WO2022117785A1 - Verfahren und system zum einstellen eines funktionsumfangs eines mobilen endgeräts - Google Patents

Verfahren und system zum einstellen eines funktionsumfangs eines mobilen endgeräts Download PDF

Info

Publication number
WO2022117785A1
WO2022117785A1 PCT/EP2021/084106 EP2021084106W WO2022117785A1 WO 2022117785 A1 WO2022117785 A1 WO 2022117785A1 EP 2021084106 W EP2021084106 W EP 2021084106W WO 2022117785 A1 WO2022117785 A1 WO 2022117785A1
Authority
WO
WIPO (PCT)
Prior art keywords
mobile terminal
network
functions
range
gateway
Prior art date
Application number
PCT/EP2021/084106
Other languages
English (en)
French (fr)
Inventor
Klaus Jürgen Penzkofer
Michael Karsten HÜBNER
Original Assignee
Penzl-Bikes GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Penzl-Bikes GmbH filed Critical Penzl-Bikes GmbH
Publication of WO2022117785A1 publication Critical patent/WO2022117785A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Definitions

  • the invention relates to a method for setting a range of functions of a mobile terminal device with the features of the preamble of claim 1 and a system for setting a range of functions of a mobile terminal device.
  • US 2015/0327011 A1 discloses systems and methods for recording the time and proximity of employees.
  • the method includes registering a mobile device associated with an employee and detecting when the mobile device associated with the employee enters a location.
  • the mobile device is monitored as soon as it enters the site. Based on this, a report is created that is used to record working hours.
  • data security may be limited when using a private mobile device during working hours. Sensitive areas of a company can be recorded by camera recordings without the consent of the employer.
  • the object of the invention is now to increase occupational safety and/or data security and to improve the recording of working hours. According to the invention, this object is achieved by the features of the independent claims.
  • the task is solved by a method for setting a range of functions of a mobile terminal device.
  • the method includes providing a network with a mobile device management system (MDM) system and/or a gateway.
  • MDM mobile device management system
  • the method further includes managing a connection between the mobile device and the network via the gateway and/or the MDM system.
  • the method also includes receiving an external trigger linked to the mobile terminal device or its user. This can be provided explicitly during the connection, that is to say an active or existing connection, between the mobile terminal device and the network.
  • the method also includes setting the range of functions of the mobile terminal device via the gateway and/or the MDM system.
  • the setting is based on the received external trigger associated with the mobile device or the user of the mobile device. This happens during the connection, i.e. active or existing connection, between the mobile device and the network.
  • the invention has the advantage that when a network connection is present, a functional scope that impairs security and/or a functional scope that is irrelevant in terms of work can be blocked for the user of the mobile terminal device.
  • Mobile devices or mobile terminals can be designed as portable communication devices that can be used for voice and data communication regardless of location, eg mobile phones, smartphones, netbooks, notebooks or tablets. Due to their size and weight, they can be carried without major physical exertion and can therefore be used on the go. For example, there are electronic terminals for mobile, network-independent data, voice and image communication and navigation.
  • the range of functions of the mobile terminal device can be determined by different types of applications.
  • the mobile device may contain enterprise applications (e.g., enterprise resource planning (ERP), customer relationship management (CRM), enterprise email, and/or other applications), personal applications (e.g., games, social networking applications, personal email applications and/or other applications) and/or other types of applications.
  • ERP enterprise resource planning
  • CRM customer relationship management
  • enterprise email and/or other applications
  • personal applications e.g., games, social networking applications, personal email applications and/or other applications
  • an enterprise administrator may wish to restrict the use of certain applications (e.g. sets/groups of applications) in certain scenarios.
  • These scenarios can be started or ended by the trigger.
  • This can be represented by the set range of functions in the form of a limited or full range of use or range of functions by restricting or releasing the possible applications/applications.
  • the range of functions can also include the use or retrieval of IP addresses and services.
  • the network designates a communication network in which packet-switched data transmission between transmitters and receivers is preferably used.
  • the communication network can at least partially provide a virtual connection between source and destination.
  • the MDM system (in English: mobile device management) defines a centralized management of mobile devices by administrators with the help of hardware and software.
  • the administrator here for example a company owner or supervisor of the user of the mobile device, can preset or set a guideline to be implemented by the MDM system for setting the range of functions of the mobile device or change it depending on the situation.
  • the administrator can use Mobile Application Management (MAM), for example, to block or release applications on the mobile device according to a predetermined time, for example working time or activity time.
  • MAM Mobile Application Management
  • the gateway designates a hardware and/or software component that establishes a connection between two systems, in this case the network and the mobile device. Forwarded data from all layers of the OSI model can be processed here.
  • connection can be characterized by two states, connected and not connected. When connected, a range of functions can be checked via the MDM system and/or the gateway. In the disconnected state, for example, a functional scope check cannot take place or start and/or end.
  • the mobile end device can be a Bring Your Own Device, BYOD, end device.
  • This type of mobile end device can be a private end device with a work-related purpose, at least for a duration of an agreed working time.
  • the mobile end device can explicitly not be managed by one or the MDM system, in particular during a connection time.
  • the setting step can be carried out by the gateway. In particular, the setting step can be carried out solely by the gateway.
  • a system administrator/network administrator can ensure or better ensure that a user of the mobile private terminal does not carry out any distracting or time-consuming activities that are not work-related. As a result, a user can become more productive through more effective working hours.
  • A, in particular dedicated, device profile and/or user profile, in particular from a large number of device profiles and/or user profiles, can be assigned to the mobile terminal device. Setting the range of functions can depend on the device profile and/or user profile.
  • Rank and status can also be taken into account here. For example, a senior employee can enter a greater range of functions are available than a subordinate employee.
  • Adjusting the range of functions can include restricting or enabling the range of functions of the mobile terminal device. If there is a stable connection between the mobile terminal device and the network, the range of functions can be released or restricted based on the trigger.
  • the trigger can indicate the beginning or end of a specific activity.
  • setting the range of functions can include blocking predetermined IP addresses and/or ports in order to prevent communication based on corresponding applications. As a result, the application(s) can be opened by the user on the mobile device, but external communication can be prevented.
  • the applications can be separated into whitelist and blacklist.
  • the blacklist represents applications that are not allowed when the specific activity is performed.
  • the whitelist represents applications that are allowed when performing the specific activity.
  • the white list can preferably contain a number of permitted IP addresses and/or ports. These IP addresses and/or ports can be available for external communication or via the gateway or the network. Communication can thus take place via this. More preferably, the blacklist can contain IP addresses and/or ports that are not permitted, or a number of IP addresses and/or ports that are not permitted. These IP addresses and/or ports can be available for external communication or via the gateway or the network. Communication can therefore not take place via this.
  • Blacklist and whitelist can depend on the specific activity or activity to be carried out. Different activities have correspondingly different blacklists and whitelists. A range of functions can therefore not only depend on the trigger, but can also depend on a type of activity that is specific or to be carried out. For example, more security-related activities may require a smaller set of applications in the whitelist than less security-related activities, which in turn can have a smaller number of applications in the blacklist.
  • the blacklist may include social media applications.
  • Other applications that can be blocked can be applications that control lower-level functions of the mobile device, such as e.g. B. the control of the camera optics and Charge Coupled Device (CCD) sensors.
  • a feature that can be blocked can be a camera.
  • Another feature that can be blocked can be a browser. Such functions can be blocked at the system level.
  • the one or more predetermined applications and/or features that are not blocked may be designated as whitelisted.
  • the whitelist may include a work email program.
  • the one or more predetermined application(s) and/or function(s) may be selected by an administrator, e.g., an employer. The administrator can select the applications and/or functions on the server, the server can then send this predetermined list of applications and/or functions to the mobile terminal.
  • employers can ensure that applications and/or functions that are not relevant to the employee's work are not available on the employee's mobile device when the employee is within the specified region (e.g. at work) and during a specified period (e.g. during working hours).
  • the trigger can be context based.
  • the context-based trigger may be related to one or more of a state of timekeeping of an employee owning the mobile device, in particular a company owning the network, an interaction of the employee on a system of the company, a location of the employee, a speed of a passenger , in particular of the employee, of a motor vehicle, a state of a machine operated by the employee and a user ID of a person, in particular of the employee.
  • the place may be indicated here by a position measured by a Global Navigation Satellite System, GNSS, receiver.
  • the speed may be measured by a vehicle-mounted or external speedometer, for example based on the location indicated by the position measured by the GNSS receiver.
  • the recording of working hours can be implemented, for example, by a card reader that can be connected to a time recording server.
  • the time recording system can be designed to read in an identification number that is indicated by a card with a magnetic stripe and/or an RFID identifier. This means that every employee can have a corresponding card.
  • the time recording server can assign the identification number to an employee.
  • the time recording server can be designed to store a time stamp together with the identification number in a database.
  • the time recording server can transmit the identification number to the gateway and/or the MDM system, with the gateway and/or the MDM system being/are designed to set the range of functions of the mobile device for the mobile device of the user with the read-in identification number.
  • the trigger can be linked to an action that is connected to the user of the mobile terminal device or the mobile terminal device itself. Security and the recording of working hours can thus be increased.
  • the gateway and/or the MDM system can determine, for example based on a location of the mobile device, whether the user of the mobile device belongs to a community of the network or whether the mobile device belongs to the network or is already known, for example as a company person or is active as a private person.
  • the gateway and/or the MDM system can determine whether the user of the mobile device is active as a corporate person or as a private person based on a data type that the mobile device is to access. If the connection to the network fails, the set range of functions on the mobile terminal device can be maintained or maintained for a predetermined minimum duration and/or predetermined maximum duration.
  • the predetermined minimum duration may correspond to a time period previously set for the type of activity being performed.
  • the predetermined minimum duration can also be determined by a period of time. After the time has elapsed (for example up to 1 minute, 5 minutes or 10 minutes), the complete range of functions can be available or made available to the mobile terminal device. In general, a range of functions can also be gradually released or restricted over a period of time. This can apply in the event of a failure, but also if the connection is established.
  • the predetermined maximum duration may be a set time, for example a duration of a working time/activity time of the user of the mobile terminal. For example, after the end of work at a given end time, the range of functions can be released directly.
  • the range of functions set on the mobile terminal device can be canceled abruptly or ad hoc.
  • a virtual point-to-point connection can exist between the mobile device and the network when the two are (actively) connected. This can correspond to the packet-switched connection via the gateway and/or the MDM system.
  • an exception rule can allow the mobile terminal device to have a greater range of functions than a currently set range of functions.
  • this exemption can apply to the connection and the functional scope of the mobile device.
  • this exception rule can also take effect without the action of the user of the mobile terminal device associated with the trigger or in the absence of the trigger and/or in the absence of the action.
  • the mobile terminal device can contain a specific application that contains and/or manages a list of context-based triggers.
  • the specific application can connect to the network through the gateway and set the functionality accordingly.
  • the specific application can also be activated by the context-based trigger on the mobile device, thus establishing the connection to the network via the gateway and adjusting the function reception accordingly.
  • the specific application can interact with different sensors or systems/devices.
  • the specific application can be understood as a mobile application that enables configuration of the mobile terminal device, for example in interaction with a software development kit (SDK) or with its help.
  • SDK software development kit
  • the specific application can be started and establish the connection with the set functionality.
