Differenzierung zwischen Admin- und User-Berechtigungen

B

Botschafter Sarek

Neues Mitglied
1
Hallo zusammen,

wir haben für unsere Mitarbeiter im Außendienst das Galaxy S3 LTE angeschafft. Da es sich um Dienstapparate handelt, möchten wir die Rechte des späteren Benutzers des Smartphones einschränken. Er soll vor allem keine Applications installieren oder deinstallieren können, und er soll sich nicht an einem anderen als dem voreingestellten Google-Konto anmelden können. Gibt es bei Android auch so etwas wie verschiedene Benutzer mit unterschiedlichen Rechten, so wie man es von Windows oder Linux kennt? Also so daß der Administrator (also ich) mit einem entsprechenden Kennwort alles darf, der normale Smartphone-User, der sich ganz normal mit der Handy-PIN anmeldet, aber eben nicht?

Kurz zu mir: Ich bin zwar Windows-Systemadministrator, aber von Android habe ich nicht die geringste Ahnung. Ich habe selber auch kein Smartphone, sondern noch ein ganz normales, klassisches Mobiltelephon. Daher wäre ich dankbar für eine möglichst detaillierte Hilfestellung oder zumindest für ein paar gute (möglichst deutschsprachige) Quellen zum nachlesen.


Danke im Voraus,
Sarek
 
Zuletzt bearbeitet:
Hm, da es noch keine Antworten gibt, nenne ich selbst jetzt mal drei Varianten, die ich bisher bei meiner Recherche gefunden habe:

  1. CyanogenMod soll laut einem Beitrag in einem anderen Forum eine Differenzierung zwischen Benutzer und Administrator ermöglichen. Leider habe ich dazu noch nichts näheres im Internet gefunden.
  2. Alternativ fand ich die Lösung, mit der Application "Seal" andere Applications (Google Play, Paket Installer) zu sperren, um so die Installation neuer Applications durch den User zu unterbinden. Das wäre quasi die Mindest-Anforderung an eine Benutzerkontrolle.
  3. Und schließlich gäbe es noch die (leider teure) Lösung, ein Mobile Device Management wie distant control zu installieren.


Was haltet Ihr von diesen Varianten?
 
Also die radikale Methode wäre: Einfach den Paketinstaller direkt löschen. Allerdings würde ich ein Backup empfehlen, sonst lassen sich keine Updates installieren.

Andererseits gibt es Device Policy for Android. Das ist speziell für Firmen, Schulen etc pp. Das kannst du dir hier mal genauer anschauen: https://support.google.com/a/users/answer/190930?hl=de

Allerdings muss man hier Kunde von Apps für Business etc sein. Es gibt aber eine kostenlose Testversion davon.

Allgemein aber: Mit ein bisschen Verständnis von der Materie lassen sich immer Apps installieren, egal wie ;) Ob direkt über Android SDK oder anderweitig. Am besten wäre hier also die entsprechenden Leute zu unterrichten, dass sie schlicht keine Apps zu installieren haben und dies auch schriftlich bestätigen müssen ;)
 
Otandis_Isunos schrieb:
Andererseits gibt es Device Policy for Android. Allerdings muss man hier Kunde von Apps für Business etc sein. Es gibt aber eine kostenlose Testversion davon.
Zum Vergrößern anklicken....

Eigentlich wollte ich eine Lösung, die monatlich statt einmalig Geld kostet vermeiden - dann können wir auch gleich "distant control" installieren.


Otandis_Isunos schrieb:
Allgemein aber: Mit ein bisschen Verständnis von der Materie lassen sich immer Apps installieren, egal wie ;)
Zum Vergrößern anklicken....

Ich glaube nicht, daß die Nutzer so viel Verständnis haben. Das sind Krankenschwestern (meist etwas fortgeschrittenen Alters), die meistens schon mit der normalen Bedienung der Geräte überfordert sind und bei jeder Kleinigkeit nachfragen. Einige von denen hatten noch nie einen Computer bedient. Gerade deshalb ist eine Absicherung aber notwendig. Sie dient

  1. dem Schutz vor der Unbedachtheit der User nach dem Motto "Ach, facebook wäre doch jetzt nett"
  2. dem Schutz vor versehentlichen Veränderungen der Einstellungen, die dazu führen, daß die Damen hinterher zu mir kommen und sich beklagen, daß sie dies und jenes nicht mehr finden.
Im Klartext: Ich traue keiner der Damen zu, daß sie die Smartphones mutwillig mißbrauchen. Wenn bei der Installation einer Application eine Passwortabfrage angezeigt wird (so wie es mit Seal möglich ist), dann werden die da schon die Finger von lassen. Aber eigentlich möchte ich eben nicht nur die Installation von Applicationen per Passwort schützen, sondern auch andere Einstellungen, z.B. Änderungen an den Homescreens. Daher greift mir Seal eigentlich nicht weit genug.
 
