Mobile Security: Android und iOS Enterprise-Härtung, MDM und BYOD
Umfassender Guide zur Mobile Security für Unternehmen: Bedrohungsprofil (Malicious Apps, Smishing, Vishing, Netzwerkrisiken), MDM vs. MAM, BYOD/COPE/COBO-Modelle, iOS Enterprise-Härtung (Supervised Mode, Per-App-VPN, Lockdown Mode), Android Enterprise (Work Profile, Fully Managed, Knox), Mobile Threat Defense (Lookout, Zimperium, Microsoft Defender for Mobile), Conditional Access, DSGVO-konforme MDM-Policies und Incident Response für kompromittierte Mobilgeräte.
Inhaltsverzeichnis (10 Abschnitte)
Smartphones sind die meistgenutzten Geschäftsgeräte - E-Mail, Teams, SharePoint, VPN, Banking-Apps. Gleichzeitig sind sie die am wenigsten abgesicherten Endpunkte: kein EDR-Agent, ständig in fremden WLANs, private und geschäftliche Nutzung vermischt. Mobile Geräte sind heute das primäre Arbeitsgerät für viele Mitarbeiter und gleichzeitig eine der schwächsten Glieder in der Sicherheitskette. Ein strukturierter Ansatz mit MDM, Policies und Bedrohungsschutz ist unerlässlich.
Mobiles Bedrohungsprofil
Malicious Apps
Angriffswege:
→ Offiziell im App Store (selten, aber kommt vor): FlekSpy, Goldoson-SDK
→ Sideloading außerhalb App Stores (Android, Enterprise Distribution auf iOS)
→ Unter bekanntem App-Namen versteckt (Fake WhatsApp, Fake Banking-App)
Was Schadapps können:
→ Mikrofon/Kamera aktivieren (ohne sichtbare Indikatoren)
→ Standort verfolgen
→ SMS lesen (2FA-Codes abfangen!)
→ Kontakte, E-Mails, Dateien exfiltrieren
→ VPN-Apps mit Routing durch C2-ServerBerühmter Fall: Pegasus Spyware (NSO Group) - Zero-Click-Exploit auf iMessage. Keine Nutzerinteraktion nötig. Verbreitet gegen Journalisten, Aktivisten, Führungskräfte.
Mobile Phishing (Smishing, Vishing)
SMS-Phishing (Smishing):
"Ihre DHL-Sendung konnte nicht zugestellt werden.
Adresse bestätigen: tracking-dhl-de.ru/confirm"
Mobil-spezifische Gefahr:
→ URL wird gekürzt angezeigt (kein voller Link sichtbar)
→ Kleinerer Bildschirm → weniger Kontext
→ HTTPS-Padlock-Täuschung (Phishing-Sites auch mit TLS)
→ Nutzer schaut auf Telefon in entspannter SituationStatistik: Mobiles Phishing ist 3x effektiver als Desktop-Phishing (Lookout 2023).
Netzwerk-Risiken
Öffentliches WLAN (Hotel, Café, Flughafen):
→ Kein WPA2-Enterprise → einfach abzuhören
→ Evil Twin Attacks: Gefälschter Hotspot mit bekanntem SSID-Namen
→ SSLStrip: TLS-Downgrade wenn App kein Certificate Pinning nutzt
Lösung: Immer VPN auf öffentlichem WLANPhysische Risiken
Verlorenes/gestohlenes Gerät ohne Verschlüsselung:
→ Alle E-Mails, Kontakte, Dokumente zugänglich
→ Gespeicherte Passwörter im Browser
→ 2FA-Apps (TOTP-Tokens)
Shoulder Surfing:
→ Passwörter, PINs, vertrauliche E-Mails im öffentlichen Raum sichtbarBYOD vs. COPE vs. COBO
Geräteeigentumsmodelle im Vergleich:
BYOD (Bring Your Own Device):
→ Mitarbeiter nutzt privates Gerät für Arbeit
→ Vorteile: kein Gerätekauf, hohe User-Akzeptanz
→ Nachteile: geringe Kontrolle, DSGVO-Herausforderungen
→ MDM-Lösung: Work Profile (separierter Bereich)
→ Datenlöschung: nur Work-Profile (nicht privat!)