  • the specific application as a running application on the mobile terminal device can initiate the connection with a limited range of functions.
  • the list of context-based triggers can be restricted by the user of the mobile terminal device by activating or deactivating corresponding sensors on the mobile terminal device.
  • the particular application may include or be associated with the following context-based triggers, such as with one or more of the status of the employee's working time recording who owns the mobile device, the employee's interaction with the company's system, the location of the employee, the speed of the driver's occupant of the motor vehicle, the status of the machine operated by the employee, the user ID of the Person.
  • the specific application can interact with the GNSS receiver to retrieve the measured position.
  • the specific application can interact with the speedometer to retrieve the measured speed, for example also in cooperation with the GNSS receiver to retrieve the speed so measured via the change of location over time.
  • one of the contexts is not present, another of the contexts may be provided for setting the functionality.
  • another of the contexts mentioned above can be provided for setting the scope of functions. This increases redundancy and thus also occupational safety / working time recording.
  • a computer program product can also be provided.
  • the computer program product includes instructions which, when the program is executed by a computer, cause the latter to execute the method or the steps of the method as described above or explained further below.
  • a computer-readable data carrier can also be provided.
  • the computer program is stored on the computer-readable data medium as described above or explained further below.
  • the object mentioned above is also achieved by a system for setting a range of functions of a mobile terminal device.
  • the system comprises a network with a gateway entity and/or a Mobile Device Management, MDM, entity.
  • the gateway unit can correspond to the gateway mentioned above.
  • the MDM unit can correspond to the above MDM system.
  • the gateway unit and/or Mobile Device Management, MDM, unit are designed to manage a connection between the mobile terminal and the network.
  • the gateway unit and/or MDM unit are designed to communicate externally with the mobile terminal device or its user associated trigger to receive.
  • the trigger from outside the gateway entity and/or MDM entity is preferably received during the connection between the mobile terminal and the network.
  • the gateway unit and/or MDM unit are further configured to adjust the functionality of the mobile terminal based on the received trigger during the connection between the mobile terminal and the network.
  • the gateway can be or be designed as a domain name system, DNS, server or a virtual private network, VPN, server, preferably a virtual private cloud, VPC.
  • the DNS server herein may be or be associated with an Internet independent service configured to control or restrict access to data from the Internet.
  • the DNS server can be structured hierarchically and have decentralized administration.
  • the user of the mobile device can then access the local DNS system.
  • the setting of the range of functions can include the restriction to/via the local DNS system or the release of the Internet DNS.
  • the VPN server can provide a virtual private (self-contained) communication network. Virtual in the sense that it is not a physical connection of its own, but at least part of the network used as a transport medium.
  • the VPN makes it possible to bind subscribers of an existing other communication network to the network. For example, the mobile terminal can gain access to the network at a different location than if the mobile terminal were in the vicinity of the network. From the point of view of the connection, the intervening networks only used as an extension (longer arm) to connect the mobile device exclusively to the network, called the gateway, especially VPN gateway.
  • the mobile end device can thus be part of the network and have direct access to it.
  • this process can be independent of the physical topology, the network protocols used and/or a type of network.
  • the VPC can be part of the VPN server or represent a separate but private network.
  • the VPC can provide a computer network without the need for local computers. This means that hardware can be dispensed with and effort can be saved at least at the functional site of the network.
  • the mobile end device can belong to a restricted group of users of the network, which is preferably managed by the MDM system.
  • the affiliation to the MDM system can take place via an upstream registration.
  • the invention relates in particular to a system with interfaces between mobile devices and time recording systems, a CAN bus of a vehicle, a GNNS receiver, and other peripheral devices that allow an administrator to control the use and functions of mobile devices .
  • a function check of the mobile devices with their installed applications can be monitored and defined by the system.
  • Using the system proposed herein enables the operator to have control over the use of private mobile terminals.
  • the administrator of the system can decide which contacts are put through to the user as "important" or which contacts he can connect to. Complete applications or only selected functions can thus be controlled.
  • the restriction of Applications/functions can be based on a contractually defined competence, eg as fixed in the scope of the employment contract.
  • the functions can be enabled and activated automatically. For example, if the employee takes a break from work or logs off from the workplace, the system can release all or selected applications and functions and reactivate contractually agreed regulations when work is resumed by logging into the time recording system.
  • the system can integrate all relevant vehicle data via existing interfaces such as on-board diagnostics (OBD).
  • OBD on-board diagnostics
  • the sensors built into the mobile end devices can report events and, together with data from the vehicle's CAN bus, enable control of the system.
  • a driver of the motor vehicle such as a car, truck, construction machine, etc., can actively log into the system or is automatically logged in. From this point on, the system is active and the functions are checked or restricted.
  • the driver can be distracted by incoming messages via a message service.
  • the functions that cannot be processed through the motor vehicle communication system can block the system.
  • various sensors on the mobile terminal, GNSS and/or acceleration sensors, in particular an IMU can be used to identify whether the user of the mobile terminal is driving the motor vehicle or whether the mobile terminal is being moved for other reasons, for example if it is is/was filed.
  • the user can be assigned as the motor vehicle driver.
  • the system can be temporarily set. For example, external people can participate in a meeting with strictly confidential topics, ie people who should not have access to certain information.
  • Mobile devices for example, are not permitted here and can be equipped with the help of a temporary application that implements the system.
  • the runtime of the application can be defined be. After a specified period of time, the application can be automatically deleted or deactivated.
  • the activation of the system can be conveniently enabled via a code that has to be scanned. Once the application has been transferred, a code scan can suffice to activate control over the functions of the mobile device.
  • a blocking of the camera and/or microphone can be explicitly provided for security reasons, for example in the case of a meeting. Accessibility can also be guaranteed in emergencies or in the event of important events, but questionable functions can be temporarily out of order in terms of prescribed conditions.
  • an application can only activate complete functions such as blocking the microphone for a certain time or until revoked by scanning a code.
  • a new control process can be activated with renewed scanning. This process can begin, for example, when entering a meeting room.
  • the codes can be printed there on a meeting agenda and, depending on the programmed code, can influence different functions of the mobile terminal device.
  • a control function can be set up to enable the administrators to monitor who has fulfilled the requirements and actually activated the application. For example a digital verification, like a repeating ping or the like.
  • the operator for example an employer, can avoid losses in the working hours of its users, for example employees.
  • the concentration of the users involved is not disturbed by incoming calls or messages from social media, etc., for example.
  • Outgoing and incoming messages can be prevented or selectively restricted.
  • the users integrated in the system as a community can receive, read and/or edit selected approved applications, contacts, data and/or telephone calls. Selected contact data could therefore still be reached. For example, a working mother can be explicitly allowed to have contact with her child.
  • Particular target groups of this system or procedure can be companies, schools, security institutions, insurance companies and authorities.
  • FIG. 1 shows a schematic sequence of a method for setting a range of functions of a mobile terminal device
  • FIG. 2 shows a system for setting a range of functions of a mobile terminal device.
  • FIG. 1 shows a schematic sequence of a method for setting a range of functions of a mobile terminal device 11.
  • FIG. 2 shows a system 10 that is provided for setting a range of functions of a mobile terminal device 11.
  • the system can be part of the method or carry it out partially or completely.
  • At least parts 11 to 13 of the system 10 can be provided to carry out corresponding parts of the method.
  • the method includes the step of providing S110 a network with a mobile device management system, MDM system, and/or a gateway 12.
  • the method also includes the step of managing S120 a connection between the mobile terminal device 11 and the network via the gateway 12 and/or the MDM system.
  • the method also includes receiving S130 an external trigger linked to the mobile terminal device or its user.
  • the method also includes the step of setting S140 the range of functions of the mobile terminal device 11 via the gateway 12 and/or the MDM system based on a trigger associated with the mobile terminal device 11 or its user during the connection between the mobile terminal device 11 and the network .
  • the gateway 12 can be a domain name system, DNS, server or a virtual private network, VPN, server, preferably a virtual private cloud, VPC.
  • a connection to the Internet 13 can then be controlled or adjusted or regulated via this. Dynamic regulation of the Internet 13 or control of access to it may be provided herein.
  • the mobile terminal device 11 can belong to a restricted group of users of the network, a so-called community, which is preferably managed by the MDM system. For example, only specific IP addresses and services for the community or the mobile terminal 11 or a number of mobile terminals from the community can be permitted.
  • the mobile terminal device 11 can explicitly be a BYOD terminal device 11 .
  • the user of the terminal device 11 can thus bring his private mobile terminal device 11 into a work environment and, based on the method or the system, experience a restriction in his ability to function in relation to his mobile terminal device 11 .
  • the mobile terminal device 11 can preferably not be managed by an MDM system.
  • the setting step S140 is then performed by the gateway 12 .
  • a device profile and/or user profile in particular a dedicated one, can be associated with the mobile terminal device 11 .
  • the mobile terminal device 11 can be assigned a (single) respective device profile from a large number of device profiles and/or user profiles.
  • the step of setting S140 the range of functions can depend on the device profile and/or user profile.
  • the device profile and/or user profile can contain the functional scope control or functional scope restriction and the exception rule(s).
  • the step of setting the functional scope S140 can include restricting or enabling the functional scope of the mobile terminal device 11 .
  • the step of setting S140 the range of functions can be a blocking of predetermined IP addresses and/or ports in order to prevent communication based on corresponding applications.
  • the triggers here can explicitly include or map activation and deactivation of the range of functions.
  • the step of setting S140 the range of functions can be or entail an application restriction of the mobile terminal device 11 .
  • the applications can be separated into whitelist and blacklist.
  • the whitelist can contain a number of allowed IP addresses and/or ports.
  • the blacklist may contain unauthorized IP addresses and/or ports.
  • the trigger can be context based.
  • the context may be a state of timekeeping of an employee of a company owning the network owning the mobile terminal 11 .
  • the context can also be an interaction of the employee on a system, eg the system 11, of the company.
  • the context can be a location of the employee. The location can be indicated by a position measured by a GNSS receiver.
  • the context can be a speed of a passenger, in particular the employee, of a motor vehicle. The speed may be measured by a vehicle-mounted or external speedometer, for example based on the location indicated by the position measured by the GNSS receiver.
  • the context can be a state of a machine operated by the employee.
  • the context can be a user ID of a person, in particular of the employee.
  • the trigger can be based on the employee logging in or out of the timesheet. Further, the trigger may be based on the employee beginning or ending operation of the system. Also, the trigger may be based on the employee being within, entering, or exiting the location. Furthermore, the trigger can be based on the fact that the passenger switches the motor vehicle on, starts, switches off, leaves or gets into the motor vehicle. Likewise, the trigger can be based on the fact that a speed is exceeded or exceeded (e.g. walking speed or Tempo 30). Also, the trigger may be based on the employee beginning or ending operation of the machine. Likewise, the trigger can be based on the user identification being captured, by chip card, RFID, Bluetooth etc.
  • the step of setting S140 can provide or include that, if the connection to the network fails, the range of functions on the mobile terminal device 11 is maintained or maintained for a predetermined minimum and/or maximum duration. Likewise, the step of setting S140 can provide or include that, if the connection to the network fails, the range of functions on the mobile terminal device 11 is canceled abruptly or ad hoc.
  • a virtual point-to-point connection can exist between the mobile terminal 11 and the network when the two are connected. This means that there is a virtual point-to-point connection with an active network or active data exchange.
  • exception rule described above can allow the mobile terminal 11, depending on the situation, to have a greater range of functions than the currently set range of functions, in particular without the action of the user of the mobile terminal 11 associated with the trigger.
  • exception rules for groups of the community or different mobile Terminals 11 are handled differently.

