Menü

Ask Andrea

Man hält Smartphone in der Hand. Darüber mehrere rote Warndreiecke mit Ausrufezeichen. Dies soll sinnbildlich für die Gefahr von ungesicherten Smartphones für das Firmennetzwerk stehen.

Ist das private Smartphone Ihres Vertriebs das Einfallstor in Ihr Firmennetzwerk?

Lösungsansätze und Gedankenanstöße von Andrea Bartunek

Analysieren wir folgendes, in der Praxis häufig auftretendes Szenario: Es ist Freitagnachmittag. Ein Vertriebsmitarbeiter, nennen wir ihn beispielhaft Thomas, befindet sich auf der Rückreise von einem Kundentermin. Der Kunde benötigt dringend ein überarbeitetes Vertragsangebot zur internen Freigabe.

Thomas hat keinen Zugriff auf sein Firmen-Notebook oder das Diensthandy ist nicht einsatzbereit. Stattdessen greift er zum privaten High-End-Smartphone. Da hier oft keine strikte Trennung vorliegt, wird das Dokument aus der Cloud geladen und über einen privaten Messenger an den Kunden gesendet, da dies der „schnellste Weg“ ist.

Kurzfristig führt dies zur Zufriedenheit auf beiden Seiten: Der Kunde hat sein Dokument, der Mitarbeiter hat den Vorgang abgeschlossen.

Aus Sicht der IT-Sicherheit und Unternehmensführung stellt dieser Vorgang jedoch ein kritisches Risiko dar.

Dies ist kein Einzelfall, sondern ein Muster, das uns in der Beratungspraxis bei SENPRO IT regelmäßig begegnet. Es entsteht ein klassischer Zielkonflikt zwischen Usability (Benutzerfreundlichkeit) und Security (Sicherheit & Compliance). In dieser Ausgabe von „Ask Andrea“ wird genau dieser Konflikt analysiert und aufgelöst. Ziel ist es, Technologie nicht als Restriktion, sondern als Enabler für sichere Arbeitsprozesse zu etablieren.

Ursachenanalyse: Warum Mitarbeiter zur Schatten-IT greifen

Bevor technische Maßnahmen wie Firewalls oder Verschlüsselung greifen, muss die Anwenderakzeptanz betrachtet werden. Warum werden private Endgeräte für geschäftliche Prozesse genutzt, oft entgegen bestehender Richtlinien?

Die Ursache liegt selten in böser Absicht, sondern im Streben nach Effizienz und Komfort.

  1. Vermeidung von Redundanz („Zwei-Taschen-Problematik“): Die Akzeptanz, permanent zwei physische Geräte mitzuführen, zu laden und zu überwachen, sinkt bei Mitarbeitenden stetig.
  2. Hardware-Diskrepanz: Private Endgeräte sind technologisch oft auf einem neueren Stand als standardisierte Diensthandys. Mitarbeiter bevorzugen verständlicherweise das leistungsfähigere Gerät für ihre tägliche Arbeit.
  3. App-Ökonomie und Workflows: Nutzer sind an effiziente, private Workflows gewöhnt (z. B. intuitive Kalender-Apps oder Messenger). Bietet die Unternehmens-IT hier keine adäquaten Alternativen, weichen Mitarbeiter auf bekannte Consumer-Lösungen aus – es entsteht Schatten-IT.

Aus der Perspektive des Anwenders ist das Verhalten rational: Der Fokus liegt auf der operativen Zielerreichung, nicht auf der IT-Sicherheit.

Risikobewertung: Gefahrenpotenziale für das Unternehmen

Betrachtet man die Situation aus der Governance-Perspektive, ergeben sich bei der Vermischung von privaten und geschäftlichen Daten auf ungesicherten (privaten) Geräten massive Risiken.

1. Datenschutzrechtliche Risiken (DSGVO)

Installiert ein Mitarbeiter Apps wie WhatsApp auf einem Gerät mit geschäftlichen Kontaktdaten, werden diese Daten oft automatisch auf Server außerhalb der EU synchronisiert. Ein Auftragsverarbeitungsvertrag und eine nachvollziehbare Einwilligung der Betroffenen liegen natürlich auch nicht vor und somit führt dies zu gleich mehreren Verstößen gegen die datenschutzrechtliche Bestimmungen, was zu empfindlichen Bußgeldern führen kann.

2. Unkontrollierter Datenabfluss (Data Leakage)

Verlässt ein Mitarbeiter das Unternehmen, befinden sich auf seinem privaten Gerät potenziell vertrauliche E-Mails, Kundendaten und Strategiepapiere. Ohne entsprechendes Management fehlen dem Unternehmen die technischen Zugriffsmöglichkeiten, diese Daten zu löschen. Geistiges Eigentum kann so das Unternehmen verlassen.

3. Fehlendes Patch-Management und Malware

Private Endgeräte unterliegen oft keinem strikten Update-Zyklus. Veraltete Betriebssysteme (Android/iOS) stellen Sicherheitslücken dar. Wird zudem Software aus unsicheren Quellen installiert, kann Malware auf das Gerät gelangen und potenziell Zugangsdaten zu Unternehmensdiensten abgreifen.

4. Verlust oder Diebstahl

Private Geräte verfügen selten über erzwungene Sicherheitsstandards (z. B. komplexe Passcodes oder biometrische Authentifizierung). Bei Verlust haben Dritte potenziell Zugriff auf Unternehmensdaten. Ein „Remote Wipe“ (Fernlöschung) ist bei rein privaten Geräten ohne Management-Lösung rechtlich und technisch kaum durchführbar.

Die technische Lösung: Mobile Device Management (MDM)

Es besteht also ein Spannungsfeld zwischen Anwenderkomfort und Unternehmenskontrolle.

Unternehmen müssen sich jedoch nicht zwingend für eine Seite entscheiden. Die Lösung liegt in einer professionellen Mobile Device Management (MDM) Strategie, idealerweise gekoppelt mit modernen Bereitstellungsmodellen wie „COPE“ (Corporate Owned, Personally Enabled).

Als IT-Systemhaus implementieren wir bei SENPRO solche Architekturen regelmäßig.

Das Prinzip der Containerisierung

Die Kerntechnologie moderner MDM-Lösungen (wie z. B. Microsoft Intune) ist die Containerisierung.

Technisch betrachtet erfolgt hierbei eine strikte Isolierung der Unternehmensdaten in einer verschlüsselten Sandbox. Ohne MDM teilen sich private und geschäftliche Apps denselben Speicherbereich und haben potenziell Zugriff aufeinander (Shared Memory). Mit einer MDM-Lösung ziehen wir jedoch eine harte, virtuelle Grenze durch das System.

  • Der private Bereich: Dieser Sektor steht dem Mitarbeiter zur freien Verfügung (Apps, Fotos, private Kommunikation). Die Unternehmens-IT hat hier keinen Zugriff. Es erfolgt kein Tracking von Webseiten oder Inhalten. Die Privatsphäre bleibt gewahrt.
  • Der geschäftliche Container: Dies ist ein separat verschlüsselter Bereich auf demselben Endgerät. Hier befinden sich Outlook, Teams, CRM-Systeme und geschäftliche Kontakte. Daten können diesen Container nicht verlassen. Ein Datentransfer (z. B. Copy & Paste) in private Apps wird technisch unterbunden.
Wiedererlangung der Kontrolle

Durch diese Separierung erhält der Arbeitgeber die notwendige Datenhoheit zurück:

  • Selektives Löschen (Enterprise Wipe): Bei Austritt des Mitarbeiters oder Geräteverlust kann gezielt nur der geschäftliche Container gelöscht werden. Private Daten bleiben davon unberührt.
Oberkörper eines Mannes, Handy in der Hand, darüber ein virtuelles Schutzschild mit Sicherheitsschloss
  • Compliance-Erzwingung: Der Zugriff auf Unternehmensdaten kann an den Sicherheitsstatus des Gerätes gekoppelt werden (z. B. Zwang zu aktuellen OS-Updates, kein Jailbreak/Rooting, Mindestlänge des Passcodes).
  • Automatisierte App-Verteilung: Geschäftsrelevante Applikationen werden zentral verwaltet und automatisch in den Container gepusht, ohne dass der Anwender manuell eingreifen muss.

Strategische Bereitstellungsmodelle: BYOD vs. COPE

Technisch ist die Containerisierung der Standard. Strategisch stellt sich die Frage nach dem Eigentum der Hardware. Hier kristallisieren sich zwei Hauptmodelle heraus.

Bring Your Own Device (BYOD)

Der Mitarbeiter nutzt sein privates Gerät, das Unternehmen verwaltet darauf lediglich einen Container.

  • Vorteil: Geringere Investitionskosten für Hardware.
  • Nachteil: Rechtliche Komplexität, heterogene Gerätelandschaft (Support-Aufwand), häufige Akzeptanzprobleme bei Mitarbeitern bezüglich der Installation von Management-Profilen auf Privateigentum.
Corporate Owned, Personally Enabled (COPE) – Die Empfehlung

Das Unternehmen stellt ein leistungsfähiges Smartphone zur Verfügung. Das Gerät ist Firmeneigentum, die private Nutzung wird jedoch explizit gestattet.

  • Das Konzept: Der Mitarbeiter erhält Top-Hardware zur freien Verfügung. Im Gegenzug wird das Gerät über MDM verwaltet.
  • Der Effekt: Schatten-IT wird eliminiert. Da das Gerät verwaltet wird, sind Sicherheitsupdates garantiert. Die Trennung von Berufs- und Privatleben erfolgt auf Datenebene. Dies erhöht die Mitarbeiterzufriedenheit und maximiert gleichzeitig die Datensicherheit.

Implementierung und Deployment

Häufig zögern Unternehmen bei der Einführung von MDM aufgrund befürchteter Aufwände bei der Einrichtung.

Dies lässt sich durch Automatisierung vermeiden. Wir nutzen hierfür Technologien wie Apple Business Manager oder Samsung Knox Mobile Enrollment.

Der Prozess bei SENPRO gestaltet sich wie folgt:

  1. Gerätebeschaffung durch das Unternehmen.
  2. Automatische Zuordnung der Seriennummern zum MDM-System (Device Enrollment Program).
  3. Zentrale Konfiguration der Sicherheitsrichtlinien (Container-Setup).
  4. Auslieferung an den Mitarbeiter (originalverpackt). Bei der ersten Inbetriebnahme und WLAN-Verbindung konfiguriert sich das Gerät vollautomatisch („Zero Touch Deployment“).

Dies entlastet die interne IT massiv und gewährleistet einen professionellen Onboarding-Prozess.

Sicherheit und Usability in Einklang bringen

Das ungesicherte Smartphone im Unternehmenseinsatz ist faktisch eine Sicherheitslücke in der IT-Architektur.

Ein generelles Verbot privater Nutzung oder der Zwang zu multiplen Endgeräten entspricht jedoch nicht mehr den Anforderungen moderner Arbeitswelten.

Durch ein professionelles Mobile Device Management wird dieser Zielkonflikt gelöst. Unternehmen bieten ihren Mitarbeitern Flexibilität und sichern gleichzeitig ihre kritischen Assets. Das Smartphone wandelt sich vom Sicherheitsrisiko zum produktiven Werkzeug.

Anstatt gegen das Anwenderverhalten anzukämpfen, sollten Unternehmen eine Infrastruktur schaffen, in der der sichere Weg gleichzeitig der einfachste ist.

Geschäftsführerin Andrea Bartunek

Über Andrea Bartunek

ist 2017 an Bord gekommen, um unseren Vertrieb auf die nächste Stufe zu heben. Seit 2019 wurde die Führungslast von zwei auf vier Schultern verteilt und Andrea wurde als weitere Geschäftsführerin bestellt, zuständig für die Bereiche Vertrieb/Marketing und Personal. 

Andrea hat während ihrer Karriere eine Vielzahl von vertrieblichen Themen gemeistert. Sie legt besonderen Wert auf den Dienstleistungssektor und pflegt den Umgang mit unseren bestehenden und neuen Kunden. 

Sie erkennt die Notwendigkeit eines qualifizierten Personals und widmet deshalb ihre Aufmerksamkeit der kontinuierlichen Weiterentwicklung unserer Mitarbeiter.

Sie haben Fragen rund um das Thema Mobile Device Management? Ich freue mich, wenn ich Sie unterstützen kann.

Hier kommen Sie zu unserem Kontaktformular oder Sie vereinbaren direkt einen Termin.