COPE (Company Owned, Personally Enabled):
→ Unternehmen kauft Gerät, Mitarbeiter darf es privat nutzen
→ Gute Balance: Kontrolle + Usability
→ MDM: voller Zugriff auf Gerät, aber private App-Nutzung erlaubt
→ Empfohlen für die meisten Unternehmen
COBO (Company Owned, Business Only):
→ Reines Firmengerät, keine private Nutzung
→ Höchste Kontrolle (kein persönlicher App Store!)
→ Für: hochsensible Rollen (Finance, C-Suite, KRITIS)
→ MDM: vollständige Kontrolle, kioskartig konfigurierbar
CYOD (Choose Your Own Device):
→ Mitarbeiter wählt aus definierter Geräteliste
→ Kompromiss: User-Präferenz + Standard-Support
Entscheidungsmatrix:
Branche → BYOD COPE COBO
Allgemein OK Best Heavy
Finanz/Versicherung Nein OK Best
Gesundheit Nein OK Best (DSGVO!)
KRITIS Nein Nein Best
Startup/IT OK OK HeavyMobile Device Management (MDM) vs. MAM
MDM - Vollständige Geräteverwaltung
MDM verwaltet das gesamte Gerät:
IT-Fähigkeiten mit MDM:
✓ Festplattenverschlüsselung erzwingen
✓ Bildschirmsperre mit PIN-Mindestlänge
✓ Genehmigte Apps installieren/erzwingen
✓ Nicht-genehmigte Apps blockieren
✓ Remote Wipe (gesamtes Gerät löschen)
✓ Standort-Tracking
✓ VPN-Konfiguration automatisch
✓ WiFi-Profile automatisch
Nachteil bei BYOD:
→ IT sieht alle installierten Apps (auch private)
→ Remote Wipe löscht private Fotos
→ Mitarbeiter-WiderstandMAM - App-Verwaltung (BYOD-Empfehlung)
MAM verwaltet nur Unternehmens-Apps:
Microsoft Intune App Protection Policies (MAM):
Business-Apps: Outlook, Teams, OneDrive, SharePoint
Container: Verschlüsselt, getrennt von privaten Apps
Regeln:
✓ PIN für Business-Apps
✓ Copy-Paste von Business → privat blockiert
✓ App-spezifischer Remote Wipe (nur Business-Daten)
✓ Kein Screenshot in Business-Apps
✓ Backup von Business-Daten in iCloud/Google Drive blockiert
Vorteil:
→ Keine privaten Daten sichtbar für IT
→ Mitarbeiter akzeptieren eher
→ Remote Wipe löscht nur Business-AppsiOS Enterprise-Härtung
Apple iOS Hardening mit Intune/Jamf:
Supervised Mode (Vollzugriff):
→ Aktivierung: Apple Configurator 2 oder Apple Business Manager
→ Ermöglicht: MDM-Signale für kritische Policies
→ Pflicht für: COBO-Geräte, sehr strikte Environments
Kritische iOS-MDM-Policies:
Gerätesperre:
Passcode Type: Alphanumerisch (nicht nur PIN!)
Minimum Passcode Length: 8 Zeichen
Auto-Lock: 2 Minuten
Grace Period: 0 (sofortiges Sperren beim Ruhezustand)
Maximum Failed Attempts: 10 → Remote Wipe!
Netzwerk:
Force WiFi: Nur definierte WLAN-SSIDs (kein öffentliches WLAN!)
Per-App VPN: VPN nur für Unternehmens-Apps
DNS over HTTPS: Erzwingen (kein DNS-Sniffing)
Content Filter: Safari-Webfilter (Jugendschutz + Malware-Block)
Apps:
App Store disabled: JA (für COBO) / NEIN (für COPE)
Allowed Apps Whitelist: Nur genehmigte Apps
Apple ID: Managed Apple ID (nicht persönliche!)
iCloud: Deaktiviert (Firmedaten → kein iCloud Sync!)
App Clips: Deaktiviert
iTunes Sync: Deaktiviert
iOS Lockdown Mode (für sehr gefährdete Personen):
→ Aktiviert durch: Settings → Privacy & Security → Lockdown Mode
→ Deaktiviert: Link-Vorschau, Nachrichtenanhänge, FaceTime-Anrufe von Unbekannten
→ Für: Journalisten, Aktivisten, C-Suite mit Bedrohungssituation
→ Apple: Lockdown Mode schützt gegen hochentwickelte Angriffe (NSO Group Pegasus!)
