Mobile Device Management (MDM): Smartphones und Tablets sicher verwalten
Mobile Device Management (MDM) ermöglicht die zentrale Verwaltung von Smartphones, Tablets und Laptops. Dieser Artikel erklärt MDM-Architekturen, Enrollment-Methoden (DEP/Apple Business Manager, Android Enterprise Zero-Touch), Compliance Policies, App Management (MAM), BYOD vs. Firmeneigene Geräte und Produkt-Vergleich (Intune, Jamf, VMware Workspace ONE).
Inhaltsverzeichnis (5 Abschnitte)
Mobile Geräte sind der am häufigsten vergessene Teil der IT-Sicherheit. Laptops werden akribisch gemanagt - das iPhone des Vertriebs hat dagegen vollen Zugriff auf Exchange und SharePoint, kein Passwort, keine Verschlüsselung, keine Möglichkeit zum Remote-Wipe. MDM schließt diese Lücke.
MDM-Architektur und Protokolle
MDM-Grundprinzip:
Enrollment:
Gerät → MDM-Enrollment-URL → MDM-Profil installiert
→ MDM-Profil installiert Certificate Authority für sichere Kommunikation
→ MDM hat jetzt Management-Kanal zum Gerät
MDM-Protokolle:
Apple (iOS/macOS): APNs (Apple Push Notification Service)
Android: Firebase Cloud Messaging (FCM)
Windows: Windows Push Notification Services (WNS) + OMA-DM
Was MDM verwalten kann:
Konfiguration:
→ WLAN-Profile (Corporate-WLAN automatisch konfigurieren)
→ E-Mail-Profile (Exchange-Konfiguration automatisch)
→ VPN-Profile (VPN-Client automatisch konfiguriert)
→ Zertifikate: Client-Zertifikate für WPA2-Enterprise, VPN
Sicherheitspolicies:
→ Passcode/PIN: Pflicht, Mindestlänge, Komplexität
→ Geräteverschlüsselung: erzwungen
→ Screen Lock: Timeout nach X Minuten
→ Biometrie: FaceID/Fingerabdruck erlaubt/verboten
Remote-Aktionen:
→ Remote Lock: Gerät sofort sperren
→ Remote Wipe: Gerät auf Werkseinstellungen zurücksetzen
→ Lost Mode (iOS): GPS-Tracking aktivieren, Nachricht anzeigen
→ Selective Wipe (MAM): nur Firmendaten löschen
App Management:
→ Apps deployen: Silent Install ohne User-Interaktion
→ App Blacklist/Whitelist
→ VPP (Volume Purchase Program): App-Lizenzen zentralEnrollment-Methoden
Apple-Geräte (iOS/macOS):
Apple Business Manager (ABM) + DEP:
Automated Device Enrollment (ADE/DEP):
→ Gerät wird bei Apple-Händler bestellt (Lieferschein-IMEI)
→ Gerät erscheint automatisch in ABM-Portal
→ Erstes Einschalten: Enrollment bei MDM automatisch
→ Zero-Touch für End-User: keine manuelle Einrichtung!
Ablauf:
1. Gerät bei Apple-Reseller bestellen (DEP-Account verknüpft)
2. Apple Business Manager: Gerät zu MDM-Profil zuweisen
3. Gerät an Mitarbeiter senden (oder ZTP: direkt zum User)
4. Mitarbeiter schaltet Gerät ein → automatisches Enrollment
5. Corporate-Apps werden automatisch installiert
Supervised Mode (empfohlen für Firmeneigene Geräte):
→ Tiefere Managementkontrolle
→ Silent App-Installation ohne User-Bestätigung
→ Kiosk-Modus, AirDrop-Einschränkungen
→ USB-Restrict-Mode konfigurierbar
---
Android (Android Enterprise):
Android Enterprise Zero-Touch Enrollment:
→ Äquivalent zu Apple DEP
→ Reseller muss Zero-Touch-Partner sein (Google-Liste)
→ Gerät erscheint in Zero-Touch-Portal
→ QR-Code ODER NFC für schnelles Enrollment
Android Management Profiles:
Fully Managed Device (Company-Owned):
→ Vollständige IT-Kontrolle über Gerät
→ Separater Arbeitsbereich (Work Profile)
→ Kiosk-Modus möglich
Work Profile (BYOD):
→ Separater Container für Arbeitsdaten
→ IT verwaltet NUR den Work-Container
→ Privater Bereich: komplett unberührt (DSGVO!)
