Pete Hegseth, US-Verteidigungsminister, nutzte für militärische Kommunikation lieber den Messenger „Signal“ statt das Hochsicherheitsnetzwerk des Pentagons. Klar, wahrscheinlich ist die Nutzung dieser „sicheren“ Systeme umständlich und langsam. Problem dabei war nicht die App an sich. Aber er teilte strategische Informationen aus Versehen mit einem Journalisten und absichtlich im Family-Chat.
Was nach Slapstick aus dem Kalten Krieg klingt, ist in Unternehmen Realität – minus Militärgeheimnisse, aber mit genauso sensiblen Daten: Strategien, Kundendaten und vielem mehr. Der Dreh- und Angelpunkt dabei? Das Smartphone.
Als die IT-Welt aus Desktop, Festnetz und einem Nokia-Handy für den Bereitschaftsdienst bestand, war Sicherheit beherrschbar. Heute ist das smarte Diensttelefon längst mehr als nur ein Telefon. Es ist Mail-Client, Messenger, Scanner, Zugangsausweis, Token, Kamera, Kalender, Dateiablage, Videokonferenzsystem und: Einfallstor.
Nicht wegen böser Malware, sondern gut gemeinter Nutzung. Apps verlangen Zugriff auf Kontakte, Kamera, Standort, Mikrofon. Private Kontakte landen auf dem Firmenhandy, oder umgekehrt. Und wer eine private SIM ins Corporate iPhone steckt, hebt die Trennung gleich ganz auf. Dazu Ad-Tracking und schon ist der „gläserne Nutzer“ ein „gläserner Mitarbeiter“ inklusive internem Wissen – ganz ohne Whistleblower-Absichten.
Willkommen im Arbeitsalltag: Die Projektmanagerin plant Releases auf einem öffentlichen Trello-Board. Ein Entwickler lässt GPT-4 über internen Code brainstormen. Ein Kollege installiert „SuperScan Pro“, weil der offizielle Scanner zu langsam ist.
Nicht aus Bosheit, sondern aus Effizienzdenken. Doch das kollidiert mit jeder Sicherheitslogik. Der Preis? Unternehmensdaten landen in Drittstaaten-Clouds oder in fremden Händen. Der Schaden kann größer sein als bei einem kompromittierten Mailserver: Vertrauensverlust durch Reputationsschäden, DSGVO-Bußgelder, Industriespionage, persönliche Haftung durch Compliance-Verstöße.
Und das ist keine Theorie. Das passiert. Täglich!
Perfekte Sicherheit gibt es nicht, schon gar nicht bei Geräten, die als Lifestyle-Produkt konzipiert wurden. Doch mit gezielten Maßnahmen lässt sich das Einfallstor Smartphone zumindest etwas schließen.
Mobile Device Management (MDM)
MDM-Systeme ermöglichen die zentrale Verwaltung, Absicherung und Überwachung mobiler Geräte. Mit ihnen lassen sich Geräteeinstellungen vorgeben, Sicherheitsrichtlinien umsetzen und Geräte bei Verlust aus der Ferne löschen.
App-Containerisierung
Mit App-Containern lassen sich private und geschäftliche Daten strikt voneinander trennen – sogar auf demselben Gerät. Berufliche Anwendungen wie Mail, Kalender oder Dateiablagen laufen dabei in einem abgeschotteten, verschlüsselten digitalen Tresor. Was beruflich ist, bleibt geschützt – was privat ist, bleibt privat.
Zero Trust für Mobile Devices
Keinem Gerät, keiner App, keinem Zugriff wird automatisch vertraut. Nur explizit freigegebene Verbindungen und Anwendungen sind erlaubt, alle anderen werden standardmäßig blockiert.
Dazu kommt eine Segmentierung des Netzwerks: Statt einem großen, durchlässigen Netz gibt es isolierte Sicherheitszonen – sodass selbst bei einem Zwischenfall keine Seitwärtsbewegung (lateral movement) möglich ist.
Governance & Richtlinien
Governance bedeutet Antworten auf die Fragen zu haben: Welche Apps dürfen verwendet werden? Was gilt bei Bring your own Device (BYOD)? Welche Passwortstandards sind einzuhalten? Und was passiert bei einem Sicherheitsvorfall? Einige daraus abgeleitete Maßnahmen lassen sich gut technisch umsetzen: App-Freigaben per MDM und App-Whitelists, BYOD-Kontrolle durch Conditional Access und Registrierungszwang, Einführung von Multi-Faktor-Authentifizierung (MFA), Logging & Audits zur Nachverfolgung von Aktivitäten
Security-Awareness – mit Augenmaß
Mitarbeitende sind oft das letzte Sicherheitsnetz oder das erste Einfallstor. Deshalb braucht es Schulungen, die Risiken greifbar machen: Phishing, App-Berechtigungen, Passwortsicherheit, der richtige Umgang mit privaten Geräten. Die Awareness muss allerdings zielgruppengerecht sein, vom Tech-Team bis zur Assistenz. Wer nur mit Standardschulungen belehrt, erreicht das Gegenteil.
Bring Your Own Device klingt nach einer guten Idee: Mitarbeitende nutzen ihre privaten Smartphones für berufliche Aufgaben mit. Keine Anschaffungskosten, keine zusätzliche Hardware, hohe Akzeptanz. Doch der Preis ist hoch – und wird oft erst zu spät sichtbar.
Denn mit privaten Geräten greift in der Regel kein MDM, heißt: keine zentrale Kontrolle über das Gerät, keine Möglichkeit zur Durchsetzung von Sicherheitsrichtlinien, keinen schnellen Eingriff bei Sicherheitslücken, Verlust oder Diebstahl.
Ein praktikabler Mittelweg ist Choose Your Own Device (CYOD): Die Firma stellt eine Auswahl an Geräten zur Verfügung – Mitarbeitende wählen aus, was zu ihren Vorlieben passt. Die Geräte bleiben Unternehmensbesitz, sind aber für private Nutzung freigegeben. So ist Nutzerakzeptanz gegeben, und trotzdem technisches Management möglich.
Und wenn alles schiefläuft, zählt eins: digitale Resilienz. Schnelles Erkennen, Abfangen und Erholen von beabsichtigen und unbeabsichtigten Angriffen.
Ein gutes Fundament hierfür wird gelegt durch Netzwerksegmentierung, rollenbasierte Zugriffsvergabe und klare Reaktionspläne für Sicherheitsvorfälle.
Catrin Schröder-Jaross
ist Projektmanagerin bei der adesso SE.
Der Begriff „Agent" wird oft unscharf verwendet, aber es kristallisieren sich Funktionstypen heraus, die verschiedene…
Die jüngsten internationalen Maßnahmen gegen NoName057(16) werden ihre Aktivitäten wahrscheinlich nicht dauerhaft beenden, sagt Rafa…
Vasi Philomin wechselt von Amazon, wo er die KI-Produktstrategie von Amazon Web Services (AWS) verantwortete.
Laut Lündendonk verändert die Cloud ihr Geschäftsmodell. Kompetenzen in der Softwareentwicklung stehen auf dem Prüfstand.
Forschende des KIT haben untersucht, wie selbstfahrende Kleinbusse den Öffentlichen Nahverkehr stärken könnten.
Was wäre, wenn Brücken selbst melden könnten, wann und wo sie Reparaturbedarf haben?