Vom Unternehmen kontrollierte mobile Identität am Entstehungsort
Ein technischer Überblick für Führungskräfte aus den Bereichen Telekommunikation, Sicherheit und Compliance
Von CallTower, Inc. veröffentlichtes Whitepaper
Zusammenfassung
Die mobile Kommunikation hat sich zu einem der wichtigsten Kanäle für die Unternehmenskommunikation entwickelt, doch die meisten geschäftlichen Mobilfunkgespräche werden außerhalb der Kommunikationsinfrastruktur des Unternehmens geführt oder sind anderweitig von dieser abgekoppelt. Die Folge ist eine strukturelle Lücke in Bezug auf Identität, Richtlinien und Compliance, die nachgelagerte Plattformen nicht schließen können. Dieser Artikel definiert die mobile Unternehmensidentität, nennt die spezifischen Risiken, die sich aus ihrem Fehlen ergeben, vergleicht bestehende Lösungsansätze für das Problem und beschreibt, wie der Mobile Native Dialer von CallTower dieses Problem auf der Netzwerkebene statt auf der Anwendungsebene angeht. Die Argumentation ist bewusst eng gefasst: Was CallTower bietet, ist kein Ersatz für Unified Communications, Mobile Device Management oder umfassendere Off-Channel-Kontrollen, sondern ein Mechanismus, der sicherstellt, dass jeder von einem Mobilgerät getätigte Geschäftsanruf vom Moment der Entstehung an ein Anruf über die unternehmenseigene Kommunikationsinfrastruktur ist.
1. Das Problem, das das Handy verursacht hat
Während des größten Teils der Geschichte der Geschäftstelefonie war die Unternehmensidentität ein Nebenprodukt der Infrastruktur. Das Tischtelefon, die zugewiesene Durchwahl, die Telefonanlage und die Gebäudeverkabelung deuteten alle auf dasselbe hin: einen bekannten geschäftlichen Nutzer an einer bekannten geschäftlichen Leitung, über eine Verbindung, die das Unternehmen durchgängig kontrollierte. Die Identität musste nicht extra nachgewiesen werden. Sie ergab sich bereits aus der Art und Weise, wie der Anruf zustande kam.
Die Mobilfunktechnologie hat diese Abgrenzung aufgehoben. Ein vom Mitarbeiter mitgeführtes Mobiltelefon wird von einem Mobilfunkbetreiber im Rahmen eines Privat- oder Kleinunternehmensvertrags bereitgestellt, über eine an diesen Teilnehmer gebundene SIM-Karte authentifiziert und über das Kernnetz des Betreibers geleitet, bevor es mit irgendetwas in Berührung kommt, das dem Unternehmen gehört. Wenn der Mitarbeiter einen geschäftlichen Anruf tätigt, gibt es im Ursprungspfad keinen Hinweis für das empfangende System – oder die unternehmensinternen Richtlinien-, Aufzeichnungs- und Compliance-Systeme –, dass es sich um eine geschäftliche Kommunikation handelt. Der Anruf ist einfach ein Mobilfunkanruf, der zufällig von jemandem getätigt wird, der für das Unternehmen arbeitet.
Diese Lücke können nachgelagerte Plattformen nicht schließen. Sie muss bereits an der Stelle geschlossen werden, an der der Anruf beginnt.
2. Definition der mobilen Identität im Unternehmen
Bevor wir fortfahren, muss der Begriff definiert werden, da er in der Branche bisher sehr unterschiedlich verwendet wurde.
Der Begriff „mobile Unternehmensidentität“ bezeichnet in diesem Zusammenhang drei spezifische Bedingungen, die bei der Anrufauslösung festgelegt werden:
Erstens erfolgt die Kommunikation über eine Unternehmens-DID – eine Geschäftsnummer, die sich im Besitz des Unternehmens befindet und von diesem verwaltet wird – und nicht über eine private Handynummer, die von einem Mobilfunkanbieter einer Einzelperson zugewiesen wurde.
