meinem Chefs) etwas damit zu tun, dass du außerhalb der Arbeitszeit erreichbar sein musst. Feierabend ist bei uns Feierabend und daher hat auch niemand Zugriff von Zuhause auf seine dienstlichen Mails. Die Leute brauchen es nicht und sollen erst gar nicht in die Versuchung geführt werden. Wenn mein Chef mich außerhalb der Arbeitszeit dringend erreichen muss, dann hat er meine private Handynummer ohnehin aus dem Bewerbungsprozess face-wink

Was kommt eigentlich als nächstes? Die Admins machen bei mir ne Wohnungsinspektion ob ich auch wirklich das Laptop in nem vergittertem Raum inkl. Videoüberwachung und 3 Selbstschussanlagen abgestellt habe - nich das die Familie ggf. doch einfach mal aufm Bildschirm guckt?
So weit ist das gar nicht weg. Wenn du im öffentlichen Dienst arbeitest und einen Telearbeitsplatz hast, dann ist dein Arbeitgeber dazu angehalten mindestens einmal im Jahr deinen Arbeitsplatz zuhause zu besuchen und zu beurteilen ob die aktuell gültigen Ergonomie-Bestimmungen auf deinen Arbeitsplatz zutreffen. Stichwort hier: Fürsorgepflicht des Arbeitgebers.

Da bin ich dann doch ganz froh in einer Firma zu sein in der das etwas lockerer gesehen wird - und es mag überraschen, auch da gibt es trotzdem nich jeden Tag zig Anwaltsschreiben oder tausende erfolgreiche Angriffe... Merkwürdig...
Und ich bin froh in einer Firma zu sein, wo Feierabend Feierabend ist und wir gut ohne Diensthandys auskommen face-smile
148656
148656 Oct 22, 2021 at 13:57:21 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @148656:

Zitat von @Doskias:
Sprich: Ich definiere welcher Virenscanner drauf kommt und es wird keine SW ohne Rücksprache mit der IT installiert und es werden (je nach Wichtigkeit der Person) regelmäßig Offline-Backups im Firmennetzwerk von der IT gemacht. Darauf muss der User sich auch einlassen

Und schon hast du die A-Karte.
Du hast in deinem Firmennetzwerk sehr persönliche Daten. Von Kinderfotos in der Badewanne (§184b StGB) bishin zu Kontakdaten, die dein Unternehmen nix angehen.

Ich frag mal so blöd, aber hast du §184 gelesen? Ein Kinderfoto in d er Badewanne entspricht nämlich nicht $184b. Aber egal. Um den Paragraphen geht es nicht.
Ja habe ich und es bleibt ein gutes Beispiel für die Gefahren. Der Mama oder dem Papa passiert nix, wenn er die Fotos auf seinem Handy hat. Nur was will die Firma damit?
Und was passiert wenn die Firma gehackt wird? Man muss dann definitiv eine Meldung bei BSI machen.
Privatgeräte in der Firma zu sichern, macht es nur komplizierter.
Es geht im Prinzip um das was du auch sagst: ich habe in dem Netzwerk dann sehr persönliche Daten und das gilt es zu klären. Die Daten habe ich aber auch, wenn der Mitarbeiter sein Handy ungefragt mitnimmt oder die Daten schickt. Wenn ich aber im Vorfeld eine entsprechende Regelung treffe, dann mache ich den Anwender darauf aufmerksam. Und wenn ich dem MA darauf Hinweise, dass wir die Kontakte sichern, dann muss er dafür sorgen, dass die entsprechenden Kontakte nicht mit gesichert sind, wenn ich sie nicht sehen sollte. Was meinst du? Auf so eine Regelung wird sich kein MA einlassen? Ziel erreicht face-wink

