Betriebliche Smartphone Absicherung

Vorab es geht um Daten gem. Art. 9 DSGVO (Gesundheitsdaten).

Es geht um einen Betrieb, der für seine Mitarbeiter Smartphones gekauft hat. Mich interessiert wie andere (vorzugsweise diejenigen, die sich mit der Technik dahinter auch auskennen und nicht nur den rechtlichen Papieraspekt sehen) damit umgehen.

Es geht darum auf den Smartphones mit Patienten telefonisch zu kommunizieren, ggf. Daten in ein CRM einzupflegen und Kontakt mit Krankenkassen zu halten. Hierbei fallen allerhand sensible Daten gem. Art. 9 DSGVO an.

Ich persönlich halte ausgelieferte handelsübliche Google-Smartphones im Originalzustand schon für den Privatgebrauch für ein Sicherheitsfiasko. Jetzt ist die Strategie der meisten mir bekannten Unternehmen

  • Smartphone Richtlinie
  • Google PlayStore
  • Rechtemanagement App
  • AntiVir
  • ggf. VPN

fertig. Das kann ich aus Sicherheitssicht nicht mit reinem Gewissen unterstützen/empfehlen.
Das Smartphone baut regelmäßig Verbindung zu Google auf und hört dank eingebauter Bloatware regelmäßig mit. Eine vertrauensvolle Kommunikation mit dem Gerät für derart sensible Daten ist damit eigentlich nicht gewährleistet.

Ein Vertrag mit Google für Unternehmen für die Smartphone Nutzung ist mir nicht bekannt und dürfte so “sinnvoll” sein wie Windows in der Home-Variante im Betrieb einzusetzen. Selbst wenn es einen solchen Vertrag gäbe, wäre dies für Gesundheitsdaten wohl wenig sinnvoll, da der Cloud Act greift (+ Schrems II).

Die Telefone sind auch schon gekauft. Es sind Nischentelefone für die es keine große ROM Auswahl gibt.

Mein normaler Plan wäre:

  • root + Custom + Rom + Firewall
  • F-Droid / max. Google Play für Apps, die zwingend notwendig sind
  • OpenVPN
  • Smartphone Policy im Unternehmen

Das lässt sich jedoch nicht alles umsetzen und es ist zweifelhaft, ob die Mitarbeiter damit klarkommen. Allerdings kann man auch nicht immer Rücksicht auf die Mitarbeiter nehmen um dann im schlimmsten Falle die Sicherheit und den Datenschutz der Patienten zu gefährden.

Wie handhabt ihr das?

2 „Gefällt mir“

Tja, wenn sie frisch gekauft sind, dann kann man sie vielleicht gleich verkaufen…

Mein “Plan” wäre ungefähr derselbe. + MDM, das auch Aktualisierungen /Richtlinien ausrollen kann, bei Verlust fernlöschen etc. Wenn die Geräte privat genutzt werden (was ich mir lieber nicht vorstelle), noch auf eine Containerisierung für die betrieblichen Apps und Daten achten.

Alternativ alles mit iPhones umsetzen. Das hat prinzipiell ähnliche Probleme wie Android, ist aber einheitlicher. Und wenn was aufgrund von iOS nicht geht, geht es wahrscheinlich auch nicht auf Umwegen.

Google Play lässt sich evtl. zurückdrängen, indem Apps direkt vom Hersteller geholt werden; oder über z. B. Aurora Store. Wenn dazu andere Quellen freigeschaltet sind, dürften die Nutzer keinen Quatsch installieren.

Mit einem VPN, das über die eigene Firewall läuft lässt sich unerwünschter Datenfluss reduzieren.

D., der ebenfalls weit von einer Lösung (dass man die Smartphonerei abhaken könnte) entfernt ist.

Es gibt natürlich auch alternative OS; von denen ist /e/OS gut bedienbar, weil es im Prinzip nur ein “de-googelized” Android ist (basierend auf LineageOS). Schönes Projekt für Privatuser.

Allerdings muss man hier dann wiederum der e-Foundation vertrauen&hoffen, dass sie noch lange besteht (wobei die Partner mit Fairphone sind und auch schon in einigen großen Zeitschriften getestet wurden); und ich glaube, dass die Apps auch aus einem alternativen Store geholt werden müssen (wie sicher&aktuell sind diese dann, gerade im Kontext der Handhabung sensibler Daten? Kenne mich da nicht aus). Und last but not least sind dann auch nicht alle Apps verfügbar (welche, kann man auf der Website überprüfen); gerade Banking-Apps gibt es dort teils nicht, weil sie /e/OS gerne automatisiert als Sicherheitsrisiko “erkennen”.