Abstract

Die Erfindung betrifft ein Verfahren zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts, mit den Schritten: Bereitstellen eines Netzwerks mit einem Mobile Device Management System, MDM System, und/oder einem Gateway; Verwalten einer Verbindung zwischen dem mobilen Endgerät und dem Netzwerk über das Gateway und/oder das MDM System; Empfangen eines externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslösers; und Einstellen des Funktionsumfangs des mobilen Endgeräts über das Gateway und/oder das MDM System basierend auf dem empfangenen Auslöser während der Verbindung zwischen dem mobilen Endgerät und dem Netzwerk.

Description

Verfahren und System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts
BESCHREIBUNG
Die Erfindung betrifft ein Verfahren zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts mit den Merkmalen des Oberbegriffs des Anspruchs 1 sowie ein System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts.
Ein mit der Erfindung verwandtes Verfahren ergibt sich aus US 2015/0327011 Al. US 2015/0327011 Al offenbart Systeme und Verfahren zur Erfassung der Zeit und der Nähe von Mitarbeitern. Insbesondere wird hierin die Verfolgung von Mitarbeitern dargelegt. Das Verfahren umfasst dabei die Registrierung eines mobilen Geräts, das mit einem Mitarbeiter verbunden ist, und die Erkennung, wann das mobile Gerät, das mit dem Mitarbeiter verbunden ist, einen Ort betritt. Hierbei wird die Überwachung des mobilen Geräts durchgeführt, sobald es den Standort betritt. Basierend darauf wird ein Bericht erstellt, der zur Arbeitszeiterfassung dient.
Hierbei bleibt das Problem bestehen, dass der Nutzer des mobilen Geräts ohne, dass ein Vermerk in diesem Bericht auftaucht, Pause macht und dieses Verhalten nicht in der Arbeitszeiterfassung auftaucht.
Außerdem besteht im Stand der Technik das Problem, dass eine Aufmerksamkeit bei wichtigen und/oder sicherheitsrelevanten Tätigkeiten nicht auf die Tätigkeit selbst, sondern woanders hin, gerichtet ist.
Hierdurch besteht das Problem, dass eine Arbeitssicherheit gering ist.
Darüber hinaus ist die Datensicherheit bei der Nutzung eines privaten mobilen Endgeräts während der Arbeitszeit möglicherweise eingeschränkt. So können durch Kameraaufnahmen sensitive Bereiche einer Firma ohne Zustimmung des Arbeitgebers aufgezeichnet werden.
Der Erfindung liegt nun die Aufgabe zugrunde, eine Arbeitssicherheit und/oder eine Datensicherheit zu erhöhen und eine Arbeitszeiterfassung zu verbessern. Erfindungsgemäß wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche gelöst.
Konkret wird die Aufgabe durch ein Verfahren zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts gelöst. Das Verfahren umfasst ein Bereitstellen eines Netzwerks mit einem Mobile Device Management System (MDM) System und/oder einem Gateway.
Das Verfahren umfasst ferner ein Verwalten einer Verbindung zwischen dem mobilen Endgerät und dem Netzwerk über das Gateway und/oder das MDM System.
Das Verfahren umfasst ferner ein Empfangen eines externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslösers. Dies kann explizit während der Verbindung, also aktiven bzw. vorhandenen Verbindung, zwischen dem mobilen Endgerät und dem Netzwerk vorgesehen sein.
Das Verfahren umfasst ferner ein Einstellen des Funktionsumfangs des mobilen Endgeräts über das Gateway und/oder das MDM System. Das Einstellen basiert auf dem empfangenen externen Auslöser, der mit dem mobilen Endgerät bzw. dem Nutzer des mobilen Endgeräts verknüpft ist. Dies geschieht während der Verbindung, also aktiven bzw. vorhandenen Verbindung, zwischen dem mobilen Endgerät und dem Netzwerk.
Die Erfindung hat den Vorteil, dass bei vorhandener Netzwerkverbindung ein sicherheitsbehindernder Funktionsumfang und/oder ein arbeitstechnisch irrelevanter Funktionsumfang für den Nutzer des mobilen Endgeräts gesperrt sein kann.
Hierdurch wird sowohl die Arbeitssicherheit und Datensicherheit erhöht als auch die Arbeitszeiterfassung verbessert.
Mobilgeräte bzw. mobile Endgeräte können als tragbare Kommunikationsgeräte ausgebildet sein, die ortsungebunden zur Sprach- und Datenkommunikation eingesetzt werden können, z.B. Mobiltelefone, Smartphones, Netbooks, Notebooks oder Tablets. Aufgrund ihrer Größe und ihres Gewichts können sie ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind. Es sind also beispielsweise elektronische Endgeräte für mobile, netzunabhängige Daten-, Sprach- und Bildkommunikation und Navigation.
Der Funktionsumfang des mobilen Endgeräts kann bestimmt sein durch verschiedene Arten von Anwendungen. Beispielsweise kann das mobile Endgerät Unternehmensanwendungen (z.B. Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Unternehmens-E-Mail und/oder andere Anwendungen), persönliche Anwendungen (z.B. Spiele, Anwendungen für soziale Netzwerke, persönliche E-Mail-Anwendungen und/oder andere Anwendungen) und/oder andere Arten von Anwendungen umfassen. Im vorliegenden Fall kann ein Unternehmensadministrator die Nutzung bestimmter Anwendungen (z.B. Sätze/Gruppen von Anwendungen) in bestimmten Szenarien einschränken wollen.
Diese Szenarien können durch den Auslöser (engl. Trigger) angefangen oder beendet werden. Dies kann durch den eingestellten Funktionsumfang abgebildet sein in Form eines beschränkten bzw. vollumfänglichen Nutzungsumfangs bzw. Funktionsumfangs durch Einschränkung bzw. Freigabe der möglichen Applikationen/Anwendungen. Ebenso können zu dem Funktionsumfang eine Nutzung bzw. ein Abrufen von IP-Adressen und Diensten gehören.
Das Netzwerk bezeichnet ein Kommunikationsnetz, bei dem vorzugsweise paketvermittelte Datenübertragung zwischen Sendern und Empfängern verwendet wird. Hierbei kann das Kommunikationsnetz zumindest teilweise eine virtuelle Verbindung zwischen Quelle und Ziel bereitstellen.
Das MDM System (zu Deutsch: Mobilgeräteverwaltung) definiert eine zentralisierte Verwaltung von mobilen Endgeräten durch Administratoren mit Hilfe von Hard- und Software. Hierbei kann der Administrator, hierin zum Beispiel ein Firmeninhaber oder Vorgesetzter des Nutzers des mobilen Endgeräts, eine von dem MDM System durchzuführende Richtlinie zur Einstellung des Funktionsumfangs des mobilen Endgeräts voreinstellen bzw. festsetzen oder situationsbedingt abändern. Hierbei kann der Administrator zum Beispiel auf Mobile Application Management (MAM) zurückgreifen, um Applikationen auf dem mobilen Endgerät entsprechend einer vorbestimmten Zeit, zum Beispiel Arbeitszeit oder Tätigkeitszeit, zu sperren oder freizugeben. Das Gateway bezeichnet eine Komponente der Hard- und/oder Software, welche zwischen zwei Systemen, hier Netzwerk und mobiles Endgerät, eine Verbindung herstellt. Hierbei können weitergeleitete Daten aller Schichten des OSI-Modells bearbeitet werden.
Die Verbindung kann durch zwei Zustände, verbunden und nicht verbunden, gekennzeichnet sein. Im verbundenen Zustand kann eine Funktionsumfangskontrolle über das MDM System und/oder das Gateway erfolgen. Im nicht verbundenen Zustand kann eine Funktionsumfangskontrolle zum Beispiel nicht erfolgen bzw. nicht beginnen und/oder nicht beendet werden.
Vorteilhafte Ausführungsformen der Erfindung sind in den Unteransprüchen angegeben.
Das mobile Endgerät kann ein Bring Your Own Device, BYOD, Endgerät sein. Diese Art von mobilem Endgerät kann ein privates Endgerät mit Arbeitsbezogenem Zweck zumindest für eine Dauer einer vereinbarten Arbeitszeit sein. Das mobile Endgerät kann hierbei explizit nicht durch ein oder das MDM System verwaltet werden, insbesondere während einer Zeit der Verbindung. Dabei kann der Schritt des Einstellens durch das Gateway durchgeführt werden. Insbesondere kann der Schritt des Einstellens alleine durch das Gateway vorgenommen werden.
Hierdurch kann ein Systemadministrator/Netzwerkadministrator sicherstellen bzw. besser sichergestellt werden, dass ein Nutzer des mobilen privaten Endgeräts keine ablenkenden oder zeitraubenden Tätigkeiten durchführt, die nicht arbeitsbezogen sind. Hierdurch kann ein Nutzer durch mehr effektive Arbeitszeit produktiver werden.
