iMessage bei MDM verwalteten Geräten.

[steffmaster78]

Hallo Leute,

Können iMessages auf Geräten, die per MDM gemanaged werden, durch dritte mitgelesen werden? Ich halte das ja für absolut ausgeschlossen, aber wissen tue ich es nicht.

Danke & Gruss
Steff

 

[MiketheBird]

Wen meinst du mit Dritte? Zuerst einmal ist MDM im ersten Schritt nur die Verwaltung der Geräte, betrifft also zunächst einmal nicht den operativen Betrieb in Form von Nachrichten schicken und Co. Jetzt ist es allerdings so, dass Nachrichten über jedweden Messenger zur elektronischen Kommunikation gehören und als solches unter Umständen in einem Firmenumfeld zu den zu speichernden Dokumenten gehören. Dann wird es kniffelig, denn es gibt durchaus Optionen aus MDM heraus die Archivierung der Nachrichten zu konfigurieren.

 

[steffmaster78]

Danke für deine Antwort… Nun es heisst ja, die iMessages seien Ende zu Ende verschlüsselt. Und auch imessages seien seit ios 11.4 nicht mehr von Apple entschlüsselbar. Früher scheint es wohl mal auf behördliche Anordnung möglich gewesen zu sein (aber nur für Apple selbst). Die Frage geht eher in die Richtung: Ist ein Admin oder MDM Verwalter oder wie man die nennt in der Lage, Chats mitzulesen, die ein User X mit User Y führt? Da würd ich ja vollkommen vom Glauben abfallen…
Z.B. bei uns im Unternehmen: Die ganzen Geräte sind MDM. Kann denn da wirklich die Ende zu Ende Verschlüsselung „ausgehebelt“ werden?

Archivierung wäre ja ok, solange die Nachrichteninhalte Save sind für Dritte eben (Dritte = Leute die es nichts angeht)

 

[bonnylein]

Ich kenne als MDM Cisco Meraki, Jamf und Relution. Ich kann damit iMessage erlauben und iMessage verbieten. Ich habe als Admin keinen Zugriff auf die Inhalte der Nachrichten, E-Mails o.ä. über das MDM.
Als einzige – sehr theoretische Möglichkeit – bleibt, dass ich, wenn ich im gleichen Raum wie das verwaltete Gerät bin, mich bei schulischen iPads über die Classroom-App auf den Bildschirm der Person schalten kann. Aber dies wird der Person auch angezeigt und ich muss in Bluetooth-Reichweite sein. Oder ich könnte den Passcode löschen und dann, wenn ich das Gerät in der Hand habe, die Nachrichten lesen. Dafür müsste ich aber erst einmal Gerät in die Hand bekommen und es würde auffallen, wenn der Passcode gelöscht/geändert wäre.

 

[MiketheBird]

Danke für deine Antwort… Nun es heisst ja, die iMessages seien Ende zu Ende verschlüsselt. Und auch imessages seien seit ios 11.4 nicht mehr von Apple entschlüsselbar. Früher scheint es wohl mal auf behördliche Anordnung möglich gewesen zu sein (aber nur für Apple selbst). Die Frage geht eher in die Richtung: Ist ein Admin oder MDM Verwalter oder wie man die nennt in der Lage, Chats mitzulesen, die ein User X mit User Y führt? Da würd ich ja vollkommen vom Glauben abfallen…
Z.B. bei uns im Unternehmen: Die ganzen Geräte sind MDM. Kann denn da wirklich die Ende zu Ende Verschlüsselung „ausgehebelt“ werden?

Archivierung wäre ja ok, solange die Nachrichteninhalte Save sind für Dritte eben (Dritte = Leute die es nichts angeht)

MDM und E2E Verschlüsselung von iMessages in einen Topf zu werfen ist beim Thema Vertraulichkeit etwas verwirrend. MDM Verwaltung heisst, dass das Endgerät administriert wird, d.h. verwaltend jeweils an einem deiner "E" sitzt und nicht bei "2 auf der Leitung". Insofern hat die Verschlüsselung des Übertragungswegs nichts damit zu tun, dass der Admin über MDM das Gerät verwaltet.

Einer der Gründe für MDM ist es die mobilen Geräte auch in den Verwaltungsbereich des Systemadmins zu bekommen. Genau so wie ein Systemadmin deine Emails lesen kann, sofern es nicht besondere Postfächer sind die verschlüsselt verwendet werden wie zB regelmässig Geschäftsführerkonten, kann theoretisch ein Systemadministrator einer Firma die MDM einsetzt auch deine iMessages lesen - ja, der muss das sogar können, weil es auf einem Firmenmobiltelefon keine Ausnahme von "alles was passiert gehört der Firma" gibt. Im Falle einer Straftat ist sonst auch der Teufel los - es sei denn man ist Bundesregierung und scheisst auf Gesetze.

Wenn ihr im Unternehmen MDM verwendet und iMessage, nutzt ihr auch eine Firmen-AppleID? Wenn dann die Backup Strategie richtig aufgesetzt ist, dann sind die Chatverläufe sowieso im Firmenarchiv abgelegt und können dort gelesen werden (daran denken die wenigsten). Ein Firmenhandy kennt keine Privatsphäre, darf es auch nicht.

 

[pbro]

iMessages werden im iCloud Backup nicht e2e verschlüsselt gespeichert. Damit ist alles gesagt. Wer Zugriff auf das iCloud Backup hat, kann die imessages lesen.


Apple kann das, da Apple den Schlüssel für das icloud Backup hat/kennt.
Und jeder andere mit Zugriff auf das icloud Backup kann das auch, das schliesst mdm Lösungen ein.

Edit:

Muss mich korrigieren, die imessages werden e2e verschlüsselt im icloud Backup abgelegt, aber der Schlüssel ist auch im Backup enthalten
https://support.apple.com/de-ch/HT202303

Am Endergebnis ändert sich damit aber nicht.

 

[steffmaster78]

Wenn ihr im Unternehmen MDM verwendet und iMessage, nutzt ihr auch eine Firmen-AppleID? Wenn dann die Backup Strategie richtig aufgesetzt ist, dann sind die Chatverläufe sowieso im Firmenarchiv abgelegt und können dort gelesen werden (daran denken die wenigsten). Ein Firmenhandy kennt keine Privatsphäre, darf es auch nicht.

Ich glaube jeder Benutzer eines Firmen Telefons hat eine eigene Apple ID. Ich gehöre nicht zu diesem Kreis, deswegen kann ich es nicht sagen. Aber es genügt mir, was du schreibst. Jetzt stehen aber 2 Aussagen im Raum.
Übrigens kann ich garnicht wählen, ob iMessages im iCloud Backup gesichert werden. Ich kann lediglich einstellen, dass iMessage die iCloud benutzt.

 

[bonnylein]

Wenn ich das richtig sehe, beruhen die unterschiedlichen Aussagen darauf, dass ich mich auf das MDM selbst beziehe und die Option zum Mitlesen im Backup besteht. D.h. die Frage ist nicht unbedingt, ob es über das MDM geht, sondern, wo die Daten gesichert werden.

In meinem Fall (Schule) muss jeder seine Daten selbst sichern - mit allen Vor- und Nachteilen. Wenn iCloud verwendet wird, dann über eine private Apple ID und nicht über eine verwaltete. Daher habe ich auf die private Apple ID auch keinen Zugriff. Das ist Firmenkontext sicherlich anders.