Mobile Security und BYOD: Firmendaten auf privaten Geräten sicher managen
Smartphones sind heute vollwertige Arbeitsgeräte - mit allen Sicherheitsrisiken. Wie Unternehmen BYOD-Richtlinien richtig gestalten, MDM einführen und mobile Threats abwehren ohne Mitarbeiter zu überfordern.
Oskar Braun Abteilungsleiter Information Security Consulting TL;DR
Unternehmen stehen vor der Herausforderung,
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (8 Abschnitte)
83% der deutschen Arbeitnehmer nutzen ihr Smartphone für berufliche Aktivitäten. 47% davon auf privaten Geräten. Das ist die Realität in deutschen Unternehmen - und sie schafft ein Sicherheitsproblem das viele IT-Abteilungen verdrängen: Firmendaten auf Geräten die das Unternehmen nicht kontrolliert.
Das BYOD-Dilemma
BYOD (Bring Your Own Device) bedeutet: Mitarbeiter nutzen eigene Smartphones oder Laptops für berufliche Aufgaben. Vorteile: Mitarbeiterzufriedenheit, kein Gerätekauf, höhere Produktivität. Risiken: Fehlende Kontrolle, gemischte private und berufliche Daten, unbekannte App-Installationen.
Das Risiko in der Praxis:
- Mitarbeiter lädt private App aus inoffiziellem Store → Malware → Firmendaten auf Gerät kompromittiert
- Privatgerät hat ungepatchte Android-Version (Hersteller gibt keine Updates mehr) → Exploit möglich
- Mitarbeiter verliert Handy → Firmenmails, Teams-Chats, OneDrive-Dateien ohne Passwortschutz zugänglich
- Kind des Mitarbeiters spielt auf Eltern-Handy → installiert infizierte “kostenlose” App
Mobile Threat Landscape
Malicious Apps
Google Play und Apple App Store haben Sicherheits-Reviews - aber Schadsoftware schafft es trotzdem:
- Clicker-Adware (tarnt sich als nützliche App)
- Banking-Trojaner (Credential-Diebstahl für Bankkonten)
- Spyware (Kamera, Mikrofon, GPS ohne Wissen)
- Stalkerware (oft als “Kindersicherung” oder “Handy-Ortung” getarnt)
2024: Über 6 Millionen schädliche Apps aus Google Play entfernt.
Phishing auf Mobilgeräten
Mobile Phishing ist gefährlicher als Desktop-Phishing:
- URL-Leiste zeigt oft nur Domain-Beginn (verkürzte Anzeige)
- HTTPS-Lock-Symbol gibt falsches Sicherheitsgefühl
- Kleines Display → weniger URL sichtbar
- WhatsApp/SMS-Phishing (Smishing) umgeht E-Mail-Filter
Netzwerk-Risiken
- Evil Twin WiFi: Gefälschtes “Hotel-WiFi” → Man-in-the-Middle
- Bluetooth-Angriffe: BlueBorne, BIAS, BLESA - Exploits ohne User-Interaktion
- Unverschlüsseltes öffentliches WLAN: Kaffeehaus-Netz ohne Passwort → Traffic lesbar
Mobile Device Management (MDM): Die Lösung
MDM ermöglicht die zentrale Verwaltung und Absicherung von Mobilgeräten - auch BYOD-Geräten.
Unternehmenseigene Geräte (COPE - Corporate Owned, Personally Enabled)
Vollständige Kontrolle:
- Gerät kann remote gewiped werden (bei Verlust)
- Alle Apps werden durch MDM verwaltet
- OS-Updates werden erzwungen
- Verschlüsselung aktiviert
- Screen Lock PIN-Komplexität erzwungen
- Bestimmte Apps verboten (TikTok, WhatsApp auf Firmengerät)
- VPN bei Zugriff auf Unternehmens-Apps erzwungen
BYOD mit Container-Ansatz (MAM - Mobile Application Management)
Für private Geräte - ohne vollständige Kontrolle:
Privater Bereich: Unberührt von MDM - persönliche Apps, Fotos, private Daten.
