Mobile Device Management (MDM)

Was ist Mobile Device Management?

Mobile Device Management (MDM) bezeichnet die zentrale Verwaltung, Überwachung und Absicherung mobiler Endgeräte in Unternehmen. Dazu zählen Smartphones, Tablets, Laptops und zunehmend auch IoT-Geräte, die im beruflichen Umfeld eingesetzt werden. MDM-Lösungen ermöglichen es der IT-Abteilung, Sicherheitsrichtlinien durchzusetzen, Anwendungen zu verteilen und bei Verlust oder Diebstahl eines Geräts aus der Ferne einzugreifen.

In einer Arbeitswelt, in der Remote Work, Homeoffice und mobiles Arbeiten längst zum Standard geworden sind, stellt MDM einen unverzichtbaren Baustein der IT-Sicherheitsstrategie dar. Ohne eine strukturierte Verwaltung mobiler Geräte entstehen erhebliche Sicherheitslücken, die Angreifer gezielt ausnutzen können. Laut aktuellen Studien werden über 60 Prozent aller Cyberangriffe auf Unternehmen über mobile Endpunkte initiiert.

MDM ist dabei weit mehr als eine reine Geräteverwaltung. Moderne Lösungen — häufig als Unified Endpoint Management (UEM) bezeichnet — integrieren Funktionen für Application Management, Content Management und Identity Management in einer einzigen Plattform. Sie bilden damit das Rückgrat einer vollständigen Enterprise-Mobility-Strategie, die Produktivität und Sicherheit gleichermaßen gewährleistet.

Für Unternehmen jeder Größe ist die Implementierung einer MDM-Lösung mittlerweile nicht nur eine Frage der IT-Effizienz, sondern auch eine regulatorische Notwendigkeit. Die DSGVO, branchenspezifische Compliance-Anforderungen und die NIS2-Richtlinie verlangen nachweisbare technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten — auch und gerade auf mobilen Geräten.

Warum ist MDM für Unternehmen wichtig?

Die Bedeutung von Mobile Device Management wächst mit jedem Jahr exponentiell. Mehrere Faktoren treiben diese Entwicklung voran und machen MDM zu einer strategischen Priorität für Unternehmen aller Branchen und Größen.

BYOD und die Vermischung von Privat und Beruf

Bring Your Own Device (BYOD) ist in vielen Unternehmen gelebte Praxis. Mitarbeiter nutzen ihre privaten Smartphones und Tablets für berufliche Aufgaben — E-Mails lesen, auf Unternehmensdaten zugreifen, an Videokonferenzen teilnehmen. Ohne MDM hat die IT-Abteilung keinerlei Kontrolle über diese Geräte. Sensible Unternehmensdaten können auf unsicheren Geräten gespeichert, über unverschlüsselte Verbindungen übertragen oder bei Geräteverlust kompromittiert werden.

MDM schafft hier eine klare Trennung zwischen privaten und geschäftlichen Daten durch sogenannte Container-Lösungen. Der berufliche Bereich wird verschlüsselt und separat verwaltet, während die private Nutzung des Geräts unberührt bleibt. Diese Trennung ist nicht nur sicherheitstechnisch sinnvoll, sondern auch datenschutzrechtlich erforderlich.

Remote Work und verteilte Arbeitsplätze

Die Pandemie hat den Trend zum mobilen Arbeiten beschleunigt, doch auch 2026 arbeiten Millionen Beschäftigte regelmäßig von zu Hause oder unterwegs. Diese verteilten Arbeitsplätze stellen die IT-Sicherheit vor besondere Herausforderungen: Heimnetzwerke sind oft unzureichend gesichert, öffentliche WLANs bieten Angreifern leichte Angriffsflächen, und die physische Sicherheit der Geräte kann nicht gewährleistet werden.

MDM-Lösungen ermöglichen es, unabhängig vom Standort des Geräts einheitliche Sicherheitsrichtlinien durchzusetzen. VPN-Verbindungen können automatisch aktiviert, unsichere Netzwerke blockiert und Compliance-Verstöße in Echtzeit erkannt werden. Die zentrale Verwaltung sorgt dafür, dass alle Geräte stets auf dem aktuellen Sicherheitsstand sind — unabhängig davon, ob sich der Mitarbeiter im Büro, im Homeoffice oder auf einer Geschäftsreise befindet.

