Unverwaltete Geräte im Netzwerk: Risiken erkennen, Kontrolle gewinnen

Die zunehmende Digitalisierung, der Trend zu Remote-Work sowie Bring-Your-Own-Device (BYOD)-Konzepte sorgen dafür, dass Unternehmensnetzwerke heute dynamischer, offener und komplexer sind als je zuvor. Gleichzeitig steigt die Zahl der Endgeräte, die sich – mit oder ohne Genehmigung der IT-Abteilung – mit internen Ressourcen verbinden.

Diese Geräte werden häufig nicht zentral verwaltet, sind in keinem Inventar erfasst und unterliegen keiner einheitlichen Sicherheitsrichtlinie. Man spricht hier von unverwalteten Geräten (auch: „unmanaged devices“). Sie stellen für IT-Abteilungen und Managed Service Provider (MSPs) ein erhebliches Sicherheits- und Compliance-Risiko dar.

Unverwaltete Endpoints können zum Beispiel sein:

• Private Notebooks oder Smartphones von Mitarbeitenden (BYOD)
• Alte Systeme ohne aktuelle Software-Agenten
• IoT-Geräte wie smarte Drucker oder Konferenzraumtechnik
• Test- oder Entwicklungssysteme, die nie offiziell in Betrieb genommen wurden
• Fremdgeräte von Gästen, Lieferanten oder Dienstleistern

Häufig ist den Nutzenden nicht bewusst, dass ihre Geräte ein potenzielles Einfallstor für Angriffe darstellen. Doch für Angreifer sind solche Systeme besonders attraktiv: Sie sind oft ungeschützt, ungepatcht und – aus Sicht der IT – unsichtbar.

Ziel dieses Artikels ist es, aufzuzeigen,

• was unverwaltete Geräte sind,
• wie sie entstehen,
• welche konkreten Risiken mit ihnen verbunden sind,
• und wie IT-Abteilungen und MSPs diese Risiken durch geeignete Tools, Prozesse und Richtlinien effektiv kontrollieren können.

Wie entstehen unverwaltete Geräte – und warum werden sie oft übersehen?

In vielen Unternehmen sind unverwaltete Geräte kein Resultat von Fahrlässigkeit, sondern Ausdruck pragmatischer Lösungen: Ein Mitarbeiter nutzt spontan sein privates Notebook, weil das Firmengerät gerade streikt. Ein Lieferant wird für eine kurze Beratung ins WLAN gelassen. Ein IT-Administrator testet eine neue Lösung auf einem separaten Rechner – der aber nie sauber ins Inventar aufgenommen wird.

Solche Szenarien sind realitätsnah und passieren tagtäglich. Sie werden durch folgende Faktoren begünstigt:

• Fehlende oder zu lasche BYOD-Regelungen: Mitarbeitende bringen ihre eigenen Geräte mit und verwenden sie ohne vorherige Registrierung.
• Unzureichende IT-Ressourcen: Kleine IT-Teams können nicht jedes neue Gerät sofort onboarden oder inventarisieren.
• Wachsende Netzwerke: In Cloud-Umgebungen oder bei dezentralen Arbeitsmodellen verlieren IT-Teams schneller den Überblick.
• IoT und Edge-Devices: Diese werden oft nicht als klassische Endpoints wahrgenommen und fallen daher aus dem Monitoring.

Warum viele IT-Teams unverwaltete Geräte unterschätzen

Der Hauptgrund liegt in der Unsichtbarkeit dieser Systeme: Ohne zentralen Agent, ohne Management-Tool-Anbindung und ohne dokumentierte Zugehörigkeit erscheinen sie in keiner Liste, in keinem Dashboard. Oft werden sie erst entdeckt, wenn bereits ein Sicherheitsvorfall eingetreten ist.

Dabei ist die Gefahr real: Studien zeigen, dass rund ein Drittel aller erfolgreichen Angriffe über ungeschützte oder unbekannte Systeme erfolgen. Wer unverwaltete Geräte ignoriert, öffnet ungewollt die Tür für Malware, Ransomware oder unbefugten Zugriff auf sensible Daten.

Im nächsten Abschnitt beleuchten wir die konkreten Risiken, die unverwaltete Geräte für Sicherheit und Compliance mit sich bringen – und warum gerade MSPs hier besonders wachsam sein müssen.

Welche Risiken gehen konkret von unverwalteten Geräten aus?

Unverwaltete Endgeräte bringen gleich mehrere Risiken mit sich – nicht nur auf technischer, sondern auch auf organisatorischer und regulatorischer Ebene. Die wichtigsten Problemfelder im Überblick:

Fehlende Sicherheitsupdates und Patches

Geräte, die nicht durch zentrale Endpoint-Management-Systeme überwacht werden, erhalten häufig keine regelmäßigen Sicherheitsupdates. Veraltete Software mit bekannten Schwachstellen bietet Cyberkriminellen ein ideales Einfallstor.