Ich würde dem Admin aber etwas husten, wenn er meint, er müsse mir Vorschreiben wie ich mein privates Handy nutzen darf.
Doskias
Doskias Oct 22, 2021 at 14:37:14 (UTC)
Goto Top
Ich fass mich diesmal kurz face-smile
Zitat von @148656:
Ja habe ich und es bleibt ein gutes Beispiel für die Gefahren. Der Mama oder dem Papa passiert nix, wenn er die Fotos auf seinem Handy hat. Nur was will die Firma damit?
Und was passiert wenn die Firma gehackt wird? Man muss dann definitiv eine Meldung bei BSI machen.
Wenn ich gehackt werde und Daten aus der Firma gestohlen werden, muss ich doch zu 99 % laut DSGVO ohnehin eine Meldung beim BSI machen.

Privatgeräte in der Firma zu sichern, macht es nur komplizierter.
Richtig, deswegen haben Privatgeräte im Firmennetz auch nichts zu suchen. Die Arbeit ist schon kompliziert genug, da brauch ich nicht noch zusätzliche Belastung durch Privatgeräte.

Ich würde dem Admin aber etwas husten, wenn er meint, er müsse mir Vorschreiben wie ich mein privates Handy nutzen darf.
Das sehen 99,9 % der Anwender so, deswegen kann man mit diesen Vorschriften die Anwender ganz schnell dazu bewegen ihr eigenes Handy nicht für dienstliche Zwecke zu nutzen und der Chef muss cih überlegen wie wichtig ihm die Erreichbarkeit des MA ist und dann wenn erforderlich ein Dienstgerät besorgen (lassen).

Gruß
Doskias
maretz
maretz Oct 22, 2021 at 15:05:56 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @148656:

Zitat von @maretz:
Ich würde da eben genauso stur reagieren - mit nem klaren "nö". Dann wird das private Gerät halt nicht für die Firma genutzt - so what?
Genau das ist der Grundgedanke bei dem Sicherheitsaspekt, dass das Private Handy im Firmennetz nichts zu suchen hat.

Das würde ich generell auch unterschreiben - was dann aber "BYOD" hinfällig macht. Generell stimme ich hier aber absolut zu da es in den meisten Fällen auch unmöglich sein wird da die Sicherheit der Daten zu gewährleisten. Nicht mal wg. Angriff sondern eher wg. Firmenwechsel des Mitarbeiters der vorher natürlich zuhause auf dem Drucker alle relevanten Daten einfach drucken kann (oder screenshots machen kann)...

Das FIRMENGERÄT bleibt dann eben auch in der Firma bzw. wenns nen Firmenauto gibt dann halt im Auto (schön auf dem Beifahrersitz)
Hier musst du Aufpassen. Auch wenn es Lustig klingt, ist ein Handy auf dem Beifahrersitz eine Verleitung zum Diebstahl. Ja ich weiß, das klingt lustig, ist es aber nicht. Wenn das Auto aufgebrochen wird um das Handy zu klauen, trifft dich eine Mitschuld und du bleibst auf den Kosten sitzen. Wenn du es absichtlich machst, sind wir wieder bei dem Thema grob fahrlässig.

Nun - wenn man so blöd ist das auch so zu sagen... Aber erst mal gibts ja zig möglichkeiten sowas zu vermeiden und selbst wenn man es drauf anlegt dann ist es keine Fahrlässigkeit. Denn natürlich war mir während der Fahrt schlecht geworden und ich musste mich übergeben, danach habe ich mich hingelegt,... Such dir eine von den 1000 Standards raus die eben keiner Nachweisen kann um die "grobe Fahrlässigkeit" zu umgehen....