# Intune Configuration Profile (iOS):
{
"PayloadType": "com.apple.restrictions",
"allowCamera": true,
"allowCloudBackup": false,
"allowInstallApps": false, // COBO: App-Store gesperrt
"allowSafariJavaScript": true,
"allowScreenShot": false, // Vertrauliche Daten: Screenshots verboten
"forceEncryptedBackup": true,
"safariPasswordAutoFillDomains": [],
"allowAirDrop": false
}Android Enterprise
Android Enterprise - Work Profile und Fully Managed:
Android Enterprise Modi:
Work Profile (BYOD/COPE):
→ Getrennte Arbeitswelt auf privatem Gerät
→ Apps: Arbeit + Privat mit klarer Trennung (Taschenlampen-Symbol)
→ MDM kann nur Work-Profile-Apps verwalten
→ Private Apps: nicht sichtbar für MDM
→ Datenlöschung: nur Work-Profile-Teil!
Fully Managed (COBO):
→ Unternehmens-Gerät, vollständige MDM-Kontrolle
→ Zero-Touch Enrollment: Gerät wird eingeschaltet → automatisch enrolled
→ Kein Google-Account erforderlich (Managed Google Play)
Dedicated Device (Kiosk):
→ Single-Purpose-Gerät (Scanner, POS-Terminal, Anzeige)
→ Nur eine oder wenige Apps erlaubt
# Intune Android Work Profile Policy:
DeviceConfiguration:
Type: androidWorkProfile
Settings:
passwordMinimumLength: 8
passwordRequiredType: alphanumericWithSymbols
screenLockEnabled: true
workProfileDataSharingType: preventAny # Kein Copy-Paste Arbeit→Privat!
workProfilePasswordRequired: true
workProfileBlockScreenCapture: true
workProfileBluetoothEnableContactSharing: false
Samsung Knox (Enterprise-Erweiterung):
→ Knox-Workspace für stärkere Isolation
→ Knox Vault: Hardware-Sicherheitsenclave
→ DualDAR: zwei unabhängige Verschlüsselungsebenen
→ KRITIS/Behörden: NATO-RESTRICTED zugelassen (mit Knox Matrix!)iOS vs. Android Security
| Merkmal | iOS | Android |
|---|---|---|
| App-Store-Kontrolle | Streng (Cupertino-Review) | Offener (auch Sideloading) |
| OS-Updates | Schnell, 5-7 Jahre Support | Fragmentiert, hersteller-abhängig |
| Verschlüsselung | Immer an (seit iOS 8) | Seit Android 6, herstellerabhängig |
| Sandboxing | Sehr stark | Stark, aber mehr Freiheiten |
| MDM-Reife | Sehr gut | Gut (Android Enterprise) |
| Jailbreak-Risiko | Selten | Häufiger (Rooting) |
| Empfehlung Business | Bevorzugt | Nur mit Android Enterprise MDM |
Mobile Threat Defense (MTD)
MTD-Funktionen (Microsoft Defender for Endpoint Mobile, Lookout, Zimperium):
Was Mobile Threat Defense erkennt:
→ Gerätekompromittierung: Jailbreak/Root-Detection
→ Netzwerkangriffe: MITM, Evil-Twin-WiFi, SSL-Stripping
→ App-Bedrohungen: Malware, Stalkerware, Riskware
→ Verhaltensanomalien: ungewöhnliche Zugriffspattern
→ Phishing-URL-Erkennung im Browser
MTD-Produkte:
Lookout Mobile Security:
→ Market Leader
→ Integration: Intune, Jamf, SIEM
→ Erkennt: Pegasus, Stalkerware, Riskware
Zimperium zIPS:
→ On-Device-ML (kein Cloud-Lookup!)
→ Vorteil: Offline-Detection, Datenschutz
Microsoft Defender for Mobile:
→ Intune-native Integration
→ Conditional Access: nicht-konformes Gerät → kein O365-Zugriff!
→ Günstiger für Microsoft-Shops (im M365-E5-Bundle)
Jailbreak/Root-Detection:
iOS:
→ Prüft: /Applications/Cydia.app, /bin/bash, /etc/apt existieren?
→ Sandbox-Ausbruch: App kann außerhalb ihrer Sandbox schreiben?
Android:
→ SuperUser-App installiert?
→ Build-Eigenschaften: test-keys (kein offizielles Image!)