Dem mobilen Endgerät kann ein, insbesondere dediziertes, Geräteprofil und/oder Nutzerprofil, insbesondere aus einer Vielzahl von Geräteprofilen und/oder Nutzerprofilen, zugewiesen sein. Das Einstellen des Funktionsumfangs kann von dem Geräteprofil und/oder Nutzerprofil abhängig sein.
Hierdurch können unterschiedliche Nutzer nach deren Funktion oder Tätigkeit entsprechend behandelt werden. Hierbei können Rang und Status ebenfalls berücksichtigt sein. Zum Beispiel kann einem ranghöheren Mitarbeiter ein größerer Funktionsumfang zur Verfügung stehen als einem ihm untergeordneter Mitarbeiter.
Das Einstellen des Funktionsumfangs kann das Einschränken oder Freigeben des Funktionsumfangs des mobilen Endgeräts beinhalten. Hierbei können bei vorhandener stabiler Verbindung zwischen dem mobilen Endgerät und dem Netzwerk basierend auf dem Auslöser eine Funktionsumfangsfreigabe bzw. Funktionsumfangseinschränkung erfolgen. Der Auslöser kann Anfang oder Ende einer bestimmten Tätigkeit anzeigen. Alternativ oder zusätzlich kann das Einstellen des Funktionsumfangs ein Blockieren vorbestimmter IP Adressen und/oder Ports umfassen, um eine auf entsprechenden Anwendungen basierende Kommunikation zu unterbinden. Hierdurch kann/können die Anwendung(en) zwar nutzerseitig geöffnet werden auf dem mobilen Endgerät, eine Kommunikation nach extern kann aber unterbunden werden.
Das Einstellen des Funktionsumfangs kann eine Applikationseinschränkung des mobilen Endgeräts sein. Die Applikationen können in Whitelist und Blacklist getrennt sein. Hierbei stellt beispielsweise die Blacklist Applikationen dar, die nicht erlaubt sind, wenn die bestimmte Tätigkeit durchgeführt wird. Die Whitelist stellt beispielsweise Applikationen dar, die erlaubt sind, wenn die bestimmte Tätigkeit durchgeführt wird. Vorzugsweise kann die Whitelist eine Menge an zugelassenen IP Adressen und/oder Ports enthalten. Hierbei können diese IP Adressen und/oder Ports für die Kommunikation nach extern bzw. über das Gateway bzw. das Netzwerk zur Verfügung stehen. Eine Kommunikation kann somit darüber erfolgen. Weiter vorzugsweise kann die Blacklist nicht zugelassene IP Adressen und/oder Ports bzw. eine Menge an nicht zugelassenen IP Adressen und/oder Ports enthalten. Hierbei können diese IP Adressen und/oder Ports für die Kommunikation nach extern bzw. über das Gateway bzw. das Netzwerk zur Verfügung stehen. Eine Kommunikation kann somit darüber nicht erfolgen.
Hierbei können Blacklist und Whitelist von der bestimmten bzw. durchzuführenden Tätigkeit abhängen. Unterschiedliche Tätigkeiten haben entsprechend unterschiedliche Blacklists und Whitelists. Ein Funktionsumfang kann somit nicht nur von dem Auslöser abhängen, sondern kann auch von einer Art der bestimmten bzw. durchzuführenden Tätigkeit abhängen. Zum Beispiel können sicherheitsrelevantere Tätigkeiten eine kleinere Menge an Applikationen in der Whitelist haben als weniger sicherheitsrelevantere Tätigkeiten, welche wiederum eine kleinere Menge an Applikationen in der Blacklist haben können.
Es können eine oder mehrere im Voraus festgelegte Anwendungen und/oder Funktionen, die gesperrt sind, als die Blacklist bezeichnet werden. Die Blacklist kann zum Beispiel soziale Medien - Anwendungen enthalten. Andere Anwendungen, die blockiert werden können, können Anwendungen sein, die Funktionen auf niedrigerer Ebene des mobilen Endgeräts steuern, wie z. B. die Steuerung der Kameraoptik und Charge Coupled Device (CCD) -Sensoren (zu Deutsch: ladungsgekoppeltes Bauteil). Eine Funktion, die blockiert werden kann, kann eine Kamera sein. Eine weitere Funktion, die blockiert werden kann, kann ein Browser sein. Solche Funktionen können auf Systemebene blockiert werden.
Ebenso können die eine oder mehrere im Voraus festgelegten Anwendungen und/oder Funktionen, die nicht blockiert sind (wenn alle anderen Anwendungen und/oder Funktionen blockiert sind), als Whitelist bezeichnet werden. Die Whitelist kann z.B. ein Arbeits-E-Mail-Programm enthalten. Die eine oder mehrere vorher festgelegte(n) Anwendung(en) und/oder Funktion(en) können von einem Administrator, z.B. einem Arbeitgeber, ausgewählt werden. Der Administrator kann die Anwendungen und/oder Funktionen auf dem Server auswählen, der Server kann dann diese vorgegebene Liste von Anwendungen und/oder Funktionen an das mobile Endgerät senden.
Auf diese Weise können Arbeitgeber sicherstellen, dass Applikationen und/oder Funktionen, die für die Arbeit des Arbeitnehmers nicht relevant sind, auf dem mobilen Endgerät dieses Arbeitnehmers nicht verfügbar sind, wenn sich der Arbeitnehmer innerhalb der vorgegebenen Region (z.B. am Arbeitsplatz) und während eines vorgegebenen Zeitraums (z.B. während der Arbeitszeit) befindet.
Der Auslöser kann kontextbasiert sein. Insbesondere kann der kontextbasierte Auslöser in Zusammenhang stehen mit einem oder mehreren aus einem Zustand der Arbeitszeiterfassung eines das mobile Endgerät besitzenden Mitarbeiters, insbesondere eines das Netzwerk besitzenden Unternehmens, einer Interaktion des Mitarbeiters an einem System des Unternehmens, einem Ort des Mitarbeiters, einer Geschwindigkeit eines Fahrinsassen, insbesondere des Mitarbeiters, eines Kraftfahrzeugs, einem Zustand einer durch den Mitarbeiter bedienenden Maschine und einer Benutzerkennung einer Person, insbesondere des Mitarbeiters. Der Ort kann hierbei durch eine durch einen globalen Satellitennavigationssystem, GNSS, Empfänger gemessene Position angegeben sein. Die Geschwindigkeit kann durch einen in dem Kraftfahrzeug montierten oder externen Geschwindigkeitsmesser gemessen werden, zum Beispiel basierend auf dem Ort, der durch die von dem GNSS Empfänger gemessene Position angegeben ist.
Die Arbeitszeiterfassung kann z.B. durch eine Kartenleseeinrichtung umgesetzt sein, die mit einem Zeiterfassungsserver verbunden sein kann. Das Zeiterfassungssystem kann dazu ausgebildet sein, eine Identifikationssnummer, die durch Karte mit einen Magnetstreifen und/oder eine RFID Kennung angegebene wird, einzulesen. So kann jeder Mitarbeiter eine entsprechende Karte besitzen. Beim Betreten eines Betriebsgeländes wird die Karte durch die Kartenleseeinrichtung eingelesen und die eingelesene Identifikationssnummer wird an den Zeiterfassungsserver übertragen. Dabei kann durch den Zeiterfassungsserver eine Zuordnung der Identifikationssnummer zu einem Mitarbeiter erfolgen. In einer Ausführungsform kann der Zeiterfassungsserver dazu ausgebildet sein, einen Zeitstempel zusammen mit der Identifikationsnummer in einer Datenbank zu speichern. Zusätzlich oder alternativ kann der Zeiterfassungsserver die Identifikationsnummer an das Gateway und/oder das MDM System übertragen, wobei das Gateway und/oder das MDM System ausgebildet ist/sind, den Funktionsumfang des mobilen Endgeräts für das mobile Endgerät des Nutzers mit der eingelesenen Identifikationssnummer einzustellen.
Hierdurch kann der Auslöser an eine Aktion gekoppelt sein, die in Verbindung steht mit dem Nutzer des mobilen Endgeräts bzw. dem mobilen Endgerät selbst. Somit können eine Sicherheit und eine Arbeitszeiterfassung erhöht werden.
Das Gateway und/oder das MDM System können zum Beispiel auf Grundlage eines Standorts des mobilen Endgeräts bestimmen, ob der Nutzer des mobilen Endgeräts einer Gemeinschaft des Netzwerks angehört, bzw. das mobile Endgerät dem Netzwerk zugehörig bzw. bereits bekannt ist, zum Beispiel als Unternehmensperson oder als Privatperson aktiv ist.
Das Gateway und/oder das MDM System können auf Grundlage eines Datentyps, auf den das mobile Endgerät zugreifen soll, bestimmen, ob der Nutzer des mobilen Endgeräts als Unternehmensperson oder als Privatperson aktiv ist. Beim Ausfall der Verbindung zu dem Netzwerk kann der eingestellte Funktionsumfang an dem mobilen Endgerät für eine vorbestimmte Mindestdauer und/oder vorbestimmte Maximaldauer aufrechterhalten bzw. beibehalten wird.
