Mobile Sicherheit im Unternehmen strategisch umsetzen

Smartphones und Tablets sind längst keine reinen Kommunikationsmittel mehr. Sie haben sich zu zentralen Arbeitsgeräten entwickelt, über die Mitarbeitende auf sensible Unternehmensdaten zugreifen, von E-Mails bis hin zu internen Systemen. Diese Entwicklung hat die Angriffsfläche für Unternehmen erheblich vergrößert. Die Herausforderung besteht darin, dass die Bedrohungen weit über den einfachen Diebstahl eines Geräts hinausgehen. Wir sehen heute hochentwickelte Angriffe wie gezieltes SMS-Phishing, auch Smishing genannt, bei dem Mitarbeitende durch gefälschte Nachrichten zur Preisgabe von Zugangsdaten verleitet werden.

Zusätzlich erschwert die Vermischung von Firmen- und Privatgeräten die Lage. Ein durchdachtes Konzept, um BYOD-Sicherheit umzusetzen, ist unerlässlich, da private Geräte oft nicht den gleichen Schutzstandards unterliegen. Malware, die darauf abzielt, Anmeldeinformationen aus Business-Apps zu stehlen, oder die Nutzung ungesicherter öffentlicher WLANs stellen reale Gefahren dar. Jedes ungeschützte Gerät wird so zu einem potenziellen Einfallstor in das Kernnetzwerk des Unternehmens. Die Konsequenzen reichen von Datenpannen und Reputationsschäden bis hin zu empfindlichen Bußgeldern, insbesondere im Kontext von DSGVO mobile Geräte.

Eine solide Basis durch Mobile Device Management schaffen

Angesichts der beschriebenen Risiken bildet ein Mobile Device Management (MDM) das technische Fundament für eine sichere mobile Arbeitsumgebung. Eine MDM-Lösung ist dabei weit mehr als ein Kontrollinstrument. Sie ist ein System, das sichere und zugleich produktive Arbeit erst ermöglicht und dabei den BSI-Empfehlungen für mobile Sicherheit folgt. Die Kernfunktionen solcher MDM-Lösungen für Unternehmen lassen sich klar strukturieren:

• Zentrale Registrierung und Inventarisierung: Alle mobilen Geräte, die auf Unternehmensressourcen zugreifen, werden automatisch erfasst und verwaltet.
• Durchsetzung von Sicherheitsrichtlinien: Es werden unternehmensweit einheitliche Vorgaben für Passwortkomplexität, Bildschirmsperren und Verschlüsselungseinstellungen sichergestellt.
• Anwendungsmanagement: Über Whitelists und Blacklists wird kontrolliert, welche Apps installiert werden dürfen, um die Installation nicht autorisierter Software zu verhindern.
• Remote-Aktionen: Die IT-Abteilung erhält die Möglichkeit, ein verlorenes oder gestohlenes Gerät aus der Ferne zu sperren oder vollständig zu löschen.

Ein entscheidendes Konzept hierbei ist die Containerisierung. Dabei wird ein verschlüsselter Arbeitsbereich auf dem Gerät erstellt, der Unternehmensdaten strikt von privaten Daten trennt. Dies ist besonders für BYOD-Szenarien von großer Bedeutung. Gleichzeitig steigert das Zero-Touch-Provisioning die Effizienz, da neue Geräte automatisch und ohne manuellen Eingriff der IT-Abteilung konfiguriert und abgesichert werden. Wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Publikationen wie dem IT-Grundschutz-Kompendium hervorhebt, ist MDM ein grundlegender Baustein. Für die umfassende Verwaltung dieser Endpunkte bieten spezialisierte Ansätze wie unser EndpointCare Service eine strukturierte Implementierung und Betreuung.

Mehrschichtige Verteidigung für Daten und Zugriffspunkte

Ein MDM-System legt zwar eine unverzichtbare Grundlage, doch eine umfassende mobile Sicherheit im Unternehmen erfordert eine mehrschichtige Verteidigungsstrategie. Es geht nicht nur darum, das Gerät selbst zu schützen, sondern vor allem die darauf befindlichen Daten und die Zugriffspunkte zum Unternehmensnetzwerk. Ein solcher Ansatz stützt sich auf drei wesentliche Säulen. Erstens, der Schutz von ruhenden Daten (Data-at-Rest) durch die konsequente Durchsetzung einer vollständigen Festplattenverschlüsselung. Moderne Betriebssysteme bringen diese Funktion zwar mit, doch erst das MDM stellt sicher, dass sie auf allen Geräten aktiv und korrekt konfiguriert ist.