Zweitens wird die Kommunikation gegenüber der UC-Plattform des Unternehmens als Erweiterung dieser Plattform authentifiziert und nicht als externer Anruf, der zufällig an einen Mitarbeiter oder von diesem getätigt wird.
Drittens durchläuft der Signalisierungsweg des Anrufs die vom Unternehmen kontrollierte Infrastruktur, bevor er das öffentliche Netz erreicht, sodass Richtlinien-, Aufzeichnungs- und Compliance-Systeme den Anruf als internes Geschäftsereignis und nicht als externes Ereignis erkennen.
Eine Lösung, die nur eines oder zwei dieser Elemente bietet, schafft keine mobile Unternehmensidentität. Sie liefert lediglich einen Teilhinweis, den nachgelagerte Systeme noch interpretieren müssen.
3. Was es kostet, wenn man dieses Problem nicht löst
Die Lücke bei der mobilen Identitätsprüfung ist kein rein theoretisches Problem. Sie führt zu konkreten, messbaren Risiken in vier Bereichen, die sich jeweils in Aufzeichnungen zu behördlichen Maßnahmen, in Gerichtsurteilen oder in betrieblichen Kennzahlen widerspiegeln, die Unternehmen ohnehin bereits erfassen.
Risiko im Zusammenhang mit der Aufbewahrung von Unterlagen für aufsichtsrechtliche Zwecke.
Seit Ende 2021 haben die SEC und die CFTC Geldstrafen in Höhe von insgesamt mehreren Milliarden Dollar gegen Broker-Dealer und Anlageberater verhängt, weil diese es versäumt hatten, geschäftliche Kommunikation zu dokumentieren, die über private Geräte und außerhalb der offiziellen Kanäle stattfand. Allein J.P. Morgan Securities zahlte für solche Verstöße eine Strafe in Höhe von 200 Millionen Dollar. Das Durchsetzungsmuster erstreckt sich auf die meisten großen Finanzinstitute, und die Rechtsgrundlage ist einheitlich: Wenn ein regulierter Mitarbeiter Geschäfte über einen mobilen Kanal tätigte, den das Unternehmen nicht erfasste, hat das Unternehmen seine Aufbewahrungspflicht verletzt. Ein Modell der mobilen Kommunikation, bei dem geschäftliche Anrufe und Textnachrichten routinemäßig außerhalb der UC-Plattform stattfinden, schafft nicht nur ein Risiko – es führt genau zu der Beweislücke, auf die die Durchsetzungsmaßnahmen abzielen. Unternehmen in den Bereichen Finanzdienstleistungen, Gesundheitswesen und anderen regulierten Branchen können sich nicht auf das Ermessen ihrer Mitarbeiter verlassen, um diese Lücke zu schließen.
Risiken im Zusammenhang mit Rechtsstreitigkeiten und E-Discovery.
Selbst außerhalb regulierter Branchen kann die über private Telefonnummern geführte Mobilfunkkommunikation im Falle eines Rechtsstreits zu einer rechtlichen Belastung werden. Gerichte verlangen zunehmend die Vorlage von Kommunikationsdaten von privaten Geräten, wenn diese für geschäftliche Zwecke genutzt wurden. Dies führt zu Befragungen der Geräteverwalter, der Erstellung von Geräteabbildern und Aufbewahrungspflichten, die kostspielig, in die Privatsphäre eingreifend und nur schwer sauber umzusetzen sind. Ein Anruf, der über die Kommunikationsinfrastruktur des Unternehmens getätigt wird, wird erfasst, gespeichert und kann über dieselben Prozesse bereitgestellt werden, die das Unternehmen bereits für E-Mail- und Festnetzaufzeichnungen nutzt. Ein Anruf, der über eine private Leitung getätigt wird, erfüllt keine dieser Voraussetzungen.
Identitätsbetrug und Social Engineering.
