Die zunehmende Digitalisierung, der Trend zu Remote-Work sowie Bring-Your-Own-Device (BYOD)-Konzepte sorgen daf\u00fcr, dass Unternehmensnetzwerke heute dynamischer, offener und komplexer sind als je zuvor. Gleichzeitig steigt die Zahl der Endger\u00e4te, die sich \u2013 mit oder ohne Genehmigung der IT-Abteilung \u2013 mit internen Ressourcen verbinden.<\/p>\n
Diese Ger\u00e4te werden h\u00e4ufig nicht zentral verwaltet, sind in keinem Inventar erfasst und unterliegen keiner einheitlichen Sicherheitsrichtlinie. Man spricht hier von unverwalteten Ger\u00e4ten (auch: „unmanaged devices“). Sie stellen f\u00fcr IT-Abteilungen und Managed Service Provider (MSPs) ein erhebliches Sicherheits- und Compliance-Risiko dar.<\/p>\n
Unverwaltete Endpoints k\u00f6nnen zum Beispiel sein:<\/p>\n
H\u00e4ufig ist den Nutzenden nicht bewusst, dass ihre Ger\u00e4te ein potenzielles Einfallstor f\u00fcr Angriffe darstellen. Doch f\u00fcr Angreifer sind solche Systeme besonders attraktiv: Sie sind oft ungesch\u00fctzt, ungepatcht und \u2013 aus Sicht der IT \u2013 unsichtbar.<\/p>\n
Ziel dieses Artikels ist es, aufzuzeigen,<\/p>\n
In vielen Unternehmen sind unverwaltete Ger\u00e4te kein Resultat von Fahrl\u00e4ssigkeit, sondern Ausdruck pragmatischer L\u00f6sungen: Ein Mitarbeiter nutzt spontan sein privates Notebook, weil das Firmenger\u00e4t gerade streikt. Ein Lieferant wird f\u00fcr eine kurze Beratung ins WLAN gelassen. Ein IT-Administrator testet eine neue L\u00f6sung auf einem separaten Rechner \u2013 der aber nie sauber ins Inventar aufgenommen wird.<\/p>\n
Solche Szenarien sind realit\u00e4tsnah und passieren tagt\u00e4glich. Sie werden durch folgende Faktoren beg\u00fcnstigt:<\/p>\n
Der Hauptgrund liegt in der Unsichtbarkeit dieser Systeme: Ohne zentralen Agent, ohne Management-Tool-Anbindung und ohne dokumentierte Zugeh\u00f6rigkeit erscheinen sie in keiner Liste, in keinem Dashboard. Oft werden sie erst entdeckt, wenn bereits ein Sicherheitsvorfall eingetreten ist.<\/p>\n
Dabei ist die Gefahr real: Studien zeigen, dass rund ein Drittel aller erfolgreichen Angriffe \u00fcber ungesch\u00fctzte oder unbekannte Systeme erfolgen. Wer unverwaltete Ger\u00e4te ignoriert, \u00f6ffnet ungewollt die T\u00fcr f\u00fcr Malware, Ransomware oder unbefugten Zugriff auf sensible Daten.<\/p>\n
Im n\u00e4chsten Abschnitt beleuchten wir die konkreten Risiken, die unverwaltete Ger\u00e4te f\u00fcr Sicherheit und Compliance mit sich bringen \u2013 und warum gerade MSPs hier besonders wachsam sein m\u00fcssen.<\/p>\n
Unverwaltete Endger\u00e4te bringen gleich mehrere Risiken mit sich \u2013 nicht nur auf technischer, sondern auch auf organisatorischer und regulatorischer Ebene. Die wichtigsten Problemfelder im \u00dcberblick:<\/p>\n
Fehlende Sicherheitsupdates und Patches<\/strong><\/p>\n Ger\u00e4te, die nicht durch zentrale Endpoint-Management-Systeme \u00fcberwacht werden, erhalten h\u00e4ufig keine regelm\u00e4\u00dfigen Sicherheitsupdates. Veraltete Software mit bekannten Schwachstellen bietet Cyberkriminellen ein ideales Einfallstor.<\/p>\n Unzureichende Zugriffskontrolle<\/strong><\/p>\n Unverwaltete Ger\u00e4te unterliegen meist keiner Netzwerkkontrolle und k\u00f6nnen sich frei in der Umgebung bewegen. Ohne Netzwerksegmentierung oder Zugriffsrestriktionen besteht die Gefahr, dass sensible Daten erreicht oder Systeme manipuliert werden k\u00f6nnen.<\/p>\n Keine Protokollierung oder \u00dcberwachung<\/strong><\/p>\n Da diese Ger\u00e4te nicht Bestandteil des offiziellen Inventars sind, fehlen Logs und Audit Trails. Im Falle eines Sicherheitsvorfalls sind Ursachen schwer nachvollziehbar \u2013 und Verantwortlichkeiten unklar.<\/p>\n Verst\u00f6\u00dfe gegen Datenschutz- und Compliance-Richtlinien<\/strong><\/p>\n Regelwerke wie DSGVO, ISO 27001 oder branchenspezifische Vorgaben setzen voraus, dass Unternehmen vollst\u00e4ndige Kontrolle und Dokumentation \u00fcber ihre IT-Assets haben. Unverwaltete Ger\u00e4te gef\u00e4hrden diese Anforderungen und k\u00f6nnen zu Bu\u00dfgeldern oder Reputationssch\u00e4den f\u00fchren.