Gerätefreigabe mit der neuen OutlookApp umgehen?
Auf unseren Exchange Server darf explizit nur mit Firmenhandys zugegriffen und angeblich gibt es strengste Gerätefreigabekontrollen. Das heißt, Privatgeräte sind angeblich am Server geblockt. Mühelos kann ich aber mit jedem meiner Geräte direkt von überall auf meine Firmenmails zu greifen, auch auf meinem Kalender und auch sogar auf die Kalender meiner Kollegen, wenn die freigegeben sind. Warum geht das so leicht?
1 Antwort
Du musst hier ein wenig unterscheiden.
Es gibt zum einen die Exchange Active Sync Schnitstelle. Hier werden Mails, Kalendereinträge, Kontakte etc... zeitnah vom Exchange zu Handy aber auch umgekehrt synchronisiert. Wenn ich hier auf meinem Handy eine Notiz erstelle, ist diese in einigen Sekunden in meinem Outlook sichtbar.
Jetzt gibt es aber noch die Outlook App. Die funktioniert ein wenig anders. Diese setzt auf Outlook Web Access. Im Prinzip ist dies nur eine andere Oberfläche für die OWA Webseite. Die Mails, Kalendereinträge, Kontake werden dir eigentlich nur angezeigt, sind aber nicht logisch auf deinem Telefon vorhanden. Wenn du in deinem OL einen Kontakt anlegst, siehst du den zwar in der OL App hast diesen aber nicht in deinem Adressbuch auf dem Handy.
Bei der EAS (Exchange Active Sync) Schnittstelle ist das anders. Ich habe auf meinem Handy tatsächlich ein Konto/Account eingerichtet, der sich per PUSH synchronisiert. Alle meine Firmentermine werden mir aktuell im Benachrichtigungscenter angezeigt. Ich kann hier auch Termine absagen, zusagen oder ändern, ohne das ich extra eine App starten muss.
Wir z.b. haben die OWA Schnitstelle explizit für alle Anwender deaktiviert. Nur für bestimmte Accounts wird dieser nach Freigabe aktiviert.
Wow! Das ist wirklich mal eine kompetente Antwort und sehr verständlich erklärt!!! Vielen Dank!! Das heißt aber doch eigentlich, dass unsere Admin dann gar keinen Zugriff auf die privaten Geräte hat, oder? Ist das nicht ein Risiko?
Also ein Zugriff seitens der Admins besteht voa OWA/OL App nicht. Wie gesagt, das ist ja eigentlich nur die OWA Webseite die angepasst in der App dargestellt wird. Ein Sicherheitsrisiko ist es dagegen schon. Wenn du dein Handy verlierst und keine Sperre eingerichtet hast und auch noch das Passwort in der OL App hinterlegt hast, kann man damit natürlich Unsinn anstellen. Das ist auch der Grund, warum wir die OWA gesperrt haben.
Zugriff auf Firmendaten nur per EAS das eine Verbindung mit unserer Mobilgeräteverwaltung erzwingt. Hier setzen wir dann "Policies" also Pflichten wie ein Gerätepasswort etc...
Hier haben die Admins dann "speziellen" Zugriff auf das Handy. Es kann geortet werden, der Anwender erhält dann aber dazu eine Infonachricht. Ich kann den "Firmenbereich" des Handys aus der Ferne löschen oder einsehen, nicht aber die die privaten Daten, falls das Gerät ein privates ist! Eigentlich wird ein zweites, virtuelles Handy angelegt das wir verwalten, sobald der Anwender bei der Einrichten der MDM (Mobile Device Management) Verwaltung angibt, das es sich um ein privates Gerät handelt. Da haben wir dann nur Zugriff auf die Firmendaten die alle in einer speziellen, verschlüsselten Datei, Container abgelegt sind.
Das klingt ja auch viel sinnvoller! Wenn man bedenkt, dass wir eine Firma mit Ca 600 Mitarbeitern haben, kommen da schon allerlei Privatgeräte zusammen und die wenigsten Mitarbeiter haben ein Diensthandy. Hmmmm, komisch...im Moment halte ich unseren Admin gerade etwas leichtfertig, dieses so unkontrolliert zu ermöglichen. Zumal vielleicht der eine oder andere Mitarbeiter, dass gar nicht publik macht, wenn ein Handy verloren geht und schon haben Fremde Zugriff auf den Firmenkalender und evtl vertraulichen Mailverkehr. Was für ein Szenario. Oder sind meine Bedenken übertrieben?
Nein, du übertreibst nicht. Vielmehr unterschätzen viele Kollegen den Schaden der angerichtet werden kann!
Aber gerade dann währe es eigentlich Admin Sache! Bei uns in der Firma arbeiten viele einfache Leute, die einfach froh sind, wenn sie sich nicht mehrfach am Tag am Rechner setzten müssen um ihre Mails zu checken. Da macht sich keiner einen Kopf, ob das was nach außen gelangen könnte.
Das ist definitiv Admin Sache. Aber ich kann die Anwender verstehen. Wenn ich Wochenend oder Feiertagsdienst habe sitze ich auch nicht die ganze Zeit vor dem Rechner. Ich sitze auch im Garten. Wenn eine Störung gemeldet wird, kommt diese als Email auf meinem Handy an und dann kann ich aktiv an den Rechner um dies zu untersuchen. Wie gesagt, du hast recht. Man darf das Risiko das von Smarphones ausgeht nicht unterschätzen. Das sind kleine tragbare Computer die fast alles können was die Großen auch können. Noch kritischer wird es, wenn eine Citrix Umgebung in der Firma eingesetzt wird. Wenn der Admin hier das Passwortspeichern nicht generell deaktiviert hat, kann man von den Mobilgeräten arbeiten als ob man am PC sitzen würde.
Ich selbst hab das tatsächlich auch so. Ich kann wirklich mein echtes Word oder Excel, Outlook am Handy aus öffnen. Ich kann alle meine "eigenen Dateien" öffnen. Das Windowsprogramm wird einfach nur eingeblendet wie bei einer Terminalsitzung. Wenn der Admin da die Passwortspeicherung nicht deaktiviert und dann noch SingleSignOn in der Domäne genutzt wird, kann jemand der so ein Gerät in die Finger bekommt echtes Unheil anrichten, Dateien auf Fileservern löschen etc...
So weit ich weiß kommen wir nicht an die eigenen Dateien, das sind auch zwei verschiedenen Server (kann aber auch sein, dass ich einfach nicht klug genug bin um herauszufinden wie das geht). Aber ehrlich gesagt finde ich die Mail Geschichte schon irgendwie bedenklich. ich schicke Vertrauliches herum, der Kollege hat evtl. sei Pad mit Firmen Outlook offen zu Hause herumliegen, es piept, die Kinder der Familie, oder Besuch gehen dran und sind schnell über Dinge informiert, die gar kein anderer wissen darf. Ich glaube unserer ADMIN denkt einfach wir wären nicht klug genug für sowas und hat deshalb alles "offen" gelassen. ;-)
Ein Risiko für die Firma meinte ich? Falls uns mal ein Privatgerät wegkommt, wir da leichtfertig mit umgehen oder dergleichen?