Mobile Device Management (MDM): Smartphones und Tablets sicher verwalten
Mobile Device Management (MDM) ermöglicht die zentrale Verwaltung von Smartphones, Tablets und Laptops. Dieser Artikel erklärt MDM-Architekturen, Enrollment-Methoden (DEP/Apple Business Manager, Android Enterprise Zero-Touch), Compliance Policies, App Management (MAM), BYOD vs. Firmeneigene Geräte und Produkt-Vergleich (Intune, Jamf, VMware Workspace ONE).
Inhaltsverzeichnis (5 Abschnitte)
Mobile Geräte sind der am häufigsten vergessene Teil der IT-Sicherheit. Laptops werden akribisch gemanagt - das iPhone des Vertriebs hat dagegen vollen Zugriff auf Exchange und SharePoint, kein Passwort, keine Verschlüsselung, keine Möglichkeit zum Remote-Wipe. MDM schließt diese Lücke.
MDM-Architektur und Protokolle
Beim MDM-Enrollment installiert das Gerät ein MDM-Profil über eine Enrollment-URL. Das Profil richtet eine Certificate Authority für sichere Kommunikation ein und öffnet den Management-Kanal. Die zugrunde liegenden Push-Protokolle unterscheiden sich je Plattform: Apple (iOS/macOS) nutzt APNs (Apple Push Notification Service), Android Firebase Cloud Messaging (FCM) und Windows den Windows Push Notification Service (WNS) in Kombination mit OMA-DM.
MDM kann vier Bereiche verwalten:
Konfiguration: WLAN-Profile für automatisches Corporate-WLAN, E-Mail-Profile (Exchange automatisch konfiguriert), VPN-Profile und Client-Zertifikate für WPA2-Enterprise und VPN.
Sicherheitspolicies: Passcode/PIN-Pflicht mit Mindestlänge und Komplexität, erzwungene Geräteverschlüsselung, Screen-Lock-Timeout und Biometrie-Steuerung (FaceID/Fingerabdruck erlaubt oder verboten).
Remote-Aktionen: Remote Lock (Gerät sofort sperren), Remote Wipe (auf Werkseinstellungen zurücksetzen), Lost Mode für iOS (GPS-Tracking und Nachrichtenanzeige) und Selective Wipe (nur Firmendaten löschen via MAM).
App Management: Silent App-Installation ohne User-Interaktion, App-Blacklist und Whitelist sowie zentrales Lizenzmanagement über VPP (Volume Purchase Program).
Enrollment-Methoden
Apple-Geräte (iOS/macOS) - Automated Device Enrollment (ADE/DEP): Das Gerät wird beim Apple-Händler bestellt (Lieferschein-IMEI), erscheint automatisch im Apple Business Manager Portal und enrollt sich beim ersten Einschalten automatisch beim MDM - Zero-Touch für den End-User. Ablauf: Gerät beim Apple-Reseller bestellen (DEP-Account verknüpft), im Apple Business Manager das Gerät dem MDM-Profil zuweisen, Gerät an Mitarbeiter senden (oder ZTP: direkt zum User) - beim Einschalten erfolgt das Enrollment automatisch und Corporate-Apps werden installiert.
Der Supervised Mode (empfohlen für firmeneigene Geräte) bietet tiefere Managementkontrolle: Silent App-Installation ohne User-Bestätigung, Kiosk-Modus, AirDrop-Einschränkungen und konfigurierbaren USB-Restrict-Mode.
Android (Android Enterprise): Zero-Touch Enrollment ist das Android-Äquivalent zu Apple DEP - der Reseller muss Zero-Touch-Partner sein (Google-Liste), das Gerät erscheint im Zero-Touch-Portal und kann per QR-Code oder NFC schnell enrolled werden.
Android Management Profiles unterscheiden zwei Szenarien: Fully Managed Device (Company-Owned) gibt der IT vollständige Kontrolle mit separatem Work Profile und optionalem Kiosk-Modus. Das Work Profile (BYOD) erstellt einen Container für Arbeitsdaten, den die IT ausschließlich verwaltet - der private Bereich bleibt komplett unberührt (DSGVO). Der User kann das Work-Profil selbst löschen und damit die Firmendaten entfernen.
Windows (Intune + Autopilot): Der Geräte-Hash wird in Intune registriert (über OEM/Reseller oder manuell). Der Mitarbeiter erhält das neue Gerät direkt nach Hause: Einschalten, Azure AD Join, automatisches Intune-Enrollment, Policies und Corporate-Apps werden angewendet. Nach 30-60 Minuten ist der User produktiv.