Compliance und regulatorische Anforderungen

Die DSGVO verlangt von Unternehmen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Auf mobilen Geräten werden regelmäßig Kontaktdaten, E-Mails, Dokumente und Zugangsdaten verarbeitet, die unter den Schutz der DSGVO fallen. Ohne MDM fehlt der Nachweis, dass diese Daten angemessen geschützt sind.

Außerdem stellen branchenspezifische Regularien wie die NIS2-Richtlinie, ISO 27001 und TISAX konkrete Anforderungen an das Management mobiler Endgeräte. Ein zertifizierbares MDM-System kann den Compliance-Nachweis erheblich vereinfachen und ist in vielen Fällen eine Voraussetzung für die Zertifizierung. Unsere Experten für IT-Sicherheit und Beratung unterstützen Sie bei der Auswahl und Implementierung einer konformen Lösung.

Schutz vor Datenverlust und Cyberangriffen

Mobile Geräte gehen verloren, werden gestohlen oder kompromittiert. Ohne MDM bedeutet der Verlust eines einzigen Smartphones potenziell den Zugriff auf sämtliche Unternehmensdaten, E-Mail-Konten und Cloud-Dienste. Die durchschnittlichen Kosten eines Datenvorfalls durch ein verlorenes mobiles Gerät betragen für mittelständische Unternehmen zwischen 50.000 und 200.000 Euro — ohne Berücksichtigung des Reputationsschadens.

MDM bietet hier mehrere Schutzebenen: Remote Wipe löscht alle Unternehmensdaten auf dem verlorenen Gerät, Remote Lock sperrt den Zugriff sofort, und Geolokalisierung hilft bei der Wiederbeschaffung. Zudem erkennen moderne MDM-Lösungen Jailbreaks, Rooting-Versuche und Malware-Installationen automatisch und isolieren betroffene Geräte umgehend vom Unternehmensnetzwerk.

Kernfunktionen einer MDM-Lösung

Moderne MDM-Plattformen bieten einen umfangreichen Funktionsumfang, der weit über die reine Geräteverwaltung hinausgeht. Die folgenden Kernfunktionen sollte jede professionelle MDM-Lösung abdecken.

Device Enrollment und Onboarding

Das automatisierte Enrollment neuer Geräte ist der Ausgangspunkt jeder MDM-Strategie. Über Zero-Touch-Enrollment-Programme wie Apple Business Manager, Android Enterprise oder Windows Autopilot werden Geräte bereits bei der Ersteinrichtung automatisch in das MDM-System aufgenommen. Der Mitarbeiter erhält ein fertig konfiguriertes Gerät mit allen notwendigen Apps, Zertifikaten und Sicherheitseinstellungen — ohne dass die IT-Abteilung das Gerät manuell einrichten muss.

Für BYOD-Szenarien bieten MDM-Lösungen Self-Enrollment-Portale, über die Mitarbeiter ihre privaten Geräte eigenständig registrieren können. Dabei wird nur der berufliche Container auf dem Gerät verwaltet — die private Nutzung bleibt unangetastet und für die IT-Abteilung unsichtbar.

Application Management (MAM)

Mobile Application Management ermöglicht die zentrale Verteilung, Konfiguration und Aktualisierung von Unternehmens-Apps. Über einen internen App-Store können genehmigte Anwendungen bereitgestellt werden, während unerwünschte oder unsichere Apps blockiert werden. App-Konfigurationen — etwa für E-Mail-Clients, VPN-Verbindungen oder Cloud-Speicher — werden automatisch an die Geräte übermittelt.

Besonders wichtig ist die Möglichkeit, App-Daten bei Bedarf selektiv zu löschen. Verlässt ein Mitarbeiter das Unternehmen, können alle geschäftlichen Apps und deren Daten entfernt werden, ohne die privaten Inhalte des Geräts zu berühren. Diese granulare Kontrolle ist sowohl sicherheitstechnisch als auch arbeitsrechtlich von großer Bedeutung.

Remote Wipe und Remote Lock

Die Fernlöschung (Remote Wipe) ist eine der kritischsten Funktionen jeder MDM-Lösung. Bei Verlust oder Diebstahl eines Geräts können alle Unternehmensdaten innerhalb von Sekunden gelöscht werden — entweder selektiv (nur der geschäftliche Container) oder vollständig (das gesamte Gerät). Remote Lock sperrt das Gerät sofort und verhindert jeden unbefugten Zugriff.

Moderne MDM-Systeme bieten zusätzlich automatisierte Wipe-Regeln: Wird ein Gerät über einen definierten Zeitraum nicht mit dem MDM-Server verbunden, die SIM-Karte gewechselt oder ein Jailbreak erkannt, erfolgt die Löschung automatisch. Diese vorausschauenden Maßnahmen minimieren das Zeitfenster, in dem ein kompromittiertes Gerät Schaden anrichten kann.

