Was haltet ihr von beschränkten Nutzer-Rechten auf Smartphones und Tablets?

[GoaSkin]

Smartphones und Tablets kommen in der Regel mit einem Betriebssystem, bei dem dem Nutzer kein voller Systemzugriff gewährt wird. Er darf vorinstallierte Apps nicht entfernen, das System nur sehr beschränkt modifizieren und - mit Ausnahme von Android -  Apps nur aus dem Store des Systemherstellers beziehen, wobei er dazu wiederum dazu gezwungen wird, einen Account einzurichten, der auch noch für andere Dinge genutzt wird, als nur Apps zu beziehen. Dienste, die einen tieferen Systemzugriff erfordern (z.B. Serverdienste auf den Standardports) kann man unter normalen Umständen schlichtweg nicht installieren.

Nun kann man Geräte oftmals zwar rooten bzw. jailbreaken oder gar ein Custom ROM installieren, doch es scheint die "App-Industrie" in letzter Zeit immer mehr auf dem Trip zu sein, sich dies nicht mehr gefallen zu lassen. Denn so einige Apps prüfen mittlerweile, ob der Bootloader geöffnet wurde oder ein Superuser-Dienst läuft und verweigern daraufhin Funktionen. Bei Online-Banking Apps hat man da immer häufiger schlechte Karten aber es gibt auch schon Apps, bei denen man das Sicherheits-Argument garnicht gelten lassen kann und trotzdem ihren Dienst verweigern.

Im Grunde genommen verstehe ich aber garnicht, was das soll, die Nutzer in die Richtung zu gängeln, vorinstallierte Hersteller-Betriebssysteme so zu nehmen, wie sie sind. Ein Smartphone ist irgendwo auch nur ein kleiner Computer, mit dem besonderen Feature, darüber telefonieren zu können. Und auf einem herkömmlichen PC ist es jeglicher Software auch egal, dass die Betriebssysteme ohnehin einen Administrator- bzw. Root-Nutzer mit den vollen Zugriffsrechten haben und der Besitzer nach Lust und Laune ein anderes Betriebssystem installieren kann.

Oder wird es in Zukunft auch PCs geben, bei denen das Booten von Installationsmedien BIOS-seitig rigoros verhindert wird - und dies in Kombination mit neuen Betriebssystemen, die nur noch User mit Standard-Rechten kennen?

Haltet ihr es für angebracht, dass die Soft- und Hardware-Industrie im Handheld-Bereich aufgrund von Sicherheitsaspekten so vorgeht?

Bearbeitet 24. Juni 2018 von GoaSkin

[RubberDog]

vor 8 Stunden schrieb GoaSkin:

Bei Online-Banking Apps hat man da immer häufiger schlechte Karten aber es gibt auch schon Apps, bei denen man das Sicherheits-Argument garnicht gelten lassen kann und trotzdem ihren Dienst verweigern.

Im Grunde genommen verstehe ich aber garnicht, was das soll, die Nutzer in die Richtung zu gängeln, vorinstallierte Hersteller-Betriebssysteme so zu nehmen, wie sie sind.

Weil eben auch ein dritter das Smartphone modifiziert haben und deine Banking-Daten abgreifen könnte.

vor 8 Stunden schrieb GoaSkin:

Ein Smartphone ist irgendwo auch nur ein kleiner Computer, mit dem besonderen Feature, darüber telefonieren zu können.

VoIP, und jeder Rechner kann das gleiche.

vor 8 Stunden schrieb GoaSkin:

Und auf einem herkömmlichen PC ist es jeglicher Software auch egal, dass die Betriebssysteme ohnehin einen Administrator- bzw. Root-Nutzer mit den vollen Zugriffsrechten haben und der Besitzer nach Lust und Laune ein anderes Betriebssystem installieren kann.

