Apple Remote Desktop 3 (ARD) - Gefahren für die Persönlichkeitsrechte beim Einsatz

Überblick Remote-Control-Software
Timbuktu
Fernsteuerung, Regeln für den Einsatz von Remote-Control-Werkzeuge
PCAnywhere
Was leistet PCAnywhere? Wie muss es konfiguriert werden?
VNC
Was kann VNC? Viele Programmversionen erschweren den Überblick.
Radmin
Und noch einmal Fernwartung: Vorsicht beim Einsatz von Radmin.
Apple Remote Desktop 3
Nix für den Büroalltag. Remote Control a la Apple.
Dameware
Fernwartung zum x-ten: Einstellungsprobleme erkennen
und entschärfen.

 


Apple Remote Desktop ist eine Software, mit deren Hilfe sich die Systemadministration auf andere Rechner aufschalten und deren Steuerung übernehmen kann, z.B. zur Softwarewartung oder zum Systemsupport. Frühere Versionen sahen keine Möglichkeit vor, das System so zu einzurichten, dass das Aufschalten auf den Rechner nur nach ausdrücklicher Freigabe durch den Benutzer (Klicken auf einen Button etc) möglich ist. Mittlerweile können im ARD-Konfigurationsmenü Einstellungen vorgenommen werden, die eine Freigabe durch den Benutzer erzwingen. Der Einsatz von ARD ist aus Mitarbeitersicht dennoch problematisch...


Hinweis: Dies ist ein überarbeiteter Artikel aus dem Jahr 2007.

1. Möglichkeit der Überwachung der aktuellen Tätigkeiten der Mitarbeiterinnen und Mitarbeiter an den Arbeitsplatzrechnern durch heimliches “Aufschalten” auf Bildschirme.

Auf dem ferngesteuerten Rechner werden die Rechte des ARD-Administrators festgelegt. Hier können die Optionen Beobachten/Steuern deaktiviert werden. Ein Aufschalten auf den Bildschirm ist damit ausgeschlossen. Die Optionen Beobachten/Steuern können nicht ferngesteuert verändert werden.
Allerdings ist i.d.R. die Einrichtung eines neuen Users auf dem ferngesteuerten Rechner möglich. Diesem User kann via ARD das Recht zum Beobachten und Steuern gegeben werden. Löscht der Administrator nach der Benutzung den neu angelegten User, so gehen über eine zwischenzeitlich erfolgte Beobachtung alle Spuren verloren.

Was treiben die kleinen Racker? ARD ist ursprünglich als Schulsoftware entwickelt worden: Vier Bildschirme zeitgleich am Administratorplatz..

2. Möglichkeit der Überwachung von historischen Tätigkeiten der Mitarbeiterinnen und Mitarbeiter an den Arbeitsplatzrechnern (Reports über die Benutzung von Programmen und/oder Rechnern)

ARD bietet historische Berichte über erfolgte Programmaufrufe durch Anwender an. Nach unserer Recherche ist offen, ob das Erzeugen und/oder die Anzeige dieser Berichte durch geeignete Konfiguration bzw. Berechtigungsvergabe unterbunden werden kann.

Wer hat welche Programme aufgerufen? - Voreinstellungen für den User-Report (Auszug aus dem Administrationshandbuch):
- Computername
- Name der Anwendung
- Datum Programmstart
- Gesamtdauer
- Gesamtdauer im aktiven Fenster
- Benutzername
- aktueller Status


3. Möglichkeit des unberechtigten Fremdzugriffs auf persönliche Dokumente der Mitarbeiterinnen und Mitarbeiter (eMail, halbfertige Arbeiten) in privaten Speicherbereichen.

Funktionen zur Softwareverteilung ermöglichen es dem Administrator, ohne Erforderlichkeit einer Bestätigung durch den Anwender, Dateien auf dem ferngesteuerten Rechner anzusehen, zu kopieren, zu löschen. Dabei kann der Zugriff nicht auf definierte Verzeichnisse, etwa nur Programmverzeichnisse, beschränkt werden. Dasselbe gilt für die ferngesteuerte Nutzung des Unix-Terminalfensters.
Die Suchen-Funktion ermöglicht eine verzeichnisweite Suche nach bestimmten Dateien, mit Hilfe der Spotlight-Funktion werden dabei auch Inhalte von Dateien durchsucht. Eine Beschränkung auf bestimmte Dateitypen oder Verzeichnisbereiche ist vom Programm nicht zwingend vorgesehen, sondern obliegt dem jeweiligen Administrator.

Spotlight ermöglicht die Volltextsuche auf dem ferngesteuerten Rechner

Die Administration hat darüber hinaus die Möglichkeit, Programme ohne Zustimmung des Anwenders nicht nur zu installieren, sondern auch zu starten und zu beenden. Die Administration hat keine Möglichkeit, ausgeschaltete Rechner per Fernzugriff zu starten. Angesteuerte Installationen etc. werden automatisch nachgeholt, sobald der Rechner vom Anwender gestartet wird.

Ob eine Protokollierung über erfolgte Fernzugriffe auf dem Arbeitsplatzrechner der Anwender erfolgt, konnte in unseren Recherchen geklärt werden, vermutlich aber nicht.

Kritisch ist ist in diesem Zusammenhang weiterhin die schlechte Visualisierung von Online-Zugriffen. ARD signalisiert nur, ob es betriebsbereit ist. Darüber hinaus ist einstellbar, ob eine gerade durchgeführte Beobachtung signalisiert werden soll oder nicht. Ein Zugriff des Administrators auf die Dateien und Verzeichnisse im Rahmen der Fernwartung wird nicht angezeigt.

Fazit:

ARD schafft jede Menge mitbestimmungswürdiger Probleme. Bereits die Tatsache, dass mit Hilfe der Spotlight-Funktion eine Totalkontrolle der Inhalte von eMail, Texten und Dokumenten auf dem entfernten Rechner nicht sicher verhindert werden kann, macht eine zufriedenstellende Regelung schwer vorstellbar.

In unserem Beratungsfall hat das Unternehmen nach Intervention des Betriebsrats davon abgesehen, das System an den Arbeitsplatzrechnern zu installieren. Stattdessen wird es nunmehr ausschliesslich im Seminarzentrum des Unternehmens im Rahmen von Online-Schulungen eingesetzt. "Back to the roots" heißt also die Devise: Das Programm, ursprünglich konzipiert für den Einsatz in Schule .(Die Lehrer sollen völlige Kontrolle über die “kleinen Teufel” haben, wie es auf der Apple-Webseite mal hieß...) kann seine Möglichkeiten im Schulungsbereich am besten ausspielen. Aber bitte nicht in den Büroräumen der Beschäftigten in Deutschland!