Unzureichende Zugriffskontrolle

Unverwaltete Geräte unterliegen meist keiner Netzwerkkontrolle und können sich frei in der Umgebung bewegen. Ohne Netzwerksegmentierung oder Zugriffsrestriktionen besteht die Gefahr, dass sensible Daten erreicht oder Systeme manipuliert werden können.

Keine Protokollierung oder Überwachung

Da diese Geräte nicht Bestandteil des offiziellen Inventars sind, fehlen Logs und Audit Trails. Im Falle eines Sicherheitsvorfalls sind Ursachen schwer nachvollziehbar – und Verantwortlichkeiten unklar.

Verstöße gegen Datenschutz- und Compliance-Richtlinien

Regelwerke wie DSGVO, ISO 27001 oder branchenspezifische Vorgaben setzen voraus, dass Unternehmen vollständige Kontrolle und Dokumentation über ihre IT-Assets haben. Unverwaltete Geräte gefährden diese Anforderungen und können zu Bußgeldern oder Reputationsschäden führen.

Potenzielle Verbreitung von Malware und Ransomware

Ein infiziertes BYOD-Gerät kann innerhalb kürzester Zeit Schadsoftware ins Unternehmensnetzwerk einschleusen. Ohne Monitoring oder Schutzmechanismen verbreitet sich Malware ungehindert weiter – insbesondere in flach strukturierten Netzwerken.

Für IT-Abteilungen und MSPs bedeutet das: Jede fehlende Transparenz ist ein potenzielles Risiko. Der nächste Abschnitt zeigt deshalb, wie Sie mit automatisierten Tools und klaren Prozessen die Sichtbarkeit erhöhen und Kontrolle zurückgewinnen.

Wie lassen sich unverwaltete Geräte identifizieren und erfassen?

Um die Kontrolle über die im Netzwerk befindlichen Geräte zu erlangen, ist vollständige Transparenz unerlässlich. Manuelles Tracking oder sporadische Sichtprüfungen reichen bei der heutigen Netzwerkdynamik nicht aus. Stattdessen braucht es eine Kombination aus Technologie, Automatisierung und Prozessen, um nicht verwaltete Endgeräte systematisch aufzuspüren.

1. Asset Discovery Tools nutzen

Moderne Asset Discovery Tools wie N‑sight RMM scannen kontinuierlich das Netzwerk und identifizieren alle verbundenen Geräte – inklusive Typ, Betriebssystem, IP-Adresse und Verbindungsdauer. Diese automatisierten Lösungen erkennen auch „stumme“ Geräte, die nicht aktiv kommunizieren, sich aber ins Netzwerk einklinken. Besonders effektiv ist der Einsatz solcher Tools bei BYOD- oder IoT-Szenarien, wo sich Geräte oft kurzfristig verbinden und wieder verschwinden.

Einige RMM- und Endpoint-Management-Plattformen bieten integrierte Discovery-Funktionen, die sich einfach in bestehende Umgebungen einbinden lassen. Vorteil: Neue oder verdächtige Geräte werden automatisch erkannt, klassifiziert und können direkt Richtlinien zugeordnet werden.

2. Netzwerksegmentierung mit Monitoring kombinieren

Technische Sichtbarkeit allein genügt nicht. Erst durch intelligente Netzwerksegmentierung lassen sich unverwaltete Geräte in Quarantäne-Zonen isolieren oder deren Zugriff gezielt beschränken. Ergänzend empfiehlt sich ein kontinuierliches Netzwerk-Monitoring, das nicht nur Geräteidentitäten, sondern auch deren Verhalten analysiert – etwa durch Traffic-Muster oder ungewöhnliche Zugriffsmuster.

3. Abgleich mit dem IT-Inventar

Ein regelmäßiger Abgleich von Discovery-Daten mit dem zentralen IT-Inventar ist essenziell. Nur so lassen sich unbekannte oder vergessene Geräte eindeutig identifizieren. Systeme, die nicht im Verzeichnis auftauchen, sollten automatisch markiert und nachverfolgt werden.

4. Automatisiertes Onboarding & Agent Deployment

Sobald ein unverwaltetes Gerät erkannt wurde, ist der nächste Schritt die Integration ins zentrale Endpoint Management. Über Skripte oder automatisierte Workflows lassen sich Agents remote installieren und Sicherheitsrichtlinien durchsetzen – etwa Updates, Antivirus-Scans oder Zugriffsrichtlinien.

Wie Unternehmen unverwaltete Geräte absichern und BYOD kontrollieren können

Unverwaltete Geräte lassen sich nicht vollständig vermeiden – wohl aber kontrollieren. Um die damit verbundenen Risiken wirksam zu minimieren, braucht es einen mehrschichtigen Ansatz, der sowohl organisatorische als auch technische Maßnahmen umfasst. Im Folgenden zeigen wir konkrete Strategien auf, mit denen Unternehmen und MSPs mehr Sicherheit und Kontrolle gewinnen können.

Klar definierte Richtlinien statt Verbote

Unverwaltete Geräte lassen sich nicht vollständig vermeiden – aber kontrollieren. Besonders im Kontext von BYOD (Bring Your Own Device) und hybriden Arbeitsmodellen ist es wichtig, nicht auf pauschale Verbote zu setzen, sondern auf verbindliche, praxisnahe Richtlinien.