Den gibt es auch bei Smartphones, nur hat der 0815 User keinen Zugriff darauf.
Um den Vergleich herzustellen: Hat in eurer Firma jeder Nutzer Admin-Rechte auf seinem PC?

vor 8 Stunden schrieb GoaSkin:

bei denen das Booten von Installationsmedien BIOS-seitig rigoros verhindert wird

UEFI. Es sei denn, das Ding ist signiert.

vor 8 Stunden schrieb GoaSkin:

Haltet ihr es für angebracht, dass die Soft- und Hardware-Industrie im Handheld-Bereich aufgrund von Sicherheitsaspekten so vorgeht?

Da der durchschnittliche DAU nicht wirklich Ahnung hat was er tut - ja.
Auch vielen selbsternannten "Experten" traue ich so ziemlich nichts zu (und lag damit bisher sehr oft richtig). Nur weil man nach Anleitung ein anderes OS aufs Smartphone baut, weiss man noch lange nicht was man da tut.

Bearbeitet 25. Juni 2018 von RubberDog
typo

[t0pi]

dazu kommt dass das Endkundengeschäft mehr "kostet" (Stress, Geld). Ein Firmenhandy wird nie einen Jailbreak erleben oder sonstigen Firlefanz ausserdem werden die Rechnungen hier direkt bezahlt (wenn man dann noch die Kosten der Business Tarife sieht sind die Einnahmen auch höher). In Zeiten zu BYOD und MDM in dem der Admin genau sagen kann was erlaubt ist und was nicht, bestimmt welche Apps installiert und was gepatcht wird hast du ebenfalls professionellen Schutz

vor 8 Stunden schrieb GoaSkin:

Im Grunde genommen verstehe ich aber garnicht, was das soll, die Nutzer in die Richtung zu gängeln, vorinstallierte Hersteller-Betriebssysteme so zu nehmen, wie sie sind. Ein Smartphone ist irgendwo auch nur ein kleiner Computer, mit dem besonderen Feature, darüber telefonieren zu können. Und auf einem herkömmlichen PC ist es jeglicher Software auch egal, dass die Betriebssysteme ohnehin einen Administrator- bzw. Root-Nutzer mit den vollen Zugriffsrechten haben und der Besitzer nach Lust und Laune ein anderes Betriebssystem installieren kann.

Ist doch bei Computern genauso: Kaufst du nen fertigen PC ist normalerweise ein Windows drauf (ausser du achtest beim Kauf darauf und kannst "ohne Betriebssystem" kaufen. Mit der UAC gibst du dir für eine bestimmte Funktion Admin / Root Rechte. M$ könnte das natürlich auch strikt ändern und sagen: Hey meld dich als richtiger Admin an, dies geschieht aber normalerweise nur in Domänennetzwerken oder bei Sicherheitsfanatikern im privaten Sektor. Nenn es "Kulanz" von Seiten Microsoft.

[Crash2001]

Ich könnte mir vorstellen, dass der User oftmals gegängelt wird, da ihm nicht zugetraut wird, sinnvoll mit Root-Rechten umzugehen. Zusätzlich reduziert es natürlich auch den Supportaufwand, wenn die User mit dem Smartphone nicht machen können, was sie wollen, und was ihnen eigentlich zustehen würde, zu machen.

Ich weiß nicht, ob eventuell bei den gebrandeten Betriebssystemen eventuell auch der Netzbetreiber noch von App-Herstellern Prämien oder so kassiert und daher sicherzustellen hat, dass diese nicht deinstalliert werden.

ICh denke, einen vollwertigen PC in der Art wird es eher nicht geben, bei dem man derart eingeschränkt wird - und falls doch, wird es definitiv immer noch genügend Alternativen geben - alleine schon dank der doch recht hohen Verbreitung von Linux.

[RubberDog]

vor 6 Minuten schrieb Crash2001:

Ich denke, einen vollwertigen PC in der Art wird es eher nicht geben, bei dem man derart eingeschränkt wird - und falls doch, wird es definitiv immer noch genügend Alternativen geben - alleine schon dank der doch recht hohen Verbreitung von Linux.