Meine Antwort auf deine gestern hier gestellte Frage hätte diesen Thread überflüssig gemacht...
 
jna schrieb:
Meine Antwort auf deine gestern hier gestellte Frage hätte diesen Thread überflüssig gemacht...
Zum Vergrößern anklicken....

Deine Antwort habe ich gelesen - dadurch komme ich ja z.B. auf die Lösung mit dem "distant control". Aber als Android-Neuling konnte ich mit den meisten Deiner Links nicht viel anfangen. Ich brauche konkrete Vorschläge für meinen Fall. Noch jedenfalls - wenn ich ein paar Monate mit Android zu tun gehabt habe, dann bin ich sicher auch in der Lage, Lösungen für ähnliche Probleme für meine Fragestellungen anzupassen.

P.S.: Übrigens ist dieser Thread hier älter als mein Beitrag zu dem anderen Thread und Deine Antwort darauf.
 
Zuletzt bearbeitet:
Mobile Device Management ist das Thema. Wenn du es richtig machen willst, solltest es als Projekt ansehen. Weil MDM ist ein großflächiges Thema, welche viele weitere Thema abgreift. (Zum Beispiel Content Management, Privatsphäre, Unternehmensrichtlinien...) Da es sich von Unternehmen zu Unternehmen und gegenüber Privatpersonen sehr komplexen Thema handelt, empfieht sich den Markt zu durchforschen. Aus persönlichen Erfahrung kann ich IBM Trivoli Endpoint Management und von Pretioso GmbH die Softwarelösung Datamo (auch mit den Unternehmen AirIT GmbH in Kooperation) empfehlen. Beide Softwarehäuser bieten eine Strukturierten Projekt-Management für dieses Thema.

Und unteranderem ist es ein Nogo im Unternehmensgeräte zu Rooten und oder ein Custom-Rom zu verwenden. Weil dieser gewissen Sicherheitseinstellung unter den Geräten verändern bzw. aushebeln.
 
Patrick89bvb schrieb:
Mobile Device Management ist das Thema. Wenn du es richtig machen willst, solltest es als Projekt ansehen. [...] Aus persönlichen Erfahrung kann ich IBM Trivoli Endpoint Management und von Pretioso GmbH die Softwarelösung Datamo (auch mit den Unternehmen AirIT GmbH in Kooperation) empfehlen.
Zum Vergrößern anklicken....

Für beide Produkte finde ich im Internet keine Preise - das ist immer ein untrügliches Zeichen, daß es sich um Produkte der oberen Preiskategorie handelt. Da ich hier eine gemeinnützige GmbH betreue, sind wir zwar durchaus bereit Geld auszugeben, aber eher im unteren bis mittleren Preissegment.


Patrick89bvb schrieb:
Und unteranderem ist es ein Nogo im Unternehmensgeräte zu Rooten und oder ein Custom-Rom zu verwenden.
Zum Vergrößern anklicken....

Kann man gerootete Geräte nicht auch wieder "un-rooten"? Denn ohne Root-Berechtigungen kann ich ja (wenn ich es richtig verstanden habe) kein Clockwork installieren und ohne Clockwork kein Nandroid-Image erstellen bzw. auf die übrigen Geräte aufspielen, oder?
 
ach herrje, nun komm aber mal auf den Boden - ein wirtschaftlicher Einsatz oder ein Pilot in kleinem Rahmen ist nicht mit einem Riesen-Dinosaurier an "Projekt" möglich.

Unternehmensgeräte nicht zu rooten ist m.E. ein absolutes NoGo - man hat sonst nämlich schlichtweg über gar nichts mehr die Kontrolle und kann keine vernünftigen Backups machen. Was für Unternehmen ruinierst Du denn beruflich so?!?

Daher an den TS:

- Multi-User-Funktionen sollen irgendwann mal kommen - gesehen hab ich sie aber noch nicht.

- Gerät rooten und eine Firewall installieren, die z.B. den Play Store und alle neuen Apps vom Internet fernhält, ist schonmal keine schlechte Idee.

- Ansonsten mal in den Threads zum Thema Kindersicherung reinschauen - da dürfte es durchaus etwas geben, was Deinen Wünschen nahekommt.