Somit kann das mobile Endgerät nicht unnötig eingeschränkt in seiner Funktionalität eingeschränkt sein.
Die vorbestimmte Mindestdauer kann einem vorher für die Art der gerade durchgeführten Tätigkeit eingestellten Zeitraum entsprechen. Die vorbestimmte Mindestdauer kann auch durch eine Zeitdauer bestimmt sein. Nach Ablauf der Zeitdauer (zum Beispiel bis 1 Minute, 5 Minuten oder 10 Minuten), kann dem mobilen Endgerät der komplette Funktionsumfang zur Verfügung stehen bzw. gestellt werden. Generell kann ein Funktionsumfang auch über die Zeitdauer schrittweise freigegeben oder eingeschränkt werden. Dies kann beim Ausfall aber auch beim Bestehen der Verbindung gelten.
Die vorbestimmte Maximaldauer kann eine festgesetzte Zeit sein, zum Beispiel eine Dauer einer Arbeitszeit/Tätigkeitszeit des Nutzers des mobilen Endgeräts. Zum Beispiel kann nach Beendigung der Arbeit zu einer gegebenen Arbeitsendzeit, der Funktionsumfang direkt freigegeben sein.
Alternativ oder zusätzlich kann beim Ausfall der Verbindung zu dem Netzwerk der eingestellte Funktionsumfang an dem mobilen Endgerät abrupt bzw. ad hoc aufgehoben werden.
Hierdurch kann sichergestellt sein, dass die Funktionalität bei Beenden der Verbindung zu dem Netzwerk keiner Einschränkung unterliegt.
Eine virtuelle Punkt-zu-Punkt Verbindung kann zwischen dem mobilen Endgerät und dem Netzwerk bei der (aktiven) Verbindung der beiden bestehen. Dies kann der paketvermittelten Verbindung über das Gateway und/oder das MDM System entsprechen.
Somit kann sichergestellt sein, dass nicht über Proxies oder Alternativen Zugang zu dem kompletten Funktionsumfang des mobilen Endgeräts ermöglicht wird. Eine Ausnahmeregel kann dem mobilen Endgerät situationsabhängig erlauben, einen größeren Funktionsumfang als einen aktuell eingestellten Funktionsumfang zu haben. Insbesondere kann diese Ausnahmeregelung bei der Verbindung und bei eingestelltem Funktionsumfang des mobilen Endgeräts bestehen. Zum Beispiel kann diese Ausnahmeregel auch ohne die mit dem Auslöser assoziierte Aktion des Nutzers des mobilen Endgeräts greifen bzw. bei Abwesenheit des Auslösers und/oder bei Abwesenheit der Aktion.
Hierdurch können insbesondere Notsituationen dem Nutzer erlauben, auf den vollen Funktionsumfang seines mobilen Endgeräts zurückgreifen zu können. Eine Sicherheit kann deshalb erhöht werden.
Alternativ oder zusätzlich kann das mobile Endgerät eine bestimmte Applikation enthalten, die eine Liste der kontextbasierten Auslöser enthält und/oder diese verwaltet. Bei Auftreten des externen Auslösers kann die bestimmte Applikation über das Gateway die Verbindung zu dem Netzwerk herstellen und den Funktionsumfang entsprechend einstellen. Daneben kann die bestimmte Applikation auch durch den kontextbasierten Auslöser auf dem mobilen Endgerät aktiviert werden und so die Verbindung zu dem Netzwerk über das Gateway herstellen und den Funktionsempfang entsprechend einstellen. Die bestimmte Applikation kann hierbei mit verschiedenen Sensoren bzw. System/Geräten Zusammenwirken. Die bestimmte Applikation kann als mobile Anwendung verstanden werden, die eine Konfiguration des mobilen Endgeräts ermöglicht, zum Beispiel im Zusammenspiel mit einem Software Development Kit (SDK) bzw. mit dessen Hilfe.
Zum Beispiel kann über den entsprechenden Kontext, z.B. basierend auf dem GNSS Empfänger, wie hierin angegeben, die bestimmte Applikation gestartet werden und die Verbindung bei eingestelltem Funktionsumfang herstellen. Alternativ kann die bestimmte Applikation als laufende Anwendung auf dem mobilen Endgerät die Verbindung bei eingeschränktem Funktionsumfang initiieren. Die Liste der kontextbasierten Auslöser kann durch den Nutzer des mobilen Endgeräts eingeschränkt sein, indem entsprechende Sensoren am mobilen Endgerät nutzerseitig aktiviert bzw. deaktiviert werden.
Zum Beispiel kann die bestimmte Applikation die folgenden kontextbasierten Auslöser umfassen oder mit diesen in Zusammenhang stehen, zum Beispiel mit dem einem oder mehreren aus dem Zustand der Arbeitszeiterfassung des das mobile Endgerät besitzenden Mitarbeiters, der Interaktion des Mitarbeiters an dem System des Unternehmens, dem Ort des Mitarbeiters, der Geschwindigkeit des Fahrinsassen des Kraftfahrzeugs, dem Zustand der durch den Mitarbeiter bedienenden Maschine, der Benutzerkennung der Person. Hierbei kann die bestimmte Applikation mit dem GNSS Empfänger Zusammenwirken, um die gemessene Position abzurufen. Ferner kann die bestimmte Applikation mit dem Geschwindigkeitsmesser Zusammenwirken, um die gemessene Geschwindigkeit abzurufen, zum Beispiel auch in Kooperation mit dem GNSS Empfänger, um über die Änderung des Orts über die Zeit die so gemessene Geschwindigkeit abzurufen.
Falls einer der Kontexte nicht vorliegt, kann ein anderer der Kontexte für das Einstellen des Funktionsumfangs vorgesehen sein. Insbesondere können mehrere der oben genannten Kontexte für das Einstellen des Funktionsumfangs vorgesehen sein. Hierdurch wird eine Redundanz erhöht und somit auch die Arbeitssicherheit/Arbeitszeiterfassung.
Ferner kann ein Computerprogrammprodukt bereitgestellt sein. Das Computerprogrammprodukt umfasst Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren bzw. die Schritte des Verfahrens wie oben beschrieben oder weiter unten erläutert auszuführen.
Ferner kann ein computerlesbarer Datenträger bereitgestellt sein. Auf dem computerlesbaren Datenträger ist das Computerprogramm wie oben beschrieben oder weiter unten erläutert gespeichert.
Die oben genannte Aufgabe wird auch durch ein System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts gelöst. Das System umfasst ein Netzwerk mit einer Gatewayeinheit und/oder einer Mobile Device Management, MDM, -Einheit. Hierbei kann die Gatewayeinheit dem oben genannten Gateway entsprechen. Die MDM Einheit kann dem oben genannten MDM System entsprechen. Die Gatewayeinheit und/oder Mobile Device Management, MDM, - Einheit sind ausgebildet, eine Verbindung zwischen dem mobilen Endgerät und dem Netzwerk zu verwalten. Die Gatewayeinheit und/oder MDM-Einheit sind ausgebildet, einen externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslöser zu empfangen. Der Auslöser von extern der Gatewayeinheit und/oder MDM-Einheit wird vorzugsweise während der Verbindung zwischen dem mobilen Endgerät und dem Netzwerk empfangen. Die Gatewayeinheit und/oder MDM-Einheit sind ferner ausgebildet, den Funktionsumfang des mobilen Endgeräts basierend auf dem empfangenen Auslöser während der Verbindung zwischen dem mobilen Endgerät und dem Netzwerk einzustellen.
Dies hat den Vorteil, dass bei vorhandener Netzwerkverbindung ein sicherheitsbehindernder Funktionsumfang und/oder ein arbeitstechnisch irrelevanter Funktionsumfang für den Nutzer des mobilen Endgeräts gesperrt bzw. nicht zugänglich sein kann.
Hierdurch wird sowohl die Arbeitssicherheit erhöht als auch die Arbeitszeiterfassung verbessert.
Das Gateway kann ein Domain Name System, DNS, Server oder ein Virtual Private Network, VPN, Server, vorzugsweise eine Virtual Private Cloud, VPC, sein oder als solche ausgebildet sein.
Der DNS Server hierin kann ein vom Internet unabhängiger Dienst sein bzw. mit diesem in Verbindung stehen und konfiguriert sein, Daten aus dem Internet zu kontrollieren bzw. einen Zugang dorthin einzuschränken. Der DNS Server kann hierarchisch strukturiert sein und eine dezentrale Verwaltung aufweisen. Insbesondere kann ein aus lokalem und Internet-DNS bestehendes Mischsystem (Split-DNS) vorliegen. Der Nutzer des mobilen Endgeräts kann dann auf das lokale DNS System zugreifen. Hierbei kann das Einstellen des Funktionsumfangs (im Falle des Vorliegens des Auslösers) die Einschränkung auf/über das lokale DNS System bzw. die Freigabe des Internet-DNS beinhalten.