Work-Container: Durch MDM verwaltet:
- Microsoft Outlook (Firmemails)
- Microsoft Teams (Chat, Meetings)
- OneDrive/SharePoint (Firmendaten)
- VPN-Client
Container-Sicherheit:
- Datentransfer zwischen Container und privaten Apps blockiert
- Screenshot im Container verboten
- Container wird bei Kündigung remote gelöscht (privater Bereich unberührt)
MDM-Lösungen für Mittelstand
| Lösung | Stärke | Kosten |
|---|---|---|
| Microsoft Intune | M365-Integration, Azure AD, Conditional Access | Ab ~6 €/User/Monat |
| VMware Workspace ONE | Enterprise, Multi-Plattform, BYOD | Enterprise-Pricing |
| Jamf Pro (iOS/macOS) | Apple-spezialisiert, sehr mächtig | Ab ~6 €/Gerät/Monat |
| Ivanti MobileIron | Mid-Market, gute UEM-Plattform | Auf Anfrage |
| Cisco Meraki SM | Für Cisco-Infrastruktur-Kunden | Auf Anfrage |
Für KMU empfohlen: Microsoft Intune (wenn M365 Business Premium sowieso vorhanden: Intune inklusive).
BYOD-Richtlinie: Was schriftlich geregelt sein muss
Eine BYOD-Richtlinie (Betriebsvereinbarung) sollte folgende Punkte regeln:
1. Erlaubte Geräte
- Mindest-OS: Android 12+, iOS 16+
- Keine gerooteten/gejailbreakten Geräte
- Kein End-of-Life-Hardware ohne Updates
2. Pflichten des Mitarbeiters
- MDM-Profil (Work-Container) installieren
- Screen Lock mit PIN/Biometrie
- Automatische Updates aktivieren
- Verlust sofort melden
3. Rechte des Unternehmens
- Work-Container kann remote gelöscht werden
- Nur Work-Container betroffen (kein Zugriff auf privaten Bereich)
- Logs über Zugriffe auf Unternehmens-Apps (nicht auf private Apps)
4. Verboten
- Firmendaten auf private Cloud-Dienste (WhatsApp, Dropbox, etc.)
- Screenshot von Firmendaten (je nach Rolle)
- Weitergabe von Firmen-Credentials
5. Kündigung
- Work-Container wird deaktiviert/gelöscht
- Private Daten bleiben unberührt
- Offboarding-Checkliste
iOS vs. Android: Sicherheitsunterschiede
| Aspekt | iOS | Android |
|---|---|---|
| OS-Updates | 5-7 Jahre Support | Hersteller-abhängig (2-4 Jahre) |
| App Store | Strenge Review, kein Sideloading (default) | Sideloading möglich |
| Fragmentierung | Einheitlich (Apple kontrolliert HW) | Sehr hoch (viele Hersteller) |
| Unternehmens-MDM | Sehr gut integriert (ABM) | Gut (Android Enterprise) |
| Sicherheit | Hoher Standard (Secure Enclave) | Hersteller-abhängig |
Empfehlung für Hochsicherheitsumgebungen: iOS auf Firmengeräten. Für BYOD: Android Enterprise Work Profile bietet guten Container-Schutz.
Mobile Phishing-Simulation
Beim Security Awareness Training sollte Mobile-Phishing einbezogen werden:
- SMS-Phishing (Smishing): “Ihre DHL-Sendung wartet - klicken Sie hier”
- WhatsApp-Phishing: Fake-Kollegen-Kontakt sendet Link
- QR-Code-Phishing: QR-Code auf Flyern führt zu Phishing-Seite
- Voice Phishing (Vishing): Anruf als “IT-Support”
Ergebnis aus AWARE7-Simulationen: Mobile-Phishing-Raten 15-25% höher als Desktop-Phishing - weil Nutzer auf Mobilgeräten weniger aufmerksam und URL-Prüfung schwieriger ist.
Schnellstart: MDM für BYOD in 5 Schritten
- MDM-Lösung wählen (Intune empfohlen wenn M365 Business Premium)
- BYOD-Richtlinie erstellen + mit Betriebsrat abstimmen (Deutschland!)
- Enrollment testen mit IT-Team
- Pilotgruppe (10 Freiwillige) - Feedback sammeln
- Roll-out + Schulung (30 Min. Erklärung: “Was sieht das Unternehmen? Was nicht?”)
Kritisch: In Deutschland Betriebsrat vor MDM-Einführung einbeziehen (BetrVG §87). Technische Einrichtungen die Mitarbeiter überwachen können = zustimmungspflichtig.
Sie suchen Unterstützung bei der Einführung von MDM und BYOD-Richtlinien? Wir helfen bei technischer Konfiguration, rechtlicher Abstimmung (DSGVO, BetrVG) und Mitarbeiter-Schulung.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