Nichts destotrotz mal der Hinweis, dass Android-Geräte von Werk aus ziemlich geschwätzig nach Hause telefonieren und daher die Speicherung und Verarbeitung von sensiblen Daten auf Android-Geräten sehr sorgfältig durchdacht werden sollte.
 
girouno schrieb:
Unternehmensgeräte nicht zu rooten ist m.E. ein absolutes NoGo
Zum Vergrößern anklicken....

Hm, genau die gegenteilige Meinung des Vorredners. Was soll ich als Android-Neuling denn jetzt glauben? Gibt es dazu keine offiziellen oder halboffiziellen "BestPractice"-Richtlinien?


- Multi-User-Funktionen sollen irgendwann mal kommen - gesehen hab ich sie aber noch nicht.
Zum Vergrößern anklicken....

Schade ... aber danke für die klare Aussage.


- Gerät rooten und eine Firewall installieren, die z.B. den Play Store und alle neuen Apps vom Internet fernhält, ist schonmal keine schlechte Idee.
Zum Vergrößern anklicken....

Da habe ich leider nicht groß die Wahl. Die Entscheider in der Firma haben mit den Telekom-Veträgen Norton-Sicherheitssoftware gekauft und die auch bereits auf den Geräten installiert. Ich bin zwar absolut kein Freund von Norton, aber da bin ich gebunden :(

Was ist denn mit dem Vorschlag, über die Application "Seal" den PlayStore und den PaketInstaller mit einem Passwortschutz zu versehen, um die Installation neuer Applications für Unbefugte zu verbieten? Wie gesagt (siehe Beitrag von 9:49 Uhr), es muss nicht 100% wasserdicht sein.


- Ansonsten mal in den Threads zum Thema Kindersicherung reinschauen - da dürfte es durchaus etwas geben, was Deinen Wünschen nahekommt.
Zum Vergrößern anklicken....

Das ist noch mal eine gute Idee, da schaue ich gleich mal.


Nichts destotrotz mal der Hinweis, dass Android-Geräte von Werk aus ziemlich geschwätzig nach Hause telefonieren und daher die Speicherung und Verarbeitung von sensiblen Daten auf Android-Geräten sehr sorgfältig durchdacht werden sollte.
Zum Vergrößern anklicken....

Gilt das auch für eine SSL-gesicherte Web-Applikation, die auf einem Crome-Browser auf dem Smartphone ausgeführt wird? Vertrauliche (Patienten)daten werden nämlich nur darüber verarbeitet.
 
Wenn sich ein Mitarbeiter damit auskennt, dann macht er einfach nen FW und dann ist das komplette Phone wieder frei. Bringt dir im Grunde garnichts.
 
Botschafter Sarek schrieb:
genau die gegenteilige Meinung des Vorredners. Was soll ich als Android-Neuling denn jetzt glauben? Gibt es dazu keine offiziellen oder halboffiziellen "BestPractice"-Richtlinien?
Zum Vergrößern anklicken....

Dass rooten ist nix weiter als sich mit dem Admin Account einzuloggen (um mal Windows Sprache zu gebrauchen).
Und das ist vom Hersteller nicht vorgesehen weil die Zielgruppe für Android normale Anwender sind (die machen mit nem Admin Account eh nur alles kaputt). Dass was du vorhast ist doch bei Android gar nicht vorgesehen.

Im Firmenumfeld bekommen die Angestellten auch nicht das Adminpasdword, aber der Admin braucht es zwingend.

cu
 
Zuletzt bearbeitet:
Patrick89bvb schrieb:
Und unteranderem ist es ein Nogo im Unternehmensgeräte zu Rooten
Zum Vergrößern anklicken....

Dazu noch mal eine Frage: Wer hindert eigentlich den User, das Gerät selber zu rooten, wenn ich es nicht vorher schon gerootet und dann den Root-Zugriff mit einem Kennwort (z.B. mit SuperUser Elite) abgesichert habe?

Der ursprüngliche Beitrag von 12:37 Uhr wurde um 12:39 Uhr ergänzt:
T-Virus schrieb:
Wenn sich ein Mitarbeiter damit auskennt, dann macht er einfach nen FW und dann ist das komplette Phone wieder frei. Bringt dir im Grunde garnichts.
Zum Vergrößern anklicken....

Was ist FW? Es wäre schön, wenn im Forum (gerade gegenüber Neulingen) nicht so viele Abkürzungen und Fachbegriffe gebraucht würden ...