Der VPN Server kann ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz bereitstellen. Virtuell in dem Sinne, dass es sich nicht um eine eigene physische Verbindung handelt, sondern um zumindest einen Teil des Netzwerks, das als Transportmedium verwendet wird. Das VPN ermöglicht, Teilnehmer eines bestehenden anderen Kommunikationsnetzes an das Netzwerk zu binden. So kann beispielsweise das mobile Endgerät an einem anderen Ort Zugriff auf das Netzwerk erlangen, als ob sich das mobile Endgerät in einer Umgebung des Netzwerks befände. Aus Sicht der Verbindung werden dafür die dazwischenliegenden Netze lediglich als Verlängerung (längerer Arm) verwendet, um das mobile Endgerät ausschließlich mit dem Netzwerk zu verbinden, dem Gateway, insbesondere VPN Gateway genannt. Das mobile Endgerät kann somit Bestandteil des Netzwerks sein und direkten Zugriff darauf haben.
Dieser Vorgang kann insbesondere unabhängig von der physischen Topologie, den verwendeten Netzwerkprotokollen und/oder einer Art des Netzwerks sein.
Die VPC kann Teil des VPN Servers sein oder ein eigenständiges, aber privates Netzwerk darstellen. Insbesondere kann die VPC ein Rechnernetz zur Verfügung stellen ohne dass hierfür lokale Rechner nötig sind. Somit kann auf Hardware verzichtet und zumindest am Funktionsort des Netzwerks Aufwand gespart werden.
Das mobile Endgeräte kann zu einem eingeschränkten Nutzerkreis des Netzwerks gehören, der vorzugsweise von dem MDM System verwaltet wird. Hierbei kann die Zugehörigkeit zu dem MDM System über eine vorgelagerte Anmeldung erfolgen.
Mit anderen Worten betrifft die Erfindung insbesondere ein System mit Schnittstellen zwischen mobilen Endgeräten und Zeiterfassungssystemen, einem Can-Bus eines Fahrzeugs, einen GNNS Empfänger, sowie andere Peripherie- Einrichtungen, die eine Kontrolle durch einen Administrator in Bezug auf Benutzung und Funktionen von mobilen Endgeräten ermöglichen. Hierbei kann eine Funktionskontrolle der mobilen Endgeräte mit deren installierten Applikationen durch das System überwacht und definiert werden.
Im Anwendungsbeispiel am Arbeitsplatz ist die Benutzung von privaten mobilen Endgeräten durch den Anwender komplett oder teilweise während der Arbeitszeit am Standort der Arbeit untersagt. Die Anweisungen können dann durch Ausnahmen in Notfällen oder anderweitigen Gründen gelockert werden.
Die Nutzung des hierin vorgeschlagenen Systems ermöglicht es dem Betreiber, eine Kontrolle über die Nutzung privater mobiler Endgeräte zu haben. Der Administrator des Systems kann entscheiden, welche Kontakte an den Anwender als „wichtig" durchgestellt werden oder an welche Kontakte er Verbindung aufnehmen kann. Komplette Applikationen oder nur selektierte Funktionen können somit kontrolliert werden. Die Einschränkung der Applikationen/Funktionen kann auf einer vertraglich festgelegten Kompetenz basieren, z.B. wie es im Umfang des Arbeitsvertrags fixiert ist.
Durch die Integration einer Arbeitszeiterfassung kann eine Freischaltung und Aktivierung der Funktionen automatisch erfolgen. Zum Beispiel wenn der Mitarbeiter eine Arbeitspause einlegt oder sich vom Arbeitsplatz abmeldet, kann das System alle oder selektierte Applikationen und Funktionen freigeben und bei der Wiederaufnahme der Arbeit durch Einbuchen in das Arbeitszeiterfassungssystem vertraglich vereinbarte Regelungen wieder aktivieren.
Im Fall der Benutzung eines Kraftfahrzeugs kann das System alle relevanten Fahrzeugdaten über vorhandene Schnittstellen, wie On-Board-Diagnose (OBD), eingebunden sein. Die in den mobilen Endgeräten eingebauten Sensoren können Ereignisse melden und zusammen mit Daten aus dem CAN Bus des Kraftfahrzeugs eine Kontrolle über das System ermöglichen. Beispielsweise kann ein Fahrzeugführer des Kraftfahrzeugs, wie PKW, LKW, Baumaschine etc., in das System aktiv einloggen oder wird automatisch eingeloggt. Ab diesem Zeitpunkt ist das System aktiv und die Funktionen werden kontrolliert bzw. sind eingeschränkt.
Trotz Verbindung des mobilen Endgeräts mit zum Beispiel einer Bluetooth Einrichtung des Kraftfahrzeugs, kann der Fahrer durch ankommende Nachrichten über einen Nachrichtendienst abgelenkt werden. Die Funktionen, die nicht über das Kraftfahrzeugkommunikationssystem verarbeitet werden können, kann das System blockieren. Wenn das mobile Endgerät bewegt wird kann durch verschiedene Sensoren am mobilen Endgerät, GNSS und/oder Beschleunigungssensoren, insbesondere einer IMU, identifiziert werden, ob der Nutzer des mobilen Endgeräts das Kraftfahrzeug führt oder das mobile Endgerät aus anderen Gründen bewegt wird, zum Beispiel falls es abgelegt wird/wurde. Hierbei kann der Nutzer als Kraftfahrzeugführer zugeordnet sein.
Bei Ereignissen mit hoher Sicherheitsstufe kann das System temporär eingestellt sein. Beispielsweise können bei einem Treffen mit streng vertraulichen Themen, externe Personen teilnehmen, d.h. Personen, die auf bestimmte Informationen keinen Zugriff erhalten sollen. Hierbei sind mobile Endgeräte beispielsweise nicht erlaubt und können mit Hilfe einer temporären Applikation, die das System implementiert, ausgerüstet werden. Die Laufzeit der Applikation kann definiert sein. Nach Ablauf eines angegebenen Zeitraums kann eine automatische Löschung oder eine Deaktivierung der Applikation erfolgen. Hierbei kann die Aktivierung des Systems über einen einzuscannenden Code komfortabel ermöglicht werden. Ist die Applikation einmal übertragen, kann ein Scannen eines Codes genügen, um die Kontrolle über die Funktionen des mobilen Endgeräts zu aktivieren.
Hierbei kann ein Blockieren von Kamera und/oder Mikrofon aus Gründen der Sicherheit explizit vorgesehen sein, zum Beispiel im Fall einer Sitzung. Ebenfalls kann in Notfällen oder bei wichtigen Ereignissen eine Erreichbarkeit gewährleistet werden, aber bedenkliche Funktionen können temporär hinsichtlich vorgeschriebener Auflagen außer Funktion/Kraft sein.
Eine einmal installierte Applikation kann durch Einscannen eines Codes also nur komplette Funktionen wie das Blockieren des Mikrofons für eine bestimmte Zeit oder bis Widerruf aktivieren. Beim nächsten Ereignis kann mit erneutem Scannen ein neuer Kontrollvorgang aktiviert werden. Dieser Vorgang kann zum Beispiel beim Eintritt in einen Besprechungsraum beginnen. Dort können die Codes aufgedruckt auf einer Besprechungsagenda ausliegen und je nach programmiertem Code unterschiedliche Funktionen des mobilen Endgeräts beeinflussen. Um die Installation der Applikation möglichst komfortabel zu gestalten, kann diese über das Internet zum Download bereitgestellt sein. So kann ein überraschter Teilnehmer sofort entweder die Auflagen akzeptieren und erfüllen oder das Handy ausschalten. Um den Administratoren eine Überwachungsmöglichkeit zu schaffen, wer die Auflagen erfüllt und die Applikation tatsächlich aktiviert hat, kann eine Kontrollfunktion eingerichtet sein. Zum Beispiel eine digitale Überprüfung, wie ein sich wiederholender Ping oder dergleichen.
Der Nutzen der beschriebenen Aspekte kann sich wie folgt ergeben.
Der Betreiber, zum Beispiel ein Arbeitgeber, kann Verluste an Arbeitszeiten seiner Anwender, zum Beispiel Mitarbeiter, vermeiden. Die Konzentration der eingebundenen Anwender wird beispielsweise nicht durch eingehende Anrufe oder Meldungen von sozialen Medien etc. gestört. Ausgehende und eingehende Nachrichten können verhindert oder selektiv eingeschränkt werden. Die im System eingebundenen Anwender als Gemeinschaft (engl. : Community) können selektiert zugelassene Applikationen, Kontakte, Daten und/oder Telefonate empfange, lesen und/oder bearbeiten. Ausgewählte Kontaktdaten könnten also weiterhin erreicht werden. Zum Beispiel kann einer berufstätigen Mutter explizit der Kontakt zu Ihrem Kind ermöglicht sein.
Die Sicherheit von Führern von Maschinen oder Kraftfahrzeugen (auch außerhalb eines Betriebsgeländes) kann erheblich erhöht werden, da verheerende Unfälle vermieden werden durch Vermeiden der Ablenkung durch das mobile Endgerät.
Besondere Zielgruppen dieses Systems oder Verfahrens können Unternehmen, Schulen, Sicherheitseinrichtungen, Versicherungsunternehmen und Behörden sein.
