Cybersecurity

Mobile Geräte: Warum Ihr Firmenhandy das unterschätzte Einfallstor für Hacker ist

Ihre Firewall ist gehärtet, Ihre Server sind gepatcht, Ihre E-Mail-Filter blocken zuverlässig. Und währenddessen beantwortet Ihr Vertriebsleiter im Hotel-WLAN Firmen-E-Mails auf einem privaten Smartphone ohne Bildschirmsperre. Genau dort findet der nächste Angriff statt.

Warum sind mobile Geräte ein Sicherheitsrisiko für Unternehmen?

Mobile Geräte wie Smartphones und Tablets sind für Angreifer ein attraktives Ziel, weil sie vollen Zugriff auf Firmendaten bieten, aber deutlich schwächer geschützt sind als Laptops und Server. Laut Verizon Mobile Security Index 2025 berichten 85 Prozent der Unternehmen von zunehmenden Angriffen auf ihre mobilen Endgeräte. Wer Firmenhandys und private Geräte im Unternehmenseinsatz nicht absichert, öffnet böswilligen Akteuren eine Hintertür ins Firmennetzwerk.

Auf einen Blick:

  • Angriffe auf Smartphones und Tablets nehmen massiv zu: 85 Prozent der Unternehmen melden laut Verizon eine steigende Bedrohungslage.
  • 70 Prozent der mobilen Cyberangriffe treffen private Geräte der Mitarbeitenden, die dennoch geschäftlich genutzt werden (BYOD).
  • Mobile Device Management, Multi-Faktor-Authentifizierung und klare Richtlinien senken das Risiko messbar.

Inhalt

Warum greifen Hacker gezielt mobile Geräte an?

Hacker greifen mobile Geräte an, weil dort die menschliche und technische Verteidigung am schwächsten ist: Der kleine Bildschirm verschleiert Warnsignale, Nutzer prüfen Nachrichten weniger kritisch als am Desktop, und das Gerät ist rund um die Uhr erreichbar. Aus Sicht der Angreifer ist das schlicht der Weg des geringsten Widerstands.

Am Arbeitsplatzrechner haben die meisten Mitarbeitenden über Jahre gelernt, verdächtige E-Mails zu erkennen: seltsame Absenderadresse, aufgeblähter Header, Link-Vorschau beim Überfahren mit der Maus. Auf dem Smartphone fehlen diese Prüfroutinen fast vollständig. Eine SMS zeigt keine Absender-Domain, ein verkürzter Link verrät sein Ziel nicht, und zwischen zwei Terminen tippt der Daumen schneller, als der Kopf mitdenkt. Chris Novak, Vice President Global Cybersecurity Solutions bei Verizon Business, bringt es auf den Punkt: Selbst eine schlecht gemachte Phishing-SMS wirkt glaubwürdiger als eine gut gemachte Phishing-E-Mail, weil auf dem Handy schlicht der Kontext zur Einordnung fehlt.

Die Zahlen bestätigen das. 80 Prozent der im Verizon Mobile Security Index 2025 befragten Unternehmen haben ihre Belegschaft mit simulierten Phishing-SMS getestet. Das Ergebnis: In fast 4 von 10 dieser Tests klickte bis zur Hälfte der Mitarbeitenden auf den schädlichen Link. Zum Vergleich: Bei klassischen E-Mail-Phishing-Simulationen liegen die Klickraten typischerweise im einstelligen bis niedrigen zweistelligen Prozentbereich.

Dazu kommt ein strukturelles Problem: Das BSI dokumentierte im Lagebericht 2025 durchschnittlich 119 neu bekannt gewordene Schwachstellen pro Tag, ein Anstieg von rund 24 Prozent gegenüber dem Vorjahreszeitraum. Auf Laptops und Servern greifen zentrale Patch-Prozesse. Mobile Geräte dagegen aktualisieren sich oft nur, wenn der Nutzer es zulässt, und ältere Android-Modelle erhalten irgendwann gar keine Sicherheitsupdates mehr. Jedes ungepatchte Firmenhandy vergrößert die Angriffsfläche des Unternehmens.

Smishing, Quishing, Deepfake-Anrufe: Die drei Angriffswege aufs Firmenhandy

Die drei wichtigsten mobilen Angriffsmethoden sind Smishing (Phishing per SMS oder Messenger), Quishing (Phishing über manipulierte QR-Codes) und KI-gestützte Deepfake-Anrufe. Alle drei zielen auf dasselbe: Zugangsdaten abgreifen, Schadsoftware platzieren oder Mitarbeitende zu Überweisungen und Datenfreigaben verleiten.

