Mobile Security: Android und iOS Enterprise-Härtung, MDM und BYOD

Smartphones sind die meistgenutzten Geschäftsgeräte - E-Mail, Teams, SharePoint, VPN, Banking-Apps. Gleichzeitig sind sie die am wenigsten abgesicherten Endpunkte: kein EDR-Agent, ständig in fremden WLANs, private und geschäftliche Nutzung vermischt. Mobile Geräte sind heute das primäre Arbeitsgerät für viele Mitarbeiter und gleichzeitig eine der schwächsten Glieder in der Sicherheitskette. Ein strukturierter Ansatz mit MDM, Policies und Bedrohungsschutz ist unerlässlich.

Mobiles Bedrohungsprofil

Malicious Apps

Schadhafte Apps gelangen über drei Wege auf Geräte: über offizielle App Stores (selten, aber dokumentiert - FlekSpy, Goldoson-SDK), über Sideloading außerhalb der App Stores (Android, Enterprise Distribution auf iOS) und als Fake-Apps unter bekanntem Namen (Fake WhatsApp, Fake Banking-App).

Was Schadapps können: Mikrofon und Kamera aktivieren (ohne sichtbare Indikatoren), Standort verfolgen, SMS lesen (2FA-Codes abfangen), Kontakte, E-Mails und Dateien exfiltrieren sowie als VPN-App den gesamten Traffic durch C2-Server routen.

Berühmter Fall: Pegasus Spyware (NSO Group) - Zero-Click-Exploit auf iMessage. Keine Nutzerinteraktion nötig. Verbreitet gegen Journalisten, Aktivisten, Führungskräfte.

Mobile Phishing (Smishing, Vishing)

SMS-Phishing (Smishing) nutzt Nachrichten wie "Ihre DHL-Sendung konnte nicht zugestellt werden. Adresse bestätigen: tracking-dhl-de.ru/confirm". Mobil-spezifische Gefahren: URLs werden gekürzt angezeigt (kein voller Link sichtbar), der kleinere Bildschirm bietet weniger Kontext, das HTTPS-Schloss täuscht über Legitimität hinweg (Phishing-Sites haben ebenfalls TLS), und der Nutzer schaut auf das Telefon in entspannter Situation mit gesenkter Aufmerksamkeit.

Statistik: Mobiles Phishing ist 3x effektiver als Desktop-Phishing (Lookout 2023).

Netzwerk-Risiken

Öffentliche WLANs (Hotel, Café, Flughafen) bieten kein WPA2-Enterprise und sind damit einfach abzuhören. Evil Twin Attacks setzen einen gefälschten Hotspot mit bekanntem SSID-Namen ein. SSLStrip ermöglicht TLS-Downgrades bei Apps ohne Certificate Pinning. Lösung: Immer VPN auf öffentlichem WLAN.

Physische Risiken

Ein verlorenes oder gestohlenes Gerät ohne Verschlüsselung gibt Zugang zu allen E-Mails, Kontakten und Dokumenten, im Browser gespeicherten Passwörtern und TOTP-Tokens in 2FA-Apps. Shoulder Surfing ermöglicht das Ablesen von Passwörtern, PINs und vertraulichen E-Mails im öffentlichen Raum.

BYOD vs. COPE vs. COBO

BYOD (Bring Your Own Device): Der Mitarbeiter nutzt sein privates Gerät für die Arbeit. Vorteile: kein Gerätekauf, hohe User-Akzeptanz. Nachteile: geringe Kontrolle, DSGVO-Herausforderungen. MDM-Lösung: Work Profile mit separiertem Bereich; Datenlöschung nur Work Profile, nicht privat.

COPE (Company Owned, Personally Enabled): Das Unternehmen kauft das Gerät, der Mitarbeiter darf es privat nutzen. Gute Balance aus Kontrolle und Usability. MDM: voller Zugriff auf das Gerät, private App-Nutzung aber erlaubt. Empfohlen für die meisten Unternehmen.

