Sicherheitsgrundregeln für User mobiler Geräte
10 Maßnahmen, die jeder auf seinem Smartphone selbst umsetzen kann. Das Handy ist MFA-Gerät, E-Mail-Client und Unternehmens-Zugang in einem — und meist am wenigsten geschützt.
iOS/iPadOS 26 | Android 16 (17 in Beta) | CIS Controls v8.1 Mobile | CISA Mobile Guidance 2024 |NIST SP 800-63B
60%
Aller Unternehmens-E-Mails werden mobil geöffnet
MFA-Gerät
Smartphone = Hauptziel wenn Admin-Konto kompromittiert
IG1
CIS Mobile Companion Guide — Basis für alle
ca. 1h
Einmaliger Aufwand für alle 10 Maßnahmen
Betriebssystem und Apps automatisch aktuell halten iOS + ANDROID
Updates sofort einspielen — sowohl das Betriebssystem als auch alle installierten Apps. Die meisten mobilen Angriffe nutzen bekannte, längst gepatchte Schwachstellen.
Mobiles Malware wächst rasant: täglich entstehen tausende neue Varianten für iOS und Android. Ungepatchte Geräte bleiben das häufigste Einfallstor. CISA empfiehlt ausdrücklich, immer auf der neuesten OS-Version zu bleiben. Besonders kritisch: Geräte, die keine Updates mehr erhalten (End-of-Life), sollten ersetzt werden — sie werden dauerhaft verwundbar.
- Einstellungen → Allgemein → Softwareupdate → Automatische Updates: alle Optionen ein
- "Rapid Security Response" aktiviert lassen
- iOS 26 unterstützt ab iPhone 11 (A13 Bionic, 2019) — XR, XS und XS Max werden nicht mehr unterstützt
- Einstellungen → System → Software-Update → Automatisch aktualisieren
- Sicherheitspatche separat prüfen: Einstellungen → Über das Telefon → Android-Sicherheits-Patch
- Geräte mit monatlichen Sicherheitsupdates bevorzugen (Google Pixel, Samsung Galaxy S/A). Aktuelle Basisversion: Android 16, Android 17 in Beta (stabil ~Juni 2026)
Starke Displaysperre - PIN (min. 6-stellig) oder Biometrie iOS + ANDROID
Eine starke Displaysperre ist die erste und wichtigste Schutzmaßnahme bei Verlust oder Diebstahl. 4-stellige PINs sind zu kurz — mindestens 6 Stellen, besser alphanumerisch.
Ein gestohlenes Smartphone ohne Displaysperre gibt dem Dieb direkten Zugang zu E-Mails, Authenticator-App, Banking und Unternehmensdaten. Face ID und Touch ID/Fingerabdruck sind als primäre Entsperrmethoden sicher — aber ein starker Fallback-PIN ist trotzdem notwendig, da er den Biometrie-Schutz "unterfüttert". Ein simpler 4-stelliger PIN hat nur 10.000 Kombinationen und kann durch automatisierte Angriffe gebrochen werden.
- Einstellungen → Face ID & Code → Code ändern → "Code-Optionen" → 6-stelliger numerischer Code oder alphanumerischer Code
- Face ID aktivieren für bequemes Entsperren
- "Daten löschen nach 10 Fehlversuchen" aktivieren (vorsichtig bei Kindern)
- Einstellungen → Sicherheit & Datenschutz → Displaysperre → PIN: min. 6-stellig
- Entsperrungsmuster (Wischgeste) vermeiden — hinterlässt Fettspuren auf dem Display
- Fingerabdruck oder Gesichtserkennung als Komfort-Entsperrung einrichten
Geräteverschlüsselung prüfen + Remote-Wipe aktivieren iOS + ANDROID
Moderne Smartphones verschlüsseln automatisch — aber nur wenn eine Displaysperre gesetzt ist. Remote Wipe ermöglicht das Löschen aller Daten bei Verlust über das Internet.
iOS-Geräte sind mit einer aktiven Displaysperre automatisch vollverschlüsselt (AES-256). Android verschlüsselt ebenfalls standardmäßig auf allen Geräten ab Android 10. Ohne Remote-Wipe-Möglichkeit sind Unternehmensdaten auf einem verlorenen Gerät dauerhaft in fremden Händen. Der CIS Controls v8 Mobile Guide listet Remote Wipe als Kern-Safeguard.
- Einstellungen → [dein Name] → Find My → "Mein iPhone suchen" aktivieren
- "Offline-Suche" aktivieren (funktioniert auch ohne WLAN/Mobilfunk)
- Remote Wipe: iCloud.com → Mein iPhone suchen → Gerät auswählen → Löschen
- Einstellungen → Sicherheit → "Mein Gerät finden" (Google) aktivieren
- Remote Wipe: android.com/find → anmelden → Gerät wählen → Löschen
- Google-Konto muss auf Gerät angemeldet sein
MFA-App schützen - das Smartphone ist euer Tresor iOS + ANDROID
Das Smartphone ist das MFA-Gerät für alle anderen Konten. Wenn es kompromittiert ist, ist die MFA-Schutzwirkung weg. Authenticator-App mit separatem PIN sichern, kein Cloud-Backup der TOTP-Seeds ohne Verschlüsselung.