Aber ich würde mich einfach nicht drauf einlassen heute noch mit 2 Geräten rumzulaufen weil die _FIRMA_ meint ich soll bitte erreichbar sein. Die ERREICHBARKEIT in meiner Freizeit ist ein Entgegenkommen von mir - und dafür soll ich auch noch dem Admin erlauben auf meinem privaten Gerät zu schnüffeln?
Lustig wie schnell wir von Sicherung zu Daten durchschnüffeln kommen. Aber im Kern vermischt du hier in meinen Augen was. Ein Diensthandy hat in keiner Weise (zumindest in meinen Augen und dem meinem Chefs) etwas damit zu tun, dass du außerhalb der Arbeitszeit erreichbar sein musst. Feierabend ist bei uns Feierabend und daher hat auch niemand Zugriff von Zuhause auf seine dienstlichen Mails. Die Leute brauchen es nicht und sollen erst gar nicht in die Versuchung geführt werden. Wenn mein Chef mich außerhalb der Arbeitszeit dringend erreichen muss, dann hat er meine private Handynummer ohnehin aus dem Bewerbungsprozess face-wink

Ein Diensthandy wäre mir auch egal wenn die Firma entscheidet was drauf installiert wird. Und es kommt auch da darauf an wie das kommuniziert wird. Wenn ich aber hier lese "Mitarbeiter MUSS bei BYOD das zulassen" wäre _bei mir_ eben der Punkt wo ich sage "nö, muss ich nicht". Dann hab ich eben kein Diensthandy - ganz ehrlich, gibt schlimmeres :D


Was kommt eigentlich als nächstes? Die Admins machen bei mir ne Wohnungsinspektion ob ich auch wirklich das Laptop in nem vergittertem Raum inkl. Videoüberwachung und 3 Selbstschussanlagen abgestellt habe - nich das die Familie ggf. doch einfach mal aufm Bildschirm guckt?
So weit ist das gar nicht weg. Wenn du im öffentlichen Dienst arbeitest und einen Telearbeitsplatz hast, dann ist dein Arbeitgeber dazu angehalten mindestens einmal im Jahr deinen Arbeitsplatz zuhause zu besuchen und zu beurteilen ob die aktuell gültigen Ergonomie-Bestimmungen auf deinen Arbeitsplatz zutreffen. Stichwort hier: Fürsorgepflicht des Arbeitgebers.

Auch da würde ich eher ein Problem damit haben. Mein Chef kann idR. gerne zum Kaffee rumkommen (oder auch Kollegen), aber nicht für ne Inspektion ;).

Da bin ich dann doch ganz froh in einer Firma zu sein in der das etwas lockerer gesehen wird - und es mag überraschen, auch da gibt es trotzdem nich jeden Tag zig Anwaltsschreiben oder tausende erfolgreiche Angriffe... Merkwürdig...
Und ich bin froh in einer Firma zu sein, wo Feierabend Feierabend ist und wir gut ohne Diensthandys auskommen face-smile

Naja - hier muss ich fair sein. Es gibt hier durchaus Anrufe auch mal nach Feierabend. Aber es hält sich auch die Waage zwischen "is was wirklich wichtiges" (wo ich dann auch idR. gerne eben helfe) und den Anrufen "dringendes Nach-Feierabend-Meeting" (was durchaus bedeuten kann das man mit den Kollegen beim Bier sitzt). Aber auch da wäre nen fehlendes Diensthandy das kleinste Problem - da gibts durchaus andere Kommunikationswege für (Nen gepflegtes "Plopp" durch die PA-Anlage :D) )

Ich kann natürlich jeden Admin verstehen der sagt er will "sein Netz" sauber+sicher haben - nur dann geht eben BYOD einfach nicht und man muss damit rechnen das eben der finanzielle Teil am Ende eh gewinnen wird. Umgekehrt muss man halt bei BYOD auch mit den normalen Problemen rechnen - bis hin zum Filesharing über die Firmen-IP weil der Mitarbeiter auf seinem privatem Laptop das VPN noch anhatte als der Bittorrent lief... Das muss halt auf der Chef-Etage abgeklärt werden welchen Tod man sterben will... GRÜNDE gibt es für und gegen beides... Und am Ende muss man eben auch sehen das ein unzufriedener Mitarbeiter eben AUCH ein Risiko bedeutet - selbst ganz ohne Geräte nimmt der ja immer noch das mit was er/sie im Kopf hat...
em-pie
em-pie Oct 22, 2021 at 15:34:58 (UTC)
Goto Top
Moin,

Sehe das u.a. Wie @maretz
Würde mein AG mit vorschreiben, dass ich mein Smartphone kastrieren soll (oder auch Laptop) würde ich dem was Husten. Egal, ob EOS oder nicht.

