Apple-Geräte im Unternehmen: EU-Gesetze zwingen zum Handeln

Der neue Cyber Resilience Act der EU macht die Absicherung von iPhones und iPads zur rechtlichen Pflicht für Unternehmen. Die bewährten Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden damit zum entscheidenden Maßstab für Compliance.

In deutschen Büros sind Apple-Geräte allgegenwärtig. Doch ihre weite Verbreitung lockt auch Cyberkriminelle an. Neue EU-Regulierungen erhöhen nun den Druck auf Unternehmen, ihre mobile IT-Infrastruktur endlich ernsthaft abzusichern. Der kommende Cyber Resilience Act markiert einen Wendepunkt: Er verlagert die Verantwortung stärker auf die Hersteller und fordert Sicherheit von Beginn an. Für IT-Verantwortliche bedeutet das, die von Apple mitgelieferten Funktionen durch eigene, BSI-konforme Maßnahmen zu ergänzen.

Cyber Resilience Act: Countdown für die IT-Sicherheit

Der Cyber Resilience Act (CRA) stellt die IT-Sicherheitsgesetzgebung auf europäischer Ebene auf den Kopf. Die umfassenden Design-Pflichten für Hersteller wie Apple treten zwar erst Ende 2027 voll in Kraft, doch die Vorbereitungen laufen bereits. Ein erster Stichtag rückt näher: Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle melden.

Diese Transparenzpflicht soll zu schnelleren Updates zwingen. Für Unternehmen mit Hunderten von iPhones entsteht eine doppelte Herausforderung. Sie müssen nicht nur garantieren, dass Updates sofort installiert werden. Gleichzeitig muss die gesamte mobile Infrastruktur den verschärften Auflagen der NIS-2-Richtlinie genügen. Die Zeit des reagierenden Krisenmanagements ist vorbei – proaktive, dokumentierte Sicherheitskonzepte sind gefragt.

Viele Unternehmen unterschätzen die neuen Pflichten durch den Cyber Resilience Act – und riskieren bei Audits oder Vorfällen empfindliche Konsequenzen. Ein kostenloses E‑Book erklärt praxisnah, wie IT‑Teams iPhone‑ und iPad‑Flotten BSI‑konform verwalten, MDM‑Richtlinien umsetzen, VPN‑Anbindungen absichern und Vorfälle korrekt dokumentieren. Mit Checklisten, Prioritäten für den Rollout und Praxisbeispielen für MDM‑Rollouts und Notfallpläne. Jetzt kostenlosen Cyber‑Security‑Leitfaden für IT‑Verantwortliche herunterladen

BSI-Grundschutz: Die Blaupause für sichere Apple-Geräte

Während Brüssel den rechtlichen Rahmen setzt, liefert das BSI in Bonn die praktische Anleitung. Das IT-Grundschutz-Kompendium, speziell der Baustein „SYS.3.2.3 iOS (for Enterprise)“, ist die technische Bibel für den sicheren Einsatz von iPhones und iPads.

Das BSI macht unmissverständlich klar: Professioneller Einsatz erfordert zentrale Verwaltung. Ein Mobile-Device-Management-System (MDM) ist dabei Pflicht, nicht Kür. Über ein MDM können Administratoren Sicherheitsrichtlinien flächendeckend durchsetzen, Konfigurationen verteilen und den Status der gesamten Geräteflotte überwachen. Weitere essentielle Schritte sind die gesicherte Anbindung ans Firmennetzwerk per VPN und eine strenge Kontrolle der installierten Apps. Diese BSI-Empfehlungen sind der direkteste Weg zu einer CRA-konformen Mobilstrategie.

Vom theoretischen Konzept zur gelebten Praxis

Was bedeutet das konkret für IT-Abteilungen? Das blinde Vertrauen in die von Apple eingebauten Sicherheitsmechanismen reicht nicht mehr aus. Unternehmen müssen nachweisen können, dass sie eine durchdachte und dokumentierte Strategie verfolgen.

Der erste Schritt ist die Auswahl einer MDM-Lösung, die den BSI-Mindeststandards entspricht. Darauf aufbauend müssen Prozesse für das App-Management etabliert werden. Welche Apps sind erlaubt? Wer darf sie installieren? Ein weiterer Schlüssel liegt in der Authentifizierung. Moderne, phishing-resistente Methoden wie Passkeys nach dem FIDO2-Standard, die von Apple forciert werden, stehen im Einklang mit den BSI-Zielen. Regelmäßige Audits und die sofortige Installation von Sicherheitsupdates runden das Paket ab.

Geteilte Verantwortung, gemeinsames Risiko

Die neue Gesetzeslage schafft eine geteilte Verantwortung. Hersteller wie Apple müssen nun „Security by Design“ liefern und transparent über Schwachstellen informieren. Die Unternehmen tragen hingegen die Verantwortung für die sichere Konfiguration und Verwaltung der Geräte nach nationalen Standards wie dem BSI-Grundschutz.

Die Nichteinhaltung ist kein Kavaliersdelikt mehr. Sie birgt erhebliche rechtliche und finanzielle Risiken. Die neuen Regulierungen zwingen Unternehmen dazu, ihre oft stiefmütterlich behandelten mobilen Infrastrukturen endlich als integralen Bestandteil der gesamten Unternehmens-IT zu betrachten und mit derselben Sorgfalt zu schützen.

Der Weg nach vorn: Strategische Notwendigkeit Compliance

Der Countdown läuft. Bis September 2026 müssen die Prozesse stehen. Es ist absehbar, dass IT-Dienstleister und MDM-Anbieter ihre Lösungen verstärkt als „BSI-konform“ und „CRA-ready“ bewerben werden. Unternehmen sollten bei der Partnerauswahl genau auf diese Zertifizierungen achten.

Das BSI wird seine Grundschutz-Bausteine kontinuierlich an die neue Rechtslage anpassen. Die enge Zusammenarbeit mit Herstellern bleibt entscheidend, um auch künftige Gerätegenerationen schnell bewerten zu können. Für Deutschlands IT-Abteilungen wird die nachweisbare Absicherung ihrer Apple-Geräte von einer technischen Aufgabe zu einer strategischen Überlebensfrage.

PS: Sie wollen Ihr Mobil‑Security‑Programm schnell CRA‑ready machen? Dieser Gratis‑Report zeigt kosteneffiziente, sofort umsetzbare Schritte – von MDM‑Checklisten über VPN‑Konfigurationen bis zu Phishing‑Schutzmaßnahmen und Audit‑Vorlagen. Ideal für IT‑Leiter, die Prozesse dokumentieren und Prüfungen bestehen müssen. Kostenlosen CRA‑Ready‑Leitfaden sichern