Also wohl eher keine Alternative für eine Firma mit sensiblen Daten und spezifischen Apps. Ich würde hochgradig sensible Patient*innen-Daten außerhalb vielleicht von (klassischen) Telefonaten ehrlich gesagt von Smartphones weglassen. Zumal man Smartphones auch echt leicht verlieren/klauen kann, Richtlinie hin oder her.

Was? Das wäre ja strafbar. Oder wollen Sie über einen Goolge-Dienst telefonieren, der sich das in den AGB genemigt (geht das überhaupt bei Grundrechten?), anstatt über das Telefonnetz?

Also ich sehe das Gerät eigentlich als egal an, solange man für Datenkommunikation VPN nutzt und für Sprache das “normale” Netz mit den “normalen” rechtlichen Gegebenheiten.

1 „Gefällt mir“

@Domasla:
Was meinst Du mit VPN?
Und über welche Produkte könnte man bei MDM bzw Containerisierung ‘nachdenken’?

Wenn das VPN nicht irgendwohin ins Internet geht, sondern im eigenen Netz rauskommt, lassen sich an der Firewall unerwünschte Übermittlungen nach außen unterdrücken.

MDM-Produkte… Da kümmere ich mich nicht selbst drum, und ich habe kein Smartphone.

D., der ein Smartphone hat, aber kein betriebliches.

Nein, jedes Google Telefon telefoniert massiv nach Hause und nahezu jedes ausgelieferte Smartphone hat bedenkliche Dienste aktiv, die aktiv mithören und in regelmäßigen Abständen das Gesprochene Wort an die Werbeindustrie übertragen. Das wundert mich gerade auch, da dass seit Jahren Thema ist.

Bei Windows hat man beispielsweise für die ‘Business’ Version wenigstens eine Version entwickelt, wo sich die Telemetrie und andere merkwürdige Dinge (mit so habe ich mir sagen lassen - ich fasse kein Windows an) abschalten lassen. Hier wurde auch mehrmals gesagt, man sollte im Betrieb die ‘Business’ Version nutzen. Warum es sowas für den PC-Markt gibt aber nicht für den Smartphone Markt obwohl es genau der selbe Grund ist, ist mir schleierhaft.

Ehm. VPN sichert nur die Verbindung zum anderen Netz. Wenn das Gerät, dass VPN nutzt schon komprimiert ist und man darüber keine Kontrolle hat dann bringt das nichts. VPN ist keine Firewall und unterbindet auch nicht die Google Telefonie, da man dafür ROOT-Rechte braucht um so tief in das System einzudringen.

Ich meinte ja auch nicht zum Telefonieren, sondern für etwaige Datenverbindungen ins interne Firmennetz - zum Zugriff auf Intranet-Dienste.

Wenn ich jemanden anrufe und der nutzt ein ausspioniertes Telefon oder schneidet das Gespräch selbst mit, kann ich schließlich auch nichts machen.

Das Smartphone soll wirklich vollumfänglich genutzt werden, also nicht nur für die reine Telefonie.

Beispielliste:

  • Telefonie, SMS
  • SMS
  • Signal
  • VoIP-Telefonie inkl. dazugehöriger App (wie Zoiper, linphone etc.)
  • E-Mail(-Postfach)
  • Nextcloud-App
  • Browser: CRM, Nextcloud, Wordpress, Senfcall-BBB
  • Kartendienst- bzw. Routenplanungs-App (Google Maps Alternative wie Open Street Maps)
  • ÖPNV-App
  • Office-Apps
  • Sparkassen-/pushTAN-App

Ich finde es erschreckend, dass man sich hier noch keine Gedanken darüber gemacht hat bzw. es sich noch nicht durchgesetzt hat, dass die Consumer-Produkte nicht einfach so im Businessumfeld eingesetzt werden können
bzw. das überhaupt noch keine wirklichen Business Produkte ohne Telemetrie, ohne Tracking etc. ohne riesen Aufwand auf dem Markt sind.