Auch wenn einige der voranstehend beschriebenen Aspekte in Bezug auf das Verfahren beschrieben wurden, so können diese Aspekte auch auf das System zutreffen. Genauso können die voranstehend in Bezug auf das System beschriebenen Aspekte in entsprechender Weise auf das Verfahren zutreffen.
Die Erfindung wird anhand von Ausführungsbeispielen unter Bezug auf die beigefügten schematischen Figuren mit weiteren Einzelheiten näher erläutert.
In diesen zeigen
Fig. 1 einen schematischen Ablauf eines Verfahrens zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts; und
Fig. 2 ein System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts.
Fig. 1 zeigt einen schematischen Ablauf eines Verfahrens zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts 11. In Anlehnung zu Fig. 1 wird in Fig. 2 ein System 10 gezeigt, dass zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts 11 vorgesehen ist. Das System kann insbesondere Teil des Verfahrens sein oder diese teilweise oder komplett ausführen. Zumindest können Teile 11 bis 13 des Systems 10 dafür vorgesehen sein, entsprechende Teile des Verfahrens auszuführen.
Das Verfahren umfasst den Schritt des Bereitstellens S110 eines Netzwerks mit einem Mobile Device Management System, MDM System, und/oder einem Gateway 12. Ferner umfasst das Verfahren den Schritt des Verwaltens S120 einer Verbindung zwischen dem mobilen Endgerät 11 und dem Netzwerk über das Gateway 12 und/oder das MDM System. Ferner umfasst das Verfahren ein Empfangen S130 eines externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslösers. Außerdem umfasst das Verfahren den Schritt des Einstellens S140 des Funktionsumfangs des mobilen Endgeräts 11 über das Gateway 12 und/oder das MDM System basierend auf einem mit dem mobilen Endgerät 11 bzw. dessen Nutzer verknüpften Auslösers während der Verbindung zwischen dem mobilen Endgerät 11 und dem Netzwerk.
Hierbei kann das Gateway 12 ein Domain Name System, DNS, Server oder ein Virtual Private Network, VPN, Server sein, vorzugsweise eine Virtual Private Cloud, VPC. Hierüber lässt sich dann eine Verbindung zum Internet 13 steuern bzw. einstellen oder regeln. Eine dynamische Regelung des Internets 13 bzw. Zugriffskontrolle darauf kann hierin vorgesehen sein.
Das mobile Endgeräte 11 kann zu einem eingeschränkten Nutzerkreis des Netzwerks gehören, eine sogenannte Community, der bzw. die vorzugsweise von dem MDM System verwaltet wird. Es können beispielweise nur bestimmte IP- Adressen und Dienste für die Community oder das mobile Endgerät 11 bzw. eine Menge an mobilen Endgeräten aus der Community zugelassen sein.
Das mobile Endgerät 11 kann explizit ein BYOD Endgerät 11 sein. Der Nutzer des Endgeräts 11 kann somit sein privates mobiles Endgerät 11 in ein Arbeitsumfeld einbringen und basierend auf dem Verfahren bzw. dem System eine Einschränkung in seiner Funktionsfähigkeit in Bezug auf sein mobiles Endgerät 11 erfahren. Hierbei kann das mobile Endgerät 11 vorzugsweise nicht durch ein MDM System verwaltet werden. Der Schritt des Einstellens S140 wird dann durch das Gateway 12 durchgeführt wird. Außerdem kann mit dem mobilen Endgerät 11 ein, insbesondere dediziertes, Geräteprofil und/oder Nutzerprofil assoziiert sein. Insbesondere kann dem mobilen Endgerät 11 ein (einziges) jeweiliges aus einer Vielzahl von Geräteprofilen und/oder Nutzerprofilen zugewiesen sein. Der Schritt des Einstellens S140 des Funktionsumfangs kann von dem Geräteprofil und/oder Nutzerprofil abhängig sein. Das Geräteprofil und/oder Nutzerprofil kann die Funktionsumfangskontrolle bzw. Funktionsumfangsbeschränkung und die Ausnahmeregel(n) enthalten.
Der Schritt des Einstellens S140 des Funktionsumfangs kann das Einschränken oder das Freigeben des Funktionsumfangs des mobilen Endgeräts 11 beinhalten. Der Schritt des Einstellens S140 des Funktionsumfangs kann ein Blockieren vorbestimmter IP Adressen und/oder Ports sein, um eine auf entsprechenden Anwendungen basierende Kommunikation zu unterbinden Die Auslöser können hierbei explizit eine Aktivierung und eine Deaktivierung des Funktionsumfangs umfassen bzw. abbilden.
Der Schritt des Einstellens S140 des Funktionsumfangs eine kann eine Applikationseinschränkung des mobilen Endgeräts 11 sein bzw. nach sich ziehen. Hierbei können die Applikationen in Whitelist und Blacklist getrennt sein. Die Whitelist kann eine Menge an zugelassenen IP Adressen und/oder Ports enthalten. Die Blacklist kann nicht zugelassene IP Adressen und/oder Ports enthalten.
Der Auslöser kann kontextbasiert sein. Der Kontext kann ein Zustand der Arbeitszeiterfassung eines das mobile Endgerät 11 besitzenden Mitarbeiters eines das Netzwerk besitzenden Unternehmens sein. Der Kontext kann außerdem eine Interaktion des Mitarbeiters an einem System, z.B. das System 11, des Unternehmens sein. Der Kontext kann ein Ort des Mitarbeiters sein. Der Ort kann durch eine durch einen GNSS Empfänger gemessene Position angegeben sein. Der Kontext kann eine Geschwindigkeit eines Fahrinsassen, insbesondere des Mitarbeiters, eines Kraftfahrzeugs sein. Die Geschwindigkeit kann durch einen in dem Kraftfahrzeug montierten oder externen Geschwindigkeitsmesser gemessen werden/sein, zum Beispiel basierend auf dem Ort, der durch die von dem GNSS Empfänger gemessene Position angegeben ist. Der Kontext kann ein Zustand einer durch den Mitarbeiter bedienenden Maschine sein. Der Kontext kann eine Benutzerkennung einer Person, insbesondere des Mitarbeiters, sein. Beispielsweise kann der Auslöser darauf basieren, dass der Mitarbeiter sich in die Arbeitszeiterfassung einloggt oder ausloggt. Ferner kann der Auslöser darauf basieren, dass der Mitarbeiter eine Bedienung des Systems anfängt oder aufhört. Ebenfalls kann der Auslöser darauf basieren, dass der Mitarbeiter sich innerhalb des Orts befindet, diesen betritt oder diesen verlässt. Ferner kann der Auslöser darauf basieren, dass der Fahrinsasse das Kraftfahrzeug anschaltet, anfährt, ausschaltet, verlässt oder in das Kraftfahrzeug einsteigt. Genauso kann der Auslöser darauf basieren, dass eine Geschwindigkeit unter- oder überschritten wird (zum Beispiel Schrittgeschwindigkeit oder Tempo 30). Auch kann der Auslöser darauf basieren, dass der Mitarbeiter die Bedienung der Maschine beginnt oder beendet. Ebenso kann der Auslöser darauf basieren, dass die Benutzerkennung erfasst wird, durch Chipkarte, RFID, Bluetooth etc.
Der Schritt des Einstellens S140 kann vorsehen bzw. umfassen, dass, beim Ausfall der Verbindung zu dem Netzwerk, der Funktionsumfang an dem mobilen Endgerät 11 für eine vorbestimmte Mindestdauer und/oder Maximaldauer aufrechterhalten bzw. beibehalten wird. Ebenso kann der Schritt des Einstellens S140 vorsehen bzw. umfassen, dass, beim Ausfall der Verbindung zu dem Netzwerk, der Funktionsumfang an dem mobilen Endgerät 11 abrupt bzw. ad hoc aufgehoben wird.
Eine virtuelle Punkt-zu-Punkt Verbindung kann zwischen dem mobilen Endgerät 11 und dem Netzwerk bei der Verbindung der beiden bestehen. Hierbei ist gemeint, dass eine virtuelle Punkt-zu-Punkt Verbindung bei aktivem Netzwerk bzw. aktivem Datenaustausch vorliegt.
Ferner kann die oben beschriebene Ausnahmeregel dem mobilen Endgerät 11 situationsabhängig erlauben, einen größeren Funktionsumfang als der aktuelle eingestellte Funktionsumfang zu haben, insbesondere auch ohne die mit dem Auslöser assoziierte Aktion des Nutzers des mobilen Endgeräts 11. Hierbei können Ausnahmeregeln für Mengen der Community oder verschiedene mobile Endgeräte 11 unterschiedlich gehandhabt werden.
An dieser Stelle sei darauf hingewiesen, dass alle oben beschriebenen Teile für sich alleine gesehen und in jeder Kombination, insbesondere die in den Zeichnungen dargestellten Details, als erfindungswesentlich beansprucht werden.
Abänderungen hiervon sind dem Fachmann geläufig.
Bezugszeichenliste 10 System
11 mobiles Endgerät
12 Gateway
13 Internet