1,48%?

[Maniska]

vor 54 Minuten schrieb RubberDog:

Da der durchschnittliche DAU nicht wirklich Ahnung hat was er tut - ja.

Auch vielen selbsternannten "Experten" traue ich so ziemlich nichts zu (und lag damit bisher sehr oft richtig). Nur weil man nach Anleitung ein anderes OS aufs Smartphone baut, weiss man noch lange nicht was man da tut.

Im Firmenumfeld gebe ich dir voll und ganz recht, da hat der DAU nur das zu machen was der Admin ihm erlaubt. :)

Allerdings finde ich auch, dass der DAU nur dann lernen kann, wenn man ihn lässt, also soll er an seinen Privatgeräten daheim schon alles machen können was der Admin in der Firma auch kann.

Das Problem ist aber, dass man durch die Einschränkung "Du bist eh zu doof, ich lass dich das gar nicht erst machen" gar nicht Möglichkeit hat etwas falsch zu machen zu lernen. Meine Mutter hat sich zu einem ganz akzeptablen Ubuntu-User gemausert. Das wäre aber nicht gegangen, wenn ihr Rechner sie zu Windows "gegängelt" hätte.

Beim PC kann ich alles was vom OEM kommt ich nicht für nützlich erachte runter werfen, beim Tablet/Smartphone erst mal nicht. Das finde ich nicht richtig. Ich KANN gar nicht die Hoheit über mein Gerät erlangen ohne die Gewährleistung zu verlieren, soll aber für alles was das Gerät anstellt verantwortlich sein, während der Hersteller verkaufen und vergessen darf (Sicherheitsupdates anyone?).

[t0pi]

vor 9 Minuten schrieb Maniska:

Allerdings finde ich auch, dass der DAU nur dann lernen kann, wenn man ihn lässt, also soll er an seinen Privatgeräten daheim schon alles machen können was der Admin in der Firma auch kann.

das Problem hierbei ist: Einen PC installierst du neu, das weiss jeder DAU, aber ein Handy auf werkseinstellungen zurückzusetzen dafür ist der DAU zu Dau ...dann wird das Handy lieber zum Hersteller / Provider eingesendet und stress gemacht damit man Ersatz erhält. Verursacht unnötige kosten, also hat man dafür gesorgt das dies nicht möglich ist.

[RubberDog]

vor 16 Minuten schrieb t0pi:

das Problem hierbei ist: Einen PC installierst du neu, das weiss jeder DAU, aber ein Handy auf werkseinstellungen zurückzusetzen dafür ist der DAU zu Dau ...dann wird das Handy lieber zum Hersteller / Provider eingesendet und stress gemacht damit man Ersatz erhält. Verursacht unnötige kosten, also hat man dafür gesorgt das dies nicht möglich ist.

Mal davon abgesehen, dass ich noch keinen PC erlebt habe der beim (Neu-)Installieren eines OS gebrickt ist, egal wie dumm der User sich angestellt hat.
Bei Smartphones kommt das häufiger vor.

[allesweg]

Wieso kann ich ein Handy nicht so einfach wie einen PC neu aufsetzen? Warum muss das so?

Ein Smartphone ist mittlerweile nur ein extrem minimalisierter All-in-one-PC. Touchscreen, Lautsprecher, Mikrofon, Flash-Speicher, Akku, BT, WLAN, WAN. Optional diverse Anschlüsse (Headset, eine USB-Art, Kartenleser, ...) und weitere Sensoren (Ortungsdienste, Kompass, ...). Warum darf ich bei meinem Notebook die SSD tauschen und beim Smartphone noch nicht einmal den Akku?

Und warum darf die Software-Gängelung NOCH VIEL weiter gehen? Zusatzsoftware nur aus dem Hersteller-Store? Bloatware nicht entfernen?

Im Unternehmenseinsatz sehe ich es anders: Der User ist der User und nutzt, was der Chef über den Admin freigibt. Punkt.