→ User kann Work-Profil selbst löschen (trennt dann Firmendaten)
---
Windows (Intune + Autopilot):
Windows Autopilot:
→ Hash des Geräts in Intune registrieren (OEM/Reseller oder manuell)
→ Mitarbeiter erhält neues Gerät direkt nach Hause
→ Einschalten → Azure AD Join → automatisches Intune-Enrollment
→ Corporate-Apps werden installiert, Policies angewendet
→ User arbeitet nach 30-60 Minuten produktiv
Autopilot Profile (PowerShell):
$AutopilotProfile = @{
"@odata.type" = "#microsoft.graph.windowsAutopilotDeploymentProfile"
"displayName" = "AWARE7-Autopilot-Profile"
"description" = "Standard User Enrollment"
"extractHardwareHash" = $false
"deviceNameTemplate" = "A7-%RAND:5%"
"deviceType" = "windowsPc"
"enableWhiteGlove" = $true
}Compliance Policies und Conditional Access
Gerätecompliance definieren (Microsoft Intune Beispiel):
iOS Compliance Policy:
→ Minimum OS Version: iOS 17.0
→ Jailbreak detection: Block jailbroken devices
→ Passcode required: YES
→ Minimum passcode length: 6
→ BitLocker/Device Encryption: Required
→ Max minutes of inactivity before passcode: 5
Windows Compliance Policy:
→ Minimum OS Build: 22621 (Windows 11 22H2)
→ BitLocker: Required
→ Antivirus: Required and up to date
→ Firewall: Required
→ Defender enabled: Required
→ Machine Risk Score: LOW (Defender Risk Score)
Non-Compliance Actions:
→ Immediately: Mark non-compliant
→ 1 day: Send notification to user
→ 3 days: Block access (Conditional Access)
→ 15 days: Remotely wipe device
Conditional Access mit Gerätecompliance:
Policy: "All Apps - Require Compliant Device"
Assignments: All Users
Target Apps: All Cloud Apps
Grant Access: Require compliant device + Require MFA
Ergebnis:
→ Nicht-kompliantes Gerät: Zugang zu Exchange, SharePoint etc. blockiert
→ User sieht: "Ihr Gerät erfüllt nicht die Sicherheitsanforderungen"
→ User kann Gerät compliant machen (Update installieren etc.)BYOD vs. Firmeneigene Geräte
Entscheidungsmatrix:
Firmeneigenes Gerät BYOD mit MDM (MAM)
─────────────────────────────────────────────────────────────────
Kontrolle Vollständig Nur Work-Container
Privacy-Risiko IT sieht alles IT sieht nichts Privates
Compliance Einfach Komplexer
Kosten Hoch (Gerät kaufen) Niedrig
User-Zufriedenheit Zweites Gerät Nur ein Gerät
Remote Wipe Vollständig Selective (nur Work)
Eignung Security-bewusst Field Sales, Remote Worker
BYOD-Implementierung (Apple):
Schritt 1: MDM-Enrollment (User-Initiated):
→ User: goes to Unternehmensportal URL
→ Installiert MDM-Profil
→ MDM richtet Work Profile ein (bei iOS: Managed Apps)
→ Privater Bereich: keine IT-Kontrolle
Schritt 2: MAM (Mobile Application Management) ohne MDM:
→ Outlook, Teams, OneDrive: als MAM-Managed Apps
→ PIN-Schutz nur für Managed Apps
→ Kein Copy-Paste von Managed zu Unmanaged Apps
→ IT kann Managed App Data remote löschen (ohne Gerät zu wipen!)
Intune App Protection Policy:
→ Target: Selected Apps (Outlook, Teams, SharePoint)
→ Require PIN: YES
→ Encrypt app data: YES
→ Block: Cut/Copy/Paste to unmanaged apps
→ Require approved client app: YES
→ Block screen capture: YES (Android)
Datenschutz-Hinweis (DSGVO):
→ MDM-Enrollment-Prozess muss klare Einwilligung einholen
→ Dokumentieren: was IT sieht und was nicht
→ Right to Object: User muss Enrollment ablehnen können
(dann kein BYOD-Zugang zu Firmensystemen)
→ Selective Wipe: muss in AGB/BYOD-Richtlinie beschrieben seinMDM-Lösungen im Vergleich
Microsoft Intune (empfohlen für M365-Umgebungen):
Preis: Enthalten in M365 Business Premium, EMS E3/E5
Stärken: Tiefste M365-Integration, Autopilot, RBAC
Co-Management mit SCCM, richtige Enterprise-Features
Geräte: Windows, iOS, Android, macOS, Linux (Preview)
Geeignet: Jede Unternehmensgröße mit M365
Apple Jamf (Premium für Apple-Ökosystem):
Preis: ca. 5-10 USD/Gerät/Monat
Stärken: Tiefste Apple-Integration, DEP, VPP, macOS-Fokus
Schnellere Apple-Feature-Adoption als Intune
Geräte: Nur Apple (iOS, macOS, tvOS)
Geeignet: Apple-first Unternehmen (Agenturen, Kreative, Biotech)
VMware Workspace ONE (UEM):
Preis: ca. 4-10 USD/Gerät/Monat
Stärken: Plattform-agnostisch, starke Integration
DEX (Digital Employee Experience) Analytics
Geräte: Windows, iOS, Android, macOS, Linux, ChromeOS, Rugged
Geeignet: Enterprise mit heterogener Gerätelandschaft
Google Android Enterprise + Endpoint Management:
Preis: In Google Workspace enthalten
Stärken: Native für Android, direkte Google-Integration
Chromebook-Management inklusive
Geräte: Android, ChromeOS
Geeignet: Google-Workspace-Umgebungen, Education
Mobileiron / Ivanti Neurons for MDM:
Preis: ca. 5-12 USD/Gerät/Monat
Stärken: Zero Trust Mobile Access, starke Compliance-Features
FIPS 140-2 zertifiziert (Public Sector)
Geeignet: Hochsicherheits-Anforderungen, Government
---
Minimallösung für KMU (< 50 Geräte):
Apple School Manager / Business Manager: kostenlos
+ Intune (in M365 Business Premium): inkludiert
→ Zero-Cost MDM für Apple + Windows
→ BYOD via Intune MAM: kostenlos
→ Erfüllt ISO 27001 A.6.7 (Mobile Devices) und NIS2-AnforderungenFragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking — Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
