Längst ist die Verwendung privater Geräte für berufliche Zwecke zur gängigen Praxis geworden. Dies wird als BYOD bezeichnet, was die Abkürzung für „Bring Your Own Device“ ist. Smartphones, Tablets und Notebooks wechseln somit oft zwischen der privaten Nutzung und dem Unternehmensalltag, ohne dass es eine klare Trennlinie gibt. Das mag bequem wirken, geht aber auch mit Risiken einher. Daten können außerhalb gesicherter Unternehmensumgebungen gespeichert und schlimmstenfalls abgegriffen und missbräuchlich verwendet werden. Moderne Geräteverwaltung muss daher mehr leisten als lediglich eine Übersicht über registrierte Endgeräte.
Kontrollverlust beginnt oft im Kleinen
Wenn es zum Verlust der Kontrolle über wichtige Unternehmensdaten kommt, entsteht das oft durch eine scheinbar kleine Entscheidung:
- Ein Gerät wird „nur kurz“ ins Unternehmensnetzwerk eingebunden
- Ein zweites E-Mail-Konto bleibt parallel auf dem privaten Smartphone eingerichtet
- Eine geschäftliche Datei wird zur schnellen Weiterbearbeitung in einen privaten Cloudspeicher geladen
- Eine Messenger-App erhält Zugriff auf Kontakte oder Dateianhänge
- Ein altes Gerät wird weiterverwendet, obwohl Sicherheitsupdates fehlen
- Ein Passwort wird im Browser gespeichert, um Zeit zu sparen
- Ein ausgeschiedener Mitarbeiter behält weiterhin Zugriff auf freigegebene Ressourcen
Ein sogenanntes Mobile-Device-Management-System (MDM) kann hier Abhilfe schaffen. Für Unternehmen ist es im Vorfeld wichtig, sich über die beste MDM Software zu informieren und die eigenen technischen und organisatorischen Anforderungen klar zu definieren.
Compliance ist weniger ein Dokument als ein Betrieb
Auf dem Papier mag die Compliance eindeutig geklärt sein, in der Praxis ist das Thema aber oft eine Frage der Wiederholbarkeit. Nicht die Nachweise am Jahresende sind entscheidend, sondern das Funktionieren im täglichen Betrieb.
Alle für Unternehmenszwecke genutzten Geräte müssen inventarisiert werden. Richtlinien müssen sinnvoll definiert werden und dann nachvollziehbar greifen. Auch wenn die Teams wechseln, müssen Protokolle weiterhin auswertbar bleiben. Oftmals kollidieren die in der Theorie logischen Vorgaben regelmäßig mit der Realität. Bei privaten Geräten besteht die Problematik von uneinheitlichen Betriebssystemen und vorhandenen Apps. Manche davon sind geschäftlich nötig, lassen sich aber nur schwer kontrollieren.
Technische Hebel, die tatsächlich wirken
Bei vielen Maßnahmen hängt die tatsächliche Wirksamkeit vom Detail ab. So schützt beispielsweise eine Verschlüsselung nur, wenn Schlüsselverwaltung und Recovery geklärt sind. Für mobile Gerätebestände sind häufig vor allem die folgenden Bausteine von Bedeutung:
- Gerätekonformität über Mindestversionen und Patch-Status
- Trennung geschäftlicher und privater Datenbereiche
- App-Whitelisting oder risikobasiertes App-Blocking
- Remote-Sperre und selektives Löschen bei Verlust
- Zertifikatsbasierte Anmeldung statt statischer Passwörter
Ein zentrales System als MDM Solution kann diese Hebel bündeln und die Sicherheit deutlich erhöhen. Es ersetzt aber die saubere Definition der Zielzustände nicht. Diese müssen fortlaufend überprüft und bei Bedarf angepasst werden.
Identity, Zero Trust und die Rolle der Endgeräte
Bei vielen Sicherheitskonzepten wurde die Kontrolle von Netzgrenzen hin zu Identitäten verlagert. Endgeräte werden nun nicht mehr nur verwaltet, sondern anhand der folgenden Fragen bewertet:
- Ist der Patchstand plausibel?
- Ist das Gerät bekannt?
- Ist die Verbindung vertrauenswürdig?
Aus diesen Signalen entstehen Zugriffsentscheidungen. Oft geschieht das dynamisch und kann insbesondere in Mischumgebungen knifflig sein. Legacy-Anwendungen tolerieren nicht jedes Conditional-Access-Modell. Für manche Abteilungen sind Ausnahmen erforderlich. Genau diese Ausnahmen können aber später zu blinden Flecken werden, wenn sie nicht dokumentiert und regelmäßig überprüft werden.
Betriebsrealität: Support, Datenschutz und Akzeptanz
BYOD scheitert oft nicht an der Technik, sondern an der Realität im praktischen Betrieb. Der Support muss klare Grenzen kennen, da andernfalls die private Hardware zur Dauerbaustelle werden kann. Für den Datenschutz ist eine klare Trennung von privat und geschäftlich erforderlich, da andernfalls schnell Misstrauen entsteht. Für eine gute Akzeptanz ist außerdem Transparenz von entscheidender Bedeutung, weil ein „unsichtbares“ Kontrollsystem schnell als Eingriff wahrgenommen wird. Parallel laufen Kostenfragen mit, auch wenn sie zuerst nebensächlich wirken. Lizenzmodelle, Enrollment-Aufwand und Schulungsbedarf addieren sich. Eine stabile Lösung entsteht meist dort, wo Richtlinien schlank bleiben, Ausnahmen begründet sind und der Betrieb dauerhaft beobachtet wird.