[Maniska]

vor 15 Minuten schrieb t0pi:

...aber ein Handy auf werkseinstellungen zurückzusetzen dafür ist der DAU zu Dau ...

Dann muss er es halt lernen.

Nur weil Provider/Hersteller hier Kindergärtner spielen wollen gibt es das Problem doch.

Ich kann an jedem Gerät das ich zu hause habe rumschraubern (also technisch, nicht fachlich :) ) wenn ich etwas kaputt repariere weil ich keine Ahnung habe, muss ich mir jemanden kommen lasen der das wieder gerade bügelt. Warum wird dieser eklatante Unterschied gemacht zwischen Soft- und Hardware? Wenn ich meine Hardware verbiege (Auto, Heizung...) pampert mich doch auch keiner. Warum "darf" ich meine Software nicht auf die selbe Art verhunzen? Wo bleibt die Eigenverantwortung, einfach mal nur das zu tun was man auch kann und für seine Fehler dann selbst einzustehen?

Dieser ganze entmündigende "Kundenservice" der dem einfach-zu-dämlichen Endverbraucher alles abnimmt erzieht uns doch zur Unselbständigkeit.

[t0pi]

Der Satz zielte eher darauf ab das es nicht so schlau ist den Leuten die zu doof sind und es nicht hinkriegen ein Handy auf Werkseinstellungen zurückzusetzen noch mehr Berechtigungen zu geben keine besonders gute Idee ist. Natürlich kann man jetzt auf die Provider/Hersteller rumhacken aber ich behaupte einfach mal: Auch für Handys gibt es einen Markt wo du das Handy ohne OS kaufen kannst und dann bist du doch auch Herr über das Gerät... dann muss der DAU halt da einkaufen wenn er was lernen möchte und nicht auf vorgefertigte Systeme zurückgreifen. Ich kann beide Seiten allerdings verstehen: Der Hersteller will seine Geräte an den Mann bringen und am liebsten nie wieder was von dem Gerät hören (niedrige Supportkosten) auf der anderen Seite wird es eine Handvoll Menschen geben die sich damit auseinandersetzen wollen, nur dürfen diese halt nicht auf dem 0815 Markt schauen... (so ist das übrigens bei Computern genauso: will ich kein vorgefertigtes System muss ich mir das in Eigenregie zusammenstellen, wobei Händler wie Alternate, Mindfactory etc. Konfigurationstools anbieten und ich in meiner Auswahl nicht beschnitten bin)

[cortez]

vor 10 Stunden schrieb GoaSkin:

Haltet ihr es für angebracht, dass die Soft- und Hardware-Industrie im Handheld-Bereich aufgrund von Sicherheitsaspekten so vorgeht?

Sicherheit ist immer ein Argument und wenn es richtig umgesetzt wird auch ein valides Argument. Als Admin hast du in der Domain ja auch Kontrolle über die Geräte und kannst so die Firmenrichtlinien umsetzen. Wenn Smartphones und Tablets im Unternehmen verwendet werden, sollte man auch in der Lage sein zu kontrollieren das die Mitarbeiter es im Sinne der Firma einsetzen.

Wenn du auf deinem Privatgeräte eine App hast die mit sensiblen Daten arbeitet, wie zum Beispiel die Online Banking willst du doch das die möglichst Reibungslos und vor allem sicher läuft. Am besten eignen sich die Empfehlungen der Hersteller.

Eine Sache hast du vielleicht übersehen, mit dem einschränken des Betriebssystem kannst du aus einem Smartphone auch einen Warenscanner machen. Die Kosten dann nur 200€ im Gegensatz 1200€ für einen richtigen. Das wäre doch ein Vorteil von Einschränkungen.  

[Crash2001]

vor 2 Stunden schrieb RubberDog:

1,48%?