Claims

ANSPRÜCHE Verfahren zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts, geken nzeich net durch die Schritte: Bereitstellen eines Netzwerks mit einem Mobile Device Management System, MDM System, und/oder einem Gateway;
Verwalten einer Verbindung zwischen dem mobilen Endgerät und dem Netzwerk über das Gateway und/oder das MDM System;
Empfangen eines externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslösers; und
Einstellen des Funktionsumfangs des mobilen Endgeräts über das Gateway und/oder das MDM System basierend auf dem empfangenen Auslöser während der Verbindung zwischen dem mobilen Endgerät und dem Netzwerk. Verfahren nach Anspruch 1, dad u rch geken nzeich net, dass das mobile Endgerät ein Bring Your Own Device, BYOD, Endgerät ist, wobei das mobile Endgerät vorzugsweise nicht durch ein MDM System verwaltet wird und der Schritt des Einstellens durch das Gateway durchgeführt wird. Verfahren nach Anspruch 1 oder 2, dad u rch geken nzeich net, dass dem mobilen Endgerät ein Geräteprofil und/oder Nutzerprofil, insbesondere aus einer Vielzahl von Geräteprofilen und/oder Nutzerprofilen, zugewiesen ist, wobei das Einstellen des Funktionsumfangs von dem Geräteprofil und/oder Nutzerprofil abhängig ist. Verfahren nach einem der vorhergehenden Ansprüche, dad u rch geken nzeich net, dass das Einstellen des Funktionsumfangs das Einschränken oder Freigeben des Funktionsumfangs des mobilen Endgeräts beinhaltet und/oder das Einstellen des Funktionsumfangs ein Blockieren vorbestimmter IP Adressen und/oder Ports, um eine auf entsprechenden Anwendungen basierende Kommunikation zu unterbinden. 5. Verfahren nach einem der vorhergehenden Ansprüche, dad u rch geken nzeich net, dass das Einstellen des Funktionsumfangs eine Applikationseinschränkung des mobilen Endgeräts ist und Applikationen in Whitelist und Blacklist getrennt sind, wobei vorzugsweise die Whitelist eine Menge an zugelassenen IP Adressen und/oder Ports enthält und weiter vorzugsweise die Blacklist nicht zugelassene IP Adressen und/oder Ports enthält.
6. Verfahren nach einem der vorhergehenden Ansprüche, dad u rch geken nzeich net, dass der Auslöser kontextbasiert ist, und insbesondere in Zusammenhang steht mit: einem Zustand der Arbeitszeiterfassung eines das mobile Endgerät besitzenden Mitarbeiters eines das Netzwerk besitzenden Unternehmens; einer Interaktion des Mitarbeiters an einem System des Unternehmens; einem Ort des Mitarbeiters, der vorzugsweise durch eine durch einen globalen Satellitennavigationssystem, GNSS, Empfänger gemessene Position angegeben ist; einer Geschwindigkeit eines Fahrinsassen, insbesondere des Mitarbeiters, eines Kraftfahrzeugs, wobei die Geschwindigkeit vorzugsweise durch einen in dem Kraftfahrzeug montierten oder externen Geschwindigkeitsmesser gemessen wird, zum Beispiel basierend auf dem Ort, der durch die von dem GNSS Empfänger gemessene Position angegeben ist; einem Zustand einer durch den Mitarbeiter bedienenden Maschine; und/oder einer Benutzerkennung einer Person, insbesondere des Mitarbeiters.
7. Verfahren nach einem der vorhergehenden Ansprüche, dad u rch geken nzeich net, dass beim Ausfall der Verbindung zu dem Netzwerk der eingestellte Funktionsumfang an dem mobilen Endgerät für eine vorbestimmte Mindestdauer und/oder Maximaldauer aufrechterhalten bzw. beibehalten wird.
8. Verfahren nach einem der Ansprüche 1 bis 6, dad u rch geken nzeich net, dass beim Ausfall der Verbindung zu dem Netzwerk der eingestellte Funktionsumfang an dem mobilen Endgerät abrupt bzw. ad hoc aufgehoben wird. Verfahren nach einem der vorherigen Ansprüche, dad u rch geken nzeich net, dass eine virtuelle Punkt-zu-Punkt Verbindung zwischen dem mobilen Endgerät und dem Netzwerk bei der Verbindung der beiden besteht. Verfahren nach einem der vorherigen Ansprüche, dad u rch geken nzeich net, dass eine Ausnahmeregel dem mobilen Endgerät situationsabhängig erlaubt, einen größeren Funktionsumfang als der aktuelle eingestellte Funktionsumfang zu haben, insbesondere auch ohne die mit dem Auslöser assoziierte Aktion des Nutzers des mobilen Endgeräts. Computerprogramm, dad u rch geken nzeich net, dass das Computerprogramm Befehle umfasst, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren bzw. die Schritte des Verfahrens nach einem der vorhergehenden Ansprüche auszuführen. Computerlesbarer Datenträger, dad u rch geken nzeich net, dass auf dem computerlesbaren Datenträger das Computerprogramm nach Anspruch 11 gespeichert ist. System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts, das System umfassend ein Netzwerk mit einer Gatewayeinheit und/oder einer Mobile Device Management, MDM, -Einheit, wobei die Gatewayeinheit und/oder Mobile Device Management, MDM, -Einheit ausgebildet sind, eine Verbindung zwischen dem mobilen Endgerät und dem Netzwerk zu verwalten; und die Gatewayeinheit und/oder Mobile Device Management, MDM, -Einheit ausgebildet sind, einen externen mit dem mobilen Endgerät bzw. dessen Nutzer verknüpften Auslöser zu empfangen und den Funktionsumfang des mobilen Endgeräts basierend auf dem empfangenen Auslöser während der Verbindung zwischen dem mobilen Endgerät und dem Netzwerk einzustellen. System nach Anspruch 13, dad u rch geken nzeich net, dass das Gateway ein Domain Name System, DNS, Server oder ein Virtual Private Network, VPN, Server, vorzugsweise eine Virtual Private Cloud, VPC, ist. System nach Anspruch 13 oder 14, dad u rch geken nzeich net, dass das mobile Endgerät zu einem eingeschränkten Nutzerkreis des Netzwerks gehört, der vorzugsweise von dem MDM System verwaltet wird.
PCT/EP2021/084106 2020-12-03 2021-12-03 Verfahren und system zum einstellen eines funktionsumfangs eines mobilen endgeräts WO2022117785A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020132110.4 2020-12-03
DE102020132110.4A DE102020132110A1 (de) 2020-12-03 2020-12-03 Verfahren und System zum Einstellen eines Funktionsumfangs eines mobilen Endgeräts

Publications (1)

Publication Number Publication Date
WO2022117785A1 true WO2022117785A1 (de) 2022-06-09

Family

ID=79024468

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/084106 WO2022117785A1 (de) 2020-12-03 2021-12-03 Verfahren und system zum einstellen eines funktionsumfangs eines mobilen endgeräts

Country Status (2)

Country Link
DE (1) DE102020132110A1 (de)
WO (1) WO2022117785A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140006347A1 (en) * 2011-10-11 2014-01-02 Zenprise, Inc. Secure container for protecting enterprise data on a mobile device
US20150188777A1 (en) * 2013-12-31 2015-07-02 Citrix Systems, Inc. Providing mobile device management functionalities
EP2903235A1 (de) * 2014-01-23 2015-08-05 Unify GmbH & Co. KG Verfahren zur Handhabung von Sicherheitseinstellungen in einem mobilen Endgerät bzw. zur Zugangskontrolle, Mobiles Endgerät, Computerprogramm, Softwareprodukt und digitales Speichermedium
US20150327011A1 (en) 2014-05-07 2015-11-12 Vivint, Inc. Employee time and proximity tracking
EP3817327A1 (de) * 2019-10-28 2021-05-05 Lookout Inc. Überwachung der sicherheit einer client-vorrichtung zur bereitstellung eines kontinuierlichen bedingten serverzugriffs

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101934025B1 (ko) 2013-02-22 2018-12-31 삼성전자주식회사 보안 정책을 적용하는 단말기, 서버 및 그 제어 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140006347A1 (en) * 2011-10-11 2014-01-02 Zenprise, Inc. Secure container for protecting enterprise data on a mobile device
US20150188777A1 (en) * 2013-12-31 2015-07-02 Citrix Systems, Inc. Providing mobile device management functionalities
EP2903235A1 (de) * 2014-01-23 2015-08-05 Unify GmbH & Co. KG Verfahren zur Handhabung von Sicherheitseinstellungen in einem mobilen Endgerät bzw. zur Zugangskontrolle, Mobiles Endgerät, Computerprogramm, Softwareprodukt und digitales Speichermedium
US20150327011A1 (en) 2014-05-07 2015-11-12 Vivint, Inc. Employee time and proximity tracking
EP3817327A1 (de) * 2019-10-28 2021-05-05 Lookout Inc. Überwachung der sicherheit einer client-vorrichtung zur bereitstellung eines kontinuierlichen bedingten serverzugriffs

Also Published As

Publication number Publication date
DE102020132110A1 (de) 2022-06-09

Similar Documents

Publication Publication Date Title
DE102016101327B4 (de) Verfahren zum Reagieren auf einen nicht autorisierten elektronischen Zugriff auf ein Fahrzeug
DE60202599T2 (de) Verfahren und system zur verwendung von benutzungsstatusinformationen von endgeräten
DE102007051157B4 (de) Verfahren zum Herstellen einer Datenverbindung zu einem Fahrzeug mit Telematikausstattung
DE102011112703A1 (de) Soziale Vernetzung mit autonomen Agenten
DE602005000552T2 (de) Drahtlose Zugangskontrolle für Telematik- und Sprachdienste
DE19838055B4 (de) Kommunikationssystem und Verfahren zum Zuordnen von Benutzern zu Kommunikationsgruppen
DE102017109099A1 (de) Bereitstellen von modul-updates für ein fahrzeugsystem
EP3324385A1 (de) Verfahren zur kommunikation zwischen einer bedienstelle, welche ein automatisch fahrendes fahrzeug extern steuert, und einem weiteren verkehrsteilnehmer sowie automatisch fahrendes fahrzeug
DE10131839B4 (de) Interfahrzeug-Kommunikationsverfahren
DE102017120844A1 (de) Installieren von Fahrzeug-Updates
DE112010003277T5 (de) Lebensrettendes System beim intelligenten Fahrzeugunfall und Verfahren davon
DE102015103357A1 (de) Verbindung von personen und dingen über mobile-messaging-privatsphäre/sicherheit-brokersystem
DE102017125655A1 (de) Anonymisierung von streaming-daten
EP1942633A2 (de) Verfahren und System für ein Erreichbarkeitsmanagement
WO2022117785A1 (de) Verfahren und system zum einstellen eines funktionsumfangs eines mobilen endgeräts
DE102014206545A1 (de) Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
EP1069544A1 (de) Verfahren zur Positionsüberwachung eines Mobilfunkteilnehmers sowie Netzwerkszugangsserver zurDurchführung des Verfahrens
DE102016100112A1 (de) Bereitstellen von gesponserten daten für ein fahrzeug
DE102013003063A1 (de) Steuerung des Kommunikationsverhaltens eines Kraftfahrzeugs
DE102021109517A1 (de) Blockchain-basiertes system für vernetzte fahrzeuge
DE102020007072A1 (de) Verfahren zur Datenerhebung über eine Mehrzahl von verbundenen Diensteanbietern
WO2020120126A1 (de) Verfahren zum betreiben eines datennetzwerks eines kraftfahrzeugs und kraftfahrzeug mit einem entsprechend betreibbaren datennetzwerk
DE602005000878T2 (de) System und Verfahren zur Veränderungen der Einstellungsregeln in einem elektronischen Gerät
DE60203811T2 (de) Funkkommunikationsmodul, das ein hauptsoftwareprogramm ausführt, dessen niedrige schichten einem client-softwareprogramm, das ebenfalls durch das modul ausgeführt wird, offen sind
DE102022001848B3 (de) Verfahren zum nutzerbezogenen Einrichten eines Endgerätes

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21824550

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21824550

Country of ref document: EP

Kind code of ref document: A1