Smishing ist Phishing per Textnachricht. Der Klassiker: eine angebliche Paketbenachrichtigung, eine Zahlungsaufforderung oder eine Nachricht „vom Chef“ mit dringender Bitte. Der Link führt auf eine gefälschte Login-Seite, die Zugangsdaten und im schlimmsten Fall auch MFA-Codes abfängt.

Quishing nutzt QR-Codes als Träger. Weil der Nutzer die Ziel-URL vor dem Scan nicht sieht, umgehen manipulierte QR-Codes auf Rechnungen, Plakaten oder in E-Mails viele klassische Sicherheitsfilter und landen direkt auf dem Smartphone-Browser, außerhalb der Kontrolle Ihrer IT.

Deepfake-Anrufe und KI-Phishing heben beide Methoden auf ein neues Niveau. Generative KI formuliert fehlerfreie, personalisierte Nachrichten und imitiert inzwischen Stimmen täuschend echt. Die Abwehr hinkt hinterher: Laut Verizon Mobile Security Index 2025 haben nur 17 Prozent der Unternehmen spezifische Sicherheitskontrollen gegen KI-gestützte Angriffe implementiert, obwohl 77 Prozent der Sicherheitsverantwortlichen solche Angriffe für sehr wahrscheinlich erfolgreich halten.

BYOD: Warum das private Smartphone Ihr größtes Datenleck ist

Bring Your Own Device (BYOD) bezeichnet die geschäftliche Nutzung privater Endgeräte, und genau hier liegt das größte mobile Risiko: 70 Prozent der im Verizon Mobile Security Index 2025 gemeldeten mobilen Cyberangriffe betrafen private Telefone. Das Unternehmen haftet für Daten auf Geräten, die es weder verwaltet noch kontrolliert.

Die Rechnung ist einfach: Nur ein Bruchteil der Unternehmen stattet alle Mitarbeitenden mit Diensthandys aus. Firmen-E-Mails, Teams-Chats und Kundendaten landen deshalb wie selbstverständlich auf privaten Geräten, neben TikTok, Spiele-Apps aus dubiosen Quellen und dem WLAN im Urlaubshotel. Ein kompromittiertes Privatgerät mit Zugriff auf das Firmenpostfach ist für den Angreifer genauso wertvoll wie ein gehacktes Diensthandy, für Ihre IT aber praktisch unsichtbar.

Ein zweites Datenleck ist leiser und wird dramatisch unterschätzt: generative KI. 93 Prozent der Unternehmen berichten laut Verizon, dass Mitarbeitende KI-Dienste auf dem Smartphone beruflich nutzen. 64 Prozent sehen die Eingabe sensibler Informationen in solche Tools als größte mobile Bedrohung. Aber nur die Hälfte hat durchgesetzte Nutzungsrichtlinien. Jeder Vertragsentwurf, der zur „schnellen Zusammenfassung“ in eine private KI-App kopiert wird, verlässt unkontrolliert das Unternehmen.

Für Geschäftsführer hat das eine rechtliche Dimension, die viele erst im Schadensfall verstehen: Mit dem deutschen NIS-2-Umsetzungsgesetz haften Geschäftsleitungen betroffener Unternehmen persönlich für die Umsetzung angemessener Risikomanagementmaßnahmen. Ob der Vorfall über den Server oder über das ungesicherte Privathandy eines Mitarbeiters läuft, spielt für die Haftungsfrage keine Rolle. Wer mobile Endgeräte im Sicherheitskonzept ignoriert, riskiert im Ernstfall sein Privatvermögen.

Wie schützen Sie mobile Geräte im Unternehmen? 7 Maßnahmen

Wirksamer Schutz mobiler Geräte kombiniert technische und organisatorische Maßnahmen: zentrale Geräteverwaltung, starke Authentifizierung, konsequentes Update-Management und geschulte Mitarbeitende. Diese sieben Maßnahmen decken die wichtigsten Angriffswege ab:

