Endpoint Security Glossar
MDM (Mobile Device Management)
Zentrale Verwaltung und Absicherung mobiler Unternehmensgeräte (Smartphones, Tablets, Laptops). MDM ermöglicht Remote-Wipe, App-Verteilung, Verschlüsselungsdurchsetzung und Compliance-Überwachung - Grundvoraussetzung für sichere BYOD- und Corporate-Mobility-Strategien.
MDM ist für Unternehmen mit mobilen Endgeräten das, was Active Directory für Windows-PCs ist: die zentrale Kontrollinstanz. Ohne MDM sind Smartphones und Tablets unkontrollierte Einfallstore - mit MDM werden sie zu verwalteten, compliant-en Unternehmensgeräten.
MDM / UEM - Die Begriffe
| Begriff | Fokus | Besonderheit |
|---|---|---|
| MDM (Mobile Device Management) | Geräteverwaltung (iOS, Android) | Ursprünglicher Begriff (2000er Jahre): Remote Wipe, Passcode, Verschlüsselung |
| MAM (Mobile Application Management) | App-Management ohne Geräteverwaltung | Nur spezifische Apps werden kontrolliert; Vorteil: BYOD ohne volle Gerätekontrolle |
| EMM (Enterprise Mobility Management) | MDM + MAM + MCM (Content) + Identity | Vollständige Mobility-Plattform |
| UEM (Unified Endpoint Management) | iOS + Android + Windows + macOS + Linux | Moderne Bezeichnung; alle Gerätetypen in einer Konsole; Marktführer: Microsoft Intune, Jamf, VMware Workspace ONE |
Empfehlung: UEM-Lösung für einheitliche Verwaltung aller Endgeräte
Was MDM kann (und was nicht)
MDM kann
Sicherheit durchsetzen:
- Bildschirmsperre mit PIN/Biometrie erzwingen
- Geräteverschlüsselung aktivieren (iOS: immer; Android: prüfen)
- Passwort-Komplexität definieren
- Inaktivitätssperre (z.B. nach 2 Minuten)
- Jailbreak/Root-Detection → Zugang sperren
App-Management:
- Apps zentral deployen (App Store + Enterprise-Apps)
- Apps erzwingen (VPN-App, EDR-Agent)
- Apps sperren (TikTok, Facebook - regulatorische Gründe)
- App-Konfiguration (VPN-Profile, Zertifikate, Wi-Fi)
Compliance und Monitoring:
- Geräteinventar (welche Geräte hat das Unternehmen?)
- OS-Version überwachen (veraltete iOS/Android erkennen)
- Compliance-Status (alle Anforderungen erfüllt?)
- Geo-Location (wenn erlaubt/aktiviert)
Notfallmaßnahmen:
- Remote Wipe: Gerät aus der Ferne löschen (verloren/gestohlen)
- Selective Wipe: nur Unternehmensdaten löschen (BYOD!)
- Remote Lock: Gerät sperren
- Remote Passcode Reset
MDM kann nicht
- Verschlüsselten App-Inhalt (WhatsApp-Nachrichten) lesen
- Browserverlauf überwachen (ohne MAM/Browser-Managed)
- Standort ohne Aktivierung und Zustimmung tracken
- Auf private Apps und Daten zugreifen (BYOD: getrennte Container)
- Sicherheitslücken in Apps erkennen (dafür: MAM + MTD)
Microsoft Intune - Konfigurationsbeispiel
Microsoft Intune (Teil von M365 / Entra ID Suite) bietet:
- Beste Integration mit Azure AD / Entra ID
- Windows, iOS, Android, macOS in einer Konsole
- Conditional Access: Nur compliant-e Geräte → Zugriff
Compliance Policy (iOS - Beispiel):
Gerätezustand:
✓ Jailbreak: nicht erlaubt
✓ Mobile Threat Defense: Bedrohungsstufe max. "niedrig"
Geräteeigenschaften:
✓ Minimales iOS: 17.0
✓ Maximales iOS: nicht eingeschränkt
Systemsicherheit:
✓ Passwort erforderlich: Ja
✓ Einfaches Passwort: Nein
✓ Passworttyp: Alphanumerisch
✓ Minimale Passwortlänge: 8
✓ Maximale Inaktivität vor Passwortanforderung: 5 Minuten
✓ Ablauf des Passworts (Tage): 365
Wenn nicht compliant:
→ Conditional Access: blockiert Zugriff auf Exchange, SharePoint
→ Benachrichtigung an Benutzer
→ Nach 3 Tagen: Remote Wipe (wenn nicht behoben)Configuration Profile (iOS - automatisch deployen):
Wi-Fi:
SSID: FirmaWLAN
Sicherheit: WPA3 Enterprise
Zertifikat: [Geräte-Zertifikat aus PKI]
VPN:
Typ: Always-On VPN (IKEv2)
Server: vpn.firma.de
Authentifizierung: Zertifikat
Zertifikate:
Root CA: [Interne CA]
Gerätezertifikat: [Für 802.1X / VPN]
Einschränkungen:
AirDrop: Gesperrt (Datenleck-Risiko!)