COBO (Company Owned, Business Only): Reines Firmengerät, keine private Nutzung. Höchste Kontrolle (kein persönlicher App Store). Für hochsensible Rollen (Finance, C-Suite, KRITIS). MDM: vollständige Kontrolle, kioskartig konfigurierbar.

CYOD (Choose Your Own Device): Der Mitarbeiter wählt aus einer definierten Geräteliste. Kompromiss aus User-Präferenz und Standard-Support.

Branche	BYOD	COPE	COBO
Allgemein	OK	Empfohlen	Zu restriktiv
Finanz/Versicherung	Nein	OK	Empfohlen
Gesundheit (DSGVO)	Nein	OK	Empfohlen
KRITIS	Nein	Nein	Empfohlen
Startup/IT	OK	OK	Zu restriktiv

Mobile Device Management (MDM) vs. MAM

MDM - Vollständige Geräteverwaltung

MDM verwaltet das gesamte Gerät:

Mit MDM kann die IT: Festplattenverschlüsselung erzwingen, Bildschirmsperre mit PIN-Mindestlänge setzen, genehmigte Apps installieren und erzwingen, nicht-genehmigte Apps blockieren, Remote Wipe durchführen, Standort-Tracking aktivieren sowie VPN- und WiFi-Profile automatisch ausrollen.

Nachteil bei BYOD: Die IT sieht alle installierten Apps (auch private), Remote Wipe löscht private Fotos, was regelmäßig zu Mitarbeiter-Widerstand führt.

MAM - App-Verwaltung (BYOD-Empfehlung)

MAM verwaltet nur Unternehmens-Apps:

Intune App Protection Policies verwalten die Business-Apps Outlook, Teams, OneDrive und SharePoint in einem verschlüsselten Container, getrennt von privaten Apps. Regeln: PIN für Business-Apps, Copy-Paste von Business- zu privaten Apps blockiert, app-spezifischer Remote Wipe (nur Business-Daten), keine Screenshots in Business-Apps, Backup von Business-Daten in iCloud/Google Drive blockiert.

Vorteil: Keine privaten Daten sichtbar für die IT, höhere Mitarbeiter-Akzeptanz, Remote Wipe löscht nur Business-Apps.

iOS Enterprise-Härtung

Der Supervised Mode (Aktivierung über Apple Configurator 2 oder Apple Business Manager) ist Pflicht für COBO-Geräte und sehr strikte Environments, da er tiefere MDM-Signale für kritische Policies ermöglicht.

Gerätesperre: Alphanumerischer Passcode (nicht nur PIN), Mindestlänge 8 Zeichen, Auto-Lock nach 2 Minuten, Grace Period 0 (sofortiges Sperren beim Ruhezustand), 10 fehlgeschlagene Versuche triggern Remote Wipe.

Netzwerk: Nur definierte WLAN-SSIDs erlaubt (kein öffentliches WLAN), Per-App-VPN (VPN nur für Unternehmens-Apps), DNS over HTTPS erzwingen (kein DNS-Sniffing), Safari-Webfilter (Jugendschutz und Malware-Block).

Apps: App Store für COBO deaktiviert, Allowed Apps Whitelist, Managed Apple ID (keine persönliche!), iCloud deaktiviert (keine Firmendaten in iCloud), App Clips und iTunes Sync deaktiviert.

iOS Lockdown Mode (für sehr gefährdete Personen): Aktivierung unter Settings → Privacy & Security → Lockdown Mode. Deaktiviert Link-Vorschau, Nachrichtenanhänge und FaceTime-Anrufe von Unbekannten. Geeignet für Journalisten, Aktivisten und C-Suite-Mitglieder mit konkreter Bedrohungssituation. Apple empfiehlt ihn explizit als Schutz gegen hochentwickelte Angriffe wie Pegasus.