Ich betrachte die Clients mittlerweile alle als Gefahr und informiere mich gerade mehr zum Thema ZeroTrust. Grundsätzlich sind alle Endgeräte böse. Punkt.
Ob der MA jetzt sein Firmentelefon verseucht oder sein privates: das Ergebnis ist identisch. Kastriere ich sein berufliches zu sehr, nutzt er es nicht.
beidermachtvongreyscull
beidermachtvongreyscull Oct 23, 2021 at 02:53:19 (UTC)
Goto Top
Mahlzeit!

Durch die weitere Nutzung von EOL-Smartphones läuft man Gefahr, unseren Planeten nicht mit noch mehr Elektronikschrott zu vermüllen.

Gruß
bdmvg
nachgefragt
nachgefragt Oct 23, 2021 updated at 06:00:32 (UTC)
Goto Top
  • Ich hole nochmal das Thema in den Vordergrund:
  • Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von EOL-Smartphones?
Wie geht ihr hinsichtlich IT-Sicherheit und Datenschutz mit EOL-Smartphones um?

OFF-TOPIC
Wir hoffen natürlich alle das die Updateversorgung verpflichtend verlängert wird, sodass wir die Geräte hinsichtlich IT-Sicherheit und Datenschutz länger unbedenklich nutzen können.
https://www.heise.de/news/Bundesregierung-Smartphones-sollen-sieben-Jahr ...
maretz
maretz Oct 23, 2021 at 06:12:58 (UTC)
Goto Top
Zitat von @nachgefragt:

  • Ich hole nochmal das Thema in den Vordergrund:
  • Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von EOL-Smartphones?
Wie geht ihr hinsichtlich IT-Sicherheit und Datenschutz mit EOL-Smartphones um?

OFF-TOPIC
Wir hoffen natürlich alle das die Updateversorgung verpflichtend verlängert wird, sodass wir die Geräte hinsichtlich IT-Sicherheit und Datenschutz länger unbedenklich nutzen können.
https://www.heise.de/news/Bundesregierung-Smartphones-sollen-sieben-Jahr ...

Ich sehe da einfach nicht mehr Risiken als bei der Nutzung von AKTUELLEN Phones. Eher sogar weniger...
Welche "Sicherheit" bietet dir denn eine aktuelle Software-Version bei dem der Hersteller angeblich irgendwelche Bugs fixt? Sieht man bei MS+Apple ja gerne mal das 2 Tage nach nem Update gleich die Meldungen mit Problemen hochgehen oder sogar noch Updates nachgeschoben werden (iOS 15... 15.0.1... 15.0.2....). Welche Sicherheit hast du also das die nich gleich noch viel grössere Lücken reinwerfen?

Andersrum - was glaubst du denn wer heute noch versucht nen iPhone4 o.ä. zu knacken? Davon sind viel zu wenig im Umlauf. Und versuch doch mal die aktuellen Spiele o.ä. auf nen altes iPhone/Android oder sogar nen Windows-Phone zu bekommen - die werden dich auslachen... Da is eher der Aufwand FÜR die Firma zu hoch - weil es ja auch Sinnlos ist dem MA ein Smartphone in die Hand zu drücken worauf aber die Software die für die Firma benötigt wird gar nicht mehr läuft...