iCloud Backup: Gesperrt (nur Unternehmens-MDM Backup)
App Store: Erlaubt (oder nur bestimmte Apps)
Kamera: Erlaubt (oder gesperrt in sensiblen Bereichen)
Siri: Erlaubt (oder gesperrt für sensible Bereiche)BYOD mit MDM - Die Balance zwischen Sicherheit und Privatsphäre
BYOD-Herausforderung:
- Mitarbeiter möchten private Geräte nutzen
- Unternehmen muss Daten schützen
- Mitarbeiter fragen: “Was kann die IT auf meinem Handy sehen?”
Lösung: MDM Container / Work Profile
iOS (Managed Open In / Managed Accounts):
- Unternehmens-Apps und -Daten: managed
- Private Apps: nicht berührt
- Separation auf App-Ebene
- MDM sieht: Geräte-Compliance, installierte managed Apps
- MDM sieht nicht: private Apps, private Fotos, Browser
Android Enterprise (Work Profile):
- Separates “Work Profile” (virtualisierter Container)
- Work-Apps: eigenes Icon-Badge (Aktentasche)
- MDM verwaltet nur Work Profile
- Private Seite: vollständig unsichtbar für MDM
- Selective Wipe: löscht nur Work Profile
Was der IT-Admin wirklich sieht (DSGVO-Transparenz)
Sichtbar:
- Gerätemodell und OS-Version
- Compliance-Status (Passcode vorhanden? Verschlüsselt?)
- Installierte verwaltete Apps
- Letzter Check-in-Zeitpunkt
Nicht sichtbar:
- Standort (ohne explizite Aktivierung/Zustimmung)
- Anrufprotokoll
- Private Nachrichten
- Browser-Verlauf
- Private Apps
DSGVO-Hinweise für BYOD-Programme
- Betriebsvereinbarung oder Einwilligungserklärung
- Transparente Information: Was wird erhoben?
- Recht auf Selective Wipe statt Full Wipe
- Datenschutzfolgenabschätzung (wenn umfangreiche Überwachung)
Mobile Threat Defense (MTD) - MDM-Ergänzung
MDM = Konfiguration und Compliance MTD = Echtzeit-Bedrohungserkennung auf dem Gerät
MTD-Lösungen erkennen:
- Phishing-Links in SMS, E-Mail, Browser
- Malicious Apps (auch seitengeladene APKs)
- Netzwerkangriffe (Man-in-the-Middle auf WLAN)
- OS-Schwachstellen (Jailbreak-Exploits)
- Anomales App-Verhalten (Credential-Stealer)
Integration: MDM + MTD + Conditional Access:
MTD-Agent auf Gerät erkennt Bedrohung → meldet an MDM → Compliance = “compromised” → Conditional Access sperrt Zugriff auf Firmen-Apps → User erhält Benachrichtigung: “Bitte MTD-Problem beheben”
Bekannte MTD-Lösungen:
- Microsoft Defender for Endpoint (mobile)
- Lookout for Work
- Zimperium zIPS
- SentinelOne Singularity Mobile
Lizenzkosten: i.d.R. €2-5/Gerät/Monat additional
MDM Deployment - Checkliste
Vorbereitung
- MDM-Lösung wählen (Intune, Jamf, Workspace ONE)
- MDM-Server aufsetzen oder Cloud-Tenant konfigurieren
- Apple Push Notification Service (APNs) Zertifikat (für iOS)
- Android Enterprise Binding (Google Account)
- Enrollment-Strategie: User vs. Device Enrollment
- Betriebsvereinbarung / DSGVO-Hinweise erstellen
Policies definieren
- Passcode-Policy (Länge, Komplexität, Ablauf)
- Verschlüsselung (iOS: immer; Android: prüfen)
- Jailbreak/Root-Detection: Zugang sperren
- OS-Update-Mindestanforderungen
- App-Whitelist/Blacklist
- VPN-Konfiguration (App-spezifisch oder always-on)
Enrollment
- Corporate Devices: Zero-Touch Enrollment (Apple DEP / Android Zero Touch)
- BYOD: Self-Service Portal
- User-Kommunikation: Was wird verwaltet? Was nicht?
- Pilot-Gruppe: 10-20 Geräte zuerst
- Vollständiger Rollout nach erfolgreichem Pilot
Monitoring
- Compliance-Dashboard: täglich prüfen
- Non-compliant Geräte: Eskalationsprozess
- Veraltete OS-Versionen: Meldung an User + Frist
- Verlorene/gestohlene Geräte: Remote Wipe Prozess dokumentiert