Der ursprüngliche Beitrag von 12:39 Uhr wurde um 12:41 Uhr ergänzt:
rihntrha schrieb:
Dass rooten ist nix weiter als sich mit dem Admin Account einzuloggen (um mal Windows Sprache zu gebrauchen).
Zum Vergrößern anklicken....

Wenn ich es richtig verstanden habe, bleibt man dann aber permanent mit dem Admin-Account eingeloggt, oder?
 
Botschafter Sarek schrieb:
Wenn ich es richtig verstanden habe, bleibt man dann aber permanent mit dem Admin-Account eingeloggt, oder?
Zum Vergrößern anklicken....

Jein, es ist eher wie bei aktuellen Windows Versionen. Man ist als User drin und wenn irgendwas Adminrechte braucht geht nen Fenster auf und fragt nach dem Adminpasword.

cu
 
So, ich habe jetzt mal unter Kindersicherung geschaut und "Kids Place" gefunden. Klingt gar nicht verkehrt, vielleicht ist es tatsächlich das, was wir brauchen. Ein Home-Screen mit den für die Mitarbeiter relevanten Applications (OfficeMobile, Crome, QuickProfiles, Diktiergerät, Kamera, Navi usw.) und der Rest ist kennwortgeschützt. Damit wäre auch das Problem des vordefinierten und nicht änderbaren Homescreens gelöst.

Hat jemand Erfahrungen mit dem Einsatz von "Kids Place" im Business-Bereich? Geht das?
 
@Botschafter Sarek:
Wenn der MA sein Smartphone/Tablet rootet, fliegt er bei jeden MDM aus der Policy und so erhält kein Zugriff auf Unternehmen-Dienste. Und das muss natürlich auch noch niedergeschrieben werden, dass der MA verantwortlich ist, wenn er unerlaubte Modifikation durchführt.

Alternativ kannst du auch die Mobile-Device-Management vieler AV-Hersteller anschauen, wie zum Beispiel Kaspersky oder Sophos. Solche Module lassen sich seperat aktivieren und können "cloud" gesteuert gemangement wird.

Sonst erhälst du auch einfache Software andere US Hersteller:
https://play.google.com/store/apps/details?id=com.good.android.gfe&hl=de


Wenn ihr sowieso nur aktuelle Samsung Geräte verwendet, könnte das für euch auch interessant sein.
Mobile Device Management-Solutions-Security | SAMSUNG


Um ein allgemeinen Blick dir gewähren zu können, hat der DFN (einen großen Vereien für die Hochschulen wenn es um Sachen IT & Sicherheit Themen geht.)

https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt54/forum-mobileit-heider.pdf
 
dass ein findiger Mitarbeiter die Sicherungen aushebeln und das Gerät "freischalten" könnte, steht doch völlig außerhalb jeder Diskussion: natürlich würde das gehen.

Aber in was für einer kranken Umgebung muss ich denn arbeiten, damit das eine Rolle spielt?!? Eine gewisse Loyalität zum Arbeitgeber darf ich doch wohl voraussetzen - wenn die nicht da ist, muss ich mich vom Mitarbeiter sowieso (ggf. fristlos) trennen. In Richtung Mitarbeiter geht es daher m.E. eh nur um (neugierige) Fehlbedienungen und nicht um gezielten Missbrauch - der lässt sich nicht vermeiden, sondern im Ernstfall nur dokumentieren.

Gilt das auch für eine SSL-gesicherte Web-Applikation, die auf einem Crome-Browser auf dem Smartphone ausgeführt wird? Vertrauliche (Patienten)daten werden nämlich nur darüber verarbeitet.
Zum Vergrößern anklicken....

*ich* hätte damit kein Problem. Aber wenn Du nach 'Best Practice' fragst, dann mag das anders aussehen...

Best Practice ist nach meiner Definition: Der am weitestgehend tolerierte Schwachsinn, den ein Entscheider machen kann, ohne sich im Falle einer deshalb eintretenden Katastrophe dafür persönlich verantworten zu müssen. Daher dürfte es auch best practice sein, im Unternehmen einfach gar keine Smartphones zu verwenden. Dass Best Practice nicht weitgehend praktiziert wird, ist zwar ein Widerspruch in sich, aber auch einer, der weitgehend toleriert wird.

Von einer sinnvollen Lösung im Einzelfall ist das ggf. meilenweit entfernt.

Daher:

- Ein Browser kann über entsprechende Aufrufe von lokalen Dateien als Launcher-Ersatz missbraucht werden. Da besteht ein Sicherheitsrisiko durch böswillige Benutzer.