Aber wer Geräte heute anhand der Support-Gültigkeit als Sicher/Nicht Sicher einstuft der glaubt auch das die Entwickler bei den Firmen wirklich noch die Zeit haben auf Qualität beim Code zu gucken...
nachgefragt
nachgefragt Oct 23, 2021 at 08:18:21 (UTC)
Goto Top
Zitat von @maretz:
Ich sehe da einfach nicht mehr Risiken als bei der Nutzung von AKTUELLEN Phones. Eher sogar weniger...
Danke.
Interessant, EOL Smartphones haben deiner Meinung nach also "eher sogar weniger" Risiken als aktuell gepatchte Smartphones.
tikayevent
tikayevent Oct 23, 2021 at 08:57:52 (UTC)
Goto Top
EoL-Technik ist eher gefährdet, weil dafür eher fertige Exploits verfügbar sind, egal ob vom Hersteller und Anwender bekannt oder nicht. Da braucht man keine Energie einsetzen, sondern nur ein Skript laufen lassen. Selbst wenn es bekannt ist, kümmern sich Hersteller nicht drum, weil EoL.
non-EoL-Geräte bekommen in den meisten Fällen ein Update.

Das heute niemand mehr aktiv ein iOS 5 oder ein Android 2.2 angreift, dürfte klar sein, aber vorhandene bekannte Lücken oder aktuelle Lücken, die eine lange Historie haben, sind genauso gefährlich.

Das ist meiner Meinung nach auch ein Nachteil von Android. Es gibt häufig keine klare Aussage über den Status eines Gerätes. Auch wenn ein Hersteller ankündigt, eine neue Androidversion für ein Gerät herauszubringen, ist es nicht unüblich, dass es doch nicht passiert. Bei Apple wird klar kommuniziert, welches Gerät ein aktuelles iOS bekommt und wann ein Gerät komplett rausfliegt.
maretz
maretz Oct 23, 2021 at 09:24:50 (UTC)
Goto Top
Zitat von @tikayevent:

EoL-Technik ist eher gefährdet, weil dafür eher fertige Exploits verfügbar sind, egal ob vom Hersteller und Anwender bekannt oder nicht. Da braucht man keine Energie einsetzen, sondern nur ein Skript laufen lassen. Selbst wenn es bekannt ist, kümmern sich Hersteller nicht drum, weil EoL.
non-EoL-Geräte bekommen in den meisten Fällen ein Update.

Das heute niemand mehr aktiv ein iOS 5 oder ein Android 2.2 angreift, dürfte klar sein, aber vorhandene bekannte Lücken oder aktuelle Lücken, die eine lange Historie haben, sind genauso gefährlich.

Das ist meiner Meinung nach auch ein Nachteil von Android. Es gibt häufig keine klare Aussage über den Status eines Gerätes. Auch wenn ein Hersteller ankündigt, eine neue Androidversion für ein Gerät herauszubringen, ist es nicht unüblich, dass es doch nicht passiert. Bei Apple wird klar kommuniziert, welches Gerät ein aktuelles iOS bekommt und wann ein Gerät komplett rausfliegt.

Klar sind dafür ggf. fertige Scripte vorhanden. DAS ist aber bei aktuellen Geräten ja auch oft nicht anders. Ich hab z.B. nen Galaxy Note 10 - da kommt idR. das Sicherheitsupdate 1x im Monat, d.h. ca. 30 Tage hat jeder Zeit auch alles zu nutzen was er/sie finden kann. Wenn man jetzt aber noch davon ausgeht das nicht zwingend das OS das Problem ist sondern die Anwendungen wirds noch interessanter. K.a. wie oft ich jetzt bei Apple & Co schon gelesen habe das Apps ausm Appstore geworfen wurden weil die doch nen bisserl grosszügig mit den persönlichen Daten waren oder ähnliche "unschöne" Funktionen hatten.