Wenn Führungskräfte und Mitarbeiter geschäftliche Anrufe über ihre privaten Handynummern tätigen, verfügt das Unternehmen über keine verlässliche Grundlage, anhand derer es Identitätsbetrug erkennen könnte. Jeder Angreifer kann eine private Nummer vortäuschen. Der Empfänger eines geschäftlichen Anrufs von einer unbekannten Handynummer hat keine zuverlässige Möglichkeit, diese zu überprüfen. Die Etablierung einer einheitlichen geschäftlichen Identität bei ausgehenden Mobilfunkgesprächen – also einer überprüfbaren Unternehmens-DID anstelle einer privaten Nummer – beseitigt die Unklarheiten, die Social-Engineering-Angriffe ausnutzen.
Operative blinde Flecken.
Unternehmen investieren erhebliche Summen in Tools, die darauf angewiesen sind, dass die Kommunikation für die UC-Plattform sichtbar ist: Anrufanalysen, CRM-Integration, Qualitätsmanagement der Belegschaft, Compliance-Überwachung und zunehmend auch KI-gestützte Konversationsintelligenz. Mobile Anrufe, die die UC-Plattform umgehen, sind für all diese Funktionen nicht sichtbar. Das Unternehmen bezahlt für Einblicke, erhält diese jedoch nicht für einen wachsenden Anteil seiner Kommunikation – und dieser Anteil wächst, weil das mobile Arbeiten zunimmt. Die Tools sind nicht leistungsschwach; ihnen fehlen lediglich die Daten.
Allen vier Kategorien liegt dieselbe Struktur zugrunde: Jedes Risiko ist eine Folge von Geschäftskommunikation, die außerhalb der Kommunikationsinfrastruktur des Unternehmens entsteht. Durch die Bekämpfung der Ursache lassen sich alle vier Risiken angehen.
4. Warum die naheliegenden Alternativen nicht ausreichen
Es gibt drei weit verbreitete Ansätze für die mobile Geschäftskommunikation. Jeder davon löst einen Teil des Problems, lässt jedoch die Frage nach der Identität offen.
UC-Apps für Mobilgeräte (Teams Mobile, Webex, Zoom Phone und ähnliche Softphone-Clients).
Diese Apps führen geschäftliche Anrufe über das Datennetz mittels einer Anwendung auf dem Gerät durch. Bei ihrer Nutzung wird eine Unternehmensidentität hergestellt, da der Anruf innerhalb der UC-Plattform zustande kommt. Die Schwachstelle liegt im Nutzerverhalten und in der Technik: Nutzer tätigen geschäftliche Anrufe häufig über den nativen Dialer, anstatt die App zu öffnen, was die Identitätskontrolle vollständig zunichte macht; außerdem ist VoIP über Mobilfunkdaten weniger zuverlässig als native Sprachverbindungen, insbesondere in Gebieten mit schwacher Datenabdeckung, was die Nutzer wieder zum nativen Dialer zurücktreibt. Das Identitätsmodell ist im Prinzip solide, weist in der Praxis jedoch Lücken auf.
Verwaltung mobiler Geräte und Container für Arbeitsprofile (Intune, Android Work Profile, Samsung Knox, verwaltete iOS-Konfigurationen).
Dadurch werden geschäftliche und private Daten auf dem Gerät voneinander getrennt, Anrufe werden jedoch nicht über die Unternehmensinfrastruktur getätigt. Ein vom Arbeitsprofil aus getätigter Anruf verlässt das Gerät weiterhin als gewöhnlicher Mobilfunkanruf über das Netz des Netzbetreibers, wobei die private Mobilfunknummer des Nutzers angezeigt wird, sofern keine UC-App in den Datenpfad eingebunden ist. Die Containerisierung löst das Datenproblem, nicht jedoch das Problem der Sprachidentität.
Native mobile Integrationen, die direkt von UC-Anbietern angeboten werden.
Diese Lösungen kommen dem richtigen Modell näher, indem sie den Mobilfunkvertrag mit der UC-Plattform verknüpfen, sodass die geschäftliche Rufnummer über die native Wählfunktion anruft. Die Einschränkung besteht darin, dass diese Angebote in der Regel an bestimmte Mobilfunkanbieter und bestimmte geografische Abdeckungsgebiete gebunden sind. Ein Unternehmen mit einer Multi-Carrier-Umgebung, internationalen Nutzern oder einer Mischung aus BYOD- und unternehmensgeführten Geräten kann sich oft nicht auf ein einziges Direktangebot standardisieren. Eine einheitliche Lösung erfordert einen Anbieter, der zwischen dem Mobilfunknetz und der UC-Plattform angesiedelt ist und die Integration über den gesamten Unternehmensbereich hinweg bereitstellen kann.