# Autopilot-Deployment-Profil erstellen
$AutopilotProfile = @{
"@odata.type" = "#microsoft.graph.windowsAutopilotDeploymentProfile"
"displayName" = "AWARE7-Autopilot-Profile"
"description" = "Standard User Enrollment"
"extractHardwareHash" = $false
"deviceNameTemplate" = "A7-%RAND:5%"
"deviceType" = "windowsPc"
"enableWhiteGlove" = $true
}Compliance Policies und Conditional Access
iOS Compliance Policy (Intune): Minimum OS Version iOS 17.0, Jailbreak Detection (Block jailbroken devices), Passcode required mit Mindestlänge 6, Device Encryption Required, Screen-Lock nach maximal 5 Minuten Inaktivität.
Windows Compliance Policy (Intune): Minimum OS Build 22621 (Windows 11 22H2), BitLocker Required, Antivirus Required and up to date, Firewall Required, Defender enabled, Machine Risk Score LOW (Defender Risk Score).
Non-Compliance Actions: Sofort als non-compliant markieren, nach 1 Tag Benachrichtigung an User, nach 3 Tagen Zugang blockieren (Conditional Access), nach 15 Tagen Remote Wipe.
Conditional Access mit Gerätecompliance: Policy "All Apps - Require Compliant Device" für alle Benutzer auf alle Cloud Apps, Grant: Require compliant device + Require MFA. Ergebnis: Nicht-kompliante Geräte werden von Exchange, SharePoint etc. blockiert. Der User sieht "Ihr Gerät erfüllt nicht die Sicherheitsanforderungen" und kann das Gerät compliant machen (Update installieren etc.).
BYOD vs. Firmeneigene Geräte
| Kriterium | Firmeneigenes Gerät | BYOD mit MDM/MAM |
|---|---|---|
| Kontrolle | Vollständig | Nur Work-Container |
| Privacy-Risiko | IT sieht alles | IT sieht nichts Privates |
| Compliance | Einfach | Komplexer |
| Kosten | Hoch (Gerät kaufen) | Niedrig |
| User-Zufriedenheit | Zweites Gerät | Nur ein Gerät |
| Remote Wipe | Vollständig | Selective (nur Work) |
| Eignung | Security-bewusste Umgebungen | Field Sales, Remote Worker |
BYOD-Implementierung (Apple):
Schritt 1 (MDM-Enrollment): Der User ruft die Unternehmensportal-URL auf, installiert das MDM-Profil, und MDM richtet den Work-Container ein (bei iOS: Managed Apps). Der private Bereich bleibt ohne IT-Kontrolle.
Schritt 2 (MAM ohne MDM): Outlook, Teams und OneDrive werden als MAM-Managed Apps konfiguriert. PIN-Schutz gilt nur für Managed Apps, Copy-Paste von Managed zu Unmanaged Apps ist blockiert. Die IT kann die Managed App Data remote löschen, ohne das gesamte Gerät zu wipen.
Intune App Protection Policy: Target sind ausgewählte Apps (Outlook, Teams, SharePoint), PIN Required, App-Daten verschlüsselt, Cut/Copy/Paste zu unmanaged Apps blockiert, nur approved client apps zugelassen, Screen Capture blockiert (Android).
Datenschutz-Hinweis (DSGVO): Der MDM-Enrollment-Prozess muss eine klare Einwilligung einholen und dokumentieren, was die IT sieht und was nicht. User müssen das Enrollment ablehnen können (dann kein BYOD-Zugang zu Firmensystemen). Selective Wipe muss in den AGB und der BYOD-Richtlinie beschrieben sein.
MDM-Lösungen im Vergleich
| Produkt | Preis | Geräte | Geeignet für |
|---|---|---|---|
| Microsoft Intune | In M365 Business Premium / EMS E3/E5 enthalten | Windows, iOS, Android, macOS, Linux (Preview) | Jede Unternehmensgröße mit M365 |
| Apple Jamf | ca. 5-10 USD/Gerät/Monat | Nur Apple (iOS, macOS, tvOS) | Apple-first Unternehmen (Agenturen, Kreative, Biotech) |
| VMware Workspace ONE | ca. 4-10 USD/Gerät/Monat | Windows, iOS, Android, macOS, Linux, ChromeOS, Rugged | Enterprise mit heterogener Gerätelandschaft |
| Google Android Enterprise | In Google Workspace enthalten | Android, ChromeOS | Google-Workspace-Umgebungen, Education |
| Ivanti Neurons for MDM | ca. 5-12 USD/Gerät/Monat | Windows, iOS, Android, macOS | Hochsicherheits-Anforderungen, Government |
Minimallösung für KMU unter 50 Geräten: Apple Business Manager (kostenlos) kombiniert mit Intune (in M365 Business Premium enthalten) ergibt eine Zero-Cost-MDM-Lösung für Apple und Windows. BYOD via Intune MAM ist ebenfalls kostenlos und erfüllt ISO 27001 A.6.7 (Mobile Devices) sowie NIS2-Anforderungen.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