Ein Angreifer, der Zugang zum Smartphone hat, kann damit MFA-Codes für E-Mail, VPN und Unternehmens-Systeme abgreifen — die zweite Schutzschicht fällt weg. CISA empfiehlt dedizierte Authenticator-Apps (Microsoft Authenticator, Google Authenticator, Aegis) statt SMS-OTP. Für besonders kritische Zugänge: FIDO2-Hardware-Key als primäre MFA-Methode, Smartphone nur als Backup.
- Microsoft Authenticator (empfohlen im M365-Umfeld): App-Lock aktivieren (Einstellungen in der App)
- Aegis (Android, open source): unterstützt verschlüsselte Backups — empfehlenswert
- Authenticator-App mit eigenem Fingerabdruck/PIN schützen (App-Lock-Funktion)
- Keine TOTP-Seeds in unverschlüsselten Cloud-Backups speichern
- Bei Gerätewechsel: Authenticator-Konten explizit migrieren, nicht einfach aus Cloud wiederherstellen
App-Berechtigungen prüfen und auf Minimum reduzieren iOS + ANDROID
Jede App, die Zugriff auf Kamera, Mikrofon, Kontakte, Standort oder Dateien hat, ist ein potenzielles Datenleck. Berechtigungen auf das absolut Notwendige beschränken.
Viele Apps sammeln weit mehr Daten als für ihre Funktion nötig. Taschenlampen-Apps die Kontakte lesen, Spiele die dauerhaften Standortzugriff fordern — das sind reale Szenarien aus App-Store-Untersuchungen. Besonders heikel: Mikrofon und Kamera sollten nur Apps haben, die sie offensichtlich brauchen (Kamera-App, Videokonferenz). "Immer"-Standortzugriff sollte fast keiner App gewährt werden.
- Einstellungen → Datenschutz & Sicherheit → jeden Bereich durchgehen
- Standort: Nur Apps auf "Während der Nutzung" statt "Immer"
- Einstellungen → [App-Name] → alle Berechtigungen der App einzeln prüfen
- Einstellungen → Datenschutz → Berechtigungsmanager → jeden Typ prüfen
- Android 12+: Datenschutz-Dashboard zeigt, welche Apps wann auf Kamera/Mic zugegriffen haben
- Einstellungen → Apps → [App] → Berechtigungen: nicht benötigte entziehen
Nur Apps aus offiziellen Stores - kein Sideloading iOS + ANDROID
Apps ausschließlich aus dem Apple App Store oder Google Play Store installieren. Sideloading (APK aus dem Internet) ist eine der häufigsten Infektionswege für mobile Malware.
Sideloading auf Android ist der Haupt-Einfallsweg für mobile Schadsoftware — gefälschte APK-Dateien die sich als WhatsApp, Banking-App oder beliebte Spiele tarnen. Auch im App Store und Google Play gibt es gelegentlich bösartige Apps, aber beide Plattformen scannen Uploads und entfernen Malware deutlich schneller als ungefilterte Quellen. Auf iOS ist Sideloading ohne Enterprise-Zertifikat oder Jailbreak ohnehin nicht möglich — diesen Schutz nicht durch Jailbreaking aufgeben.
- Kein Jailbreak — hebt alle Sicherheitsgarantien von Apple auf
- Enterprise-Zertifikate nur für explizit vom Unternehmen verteilte Apps akzeptieren
- App Store: Bewertungen und Entwickler-Profil vor Installation prüfen
- Einstellungen → Apps → Spezieller App-Zugriff → Unbekannte Apps installieren: alles deaktiviert lassen
- Kein Rooting — deaktiviert SELinux und Play Protect
- Google Play Protect aktiviert lassen: Play Store → Profil → Play Protect
Öffentliches WLAN meiden oder mit VPN absichern iOS + ANDROID
Offene WLANs in Hotels, Cafés und Flughäfen sind unsicher. Für Unternehmensarbeit im öffentlichen WLAN immer VPN nutzen. Automatische WLAN-Verbindung zu unbekannten Netzen deaktivieren.
Man-in-the-Middle-Angriffe in öffentlichen WLANs sind real — Angreifer können in schlecht gesicherten Netzwerken Datenverkehr mitlesen oder umleiten, auch wenn viele Apps HTTPS nutzen. Besonders gefährlich: "Evil Twin"-Angriffe mit gefälschten WLAN-Hotspots (z.B. "Airport_Free_WiFi"). Das eigene Mobilfunknetz (LTE/5G) ist deutlich sicherer als öffentliches WLAN.