Von daher ist in beiden Fällen davon auszugehen das die Geräte "unsicher" sind. Da ist es auch egal ob die aktuell gepflegt werden oder nicht... Ggf. kann man ja mal vergleichen: Wenn mein Auto aus der Garantie ist - dann muss ich natürlich auch damit rechnen das Dinge kaputt gehen. Ist es deshalb unsicherer als wenn ich das Auto "in Garantie" zu irgendeinen mir nicht bekannten 08/15-Schrauber gebe bei dem ich auch nicht weiss ob der je ne Bremse überhaupt gesehen hat? In BEIDEN Fällen muss ich mich nunmal drauf verlassen das es schon gut geht - wissen tu ich es bei beiden nicht. Wenn der Werkstattmitarbeiter auch in der Garantie morgens noch mit 2 Promille bei der Arbeit steht und den Unterschied zwischen Schraubendreher und Hammer nich kennt weiss ich nicht ob das Ergebnis gut wird - genauso wenig wie beim Programmierer von Google, Apple oder irgendwelchen Apps...
tikayevent
tikayevent Oct 23, 2021 at 10:06:16 (UTC)
Goto Top
Bei deinem Autovergleich machst du einen riesigen Fehler. Du nimmst die Garantie, du musst aber die Ersatzteilversorgung für einen Vergleich nehmen.
Sobald die Ersatzteilversorgung eines Fahrzeugs nicht mehr vorhanden ist, wird dieses zur Sicherheitsgefahr, wenn dann sicherheitsrelevante Verschleißteile nicht mehr verfügbar sind. Im Kfz-Bereich hat man Zulieferer, die unabhängig vom Hersteller weiterproduzieren könnten, ebenso freie Anbieter, die nachbauen, aber wenn dieses nicht vorhanden ist, werden solche Fahrzeuge nach einiger Zeit zwingend von der Strasse verbannt.
Aber im Gegensatz zu Sicherheitslücken in der IT, kann man Kfz-Ersatzteile auf Halde legen oder auf Basis des vorhandenen Materials nachbauen. Patches auf Halde geht nicht und die Software mal eben nachbauen ist auch schwer. Im Androidbereich geht es bedingt, aber der Aufwand ist nicht ohne.
Im Kfz-Bereich wären Sicherheitslücken regional begrenzt (eine defekte Bremse endet an der nächsten Mauer, Brücke, dem nächsten Baum oder im Wasser, evtl. ein paar überfahrene Menschen und Tiere), IT-Probleme gehen halt etwas weiter und können weit teurere Schäden verursachen.
maretz
maretz Oct 23, 2021 at 10:22:50 (UTC)
Goto Top
Das mit dem Auto ist klar - es ist sehr grob. Aber auch da ist es nich soviel anders: Du kannst ein beliebiges Fahrzeug nehmen. Du verlässt dich eben darauf das ZIG Leute (die du alle nicht kennst) etwas zusammen bauen was am Ende sicher sein soll. Nur: Wie beim OS ist auch das Auto ja aus Teilen gebaut - die der Hersteller zukauft (beim OS halt Libs, packages,..., beim Auto irgendwelche Bauteile). Die SICHERHEIT ist bei beiden ja mehr oder weniger Altersabhängig - die Software weil ggf. Lücken gefunden werden, die "Hardware" wg. Mechanischer Belastung.

Du weisst aber in BEIDEN Fällen nie ob die komplette Kette sicher ist (bzw. prinzipiell kannst du sicher sein das sie es NICHT ist - irgendwo pennt immer irgendwer mal). Damit ist ein Auto was du ausm Werk kaufst eben auch nicht zwingend sicherer nur weils Garantie hat als das was schon 10 Jahre läuft... Und wenn DU eben im Auto bist ist für dich die "regionale Begrenzung" an der nächsten Brücke schon relativ entscheidend...

