Wer heute morgens ins Büro kommt, hat meistens mindestens zwei Geräte dabei: das private Smartphone in der Tasche und das Firmennotebook in der Umhängetasche. Oft kommt noch ein Tablet dazu, manchmal ein zweites Telefon. Und dann sind da noch die Kollegen im Homeoffice, die mit ihrem privaten Rechner ins Firmennetz wollen. Die mobile Arbeit ist längst Alltag – aber die Frage, wie man das alles sicher und geordnet hält, stellt viele Unternehmen vor echte Herausforderungen.
Was steckt hinter Mobile Device Management?
Mobile Device Management – kurz MDM – bezeichnet die zentrale Verwaltung und Absicherung mobiler Endgeräte in einem Unternehmen. Gemeint sind Smartphones, Tablets und Laptops, die auf Unternehmensdaten zugreifen, egal ob es sich dabei um Firmengeräte handelt oder um private Geräte der Mitarbeitenden.
Technisch gesehen besteht ein MDM-System aus zwei Komponenten: einem Server, der Richtlinien und Konfigurationen verteilt, und einem Client auf dem jeweiligen Gerät, der diese Vorgaben umsetzt. Darüber hinaus ermöglicht MDM typischerweise, Geräte aus der Ferne zu sperren oder vollständig zu löschen, Sicherheitszertifikate zu verteilen, Apps zentral auszurollen oder zu deinstallieren sowie Betriebssystem-Updates koordiniert einzuspielen.
Das klingt nach Großunternehmensthema – ist es aber nicht. Gerade in kleinen und mittelständischen Betrieben, wo die IT-Abteilung oft ausgelagert wird oder aus einer einzigen Person besteht, kann ein MDM-System den Alltag erheblich erleichtern und gleichzeitig die Angriffsfläche deutlich verkleinern.
Das Problem mit BYOD
„Bring Your Own Device" – also die Nutzung privater Geräte für dienstliche Zwecke – ist in vielen Unternehmen gelebte Realität, oft ohne dass es dafür klare Regelungen gibt. Das ist problematisch, denn ein privates Smartphone unterliegt anderen Sicherheitsstandards als ein verwaltetes Firmengerät. Updates werden verzögert eingespielt, unsichere WLAN-Netzwerke genutzt, und im schlimmsten Fall landen Unternehmensdaten auf einem Gerät mit veralteter Software, die seit Monaten bekannte Sicherheitslücken offenlässt.
Studien zeigen, dass ein erheblicher Anteil der dienstlich genutzten Smartphones mit angreifbaren Betriebssystemversionen betrieben wird – Schätzungen zufolge betrifft das mehr als die Hälfte aller Geräte. Das macht sie zu einem attraktiven Einfallstor für Angreifer.
MDM-Systeme adressieren dieses Problem durch sogenannte Containerisierung: Auf dem privaten Gerät wird ein verschlüsselter, abgetrennter Bereich für alle dienstlichen Daten eingerichtet. Firmenmails, Kalender und Geschäftsanwendungen liegen dort isoliert – private Fotos und Nachrichten bleiben unangetastet. Verlässt ein Mitarbeitender das Unternehmen oder geht das Gerät verloren, lässt sich dieser Container gezielt löschen, ohne dass private Daten verloren gehen.
Was das mit der DSGVO zu tun hat
Die Datenschutz-Grundverordnung verpflichtet Unternehmen dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Mobile Endgeräte mit Zugriff auf Kundendaten, Personalakten oder interne Kommunikation fallen eindeutig in diesen Bereich. Wer hier auf Vorkehrungen verzichtet und es kommt zu einem Datenverlust, riskiert nicht nur Bußgelder, sondern auch Haftungsansprüche.
Die Containerisierung bei BYOD-Geräten ist in diesem Kontext nicht nur sinnvoll, sondern nach gängiger Rechtsauffassung auch geboten: Werden personenbezogene Daten außerhalb eines gesicherten Bereichs auf privaten Geräten gespeichert, kann das gegen die Anforderungen aus Artikel 32 DSGVO verstoßen.
Was das BSI dazu sagt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betrachtet MDM als einen Grundbestandteil sicherer IT-Infrastruktur. Im IT-Grundschutz-Kompendium finden sich mit den Bausteinen SYS.3.2.2 „Mobile Device Management" und SYS.3.2.1 „Allgemeine Smartphones und Tablets" konkrete Sicherheitsanforderungen. Zuletzt hat das BSI seinen Mindeststandard für MDM in der Version 2.0 grundlegend überarbeitet und dabei unter anderem Themen wie Strategie, sichere Gerätekonfiguration und Betriebsprozesse deutlich ausgebaut.
Auch wenn sich dieser Mindeststandard formal an Bundesbehörden richtet, bietet er Unternehmen jeder Größe eine gute Orientierung – ähnlich wie andere BSI-Vorgaben, die sich in der Praxis branchenübergreifend bewährt haben.
Firmeneigene Geräte vs. BYOD – was passt besser?
Diese Frage lässt sich nicht pauschal beantworten. Firmeneigene Geräte bieten mehr Kontrolle: Updates können zentral und verpflichtend ausgerollt werden, bei Verlust ist eine vollständige Fernlöschung möglich, und die Sicherheitsrichtlinien lassen sich ohne Einschränkungen durchsetzen. Der Nachteil: Anschaffung und Verwaltung kosten Geld und Aufwand.
BYOD reduziert die Hardwarekosten und erhöht erfahrungsgemäß die Zufriedenheit der Mitarbeitenden, weil sie mit vertrauten Geräten arbeiten. Dafür sind die Möglichkeiten zur Durchsetzung von Sicherheitsanforderungen begrenzt – Update-Zwang etwa ist technisch nicht umsetzbar, man kann allenfalls den Zugriff auf Unternehmensdaten sperren, wenn ein Gerät die Mindestanforderungen nicht erfüllt.
Viele Unternehmen entscheiden sich für hybride Modelle, die beide Ansätze kombinieren. Entscheidend ist dabei weniger die technische Lösung als die klare Regelung im Vorfeld: Wer darf mit welchem Gerät auf welche Daten zugreifen, und was passiert beim Austritt eines Mitarbeitenden?