Zweitens muss die Zugriffskontrolle gestärkt werden. Die Multi-Faktor-Authentifizierung (MFA) ist hierbei keine Option, sondern ein unverhandelbarer Standard für den Zugriff auf Unternehmens-E-Mails, Cloud-Dienste und interne Anwendungen. Sie fügt eine zusätzliche Sicherheitsebene hinzu, die weit über ein reines Passwort hinausgeht. Drittens wird die Sicherheit der Daten während der Übertragung (Data-in-Transit) durch den Einsatz eines unternehmenseigenen VPNs gewährleistet. Ein VPN verschlüsselt den gesamten Datenverkehr des Geräts und bietet damit einen weitaus höheren Schutz als eine reine HTTPS-Verbindung, insbesondere in öffentlichen Netzwerken. Solche sicheren Netzwerkverbindungen sind ein Kernbestandteil unserer Managed Network Services. Abschließend gilt das Prinzip der geringsten Rechtevergabe auch für App-Berechtigungen, um die Angriffsfläche weiter zu minimieren.

Die menschliche Firewall durch Richtlinien und Bewusstsein stärken

Die beste Technologie kann durch menschliches Fehlverhalten ausgehebelt werden. Deshalb verlagert sich der Fokus nun vom Technischen auf den Menschen. Mitarbeitende sind ein entscheidender Teil der Sicherheitsstrategie, und durch klare Richtlinien und kontinuierliche Schulungen kann eine „menschliche Firewall“ aufgebaut werden. Effektive Sicherheitsrichtlinien für mobile Geräte umfassen dabei mehrere Kernpunkte:

1. Regeln zur Gerätenutzung: Es muss klar definiert sein, welche Richtlinien für Firmengeräte und welche für private Geräte (BYOD) gelten und wer wofür verantwortlich ist.
2. Zulässige Nutzung: Die Richtlinien sollten festlegen, wofür Firmengeräte verwendet werden dürfen und welche Einschränkungen, etwa bei der Installation persönlicher Apps, gelten.
3. Protokoll zur Meldung von Vorfällen: Ein einfacher und vorwurfsfreier Prozess muss etabliert werden, damit Mitarbeitende verlorene Geräte oder verdächtige Aktivitäten sofort melden.

Sicherheitsschulungen sind dann am wirksamsten, wenn sie nicht als einmalige Veranstaltung, sondern als fortlaufender Prozess verstanden werden. Anstelle von trockenen Präsentationen schaffen realitätsnahe Phishing-Simulationen ein echtes Bewusstsein für die Gefahren. Ziel ist es, eine Kultur der geteilten Verantwortung zu etablieren, in der Sicherheit als gemeinsames Anliegen zum Schutz des Unternehmens und des Einzelnen verstanden wird. Die Entwicklung solcher IT-Richtlinien und Governance-Strukturen ist ein zentraler Bestandteil unserer Management Services. Die folgende Tabelle verdeutlicht die Aufteilung der Verantwortlichkeiten.

Proaktive Reaktion auf Vorfälle und Lebenszyklus-Management

Die letzte Verteidigungslinie ist die Vorbereitung auf den Ernstfall. Trotz aller präventiven Maßnahmen können Sicherheitsvorfälle auftreten. Ein vordefinierter Reaktionsplan ist daher entscheidend, um den Schaden zu begrenzen. Bei einem verlorenen oder gestohlenen Gerät ermöglichen MDM-Funktionen wie das sofortige Sperren (Remote Lock) und Löschen (Remote Wipe) aus der Ferne den Schutz der Unternehmensdaten. Hier ist Geschwindigkeit der entscheidende Faktor. Ein solcher Plan muss jedoch über die reine Reaktion hinausgehen und den gesamten Lebenszyklus eines Geräts abdecken, von der Bereitstellung bis zur Außerbetriebnahme.

Ein sicherer Prozess am Ende der Nutzungsdauer ist ein oft übersehener, aber kritischer Punkt. Dazu gehört die zertifizierte Datenlöschung, bevor ein Gerät recycelt oder entsorgt wird, um zu verhindern, dass Datenreste wiederhergestellt werden können. Dies ist nicht nur eine bewährte Praxis, sondern auch eine wichtige Anforderung im Rahmen der Compliance. Nach der Lösung eines Vorfalls sollte eine Analyse stattfinden, um Schwachstellen in der bestehenden Strategie zu identifizieren. Dieser Feedback-Zyklus ist unerlässlich, um Richtlinien, Konfigurationen und Schulungen kontinuierlich zu verbessern und so die gesamte mobile Sicherheit im Unternehmen zu stärken. Letztlich ist mobile Sicherheit kein isoliertes Thema, sondern Teil einer integrierten IT-Strategie, wie sie in unseren ganzheitlichen Lösungen zum Ausdruck kommt.