  1. Mobile Device Management (MDM) einführen. Eine MDM- oder UEM-Lösung verwaltet alle Geräte zentral: Sie erzwingt Verschlüsselung und Bildschirmsperre, verteilt Updates und löscht Firmendaten aus der Ferne, wenn ein Gerät verloren geht. Verizon zufolge berichten Unternehmen mit MDM von klareren Sicherheitsrichtlinien und deutlich besserer Durchsetzung.
  2. Multi-Faktor-Authentifizierung erzwingen. Gestohlene Zugangsdaten sind der häufigste Erstzugriffsvektor. Warum ein zweiter Faktor fast alle Kontoübernahmen verhindert, lesen Sie in unserem Beitrag zur Multi-Faktor-Authentifizierung.
  3. Updates verpflichtend machen. Automatische Updates aktivieren, Altgeräte ohne Sicherheits-Support konsequent aussortieren. Bei 119 neuen Schwachstellen pro Tag (BSI-Lagebericht 2025) ist jedes verschleppte Update ein offenes Fenster.
  4. App-Installationen einschränken. Apps nur aus offiziellen Stores, geschäftskritische Geräte per Whitelist. Das BSI empfiehlt zusätzlich, Zugriffsrechte installierter Apps regelmäßig zu prüfen.
  5. Öffentliche WLANs absichern. Firmenzugriffe in offenen Netzen nur über VPN oder besser gar nicht: Mobilfunk ist in fremden Umgebungen die sicherere Wahl.
  6. KI-Nutzungsrichtlinie aufstellen. Klar regeln, welche Daten in welche KI-Tools dürfen, und dienstliche Alternativen anbieten. Ein Verbot ohne Alternative treibt Mitarbeitende nur in die Schatten-IT.
  7. Mitarbeitende trainieren. Smishing-Simulationen und kurze, regelmäßige Awareness-Impulse wirken nachweislich besser als die jährliche Pflichtschulung.

Diese Maßnahmen gehören in jedes Sicherheitskonzept nach dem Prinzip der Grundlagen und Schutzmaßnahmen gegen Cyberangriffe. Und denken Sie einen Schritt weiter: Dieselbe Sorgfalt verdienen alle vernetzten Geräte im Unternehmen, vom Konferenzsystem bis zum smarten Drucker. Wie Sie diese Angriffsfläche schließen, zeigt unser Artikel zur IoT-Security.

Was kostet ein kompromittiertes Firmenhandy?

Ein kompromittiertes mobiles Gerät kostet Unternehmen im Ernstfall Betriebszeit, Daten und Reputation: 46 Prozent der Unternehmen mit mobilen oder IoT-Sicherheitsvorfällen berichten laut Verizon von Ausfallzeiten, 50 Prozent von Datenverlust. Der Schaden bleibt selten auf das Gerät beschränkt, denn das Smartphone ist nur der Einstiegspunkt ins Firmennetz.

63 Prozent der betroffenen Unternehmen erlitten laut Verizon Mobile Security Index 2025 erhebliche Auswirkungen wie längere Ausfallzeiten oder Geschäftsstörungen, ein deutlicher Sprung gegenüber 47 Prozent im Vorjahr. 36 Prozent mussten zusätzlich Konsequenzen bei ihrer Cyberversicherung hinnehmen, etwa höhere Prämien oder gekürzte Leistungen.

Der gesamtwirtschaftliche Rahmen zeigt, wohin die Reise geht: Die Bitkom-Studie Wirtschaftsschutz 2025 beziffert den jährlichen Schaden durch Datendiebstahl, Spionage und Sabotage in Deutschland auf 289,2 Milliarden Euro, 87 Prozent der Unternehmen waren betroffen. Mobile Geräte sind in dieser Statistik kein Randthema mehr. Sie sind der Ort, an dem Firmendaten heute tatsächlich liegen.

Häufige Fragen zu mobilen Geräten im Unternehmen

Was ist Smishing?

Smishing ist Phishing per SMS oder Messenger-Nachricht. Angreifer versenden Textnachrichten mit schädlichen Links, etwa getarnt als Paketbenachrichtigung oder Chef-Anweisung, um Zugangsdaten abzugreifen oder Schadsoftware zu installieren. Weil SMS weniger Kontext zeigen als E-Mails, funktioniert Smishing derzeit besonders gut.

Ja, sofern sie zentral verwaltet werden. Ein Diensthandy mit Mobile Device Management erhält erzwungene Updates, Verschlüsselung und Fernlöschung. 70 Prozent der mobilen Angriffe treffen laut Verizon private Geräte. Unverwaltete Diensthandys außerhalb der Arbeitszeit tragen allerdings ähnliche Risiken wie Privatgeräte.

Mobile Device Management ist eine Software zur zentralen Verwaltung mobiler Endgeräte im Unternehmen. Die IT kann damit Sicherheitsrichtlinien erzwingen, Updates verteilen, Apps kontrollieren und verlorene Geräte aus der Ferne sperren oder löschen. MDM ist die technische Grundlage jeder mobilen Sicherheitsstrategie.

Nein. Ein Virenscanner erkennt bekannte Schadsoftware, schützt aber weder vor Phishing-Links noch vor gestohlenen Zugangsdaten oder Datenabfluss über KI-Apps. Wirksamer Schutz kombiniert Geräteverwaltung (MDM), Multi-Faktor-Authentifizierung, aktuelle Updates und geschulte Mitarbeitende.