1. Das ist nur der Anteil der Internetbenutzer, die auf Seiten rumsurfen. Wenn man also z.B. einen Mailserver unter Linux betreibt, taucht der in DIESER Statistik nicht auf. Von daher ist die Statistik komplett belanglos / irrelevant, wenn man die Gesamtzahlen an Betriebssystemen haben möchte und nicht nur die Pageview-Zahlen.
2. Selbst bei 1,48% der Leute, die im Internet surfen, sind es doch eine ganze schöne Menge an Leuten, die sich so etwas vermutlich auch nicht gefallen lassen würden, sondern sich dann Alternativen suchen / schaffen würden. Zudem ist der Prozentanteil definitiv größer, da man mit einem Linux Server eher nicht im Internet auf Seiten rum surft, sondern er eher Dienste nutzt / zur Verfügung stellt...

Zitat

Die Statistik zeigt die Marktanteile der verschiedenen Betriebssysteme an der Internetnutzung weltweit (ohne Smartphones) von Januar 2009 bis Mai 2018. StatCounter erhebt die Daten anhand von über 16,3 Milliarden Page Views pro Monat (Stand September 2015). [...]

Quelle

 

 

[RubberDog]

vor 2 Minuten schrieb Crash2001:

1. Das ist nur der Anteil der Internetbenutzer, die auf Seiten rumsurfen. Wenn man also z.B. einen Mailserver unter Linux betreibt, taucht der in DIESER Statistik nicht auf. Von daher ist die Statistik komplett belanglos / irrelevant, wenn man die Gesamtzahlen an Betriebssystemen haben möchte und nicht nur die Pageview-Zahlen.

Stimmt auffallend.
Aber die Statistik trifft genau auf das, was ich auch in dem Post zitiert habe - die von dir benannte "hohe Verbreitung" von Linux.
Die ist nunmal leider im privaten Bereich nicht gegeben.

Und wie wir hier im Thread schon mehrfach lesen können, ist genau das der für die Fragestellung relevante Bereich.

[GoaSkin]

Die Frage ist,

vor 8 Stunden schrieb RubberDog:

Weil eben auch ein dritter das Smartphone modifiziert haben und deine Banking-Daten abgreifen könnte.

Den gibt es auch bei Smartphones, nur hat der 0815 User keinen Zugriff darauf.
Um den Vergleich herzustellen: Hat in eurer Firma jeder Nutzer Admin-Rechte auf seinem PC?

Da der durchschnittliche DAU nicht wirklich Ahnung hat was er tut - ja.
Auch vielen selbsternannten "Experten" traue ich so ziemlich nichts zu (und lag damit bisher sehr oft richtig). Nur weil man nach Anleitung ein anderes OS aufs Smartphone baut, weiss man noch lange nicht was man da tut.

Und könnte ein Dritter einen Windows-PC, auf dem der Benutzer Admin-Rechte haben kann, ohne dafür ein anderes Passwort zu benötigen, nicht modifiziert haben, um Banking-Daten abzugreifen? Da wird auch kein solches Geschiss deswegen gemacht. Der Windows-User weiss auch nicht unbedingt, was er tut, wenn er Windows neu, ein anderes Windows oder gar Linux installiert, aber solange es sich um Computer handelt und nicht um Smartphones, wird das dem Benutzer gestattet. Gehts schief, ist der Benutzer einfach selbst dran schuld. Warum nicht auch bei Smartphones?

Was den Vergleich mit dem Firmen-PC betrifft handelt es sich dabei um einen Firmen-Rechner, der zu dienstlichen Zwecken genutzt wird. Dort hat zwar nicht unbedingt der Mitarbeiter Admin-Rechte aber zumindest die Firma kann konfigurieren, was sie möchte, ohne dabei das, was Microsoft, Google oder Apple auftischen so fressen zu müssen, wie es auf den Teller kommt.

Und nur weil ein Arbeitsplatz-Rechner kein Privatspielzeug ist, kann man damit schlecht argumentieren, dass ein Smartphone auch seitens des Herstellers dichtgemacht gehört.