- Im Zweifel: Mobiles Datennetz (LTE/5G) statt öffentlichem WLAN — besonders für Unternehmens-Apps
- Unternehmens-VPN vor der Arbeit mit M365/Unternehmensressourcen aktivieren
- Automatische WLAN-Verbindung deaktivieren: iOS → Einstellungen → WLAN → "Netzwerke fragen"; Android → WLAN → gespeicherte Netzwerke verwalten
- Bluetooth und WLAN ausschalten wenn nicht benötigt — reduziert Angriffsfläche
Passwortmanager nutzen - kein Passwort doppelt verwenden iOS + ANDROID
Für jeden Dienst ein einzigartiges, starkes Passwort — verwaltet vom Passwortmanager. Beide Plattformen haben integrierte Optionen, plattformübergreifende Lösungen sind noch besser.
Credential Stuffing — das automatisierte Durchprobieren gestohlener Passwörter bei anderen Diensten — ist einer der häufigsten Angriffsvektoren. Wer auf dem Handy dasselbe Passwort wie im Büro nutzt, riskiert bei jedem Datenleck eines Dienstleisters die Kompromittierung aller Konten. Mobile Passwortmanager integrieren sich in den Browser und in Apps für bequemes Ausfüllen.
- Einstellungen → Passwörter (integriert, iCloud Keychain) — gut für Apple-Only-Nutzer
- Bitwarden oder 1Password für plattformübergreifenden Einsatz (auch Windows/Android)
- AutoFill: Einstellungen → Passwörter → Passwörter automatisch ausfüllen
- Einstellungen → Passwörter & Konten → Autofill-Dienst → Bitwarden oder Google Password Manager
- Google Password Manager ist gut für Android/Chrome-Nutzer
- Bitwarden (open source, kostenlos) für plattformübergreifenden Einsatz empfohlen
SMS-Phishing (Smishing), QR-Codes und gefälschte Anrufe erkennen iOS + ANDROID
Phishing findet nicht mehr nur per E-Mail statt — SMS, WhatsApp, Kalender-Einladungen und QR-Codes sind aktive Angriffsvektoren. CISA warnt explizit vor Social Engineering über mobile Kanäle.
Smishing (SMS-Phishing) hat massiv zugenommen: Paketbenachrichtigungen, Bank-Alerts, "Ihr Konto wird gesperrt"-Nachrichten. QR-Code-Phishing ("Quishing") ist seit 2023 stark im Wachsen — QR-Codes in E-Mails oder ausgehängt in Büros leiten auf Phishing-Seiten weiter. Auch gefälschte Anrufe (Vishing) mit KI-generierten Stimmen nehmen zu. CISA (2024) empfiehlt zudem: verschlüsselte Messaging-Apps (Signal, WhatsApp) statt normaler SMS für sensible Kommunikation.
- Keine Links aus SMS oder WhatsApp von Unbekannten anklicken — direkt tippen oder App öffnen
- QR-Codes nur scannen wenn Quelle bekannt und vertrauenswürdig — Ziel-URL vor dem Öffnen prüfen
- Dringende Nachrichten ("Paket wird zurückgeschickt", "Konto gesperrt") sind fast immer Phishing
- Unbekannte Anrufer: keine sensiblen Infos am Telefon — auch nicht wenn jemand "von der IT" anruft
- Verschlüsselt kommunizieren: Signal oder WhatsApp statt SMS für Unternehmenskommunikation
Regelmäßiges Backup - und altes Gerät sicher löschen iOS + ANDROID
Smartphone-Backups schützen vor Datenverlust durch Diebstahl, Defekt oder Ransomware. Beim Gerätewechsel: vollständiges Zurücksetzen auf Werkseinstellungen — Daten bleiben sonst auf dem alten Gerät.
Viele Nutzer vergessen, ihr altes Smartphone vor dem Verkauf oder der Entsorgung vollständig zu löschen. Ohne Factory Reset sind alle Daten wiederherstellbar — Fotos, Nachrichten, gespeicherte Passwörter, App-Daten. Gerätegebundene Verschlüsselung schützt nur bei aktivem Passwort, nicht gegen forensische Auswertung entsperrter Geräte.
- Einstellungen → [Name] → iCloud → iCloud-Backup → Jetzt sichern
- Alternativ: iTunes/Finder-Backup (verschlüsselt) für vollständige lokale Kopie
- Gerätewechsel: Einstellungen → Allgemein → iPhone übertragen oder zurücksetzen → Alle Inhalte & Einstellungen löschen + Apple ID abmelden
- Einstellungen → System → Sicherung → Google One Backup aktivieren
- Gerätewechsel: Einstellungen → Allgemeine Verwaltung → Zurücksetzen → Auf Werkseinstellungen zurücksetzen
- Vor dem Zurücksetzen: Google-Konto abmelden (verhindert Factory Reset Protection-Probleme)