Genau diese Rolle übernimmt der CallTower Mobile Native Dialer.
5. Was ist der native Dialer von CallTower Mobile?
CallTower ist seit 2002 als Anbieter von Cloud-Kommunikationslösungen für die Unternehmens-UC tätig und bietet PSTN-Anbindung sowie Plattformintegration für Microsoft Teams (über Operator Connect und Direct Routing), Cisco Webex Calling und Zoom Phone. Der CallTower Mobile Native Dialer erweitert diese Funktion auf den Mobilbereich, indem er eine vom Unternehmen kontrollierte Verbindung zwischen dem Mobilgerät und der UC-Plattform auf Netzwerkebene – und nicht auf App-Ebene – herstellt.
Das Mobilgerät des Nutzers wird mit einer von CallTower ausgestellten Unternehmens-eSIM ausgestattet. Die eSIM kann auf einem vom Unternehmen bereitgestellten Gerät als primäre SIM-Karte oder auf einem privaten BYOD-Gerät als zweite Leitung neben der privaten SIM-Karte des Nutzers installiert werden. Nach der Installation verbindet sich das Gerät als VoLTE-Teilnehmer auf der Unternehmensleitung mit dem Mobilfunkkern von CallTower. In bestimmten Ländern kann diese Verbindung GSM- oder 2G-Netze nutzen.
Das Unternehmen weist dieser SIM-Karte eine Unternehmens-DID zu – in der Regel die bestehende Microsoft Teams-Nummer, die Webex Calling-Nummer oder eine andere Geschäfts-DID des Benutzers, die bereits in der UC-Plattform verwaltet wird. Die Rolle von CallTower als Microsoft Teams Operator Connect-Anbieter und als Cisco Certified Mobile Calling Provider bedeutet, dass die DID keine parallel zum Mobiltelefon zugewiesene Nummer ist; es handelt sich um dieselbe Geschäftsnummer, die über dieselbe Steuerungsebene auf dem Mobiltelefon bereitgestellt wird, die das Unternehmen bereits für seine Festnetztelefone und Softphones nutzt.
Von diesem Zeitpunkt an wird jeder Anruf, der über die Geschäftsleitung getätigt oder empfangen wird, über die Infrastruktur von CallTower geleitet, die über dieselben PSTN- und Session-Border-Controller-Verbindungen, die CallTower für die Festnetzkommunikation des Unternehmens betreibt, direkt mit der UC-Plattform verbunden ist. Das Mobiltelefon ist kein externer Anrufer, der in die UC-Plattform weitergeleitet wird. Es ist ein Endpunkt der UC-Plattform. Der Unterschied zum herkömmlichen Mobilfunkmodell ist in Abbildung 1 dargestellt.
Abbildung 1. Ausgehende geschäftliche Anrufe: herkömmlicher Mobilfunkweg im Vergleich zum CallTower Mobile Native Dialer-Weg.
Aus dieser Architektur ergeben sich drei Konsequenzen.
Der Anruf gelangt niemals als anonymer Privatkundenanruf in das öffentliche Mobilfunknetz. Er entsteht als authentifizierte Sitzung auf einem Mobilfunk-Kernnetz, das CallTower im Rahmen einer kommerziellen und signaltechnischen Vereinbarung mit dem Unternehmen betreibt.
Die Trennung der Nutzerprofile erfolgt auf Geräteebene, also noch vor der Netzwerk- und App-Ebene. Auf einem BYOD-Gerät handelt es sich bei der geschäftlichen eSIM und der privaten SIM um zwei voneinander unabhängige Mobilfunkverträge auf demselben Gerät. Der native Wähler zeigt dem Nutzer an, welche Leitung gerade aktiv ist. Es gibt keine App, deren Öffnen man vergessen könnte, und keinen Weg, über den ein Anruf über die geschäftliche Leitung versehentlich über die private Leitung des Geräts geführt werden könnte.