→ SELinux: permissive statt enforcing?Integration mit Zero Trust:
Conditional Access Policy:
Wenn:
Gerät: iOS/Android
MTD-Status: "High Risk" (Jailbreak oder Malware erkannt)
Dann:
M365-Zugang: Blockiert
Teams-Zugang: Blockiert
→ Kompromittiertes Telefon kann nicht auf Unternehmensdaten zugreifenTechnische Absicherung - Checkliste
Gerät-Level
☐ Bildschirmsperre: PIN ≥ 6-stellig oder Biometrie aktiviert
☐ Automatische Sperre: < 5 Minuten
☐ Geräteverschlüsselung: aktiviert (iOS automatisch, Android prüfen)
☐ Remote Lock/Wipe: konfiguriert (iCloud Find My / Find My Device)
☐ OS-Updates: automatisch aktiviert
☐ Sicherheits-Patch-Level: Android < 3 Monate alt
☐ Jailbreak/Root: nicht vorhandenNetzwerk-Level
☐ VPN: auf öffentlichem WLAN immer aktiv
☐ Always-On-VPN via MDM für alle Außennutzung
☐ Automatische WLAN-Verbindung zu offenen Netzwerken deaktiviert
☐ Bluetooth: ausgeschaltet wenn nicht genutztEnterprise-Level
☐ MDM/MAM für alle Business-Geräte implementiert
☐ Conditional Access: Gerät muss Compliance erfüllen für M365-Zugang
☐ BYOD-Policy dokumentiert und von Mitarbeitern unterzeichnet
☐ Mobile Threat Defense (MTD) aktiviert
☐ Certificate Pinning in Business-Apps implementiertDSGVO und Mobile Security
DSGVO-Herausforderungen mit BYOD:
→ Unternehmensdaten auf privatem Gerät: datenschutzrechtlich problematisch!
→ Geofencing: Ortungsdaten des Mitarbeiters → Einwilligung erforderlich!
→ MDM-Logs: enthält Standortdaten, App-Nutzung → Zweckbindung!
→ Betriebsrat: muss bei MDM-Einführung beteiligt werden!
Rechtssichere BYOD-Implementierung:
1. Betriebsvereinbarung:
→ Klare Regelung: was darf MDM sehen, was nicht
→ Zustimmung: Mitarbeiter unterschreibt Einwilligung
→ Betriebsrat: Mitbestimmungsrecht (§87 BetrVG)!
2. Datentrennung (Work Profile):
→ Private Daten: MDM kann NICHT sehen
→ Unternehmens-Daten: MDM hat Zugriff
→ Remote Wipe: nur Work Profile (nicht Privatfotos!)
3. Transparenz:
→ User weiß genau: was wird überwacht?
→ MDM-App zeigt: aktive Policies
4. Mindest-Datenprinzip:
→ Nur nötige Daten erfassen (kein GPS-Tracking wenn nicht nötig!)
→ Log-Retention: nur so lange wie nötig
DSGVO-konforme MDM-Policies:
× NICHT erlaubt: Echtzeit-GPS-Tracking aller Mitarbeiter
× NICHT erlaubt: Browser-History private Nutzung lesen
× NICHT erlaubt: private App-Liste einsehen (BYOD!)
✓ ERLAUBT: Geräteverschlüsselung erzwingen
✓ ERLAUBT: Remote Wipe (nur Work Profile bei BYOD)
✓ ERLAUBT: E-Mail-Konfiguration verwalten
✓ ERLAUBT: VPN-Verbindung erzwingen für Unternehmens-AppsIncident Response: Kompromittiertes Mobilgerät
Verdacht: Gerät kompromittiert (merkwürdiges Verhalten, unbekannte Apps)
Sofortmaßnahmen:
1. Gerät in Flugmodus versetzen (verhindert weitere Datenübertragung)
2. IT/CISO informieren
3. Alle Unternehmens-Accounts auf dem Gerät aus anderen Geräten abmelden
4. Passwörter aller auf dem Gerät genutzten Accounts ändern
5. Gerät NICHT weiter nutzen - Forensik-Analyse
Remote Wipe via MDM:
Intune → Geräte → [Gerät] → Gerät zurücksetzen
→ Alle Daten gelöscht (Business-Daten sofort, bei BYOD: nur MAM-Daten)
Forensik:
→ Gerät nicht zurücksetzen ohne forensische Sicherung
→ MTD-Logs aus MDM sichern
→ Timeline der Anomalien dokumentierenQuellen & Referenzen
- [1] ENISA Threat Landscape for Mobile Devices 2023 - ENISA
- [2] BSI Mobile Device Management - BSI
- [3] OWASP Mobile Security Testing Guide - OWASP
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking — Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