{
  "PayloadType": "com.apple.restrictions",
  "allowCamera": true,
  "allowCloudBackup": false,
  "allowInstallApps": false,
  "allowSafariJavaScript": true,
  "allowScreenShot": false,
  "forceEncryptedBackup": true,
  "safariPasswordAutoFillDomains": [],
  "allowAirDrop": false
}

Android Enterprise

Android Enterprise bietet drei Modi: Work Profile (BYOD/COPE) schafft eine getrennte Arbeitswelt auf dem privaten Gerät mit klarer Trennung zwischen Arbeits- und Privat-Apps. MDM verwaltet nur Work-Profile-Apps, private Apps bleiben unsichtbar, Datenlöschung betrifft nur den Work-Profile-Teil.

Fully Managed (COBO) gibt vollständige MDM-Kontrolle über das Unternehmensgerät. Zero-Touch Enrollment: Gerät einschalten → automatisch enrolled. Kein Google-Account erforderlich (Managed Google Play).

Dedicated Device (Kiosk) ist für Single-Purpose-Geräte (Scanner, POS-Terminal, Anzeige) mit nur einer oder wenigen erlaubten Apps.

# Intune Android Work Profile Policy
DeviceConfiguration:
  Type: androidWorkProfile
  Settings:
    passwordMinimumLength: 8
    passwordRequiredType: alphanumericWithSymbols
    screenLockEnabled: true
    workProfileDataSharingType: preventAny
    workProfilePasswordRequired: true
    workProfileBlockScreenCapture: true
    workProfileBluetoothEnableContactSharing: false

Samsung Knox erweitert Android Enterprise: Knox-Workspace für stärkere Isolation, Knox Vault als Hardware-Sicherheitsenclave, DualDAR mit zwei unabhängigen Verschlüsselungsebenen. KRITIS und Behörden: NATO-RESTRICTED zugelassen (mit Knox Matrix).

iOS vs. Android Security

Merkmal	iOS	Android
App-Store-Kontrolle	Streng (Cupertino-Review)	Offener (auch Sideloading)
OS-Updates	Schnell, 5-7 Jahre Support	Fragmentiert, hersteller-abhängig
Verschlüsselung	Immer an (seit iOS 8)	Seit Android 6, herstellerabhängig
Sandboxing	Sehr stark	Stark, aber mehr Freiheiten
MDM-Reife	Sehr gut	Gut (Android Enterprise)
Jailbreak-Risiko	Selten	Häufiger (Rooting)
Empfehlung Business	Bevorzugt	Nur mit Android Enterprise MDM

Mobile Threat Defense (MTD)

MTD erkennt Gerätekompromittierungen (Jailbreak/Root), Netzwerkangriffe (MITM, Evil-Twin-WiFi, SSL-Stripping), App-Bedrohungen (Malware, Stalkerware, Riskware), Verhaltensanomalien und Phishing-URLs im Browser.

Lookout Mobile Security ist Marktführer mit Integration für Intune, Jamf und SIEM und erkennt Pegasus, Stalkerware und Riskware. Zimperium zIPS nutzt On-Device-ML ohne Cloud-Lookup - Vorteil: Offline-Detection mit besserem Datenschutz. Microsoft Defender for Mobile ist Intune-nativ integriert, blockiert nicht-konforme Geräte über Conditional Access vom O365-Zugriff und ist günstiger für Microsoft-Umgebungen (im M365-E5-Bundle enthalten).

Jailbreak/Root-Detection auf iOS prüft, ob /Applications/Cydia.app, /bin/bash oder /etc/apt existieren und ob eine App außerhalb ihrer Sandbox schreiben kann. Auf Android werden SuperUser-App-Installation, test-keys in Build-Eigenschaften (kein offizielles Image) und permissive SELinux-Konfiguration geprüft.