1. Eine BYOD-Policy entwickeln und kommunizieren

Eine gut strukturierte BYOD-Richtlinie sollte folgende Punkte abdecken:

• Welche Gerätetypen (z. B. Smartphones, Tablets, Laptops) erlaubt sind
• Welche Sicherheitsanforderungen gelten (z. B. Verschlüsselung, Passwortschutz, Antivirus)
• Welche Unternehmensdaten auf privaten Geräten verarbeitet werden dürfen
• Wie der Support geregelt ist (z. B. bei Datenverlust, Geräteverlust, Trennung vom Unternehmen)

Diese Richtlinie sollte allen Mitarbeitenden transparent kommuniziert werden – idealerweise durch Schulungen oder Awareness-Kampagnen. Ziel ist, dass Mitarbeitende Verantwortung übernehmen und mit der IT-Abteilung zusammenarbeiten.

2. Technische Kontrolle mit Endpoint Management

Neben organisatorischen Vorgaben braucht es technische Absicherung. Mit cloudbasierten Endpoint Management Lösungen lassen sich auch private oder externe Geräte einbinden und zentral verwalten:

• Automatisierte Geräteerkennung und Registrierung
• Durchsetzung von Sicherheitsrichtlinien (z. B. Patch-Level, Betriebssystemstand)
• Verwaltung von Applikationen und Datenzugriffen
• Möglichkeit zur Fernlöschung sensibler Unternehmensdaten

3. Netzwerkzugriffe intelligent steuern

Eine bewährte Methode ist die Kombination aus Zero Trust und Netzwerksegmentierung:

• Neue oder unbekannte Geräte erhalten nur eingeschränkten Zugriff auf isolierte Netzwerkbereiche
• Erst nach Authentifizierung, Konformitätsprüfung und Genehmigung wird Zugriff auf produktive Systeme gewährt
• Monitoring-Systeme erkennen auffälliges Verhalten und schlagen Alarm

Durch diesen mehrstufigen Schutzansatz lassen sich Risiken minimieren, ohne Mitarbeitende in ihrer Arbeitsweise unnötig einzuschränken.

Im nächsten (und letzten) Abschnitt fassen wir die wichtigsten Maßnahmen zusammen und geben praktische Empfehlungen für den Alltag von IT-Teams und MSPs.

Sichtbarkeit schaffen, Kontrolle zurückgewinnen

Unverwaltete Geräte sind kein hypothetisches Risiko – sie existieren in nahezu jeder IT-Umgebung, vom kleinen Unternehmen bis zum weltweit agierenden MSP. Ihre Unsichtbarkeit macht sie so gefährlich: Was nicht bekannt ist, kann nicht geschützt werden.

Doch mit einem strukturierten Ansatz lassen sich diese Risiken beherrschen. Der Schlüssel liegt in Kombinationen aus Technik, Prozessen und Aufklärung:

• Automatisierte Asset Discovery sorgt für die nötige Transparenz.
• Cloudbasierte Endpoint Management Plattformen ermöglichen die zentrale Verwaltung aller Systeme – auch BYOD und IoT.
• Richtlinien und Schulungen fördern das Sicherheitsbewusstsein bei Mitarbeitenden.
• Zero Trust und Segmentierung verhindern, dass neue oder verdächtige Geräte unkontrollierten Zugriff erhalten.

Für Managed Service Provider liegt hierin eine Chance: Wer seinen Kunden zeigt, wie sie unverwaltete Geräte systematisch in den Griff bekommen, kann nicht nur die IT-Sicherheit steigern, sondern auch Vertrauen aufbauen und neue Services etablieren.

Handlungsempfehlungen für mehr Sicherheit und Kontrolle

Die Kontrolle über unverwaltete Geräte beginnt mit einem umfassenden Netzwerkscan. Nur wenn sämtliche verbundenen Systeme sichtbar sind, lässt sich überhaupt beurteilen, welches Risiko von ihnen ausgeht. Anschließend sollten IT-Teams die entdeckten Geräte mit dem bestehenden IT-Inventar abgleichen, um festzustellen, welche Assets offiziell erfasst sind – und welche nicht.

Darauf aufbauend empfiehlt es sich, klare und realistische Richtlinien für den Umgang mit BYOD und Drittgeräten zu definieren und transparent im Unternehmen zu kommunizieren. Technisch können automatisierte Endpoint- und Patch-Management-Lösungen helfen, neue Geräte effizient zu integrieren und kontinuierlich zu überwachen.

Ebenso wichtig sind definierte Reaktionsprozesse für den Fall, dass nicht konforme Geräte identifiziert werden – etwa in Form von Quarantänemaßnahmen, Fernlöschung sensibler Daten oder der automatisierten Erstellung von Support-Tickets. Je früher unverwaltete Endgeräte erkannt und in bestehende Sicherheitsprozesse eingebunden werden, desto besser lassen sich potenzielle Gefahren wie Datenverlust, Cyberangriffe oder Compliance-Verstöße verhindern.