Die UC-Plattform betrachtet das Mobiltelefon als Erweiterung. Anrufaufzeichnung, Compliance-Protokollierung, Präsenzanzeige, Voicemail, Anrufweiterleitung und Kurzwahl funktionieren auf dem Mobiltelefon, da die UC-Plattform es genauso behandelt wie ein Festnetztelefon. Der blinde Fleck, den MDM- und UC-Apps hinterlassen – also mobile Anrufe, die außerhalb des Sichtbereichs der UC-Plattform stattfinden – existiert nicht, da es keine Möglichkeit gibt, einen geschäftlichen Anruf außerhalb dieser Plattform zu tätigen.
6. Die drei Fragen, mechanisch beantwortet
Die Definition in Abschnitt 2 warf drei Fragen dazu auf, was unter einer mobilen Unternehmensidentität zu verstehen ist. Da der Mechanismus nun vorliegt, gibt es für jede dieser Fragen eine konkrete Antwort. Die Identitätskette, die sie miteinander verbindet, ist in Abbildung 2 dargestellt.
Abbildung 2. Die Identitätskette vom benannten Benutzer zur authentifizierten mobilen Sitzung.
Wer kommuniziert? DerAnruf wird anhand einer bestimmten Unternehmens-eSIM authentifiziert, die mit einer bestimmten DID in der UC-Plattform verknüpft ist, welche wiederum einem bestimmten, namentlich genannten Benutzer im Unternehmensverzeichnis zugewiesen ist. Die Identitätskette ist bei jedem Schritt eindeutig.
Unter welcher Profilidentität? Aufeinem BYOD-Gerät sind die geschäftlichen und privaten Abonnements auf Geräteebene voneinander getrennt, wobei dem nativen Wählprogramm separate Leitungsidentitäten zur Verfügung stehen. Die Profilidentität richtet sich danach, welche Leitung der Benutzer auswählt; es gibt keinen Mechanismus, durch den ein Anruf auf der geschäftlichen Leitung fälschlicherweise der privaten Leitung zugeordnet werden könnte oder umgekehrt.
Über welchen Weg? DerAnruf durchläuft den Mobilfunkkern von CallTower und die bestehende UC-Plattform des Unternehmens, bevor er ein externes Ziel erreicht. Der Weg wird durch die Netzanbindung der SIM-Karte festgelegt, nicht durch die Auswahl einer App.
7. Warum dies für Compliance und Sicherheit wichtig ist
Das Identitätsargument steht in direktem Zusammenhang mit den in Abschnitt 3 genannten Risiken.
Bei regulierten Unternehmen wird jeder geschäftliche Anruf über ein Mobiltelefon automatisch zu einem Anruf über die UC-Plattform. Die gleichen Aufzeichnungs-, Aufbewahrungs- und Überwachungsmaßnahmen, die das Unternehmen bereits für Festnetztelefone und Softphones anwendet, gelten ohne Änderungen auch für Mobiltelefone. Die Lücke in der Aufzeichnungspflicht, die zu den Durchsetzungsmaßnahmen der SEC geführt hat, wird strukturell geschlossen und nicht durch administrative Maßnahmen behoben.
Für Sicherheitsteams verfügt das Unternehmen nun über eine einheitliche, überprüfbare Unternehmensidentität bei ausgehenden Mobilfunkgesprächen. Zero-Trust-Architekturen und identitätsbasierte Zugriffskontrollen erhalten damit eine mobile Komponente, über die sie zuvor nicht verfügten. Identitätsbetrugsangriffe, die auf dem Fehlen einer verbindlichen Unternehmensnummer beruhen, verlieren ihren Nährboden.