Integration mit Zero Trust: Conditional Access Policy: Wenn ein iOS- oder Android-Gerät einen MTD-Status "High Risk" (Jailbreak oder Malware erkannt) hat, werden M365-Zugang und Teams-Zugang blockiert. Ein kompromittiertes Telefon kann so nicht auf Unternehmensdaten zugreifen.

Technische Absicherung - Checkliste

Gerät-Level

• Bildschirmsperre: PIN ≥ 6-stellig oder Biometrie aktiviert
• Automatische Sperre: unter 5 Minuten
• Geräteverschlüsselung aktiviert (iOS automatisch, Android prüfen)
• Remote Lock/Wipe konfiguriert (iCloud Find My / Find My Device)
• OS-Updates automatisch aktiviert
• Sicherheits-Patch-Level bei Android unter 3 Monate alt
• Kein Jailbreak/Root vorhanden

Netzwerk-Level

• VPN auf öffentlichem WLAN immer aktiv
• Always-On-VPN via MDM für alle Außennutzung konfiguriert
• Automatische WLAN-Verbindung zu offenen Netzwerken deaktiviert
• Bluetooth ausgeschaltet wenn nicht genutzt

Enterprise-Level

• MDM/MAM für alle Business-Geräte implementiert
• Conditional Access: Gerät muss Compliance erfüllen für M365-Zugang
• BYOD-Policy dokumentiert und von Mitarbeitern unterzeichnet
• Mobile Threat Defense (MTD) aktiviert
• Certificate Pinning in Business-Apps implementiert

DSGVO und Mobile Security

DSGVO-Herausforderungen mit BYOD: Unternehmensdaten auf privatem Gerät sind datenschutzrechtlich problematisch. Geofencing (Ortungsdaten des Mitarbeiters) erfordert Einwilligung. MDM-Logs enthalten Standortdaten und App-Nutzung und unterliegen der Zweckbindung. Der Betriebsrat muss bei der MDM-Einführung beteiligt werden (§87 BetrVG).

Rechtssichere BYOD-Implementierung in vier Schritten: Erstens eine Betriebsvereinbarung mit klarer Regelung, was MDM sehen darf und was nicht, mit schriftlicher Zustimmung der Mitarbeiter und Beteiligung des Betriebsrats. Zweitens Datentrennung über Work Profile (private Daten bleiben unsichtbar für MDM, Remote Wipe nur Work Profile). Drittens Transparenz (User weiß genau, was überwacht wird, MDM-App zeigt aktive Policies). Viertens Mindest-Datenprinzip (kein GPS-Tracking ohne Notwendigkeit, Log-Retention nur so lange wie nötig).

DSGVO-konforme MDM-Policies: Nicht erlaubt sind Echtzeit-GPS-Tracking aller Mitarbeiter, Lesen der privaten Browser-History und Einsicht in die private App-Liste bei BYOD. Erlaubt sind Geräteverschlüsselung erzwingen, Remote Wipe (bei BYOD nur Work Profile), E-Mail-Konfiguration verwalten und VPN-Verbindung für Unternehmens-Apps erzwingen.

Incident Response: Kompromittiertes Mobilgerät

Bei Verdacht auf Kompromittierung (merkwürdiges Verhalten, unbekannte Apps):

1. Gerät in Flugmodus versetzen (verhindert weitere Datenübertragung)
2. IT/CISO informieren
3. Alle Unternehmens-Accounts auf dem Gerät von anderen Geräten abmelden
4. Passwörter aller auf dem Gerät genutzten Accounts ändern
5. Gerät nicht weiter nutzen - Forensik-Analyse einleiten

Remote Wipe über Intune: Geräte → [Gerät] → Gerät zurücksetzen. Alle Daten werden gelöscht (bei BYOD: nur MAM-Daten).

Forensik: Gerät nicht zurücksetzen ohne forensische Sicherung, MTD-Logs aus MDM sichern und Timeline der Anomalien dokumentieren.