Und da ist eben das Problem - heute macht wohl keiner mehr Software "allein" vom Rechner. Selbst der Hobby-Programmierer sitzt zwar allein am Rechner aber nutzt _zig_ Fremdsysteme bei denen die Sicherheit eben nicht gegeben ist. Und entsprechend kannst du davon ausgehen das die Geräte immer unsicher sein werden - es ist nur die Frage wie weit du auf dein Glück vertrauen willst..
jsysde
jsysde Oct 23, 2021 at 10:49:27 (UTC)
Goto Top
Mahlzeit.

Ich halte diese Diskussion für sehr theoretisch, zumindest wenn man es wirklich auf die Geräteklasse der Smartphones herunterbricht. Wir sind auf allen Smartphones bestenfalls "Beifahrer" und haben keinerlei Zugriff auf das eigentliche OS - zumindest solange nicht, bis das Gerät gerootet wird. Rein subjektiv halte ich ~99% der "coolen" User, die ein alternatives OS auf ihr Smartphone aufspielen, für nicht in der Lage, der sich daraus ergebenden Verantwortung auch gerecht zu werden.

Allein die Update-Versorgung des OS selbst ins Rampenlicht zu rücken, halte ich für deutlich zu kurz gedacht; Sicherheit lässt sich nicht am Versionsstand einer Software festmachen. Es gibt gerade bei Smartphones so viele mögliche Gefahren -Bluetooth, NFC, WLAN, automatische Updates etc.- das die Verwendung solcher Geräte durch die reine "Sicherheitsbrille" generell nicht gestattet sein dürfte.

Und nun mal zurück zu unserer Lebensrealität: Wie viele Leute kennt ihr, die zwar ein topaktuelles Gerät mit entsprechend topaktuellem OS und Updates haben - dann aber keinerlei Bildschirmsperre gesetzt haben? Wie viele Leute kennt ihr, die Apps aus unbekannten und/oder unseriösen Quellen installieren, z.B. weil sie die 99 Cent, die die App im Original-Store kostet, einfach nicht zahlen wollen? Ist ja auch völlig normal, dass man teils >1000,- Eurotaler für ein Gerät ausgibt um dann bei <1,- Euro die komplette Sicherheit des Geräts (und mehr) ab adsurdum zu führen.

Am Ende des Tages gibt es hier keine allgemeingültige "Weisheit" - jede Firma, jeder Benutzer muss die Einschätzung darüber, was er als sicher erachtet und zulässt, selbst treffen. Um die Eingangsfrage zu beantworten: Da Smartphones mittlerweile so konstruiert sind, das sie nach max. 3 Jahren Nutzung, innerhalb derer auch eine Update-Versorgung gewährleistet ist, sowieso nicht (sinnvoll/praxistauglich) weiterverwendet werden können, halte ich ein erhöhtes Risiko durch EOL-Geräte für statistisch messbar, aber dennoch für unrelevant für eine Debatte über Sicherheit.

*Just my 5 Cent*

Cheers,
jsysde
nachgefragt
nachgefragt Oct 25, 2021 at 05:30:00 (UTC)
Goto Top
Zitat von @tikayevent:
EoL-Technik ist eher gefährdet, weil dafür eher fertige Exploits verfügbar sind, egal ob vom Hersteller und Anwender bekannt oder nicht. Da braucht man keine Energie einsetzen, sondern nur ein Skript laufen lassen.
Das war auch mein naives Denken, u.a. das die Geräte dabei nicht einmal gezielt attackiert werden, sondern eher mal schaun wen es alles erwischt.
nachgefragt
nachgefragt Oct 25, 2021 at 05:34:12 (UTC)
Goto Top
Zitat von @maretz:
DAS ist aber bei aktuellen Geräten ja auch oft nicht anders.
Ob das oft nicht anders ist weiß ich nicht, aber DSVGO und "Stand der Technik" wurde bereits genannt welche hier ggf. ausschlaggebend sind, für weitere Spekulationen könnte man den Vorschlag der Versicherung in Erwägung ziehen und sich ein Angebot unterbreiten lassen.
mal vergleichen: Wenn mein Auto
Sobald der Autovergleich staret bin ich einfach raus.
maretz
maretz Oct 25, 2021 at 16:00:39 (UTC)
Goto Top
Nun - was ist denn bei dir "Stand der Technik"? Denn das muss ja nicht immer automatisch "das aktuellste" sein. Schau mal in Systeme rein die eine entsprechende Zertifizierung brauchen - da siehst du oft Geräte bei denen die hälfte der Leute hier ggf. jünger als die Geräte wären. Hintergrund ist einfach: Würdest du da was ändern brauchst du ne neue Abnahme. Was ist also "Stand der Technik" bei nem Mobil-Telefon? Und GRADE bei BYOD ist das eh nicht durchzusetzen, denn hier wirst du ja nicht vom MA verlangen können das der sich das neue Gerät kauft... (und damit auch noch umgehen kann - was oft ja das grössere Problem ist).

