In der mobilen Welt ist die Verwendung von Apps für manche Dienste unabdingbar. Doch in solch einer App ist manchmal mehr als nur die Kernfunktion. Manche Hersteller nutzen Software Development Kits (SDK) von Drittanbiertern, um bestimmte Funktionen schnell und einheitlich hinzufügen zu können. Dazu zählen auch Tracker.
Diese können für eine Menge unterschiedlicher Funktionen genutzt werden. So gibt es welche für Absturzberichte oder auch Loginverfahren über bekannte Netzwerke. Doch wie bekommt man dies heraus bzw. was machen all diese Tracker genau?
Die meist verwendete Anwendung im geschäftlichen Einsatz ist wohl der PIM Client für die Synchronisierung von E-Mail, Kalender und Kontakte. Die zu synchonisierenden PIM Daten zählen zu den wertvollsten Daten eines Unternehmens und sollten daher als besonders schützenswert gelten. Ich habe mir daher über den Dienst Exodus ein paar bekannte Android PIM Clients aus dem Enterprise Segment angesehen.
BlackBerry Work hat laut dem Dienst keinerlei Tracker inkludiert (Testergebnis). Dies ist sehr löblich, hat aber auch den Hintergrund, dass der Hersteller eine eigene Analysemöglichkeit via des hauseigenen UEM anbietet. Ganz im Gegensatz zu Microsoft Outlook (Testergebnis): ganze 14 Tracker. Doch man darf keine voreiligen Schlüsse ziehen. Outlook wird vermehrt im Privatkundenbereich eingesetzt, daher sind auch Dienste wie ein Facebook Login inkludiert. Das ist nunmal die Krücke, wenn man eine Consumer Version im Enterprise Bereich einsetzt. Wichtig ist hierbei, welche Daten werden an wen gemeldet und listet der App Hersteller dies auf? Wird in diesem Falle Facebook automatisch kontaktiert wenn man die App zur Einrichtung öffnet? Dazu kommt noch, dass Outlook die erste Android Cross Plattform App von Microsoft wird.
MobileIron nutzt zum Beispiel wie manch andere MixPanel. Im MobileIron UEM Product Privacy Statement wird zwar nicht auf den Dienst hingewiesen, jedoch in der Partnerliste mit dem Hinweis, dass dies optional für Apps mit einer Veröffentlichung vor 2017 gilt. Der Dienst selbst gibt an, dass man keinerlei Daten erhebt, welche zugeordnert werden können. Auch Boxer Workspace One (Testergebnis) setzt diesen Tracker ein. Aber alleine die Tatsache, dass ein Dritter ein Tracking einer hochsensiblen Anwendung durchführen kann, sollte zu denken geben.
Manch andere Tracker sind alleine für die Erstellung von Crashlogs gedacht, so ist Google CrashLytics beliebt. Doch gerade bei dieser Art von Logs können sensible Daten wie Personen- und Gerätedaten erhoben und gemeldet (zu einem Drittanbierter) werden. Es stellt sich die Frage, warum hier nicht lokale Crashlogs erzeugt werden und dann entweder automatisch zum Admin und oder Hersteller geteilt oder lokal gespeichert werden?!
Fazit
Es sollte eine Kernaufgabe vor dem Einsatz einer App sein, diese vorher zu prüfen. Denn manchmal ergibt sich aus der Herkunft oder anderer Verwendung ein Sicherheitsrisiko, welches man nicht unterschätzen sollte. Dazu können freie Dienste oder Anbieter wie AppVisory genutzt werden. Und manch ein Container von einem UEM Anbieter ist besser als gedacht bzw besser als die Mitwettbewerber.
Die Berechtigung einer App prüft eh jeder UEM Admin bevor er diese für den geschäftlichen Einsatz freigibt. In diesem Falle bin ich nicht speziell darauf eingegangen, jedoch gibt es hier alleine schon in der Anzahl große Unterschiede. Dies ist teilweise den verwendeten APIs und Zusatzfunktionen geschuldet.