<\/p>\n Potenzielle Verbreitung von Malware und Ransomware<\/strong><\/p>\n Ein infiziertes BYOD-Ger\u00e4t kann innerhalb k\u00fcrzester Zeit Schadsoftware ins Unternehmensnetzwerk einschleusen. Ohne Monitoring oder Schutzmechanismen verbreitet sich Malware ungehindert weiter \u2013 insbesondere in flach strukturierten Netzwerken.<\/p>\n F\u00fcr IT-Abteilungen und MSPs bedeutet das: Jede fehlende Transparenz ist ein potenzielles Risiko. Der n\u00e4chste Abschnitt zeigt deshalb, wie Sie mit automatisierten Tools und klaren Prozessen die Sichtbarkeit erh\u00f6hen und Kontrolle zur\u00fcckgewinnen.<\/p>\n Um die Kontrolle \u00fcber die im Netzwerk befindlichen Ger\u00e4te zu erlangen, ist vollst\u00e4ndige Transparenz unerl\u00e4sslich. Manuelles Tracking oder sporadische Sichtpr\u00fcfungen reichen bei der heutigen Netzwerkdynamik nicht aus. Stattdessen braucht es eine Kombination aus Technologie, Automatisierung und Prozessen, um nicht verwaltete Endger\u00e4te systematisch aufzusp\u00fcren.<\/p>\n 1. Asset Discovery Tools nutzen<\/strong><\/p>\n Moderne Asset Discovery Tools wie N‑sight RMM<\/a> scannen kontinuierlich das Netzwerk und identifizieren alle verbundenen Ger\u00e4te \u2013 inklusive Typ, Betriebssystem, IP-Adresse und Verbindungsdauer. Diese automatisierten L\u00f6sungen erkennen auch „stumme“ Ger\u00e4te, die nicht aktiv kommunizieren, sich aber ins Netzwerk einklinken. Besonders effektiv ist der Einsatz solcher Tools bei BYOD- oder IoT-Szenarien, wo sich Ger\u00e4te oft kurzfristig verbinden und wieder verschwinden.<\/p>\n Einige RMM- und Endpoint-Management-Plattformen bieten integrierte Discovery-Funktionen, die sich einfach in bestehende Umgebungen einbinden lassen. Vorteil: Neue oder verd\u00e4chtige Ger\u00e4te werden automatisch erkannt, klassifiziert und k\u00f6nnen direkt Richtlinien zugeordnet werden.<\/p>\n 2. Netzwerksegmentierung mit Monitoring kombinieren<\/strong><\/p>\n Technische Sichtbarkeit allein gen\u00fcgt nicht. Erst durch intelligente Netzwerksegmentierung lassen sich unverwaltete Ger\u00e4te in Quarant\u00e4ne-Zonen isolieren oder deren Zugriff gezielt beschr\u00e4nken. Erg\u00e4nzend empfiehlt sich ein kontinuierliches Netzwerk-Monitoring<\/a>, das nicht nur Ger\u00e4teidentit\u00e4ten, sondern auch deren Verhalten analysiert \u2013 etwa durch Traffic-Muster oder ungew\u00f6hnliche Zugriffsmuster.<\/p>\n 3. Abgleich mit dem IT-Inventar<\/strong><\/p>\n Ein regelm\u00e4\u00dfiger Abgleich von Discovery-Daten mit dem zentralen IT-Inventar ist essenziell. Nur so lassen sich unbekannte oder vergessene Ger\u00e4te eindeutig identifizieren. Systeme, die nicht im Verzeichnis auftauchen, sollten automatisch markiert und nachverfolgt werden.<\/p>\n 4. Automatisiertes Onboarding & Agent Deployment<\/strong><\/p>\n Sobald ein unverwaltetes Ger\u00e4t erkannt wurde, ist der n\u00e4chste Schritt die Integration ins zentrale Endpoint Management. \u00dcber Skripte oder automatisierte Workflows lassen sich Agents remote installieren und Sicherheitsrichtlinien durchsetzen \u2013 etwa Updates, Antivirus-Scans oder Zugriffsrichtlinien.<\/p>\n Unverwaltete Ger\u00e4te lassen sich nicht vollst\u00e4ndig vermeiden \u2013 wohl aber kontrollieren. Um die damit verbundenen Risiken wirksam zu minimieren, braucht es einen mehrschichtigen Ansatz, der sowohl organisatorische als auch technische Ma\u00dfnahmen umfasst. Im Folgenden zeigen wir konkrete Strategien auf, mit denen Unternehmen und MSPs mehr Sicherheit und Kontrolle gewinnen k\u00f6nnen.<\/p>\n Unverwaltete Ger\u00e4te lassen sich nicht vollst\u00e4ndig vermeiden \u2013 aber kontrollieren. Besonders im Kontext von BYOD (Bring Your Own Device) und hybriden Arbeitsmodellen ist es wichtig, nicht auf pauschale Verbote zu setzen, sondern auf verbindliche, praxisnahe Richtlinien.<\/span><\/p>\n 1. Eine BYOD-Policy entwickeln und kommunizieren<\/b><\/p>\n Eine gut strukturierte BYOD-Richtlinie sollte folgende Punkte abdecken:<\/p>\nWie lassen sich unverwaltete Ger\u00e4te identifizieren und erfassen?<\/h2>\n
Wie Unternehmen unverwaltete Ger\u00e4te absichern und BYOD kontrollieren k\u00f6nnen<\/h2>\n
Klar definierte Richtlinien statt Verbote<\/h3>\n