Von daher sind das einfach so Gummi-Formulierungen die ja nich viel sagen. Ich würde z.B. unter "Stand der Technik" verstehen das ich dem Endgerät eben generell kein Vertrauen schenke und z.B. über Firewalls,... schon mal absichere das die nur auf sehr ausgewählte Systeme kommen. Stand der Technik wäre für _mich_ ggf. auch das die lokale Applikation nichts speichert sondern das ganze über APIs abgefertigt wird. Damit wäre mir auch tendenziell ziemlich egal ob das Gerät nen Virus enthält oder nicht - weil es selbst ja keine Daten enthalten muss... ABER: Der nächste mag den Stand der Technik eben anders definieren - und dazu eben zählen das die ganzen Updates eingespielt wurden und das Gerät dann "Sicher" ist... oder das nen Virenscanner drauf ist um es "sicher" zu haben....

Und ganz nebenbei - sooo falsch ist hier der Autovergleich auch nicht mehr - die dinger werden auch immer mehr per IT gesteuert... Und wenn ich dann höre das z.B. beim i3 von BMW nachm Update das Auto nahezu unbrauchbar war (der Kollege hat es gegen nen neueres dann tauschen "dürfen") stellt sich für mich die Frage ob das eben auch "Stand der Technik" ist? Oder nen Autopilot bei Tesla der halt nen Problem mit ner Blaulicht-Erkennung hatte - blöd für die Beamten die da im Weg standen... Und DAS sind eben aktuelle Systeme bei denen man ja dann eigentlich von "Stand der Technik" sprechen müsste... Hier mal eine interessante Liste von Programmierfehlern - alle zur Zeit der Entwicklung eben "up to date"... https://de.wikipedia.org/wiki/Liste_von_Programmfehlerbeispielen
nachgefragt
nachgefragt Oct 28, 2021 updated at 07:29:40 (UTC)
Goto Top
Zitat von @maretz:
Nun - was ist denn bei dir "Stand der Technik"?
definiert die DSVGO
BYOD
lass das mal weg
der Autovergleich
Hör mir auf, da bin ich einfach raus.
maretz
maretz Oct 28, 2021 at 14:04:50 (UTC)
Goto Top
zeig mir mal wo in der dsgvo steht das z.B. "Android in Version x.y.z" genutzt werden muss oder das es immer "die aktuellste Version" von Software sein muss... Denn nochmal: "Stand der Technik" definiert sich oft eben über die Umgebung. Du wirst z.B. auf einem (Ozean-)Schiff, auf ner Forschungs- oder Ölplattform nicht einfach einmal im Monat auf "Windows Update" klicken wollen. Wäre da blöd wenn dir der Server dabei wegsemmelt und die Neuinstallation nur mit nem Heli-Flug möglich ist... Da KANN dir eben durchaus noch nen alter Windows-Server begegnen weil da eben noch keine Werft-Zeit zwischen war bei der man sowas machen kann...

Also - wo steht in der DSGVO was genau der "Stand der Technik" ist?