- in einem (spekuliert) Kontext von häuslicher Pflege wäre es eine feine Sache, wenn die Kunden und deren Ansprechpartner über eine zentrale Adressdatenbank gepflegt werden würden und somit jeder Geräte-Benutzer unmittelbar Zugriff darauf hätte. Da böte sich ein zentrales Google-Adressbuch an, aber wäre wohl in Deutschland ohne explizite Einwilligung der Beteiligten nicht legal. Kurzum: alles was Spaß macht (oder wirklich einen Produktivitätsgewinn durch Android-Phones bringen würde), ist tendenziell verboten oder nur mit relativ großen Aufwand (Einwilligungen) machbar. Damit muss man halt leben.
 
Zuletzt bearbeitet von einem Moderator:
  • Danke
Reaktionen: Patrick89bvb
girouno schrieb:
In Richtung Mitarbeiter geht es daher m.E. eh nur um (neugierige) Fehlbedienungen und nicht um gezielten Missbrauch
Zum Vergrößern anklicken....

Da hat mal jemand kapiert, um was es mir geht :)

In meinen Augen scheint tatsächlich die zweckentfremdete Kindersicherung (siehe mein Beitrag von 13:00 Uhr) am besten geeignet zu sein, um in diesem Rahmen die Installation neuer Applications zu verbieten und einen definierten Homescreen zu gewährleisten. Daher noch einmal die Frage, ob jemand Erfahrung mit einer derartigen Zweckentfremdung von "Kids Place" hat.

Die Frage nach dem Rooten des Gerätes steht davon abgesehen trotzdem noch im Raum, denn ich möchte ja, nachdem ich ein Gerät komplett eingerichtet habe, diese Installation auf die anderen Geräte übertragen. So richtig scheint das ja nur mit Nandroid zu gehen, und die Nandroid-fähigen Programme wiederum scheinen nur auf gerooteten Geräten zu laufen.


- Ein Browser kann über entsprechende Aufrufe von lokalen Dateien als Launcher-Ersatz missbraucht werden. Da besteht ein Sicherheitsrisiko durch böswillige Benutzer.
Zum Vergrößern anklicken....

Das wäre jetzt aber wieder der Bereich "gezielter Mißbrauch", also in meinen Augen vernachlässigbar.


- in einem (spekuliert) Kontext von häuslicher Pflege
Zum Vergrößern anklicken....

Gut erkannt ;) Genaugenommen ist es häusliche Sterbebegleitung


wäre es eine feine Sache, wenn die Kunden und deren Ansprechpartner über eine zentrale Adressdatenbank gepflegt werden würden und somit jeder Geräte-Benutzer unmittelbar Zugriff darauf hätte. Da böte sich ein zentrales Google-Adressbuch an, aber wäre wohl in Deutschland ohne explizite Einwilligung der Beteiligten nicht legal.
Zum Vergrößern anklicken....

Nun, dafür haben wir eine mit dem Landesdatenschutzbeauftragten abgestimmte Lösung, die zentral bei einem zertifizierten und vertrauenswürdigen Anbieter (also nicht bei Google) gehostet wird. Da geht es dann nicht nur um die Kontakte, sondern auch um Medikamentenpläne, Diagnosen und so weiter. Daher fragte ich, ob SSL-geschützte Internetverbindungen mit Crome auf Android sicher sind.
 
"sicher" ist relativ. Laut Snowden sind sie das nicht - die NSA könnte also mitlesen, der BND, MAD oder das BfV wohl schon nicht mehr.

Für nicht staatstragende Anwendungen würde ich daher eine https-Verbindung für (ausreichend) sicher halten. Die Information, welcher Pfleger einem Präterminalen zu welcher Uhrzeit beigestanden hat, dürfte nicht in die Kategorie von Staatsgeheimnissen fallen.

Da ich allerdings noch nie das Bedürfnis hatte, eine Kindersicherung zu verwenden, kann ich zum Rest Deiner Fragen auch leider gar nichts beitragen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

mbox
Berechtigung für ungenutzte App entfernen (deaktivieren)
  • mbox
Antworten
4
Aufrufe
146
maik005
maik005
K
Berechtigungen automatisch entzogen, OBWOHL dies abgeschaltet ist
Antworten
0
Aufrufe
157
Kukkatto
K
L
Wie die Einstellungen zwischen 2 Smartphones mit Android 9 und 13 übertragen?
  • longrini003
Antworten
1
Aufrufe
452
mblaster4711
mblaster4711
Zurück
Oben Unten