Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Endpoint Security Glossar

BYOD (Bring Your Own Device)

Unternehmensrichtlinie die Mitarbeitern erlaubt, eigene Smartphones, Tablets und Laptops für Arbeitszwecke zu nutzen. BYOD reduziert Hardware-Kosten, erhöht aber das Sicherheitsrisiko erheblich - private Geräte sind schwerer zu kontrollieren als unternehmenseigene.

BYOD (Bring Your Own Device) bezeichnet die Praxis, dass Mitarbeiter ihre privaten Geräte - Smartphones, Tablets, Laptops - auch für berufliche Zwecke nutzen. In der Post-COVID-Ära ist BYOD bei vielen Unternehmen Standard geworden. Die Sicherheitsherausforderungen sind erheblich.

Das BYOD-Sicherheitsproblem

Unternehmensgerät (vollständige Kontrolle):
  ✓ MDM-Agent installiert
  ✓ Festplattenverschlüsselung erzwungen
  ✓ Nur genehmigte Apps erlaubt
  ✓ Remote-Wipe möglich
  ✓ Patch-Management zentral
  ✓ Getrennte Arbeitsdaten

BYOD-Gerät (eingeschränkte Kontrolle):
  ✗ Unbekannte Apps installiert (Spiele, Shopping, etc.)
  ✗ Möglicherweise gejailbreakt/gerootet
  ✗ Persönliche Daten und Unternehmensdaten vermischt
  ✗ Patch-Stand unbekannt
  ✗ Familienmitglieder nutzen Gerät möglicherweise mit
  ✗ Remote-Wipe löscht auch private Daten → Konflikte

BYOD-Modelle im Vergleich

ModellBeschreibungSicherheitsgradMitarbeiterakzeptanz
BYODEigenes Gerät für ArbeitNiedrigHoch
COPEFirmengerät, privat nutzbarHochMittel
CYODMitarbeiter wählt aus FirmengerätenHochMittel-Hoch
Corporate OnlyNur FirmengeräteSehr hochNiedrig

Technische BYOD-Lösungen

MDM (Mobile Device Management)

Vollständige Geräteverwaltung - problematisch bei BYOD:

  • IT-Abteilung hat Zugriff auf gesamtes Gerät
  • Remote-Wipe löscht private Fotos, Kontakte, Apps
  • Mitarbeiter widersetzen sich oft → hohe Opt-Out-Rate
  • Empfehlung: Nur für unternehmenseigene Geräte (COPE)

MAM (Mobile Application Management) - BYOD-Empfehlung

Nur Apps werden verwaltet, nicht das Gerät:

Unternehmens-App-Container:
  [Outlook] [Teams] [SharePoint] ← MDM-kontrolliert, verschlüsselt
  ────────────────────────────────────────────────────
  [Instagram] [WhatsApp] [Spiele]  ← Privat, keine IT-Kontrolle

MAM-Features:

  • Unternehmens-Apps separat verschlüsselt
  • Copy-Paste zwischen Business-Apps und privaten Apps blockiert
  • App-spezifischer Remote-Wipe (nur Business-Apps, nicht Fotos)
  • Keine persönlichen Daten für IT sichtbar

Technologie: Microsoft Intune App Protection Policies, VMware Workspace ONE, Jamf

App-basierter VPN

Statt Gerät-VPN nur Business-Apps tunneln durch Corporate Network:

Browser (privat) → Internet direkt
Teams (Business) → Corporate VPN → Microsoft 365
OneDrive Business → Corporate VPN → SharePoint

BYOD-Richtlinie: Was muss geregelt sein?

Mindest-Anforderungen für BYOD-Zulassung

□ Gerät: mindestens iOS 16 / Android 12 (aktuell und patchbar)
□ Bildschirmsperre: PIN/Biometrik aktiviert
□ Festplattenverschlüsselung: aktiviert (iOS/Android: automatisch bei Bildschirmsperre)
□ MAM-App installiert: Intune Company Portal oder ähnlich
□ Gerät nicht gejailbreakt/gerootet (wird automatisch erkannt)
□ Keine "Store-Apps" aus unbekannten Quellen (Android)
□ Mitarbeiter-Einverständnis für geschäftliche Datenverarbeitung auf privatem Gerät

Arbeitsrechtliche Aspekte (Deutschland)

Wichtig: Überwachung von privaten Geräten ist in Deutschland stark eingeschränkt:

  • §87 BetrVG: Betriebsrat hat Mitbestimmungsrecht bei BYOD-Richtlinien
  • DSGVO: Auch auf privaten Geräten anfallende Arbeitsdaten sind Unternehmensverantwortung
  • Kostenfrage: Arbeitgeber muss anteilig für berufliche Nutzung zahlen (Datentarif, etc.)

BYOD-Sicherheitsrisiken

Hauptrisiken:
1. Verlorenes/gestohlenes Gerät → unverschlüsselte Geschäftsdaten
2. Malware auf privatem Gerät → greift Business-Apps an
3. Mitarbeiter verlässt Firma → Daten bleiben auf privatem Gerät
4. Screenshot/Foto von Bildschirm → unkontrollierte Datenabfluss
5. Familienmitglieder nutzen Gerät → versehentlicher Datenzugriff
6. Jailbreak → MDM/MAM-Schutz umgangen

Empfohlene BYOD-Strategie für KMU

Schritt 1: MAM statt MDM
  → Microsoft Intune App Protection Policies für M365 (kostenlos in M365 Business)
  → Outlook, Teams, SharePoint auf eigenen Geräten mit Container-Schutz

Schritt 2: Conditional Access
  → Geräte-Compliance-Check: App-Schutzrichtlinie muss aktiv sein
  → Login von BYOD ohne MAM-Policy → blockiert

Schritt 3: MFA überall
  → Jedes Login auf Business-Apps erfordert MFA
  → Auch wenn Passwort kompromittiert: Zugriff ohne Gerät nicht möglich

Schritt 4: DLP-Regeln
  → Kein Copy-Paste aus Business-Apps in Private-Apps
  → Keine Weiterleitung von Business-E-Mails an private E-Mail-Adressen

Schritt 5: BYOD-Richtlinie + Einverständnis
  → Schriftliche BYOD-Policy
  → Einverständniserklärung der Mitarbeiter (DSGVO-konform)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz

12 min Lesezeit

Identity & Access Management (IAM): Identitäten sicher verwalten

12 min Lesezeit

Zero Trust - Modernes Sicherheitsarchitekturprinzip

8 Min. Lesezeit

Verwandte Begriffe

MDM (Mobile Device Management) MFA (Multi-Faktor-Authentifizierung)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung