Richtlinie zur Nutzung mobiler Endgeräte (BYOD/MDM)

Warum mobile Endgeräte eine eigene Richtlinie brauchen

Smartphones, Tablets und Laptops gehören zum Standard-Werkzeug in nahezu jedem Unternehmen. Mitarbeitende lesen E-Mails auf dem Smartphone, greifen unterwegs auf Cloud-Dienste zu, fotografieren Whiteboards mit dem Tablet und arbeiten im Homeoffice am Laptop. Diese Flexibilität ist produktiv, erzeugt aber eine Angriffsfläche, die sich von stationären Arbeitsplätzen fundamental unterscheidet.

Mobile Geräte verlassen das geschützte Firmennetzwerk. Sie verbinden sich mit öffentlichen WLANs, können gestohlen werden, werden von Familienmitgliedern mitbenutzt oder gehen schlicht verloren. Diese Risiken müssen in der übergeordneten Informationssicherheitsrichtlinie verankert und in einer dedizierten Mobile-Device-Richtlinie konkretisiert werden. Gleichzeitig speichern sie E-Mails, Kontakte, Zugangsdaten und manchmal ganze Projektdokumentationen. Ein einziges kompromittiertes Smartphone kann einem Angreifer den Weg ins Unternehmensnetzwerk öffnen.

Die ISO 27001 adressiert mobile Endgeräte über mehrere Controls, insbesondere A.8.1 (Benutzerendgeräte), A.6.7 (Telearbeit), A.7.9 (Sicherheit von Vermögenswerten außerhalb der Räumlichkeiten) und A.8.20 (Netzwerksicherheit). Eine eigenständige Mobile-Device-Richtlinie bündelt diese Anforderungen in einem praktisch umsetzbaren Dokument.

BYOD vs. COPE vs. COBO: Die drei Grundmodelle

Bevor du eine Richtlinie schreibst, musst du eine grundlegende Entscheidung treffen: Wem gehören die Geräte, und wer verwaltet sie? Es gibt drei etablierte Modelle, die sich in Kosten, Sicherheit und Benutzerfreundlichkeit deutlich unterscheiden.

BYOD (Bring Your Own Device)

Beim BYOD-Modell nutzen Mitarbeitende ihre privaten Geräte für berufliche Zwecke. Das Unternehmen stellt keine Hardware bereit, sondern ermöglicht den Zugriff auf Unternehmenssysteme über private Smartphones und Laptops.

Vorteile:

• Geringere Hardwarekosten für das Unternehmen
• Mitarbeitende nutzen vertraute Geräte
• Keine Doppel-Ausstattung (ein Gerät statt zwei)

Nachteile:

• Eingeschränkte Kontrolle über das Gerät (Betriebssystem, Updates, installierte Apps)
• Datenschutzrechtliche Herausforderungen (private Daten auf demselben Gerät)
• Komplexe Datentrennung erforderlich
• Rechtliche Grauzone bei Remote-Wipe
• Heterogene Gerätelandschaft erschwert Support und Sicherheitsmanagement

BYOD ist das kostengünstigste Modell, aber auch das mit den größten Sicherheits- und Datenschutzrisiken. Es eignet sich am ehesten für Unternehmen mit geringem Schutzbedarf oder als ergänzendes Modell für bestimmte Szenarien (z.B. MFA-Token auf dem privaten Smartphone).

COPE (Corporate Owned, Personally Enabled)

Beim COPE-Modell stellt das Unternehmen die Geräte bereit, erlaubt aber eine eingeschränkte private Nutzung. Das Gerät gehört dem Unternehmen, der Mitarbeitende darf es jedoch auch privat verwenden (z.B. private Apps installieren, privat surfen).

Vorteile:

• Volle Kontrolle über Hardware und Betriebssystem
• Updates und Sicherheitspatches zentral steuerbar
• Einheitliche Gerätelandschaft vereinfacht Support
• Mitarbeitende schätzen die Möglichkeit der privaten Nutzung

Nachteile:

• Höhere Hardwarekosten
• Private Nutzung erfordert Datentrennung (Container-Lösung)
• Datenschutzrechtlich muss klar geregelt sein, was das Unternehmen einsehen darf und was nicht

COPE ist für die meisten mittelständischen Unternehmen der beste Kompromiss zwischen Sicherheit, Kosten und Mitarbeiterzufriedenheit.

COBO (Corporate Owned, Business Only)

Das restriktivste Modell: Das Unternehmen stellt die Geräte bereit und verbietet jede private Nutzung. Die IT hat volle Kontrolle, kann alle Apps vorgeben, das Gerät komplett verwalten und bei Bedarf ohne datenschutzrechtliche Bedenken löschen.

Vorteile:

• Maximale Kontrolle und Sicherheit
• Keine Datentrennung erforderlich
• Remote-Wipe ohne rechtliche Komplikationen
• Klare Verhältnisse: Das Gerät ist ein Arbeitsmittel, nichts weiter

Nachteile:

• Mitarbeitende tragen zwei Geräte (privat + dienstlich)
• Höhere Kosten
• Geringere Akzeptanz bei Mitarbeitenden

COBO eignet sich für Umgebungen mit hohem Schutzbedarf: Behörden, Finanzsektor, Gesundheitswesen oder Unternehmen mit besonders sensiblen Daten.

Mischmodelle

In der Praxis kombinieren viele Unternehmen die Modelle. Die häufigste Kombination: COPE für Smartphones und Tablets, unternehmenseigene Laptops mit eingeschränkter privater Nutzung und BYOD ausschließlich für den zweiten MFA-Faktor auf dem privaten Smartphone. Deine Richtlinie sollte klar definieren, welches Modell für welche Gerätekategorie gilt.

Mobile Device Management (MDM): Die technische Basis

Unabhängig vom gewählten Modell brauchst du eine technische Lösung, um mobile Endgeräte zentral zu verwalten und die Richtlinie durchzusetzen. Mobile Device Management (MDM) ist diese Lösung. Moderne MDM-Plattformen bieten weit mehr als nur Geräteverwaltung und werden deshalb auch als UEM (Unified Endpoint Management) bezeichnet.

Kernfunktionen, die dein MDM abdecken muss

Geräte-Enrollment und Inventarisierung:

• Automatisierte Registrierung neuer Geräte
• Übersicht über alle verwalteten Geräte mit Betriebssystemversion, Modell und Status
• Zuordnung von Geräten zu Nutzern und Abteilungen

Richtlinien-Durchsetzung (Policy Enforcement):

• Erzwingung von Passcode/Biometrie auf dem Gerät (gemäß Passwort-Richtlinie)
• Mindestversion des Betriebssystems
• Verschlüsselung des Gerätespeichers
• Automatische Bildschirmsperre nach Inaktivität
• Verbot bestimmter Apps (Blacklisting) oder ausschließliche Erlaubnis definierter Apps (Whitelisting)
• VPN-Pflicht für den Zugriff auf Unternehmensdaten

Datentrennung (Containerisierung):

• Separater Container für Unternehmensdaten und -apps
• Kein Datenaustausch zwischen privatem und geschäftlichem Bereich (kein Copy-Paste, keine Dateifreigabe)
• Unternehmens-E-Mails und -Kontakte nur im Container sichtbar

Remote-Aktionen:

• Remote-Wipe: Komplettlöschung des Geräts bei Verlust/Diebstahl
• Selective Wipe: Nur Unternehmensdaten und Container löschen (besonders relevant bei BYOD)
• Remote-Lock: Gerät sofort sperren
• Passcode-Reset: Zugangscode zurücksetzen

Compliance-Monitoring:

• Erkennung von Jailbreak/Root (kompromittiertes Betriebssystem)
• Überwachung der Betriebssystem-Version und Patch-Level
• Automatische Reaktion bei Non-Compliance (z.B. Entzug des Zugriffs auf Unternehmensdaten)

MDM und Datenschutz

Gerade bei BYOD und COPE ist der Datenschutz ein sensibles Thema. Mitarbeitende haben berechtigte Sorgen, dass das Unternehmen über das MDM private Daten einsehen oder das private Gerät kontrollieren könnte. Deine Richtlinie muss transparent festlegen:

• Was das MDM sehen kann (Gerätemodell, Betriebssystemversion, Compliance-Status) und was nicht (private Fotos, Nachrichten, Browserverlauf)
• Dass ein Selective Wipe nur Unternehmensdaten löscht, nicht private Inhalte
• Dass keine Standortverfolgung privater Geräte erfolgt (es sei denn, der Mitarbeitende aktiviert dies freiwillig im Verlustfall)
• Dass die Einführung des MDM mit dem Betriebsrat abgestimmt ist

Diese Transparenz ist entscheidend für die Akzeptanz. Wenn Mitarbeitende dem MDM nicht vertrauen, werden sie Wege finden, es zu umgehen, und dann hast du eine Schatten-IT auf mobilen Geräten.

Inhalt einer Mobile-Device-Richtlinie: Beispielgliederung

Hier eine vollständige Gliederung, die du als Ausgangspunkt für deine eigene Richtlinie nutzen kannst:

1. Einleitung und Zweck

• Ziel der Richtlinie: Schutz von Unternehmensdaten auf mobilen Endgeräten
• Bezug zur Informationssicherheitsleitlinie und zum ISMS
• Definition des Begriffs „mobile Endgeräte" (Smartphones, Tablets, Laptops, Wearables)

2. Geltungsbereich

• Erfasste Gerätetypen und Betriebssysteme
• Erfasste Nutzergruppen (Mitarbeitende, externe Dienstleister, Praktikanten)
• Festlegung des Bereitstellungsmodells (BYOD/COPE/COBO je Gerätekategorie)

3. Verantwortlichkeiten

• IT-Abteilung: Bereitstellung, Konfiguration, MDM-Betrieb, Support
• ISB: Richtlinien-Pflege, Risikobewertung, Incident-Koordination
• Führungskräfte: Genehmigung von Gerätezuweisungen, Durchsetzung im Team
• Mitarbeitende: Sorgfaltspflichten, Meldepflichten, Einhaltung der Richtlinie

4. Zugelassene Geräte und Betriebssysteme

• Mindestanforderungen an Hardware
• Unterstützte Betriebssysteme und Mindestversionen (z.B. iOS 17+, Android 14+)
• Geräte, die nicht zugelassen sind (z.B. gerootete/gejailbreakte Geräte, veraltete Modelle ohne Sicherheitsupdates)

5. Gerätekonfiguration und Sicherheitsanforderungen

• Geräteverschlüsselung muss aktiviert sein
• Bildschirmsperre mit Passcode (mindestens 6-stellig) oder Biometrie
• Automatische Sperre nach maximal 5 Minuten Inaktivität
• Automatische Installation von Sicherheitsupdates
• VPN-Pflicht für den Zugriff auf interne Ressourcen
• Verbot der Installation von Apps aus nicht-autorisierten Quellen (Sideloading)
• Deaktivierung von Bluetooth und WLAN-Autoconnect an öffentlichen Orten

6. Datentrennung und Container

• Einsatz einer Container-Lösung bei BYOD und COPE
• Geschäftliche E-Mails, Kontakte und Dokumente ausschließlich im Container
• Kein Transfer von Unternehmensdaten in den privaten Bereich
• Kein Backup von Unternehmensdaten in private Cloud-Dienste (iCloud, Google Drive privat)
• Screenshots im Unternehmens-Container deaktiviert

7. Nutzung von Apps und Cloud-Diensten

• Nur freigegebene Apps für geschäftliche Zwecke
• Verbot der Nutzung privater Messenger für geschäftliche Kommunikation
• Nutzung des Enterprise-App-Stores (falls vorhanden)
• Genehmigungsprozess für zusätzliche Apps

8. Netzwerk und Verbindungen

• Verbot der Nutzung offener/unverschlüsselter WLANs für geschäftliche Daten
• VPN-Pflicht bei Nutzung öffentlicher Netzwerke
• Tethering/Hotspot-Regeln
• Bluetooth-Nutzung: nur für verifizierte Geräte (Headsets etc.), kein Dateitransfer

9. Verlust, Diebstahl und Kompromittierung

• Sofortige Meldepflicht (innerhalb von 2 Stunden) an IT und ISB
• Ablauf des Notfallprozesses:
  1. Meldung an IT-Helpdesk
  2. Remote-Lock durch IT
  3. Bewertung des Risikos (welche Daten waren auf dem Gerät?)
  4. Remote-Wipe oder Selective Wipe
  5. Prüfung auf Datenschutzvorfall (DSGVO-Meldepflicht innerhalb von 72 Stunden?)
  6. Dokumentation und Lessons Learned
• Polizeiliche Anzeige bei Diebstahl
• Bereitstellung eines Ersatzgeräts

10. Außerbetriebnahme und Rückgabe

• Löschung aller Unternehmensdaten bei Rückgabe oder Ausscheiden
• Verifikation der vollständigen Datenlöschung durch IT
• Protokollierung der Rückgabe
• Bei BYOD: Selective Wipe des Unternehmenscontainers

11. Private Nutzung (nur bei COPE/BYOD)

• Umfang der erlaubten privaten Nutzung
• Klare Abgrenzung: Was darf privat genutzt werden, was nicht
• Kostentragung (Datenvolumen, Reparatur)
• Haftung bei Schäden am Gerät

12. Datenschutz und Mitarbeiterrechte

• Transparenz über MDM-Funktionen (was wird erfasst, was nicht)
• Kein Zugriff auf private Daten durch das Unternehmen
• Keine Standortüberwachung ohne Einwilligung
• Vereinbarkeit mit Betriebsvereinbarung

13. Verstöße und Konsequenzen

• Entzug der Zugangsberechtigung bei Non-Compliance
• Eskalationsprozess
• Arbeitsrechtliche Konsequenzen bei wiederholten oder schwerwiegenden Verstößen

14. Schulung und Awareness

• Pflichtschulung vor Ausgabe/Registrierung eines Geräts
• Jährliche Auffrischung
• Inhalte: Sichere Nutzung, Phishing auf mobilen Geräten, Verhalten bei Verlust

15. Review und Aktualisierung

• Jährlicher Review-Zyklus
• Anlassbezogene Aktualisierung (neue Bedrohungen, OS-Wechsel, Vendor-Wechsel)
• Versionierung und Freigabeprozess

Datentrennung: Das Herzstück bei BYOD und COPE

Die Trennung von privaten und geschäftlichen Daten ist bei BYOD und COPE die zentrale Herausforderung. Ohne saubere Datentrennung entstehen gleich mehrere Probleme: Die DSGVO verbietet die Verarbeitung privater Daten durch den Arbeitgeber ohne Rechtsgrundlage, und umgekehrt dürfen Unternehmensdaten nicht in private Backups und Cloud-Dienste fließen.

Technische Datentrennung (Container)

Die bewährteste Lösung ist die Containerisierung. Eine Container-App oder ein Arbeitsprofil (Android Work Profile, Apple Managed Apps) schafft einen abgeschotteten Bereich auf dem Gerät:

• Unternehmensdaten liegen verschlüsselt im Container
• Apps im Container können nicht mit Apps außerhalb kommunizieren
• Copy-Paste zwischen Container und privatem Bereich ist blockiert
• Der IT-Administrator kann nur den Container verwalten und löschen, nicht das gesamte Gerät

Moderne MDM-Lösungen bieten diese Containerisierung out of the box. Bei Android heißt die Technologie „Work Profile", bei iOS setzt Apple auf „Managed Apps" und „User Enrollment". Die Richtlinie sollte festlegen, welche Container-Lösung eingesetzt wird und welche Apps im Container laufen. In ISMS Lite lassen sich solche Anforderungen strukturiert dokumentieren und per Freigabe-Workflow versionieren.

Organisatorische Datentrennung

Technik allein reicht nicht. Deine Richtlinie muss auch organisatorische Regeln definieren:

• Geschäftliche E-Mails werden ausschließlich über die Unternehmens-Mail-App gelesen und versendet
• Geschäftliche Dokumente werden nicht in privaten Cloud-Speichern abgelegt
• Geschäftliche Fotos (z.B. Whiteboard-Fotos) werden nur mit der Kamera innerhalb des Containers aufgenommen
• Geschäftliche Kommunikation findet nicht über private Messenger statt (kein WhatsApp für Kundenkontakt)

Gerade der letzte Punkt wird in der Praxis häufig ignoriert. Viele Mitarbeitende nutzen WhatsApp, um schnell etwas mit Kollegen oder sogar Kunden abzustimmen. Das ist aus DSGVO-Sicht hochproblematisch, weil WhatsApp auf das gesamte Adressbuch zugreift und Metadaten in die USA überträgt. Deine Richtlinie muss hier eine klare Grenze ziehen und gleichzeitig eine brauchbare Alternative bieten (z.B. Microsoft Teams, Signal im Container oder einen dedizierten Business-Messenger).

Verlust und Diebstahl: Der Ernstfall

Der Verlust eines mobilen Endgeräts ist kein Ausnahmefall, sondern eine statistische Gewissheit. Früher oder später geht ein Smartphone verloren oder wird gestohlen. Deine Richtlinie muss einen klaren, sofort ausführbaren Prozess definieren, weil jede Stunde zählt.

Der Notfallprozess im Detail

Phase 1: Sofortmeldung (0-2 Stunden nach Bemerken)

• Mitarbeitende melden den Verlust per Telefon an den IT-Helpdesk (nicht per E-Mail, da Zeitkritisch)
• Angaben: Wann und wo verloren/gestohlen, welche Daten auf dem Gerät, war das Gerät gesperrt, war ein VPN aktiv
• IT führt sofortigen Remote-Lock durch

Phase 2: Risikobewertung (2-4 Stunden)

• IT und ISB bewerten gemeinsam das Risiko:
  • War das Gerät verschlüsselt?
  • War die Bildschirmsperre aktiv?
  • Waren besonders sensible Daten auf dem Gerät (personenbezogene Daten, Geschäftsgeheimnisse)?
  • War der Container aktiv und funktionsfähig?
• Entscheidung über Remote-Wipe (vollständig oder selektiv)
• Prüfung, ob ein meldepflichtiger Datenschutzvorfall vorliegt (DSGVO Art. 33: 72-Stunden-Frist)

Phase 3: Eindämmung (4-24 Stunden)

• Passwörter aller auf dem Gerät genutzten Dienste werden zurückgesetzt
• VPN-Zertifikate und Tokens werden widerrufen
• Aktive Sessions werden beendet
• Bei BYOD: Selective Wipe des Unternehmens-Containers
• Bei COPE/COBO: Vollständiger Remote-Wipe
• Polizeiliche Anzeige bei Diebstahl

Phase 4: Wiederherstellung und Nachbereitung (1-5 Tage)

• Bereitstellung eines Ersatzgeräts
• Neueinrichtung und MDM-Enrollment
• Dokumentation des Vorfalls im Incident-Register
• Bewertung, ob Prozesse oder technische Maßnahmen verbessert werden müssen

Übung macht den Unterschied

Dieser Prozess wirkt nur, wenn er bekannt und geübt ist. Mitarbeitende müssen wissen, wen sie anrufen und was sie sagen müssen. Die IT muss in der Lage sein, innerhalb von Minuten einen Remote-Lock durchzuführen. Das solltest du mindestens einmal jährlich testen, am besten als Teil der allgemeinen Incident-Response-Übung.

Mobile Bedrohungslandschaft

Um die Anforderungen deiner Richtlinie zu begründen, ist es hilfreich, die spezifischen Bedrohungen für mobile Geräte zu verstehen:

Phishing auf dem Smartphone

Mobile Phishing (auch „Smishing" bei SMS oder „Vishing" bei Anrufen) ist besonders effektiv, weil Smartphones weniger Kontext zeigen als Desktop-Browser. URLs werden abgeschnitten, E-Mail-Header sind schwerer zu prüfen, und die Eingabe auf kleinen Bildschirmen verleitet dazu, Links zu folgen statt URLs manuell einzutippen.

Unsichere Netzwerke

Öffentliche WLANs in Hotels, Cafés und Flughäfen sind ein klassischer Angriffsvektor, den auch eine VPN-Lösung nicht vollständig entschärft. Man-in-the-Middle-Angriffe können den Datenverkehr abfangen, wenn kein VPN aktiv ist. Selbst bei verschlüsselten Verbindungen (HTTPS) können Metadaten und DNS-Anfragen abgefangen werden.

Malware und schadhafte Apps

Obwohl die App-Stores von Apple und Google grundlegend kuratiert werden, gelangen regelmäßig schadhafte Apps durch die Prüfung. Besonders gefährlich sind Apps, die über Sideloading (Quellen außerhalb des offiziellen Stores) installiert werden. Deine Richtlinie sollte Sideloading grundsätzlich verbieten.

Physischer Zugriff

Ein gestohlenes oder gefundenes Gerät ohne Bildschirmsperre bietet direkten Zugriff auf E-Mails, Cloud-Dienste und möglicherweise gespeicherte Passwörter. Selbst mit Bildschirmsperre können forensische Tools bei älteren Geräten oder veralteten Betriebssystemen den Schutz umgehen. Deshalb ist die Geräteverschlüsselung in Kombination mit einem starken Passcode so wichtig.

Veraltete Betriebssysteme

Geräte, die keine Sicherheitsupdates mehr erhalten, sind bekannte Schwachstellen. Deine Richtlinie sollte Mindestversionen für Betriebssysteme definieren und Geräte, die diese nicht erfüllen, automatisch vom Zugriff auf Unternehmensdaten ausschließen. Über das MDM lässt sich das als Compliance-Regel technisch durchsetzen.

Mobile-Device-Richtlinie und ISO 27001

Die Mobile-Device-Richtlinie berührt eine ganze Reihe von Controls aus dem Annex A der ISO 27001:

• A.8.1 (Benutzerendgeräte): Zentrale Anforderung an die Sicherheit von Endgeräten, die von Benutzern eingesetzt werden.
• A.6.7 (Telearbeit): Regelt die Sicherheitsanforderungen für das Arbeiten außerhalb der Unternehmensräumlichkeiten.
• A.7.9 (Sicherheit von Vermögenswerten außerhalb der Räumlichkeiten): Schutz von Geräten und Daten außerhalb des Firmengeländes.
• A.5.10 (Zulässiger Gebrauch von Informationen): Die Richtlinie definiert den zulässigen Umgang mit Unternehmensdaten auf mobilen Geräten.
• A.8.20 (Netzwerksicherheit): VPN-Pflicht und sichere Netzwerkverbindungen.
• A.8.12 (Verhinderung von Datenleckage): Container und DLP-Maßnahmen verhindern unkontrollierten Datenabfluss.

Ein Auditor wird prüfen, ob die Richtlinie existiert und aktuell ist, ob MDM tatsächlich im Einsatz ist und die Richtlinie technisch durchsetzt, ob es Nachweise für Schulungen und Kenntnisnahme gibt, und ob der Verlust-Prozess dokumentiert und getestet wurde.

Typische Stolperfallen bei der Umsetzung

Private Messenger für geschäftliche Kommunikation

In fast jedem Unternehmen gibt es WhatsApp-Gruppen für Teamkommunikation. Das ist nicht nur aus Datenschutzsicht problematisch, sondern untergräbt auch die Datentrennung. Deine Richtlinie muss das klar verbieten und eine Alternative anbieten. Wenn die Alternative umständlicher ist als WhatsApp, wird sie nicht genutzt. Investiere also in eine benutzerfreundliche Lösung.

Kein Notfallprozess für Geräteverlust

Viele Richtlinien definieren, dass ein Verlust gemeldet werden muss, aber nicht wie. Gibt es eine 24/7-Hotline? Was passiert nachts oder am Wochenende? Wer hat die Berechtigung für einen Remote-Wipe? Diese Details entscheiden darüber, ob im Ernstfall schnell reagiert werden kann.

MDM-Resistenz bei Mitarbeitenden

Besonders bei BYOD können Mitarbeitende das MDM als Überwachungsinstrument wahrnehmen und sich weigern, es zu installieren. Transparente Kommunikation darüber, was das MDM sehen kann und was nicht, ist entscheidend. Eine Datenschutz-Folgenabschätzung und eine Betriebsvereinbarung schaffen zusätzliches Vertrauen.

Veraltete Geräte ohne Update-Support

Wenn Mitarbeitende private Geräte nutzen, die keine Sicherheitsupdates mehr bekommen, hast du ein Problem. Deine Richtlinie muss Mindestversionen definieren und durchsetzen. Das bedeutet auch, dass du Mitarbeitende mit zu alten Geräten entweder ausstattest oder vom Zugriff auf Unternehmensdaten ausschließt.

Fehlende Regelung für das Ausscheiden von Mitarbeitenden

Was passiert mit dem Unternehmens-Container auf dem BYOD-Gerät, wenn jemand das Unternehmen verlässt? Der Offboarding-Prozess muss den Selective Wipe des Containers umfassen, und das muss dokumentiert werden. Wenn du das vergisst, liegen Unternehmensdaten monatelang auf Geräten ehemaliger Mitarbeitender.

Pragmatische Umsetzung in fünf Schritten

1. Modell festlegen: Entscheide, ob BYOD, COPE, COBO oder ein Mischmodell zu deinem Unternehmen passt. Berücksichtige Schutzbedarf, Budget und Unternehmenskultur.

2. MDM evaluieren und einführen: Wähle eine MDM-Lösung, die zu deiner Gerätelandschaft passt. Teste sie mit einer Pilotgruppe, bevor du sie ausrollst. Kläre den Datenschutz mit dem Betriebsrat.

3. Richtlinie formulieren: Nutze die Gliederung aus diesem Artikel als Ausgangspunkt. Passe sie an dein gewähltes Modell und deine MDM-Lösung an. Stimme sie mit IT, Datenschutzbeauftragtem und Betriebsrat ab.

4. Schulung und Rollout: Schulung vor der Geräteausgabe, nicht danach. Mitarbeitende müssen verstehen, warum die Regeln gelten und wie sie das MDM nutzen. Biete einen FAQ-Bereich und einen Ansprechpartner für Fragen.

5. Monitoring und Review: Überwache die MDM-Compliance, reagiere auf Non-Compliance und überprüfe die Richtlinie jährlich. Passe sie an neue Betriebssysteme, neue Bedrohungen und Erfahrungen aus Sicherheitsvorfällen an.

Fazit

Mobile Endgeräte sind ein fester Bestandteil moderner Arbeitsplätze und werden das auch bleiben. Eine durchdachte Mobile-Device-Richtlinie schützt dein Unternehmen vor den spezifischen Risiken, die mit Smartphones, Tablets und Laptops einhergehen. Sie gibt Mitarbeitenden klare Regeln, schafft die Grundlage für technische Durchsetzung per MDM und liefert Auditoren den Nachweis, dass du mobile Sicherheit ernst nimmst.

Weiterführende Artikel

• Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel
• Passwort-Richtlinie erstellen: Anforderungen, Beispiel und Durchsetzung
• Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch
• Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung
• Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen

Entscheidend ist, dass die Richtlinie nicht nur auf dem Papier existiert. MDM muss laufen, die Container-Lösung muss konfiguriert sein, der Verlust-Prozess muss geübt werden, und Mitarbeitende müssen geschult sein. Dann wird aus einem potenziellen Sicherheitsrisiko ein beherrschbarer Teil deiner IT-Landschaft.