Im operativen Bereich bietet die UC-Plattform wieder einen Überblick über die mobile Kommunikation. Analysen, CRM-Protokollierung, Qualitätsmanagement und dialogorientierte KI werden bei Mobilfunkgesprächen genauso eingesetzt wie bei allen anderen Anrufen, die die Plattform verarbeitet.
8. Was der native Dialer von CallTower Mobile nicht ist
Die Argumente für die Lösung sind überzeugender, wenn ihre Grenzen klar sind.
Es ist kein Ersatz für eine UC-Plattform. Es lässt sich in Teams, Webex und Zoom Phone integrieren; es steht nicht in Konkurrenz zu diesen. Ein Unternehmen ohne UC-Plattform hat keine Verwendung dafür.
Es handelt sich nicht um eine Lösung zur Verwaltung mobiler Geräte. Sie regelt den Kommunikationsweg, nicht das Gerät selbst. Unternehmen, die das Gerät verwalten müssen – Verschlüsselung, App-Installation, Fernlöschung –, benötigen weiterhin eine MDM-Lösung.
Dies ist keine allgemeingültige Lösung für das Risiko der Kommunikation über nicht unternehmensinterne Kanäle. Mitarbeiter können weiterhin private Messaging-Apps, private E-Mail-Konten und andere Kanäle nutzen, die vollständig außerhalb der Unternehmensinfrastruktur liegen. Die Lösung verhindert lediglich den konkreten Fall, dass geschäftliche Sprach- oder SMS-Kommunikation über ein Mobiltelefon der Kontrolle des Unternehmens entgeht.
9. Schlussfolgerung
Das Problem der mobilen Identitätsverwaltung in Unternehmen ist spezifisch: Mobile Anrufe entstehen in einem Netzwerkkontext, den das Unternehmen nicht kontrolliert, und mit einer Identität, die nachträglich nicht zuverlässig mit den Unternehmenssystemen verknüpft werden kann. UC-Anwendungen lösen dieses Problem teilweise, lassen jedoch durch das Nutzerverhalten Lücken auf. MDM löst ein damit verbundenes Problem. Mobile Integrationen direkt vom Anbieter lösen es innerhalb enger Grenzen hinsichtlich Netzbetreiber und geografischer Lage.
CallTower Mobile Native Dialer löst dieses Problem auf Netzwerkebene, indem er den vom Unternehmen kontrollierten Mobilfunk-Kern von CallTower in den Anrufpfad einbindet, das Gerät über eine Unternehmens-eSIM mit diesem Kern verbindet und das Mobilgerät der UC-Plattform als native Nebenstelle präsentiert – unter Verwendung derselben „Operator Connect“- und „Direct Routing“-Integrationen sowie der Webex Calling-Integrationen, die CallTower bereits für die Festnetzumgebung bereitstellt. Das Ergebnis ist, dass ein mobiler Geschäftsanruf vom Moment der Anrufauslösung an ein Anruf über die Kommunikationsinfrastruktur des Unternehmens ist – mit den damit verbundenen Identitäts-, Richtlinien- und Compliance-Eigenschaften.
Das ist eine präzisere Aussage als „mobile Identität – gelöst“. Es ist zudem eine Aussage, die sich überprüfen, in einem Architekturdiagramm darstellen und anhand einer Implementierung testen lässt. Genau diese Eigenschaften machen ein Argument für einen Käufer interessant.
Über CallTower
CallTower bietet Lösungen für Microsoft Teams, Cisco Webex Calling, Zoom Phone und KI-gestützte Contact Center, die alle durch einen weltweit rund um die Uhr verfügbaren Servicebetrieb unterstützt werden. Dank umfassender Plattformintegrationen, einer hochverfügbaren Spracharchitektur und globaler Expertise im Nummernmanagement ermöglicht CallTower Unternehmen die Standardisierung ihrer Collaboration-Tools, während sie sich weltweit auf einen einzigen Partner für die Kontinuität ihrer Sprachkommunikation verlassen können. Der CallTower Mobile Native Dialer erweitert diese Integrationen auf das mobile Erlebnis und sorgt für ein einheitliches Unternehmens-Telefonieren über alle Geräte und Standorte hinweg.