So wie ich das gerade lese hat der Datenschutz auf den meisten Mobilgeräten dann wohl Urlaub, weil ein VPN ist kein großes Sicherheitsfeature, damit keine Daten zum Hersteller oder App-Entwickler gefunkt werden, gerade nicht wenn man nicht ‘Root’ auf seinem eigenen System ist. Ich sehe auch nicht, dass es hier AVVs gäbe und wenn, dann würden die Daten sowieso in ein Drittland übertragen werden. Also alles unschön.

Nein, iPhones sind sogar schlimmer als Android, da du da überhaupt keine Kontrolle darüber erlangen kannst und alles proprietär ist. Das ist einer der schlimmsten Tipps, die in der Businesswelt herumgeistern.

Ich habe gesagt “einheitlicher”; nicht besser. (“prinzipiell ähnliche Probleme wie Android”)

Tja, dann ist die Smartphonerei eben noch nicht ausgereift, um sie geschäftlich /behördlich einzusetzen. Die meisten Apps wären es ebenfalls nicht. (Können die Designer dieses… Designen alle nicht, oder wird ihnen vorgegeben, Quatsch einzubauen?)

D., der einstweilen eine Trennung auf Dummes Telefonier-Telefon (Telefon, SMS) und Linux-Tablet vorschlägt. Für die Sparkassen-Funkton dann mit einer (sowieso) sicheren Alternative zu push-TAN. Karten, Mail und ÖPNV gibts über’s Web. Und “Office-Apps” sollen hoffentlich nicht von Microsoft sein…

Das stimmt ja ganz und garnicht. Es gibt ausgereifte (und sichere!) MDM Systeme schon seit Jahren. Und für hohen Schutzbedarf gibt es sogar Lösungen, die für Verschlusssachen zertifiziert sind und insbes. bei Sicherheitsbehörden eingesetzt werden.

1 „Gefällt mir“

Ein MDM hilft dir aber bei Telemetrie und Co. auch nicht. Nur weil etwas eine Behörde einsetzt, heißt es noch lange nicht das es gut ist (dazu hab ich leider zu viele Behördensysteme gesehen).

Es geht um die Standardauslieferung, die es NICHT als Business Modell zu kaufen gibt und die Möglichkeit eine echte Kontrolle darüber zu erhalten. Nur VPN und MDM sind halt dazu zu wenig. Ich hab das Gefühl, dass ich hier nur mit reinen Datenschützern spreche ohne Fachbereich IT-Sec, daher ganz wichtig, mir geht es hier um technische als auch dsgvo-konforme Absicherung.

Aber ich sehe schon, das bringt hier zu viel rauschen herein und geht so weit vom eigentlichen Thema weg und ich habe leider nicht die zeitlichen Kapazitäten die Nebengeräusche zu beantworten. Eine wirkliche Antwort auf die Frage werde ich wohl hier nicht finden. Trotzdem danke für eure Mühen.

Das Thema der US Daten- und Cloud Dienste ist glaube keinem unbekannt und spätetsens seit Schrems II kann mir keiner sagen dass es nicht beachtet wird.

Klar gibt es da noch viel Unsicherheit und Unverständnis (auf beiden Seiten - und sogar bei Gerichten bspw. VG Wiesbaden zu den CDN Netzwerken.

Aber was den Smartphonemarkt angeht hat man insgesamt nur die Option Hersteller aus China oder den USA - vorallem bei den Betriebssystemen. Und wenn ich zwischen den Ländern wählen muss ist es zwar die Wahl zwischen Pest und Cholera aber, ich wüsste wen ich bevorzuge.

Aber zeig mir gerne Smartphones die an der Stelle konform sind. Man bedenke auch das gewisse Auswertungen möglich sind wegen Telekommunikationsrecht etc.

1 „Gefällt mir“

Ich bin jetzt kein Techniker, sondern mehr Anwender und kenne drei Anbieter von “Mobil / Endpoint Security”, bei denen der private komplett vom geschäftlichen Bereich getrennt ist. Der geschäftliche Bereich ist separat freizuschalten und alles, einschließlich der Adressbücher sind beispielhaft getrennt u.s.w. Es ist sicher besser, die Details bei den Anbietern nachzulesen.
Materna Virtuel Solution, Deutschland: SecurePIM

Sophos Großbritannien: Sophos Mobil Security

Samsung: Südkorea: Knox for Enterprise

Heute ist es ja schwer vorstellbar, ohne Mobilgeräte auszukommen.