Verschlüsselung und Zugriffsschutz

MDM-Lösungen erzwingen die Verschlüsselung aller gespeicherten Daten auf dem Gerät. Dazu gehören sowohl die Geräteverschlüsselung (Full Disk Encryption) als auch die Verschlüsselung einzelner Apps und Dateien (File-Level Encryption). Starke Passwort-Richtlinien, biometrische Authentifizierung und Multi-Faktor-Authentifizierung werden zentral konfiguriert und durchgesetzt.

Zertifikatsbasierte Authentifizierung stellt sicher, dass nur verwaltete Geräte auf Unternehmensressourcen zugreifen können. Conditional Access Policies können den Zugriff auf sensible Daten zusätzlich an Bedingungen knüpfen — etwa den Standort des Geräts, das verwendete Netzwerk oder den Compliance-Status.

Geofencing und Standortbasierte Richtlinien

Geofencing ermöglicht die Definition virtueller Grenzen, innerhalb derer bestimmte Richtlinien gelten. So können beispielsweise Kamerafunktionen in sicherheitskritischen Bereichen automatisch deaktiviert, der Zugriff auf bestimmte Apps auf das Firmengelände beschränkt oder Benachrichtigungen ausgelöst werden, wenn ein Gerät einen definierten Bereich verlässt.

Diese standortbasierten Richtlinien sind besonders relevant für Branchen mit hohen Sicherheitsanforderungen wie Verteidigung, Gesundheitswesen, Finanzdienstleistungen und Forschung. Sie ermöglichen eine dynamische Anpassung der Sicherheitsstufe an den jeweiligen Kontext und bilden damit einen wichtigen Baustein des Zero-Trust-Sicherheitsmodells.

MDM-Software im Vergleich 2026

Der Markt für MDM-Lösungen ist verschieden und reicht von spezialisierten Tools für einzelne Plattformen bis zu vollständigen Unified-Endpoint-Management-Suiten. Die folgende Übersicht stellt die führenden Lösungen gegenüber und hilft bei der Auswahl der passenden Plattform für Ihre Anforderungen.

Lösung	Plattformen	Stärken	Kosten (ca.)	Ideal für
Microsoft Intune	iOS, Android, Windows, macOS	Tiefe M365-Integration, Conditional Access, Autopilot	ab 8 €/User/Monat	Microsoft-Umgebungen
Jamf Pro	iOS, macOS, tvOS	Beste Apple-Integration, Zero-Touch, Apple Business Manager	ab 4 €/Gerät/Monat	Apple-Flotten
VMware Workspace ONE	iOS, Android, Windows, macOS, ChromeOS	UEM-Suite, Intelligence Engine, Digital Workspace	ab 4 €/Gerät/Monat	Große Unternehmen
Sophos Mobile	iOS, Android, Windows, macOS	Endpoint-Security-Integration, Container, einfache Verwaltung	ab 3 €/Gerät/Monat	KMU mit Sophos-Stack
SOTI MobiControl	iOS, Android, Windows, Linux	IoT-Management, Ruggedized Devices, Remote Control	ab 3 €/Gerät/Monat	Logistik, Fertigung, Außendienst

Microsoft Intune

Microsoft Intune ist die meistverbreitete MDM-Lösung weltweit und Teil der Microsoft 365 Enterprise-Suite. Die tiefe Integration mit Azure Active Directory, Microsoft Defender und dem gesamten Microsoft-Ökosystem macht Intune zur naheliegenden Wahl für Unternehmen, die bereits auf Microsoft setzen. Conditional Access Policies ermöglichen eine granulare Steuerung des Zugriffs auf Unternehmensressourcen basierend auf Gerätecompliance, Standort und Risikobewertung.

Die Stärke von Intune liegt in der Verbindung von MDM mit Information Protection: Sensible Dokumente können klassifiziert, verschlüsselt und mit Zugriffsrechten versehen werden, die auch außerhalb des Unternehmensnetzwerks gelten. Windows Autopilot vereinfacht das Deployment neuer Windows-Geräte erheblich und reduziert den IT-Aufwand bei der Gerätebereitstellung um bis zu 80 Prozent.

Jamf Pro

Jamf ist der unangefochtene Marktführer für Apple-Gerätemanagement. Kein anderer Anbieter bietet eine vergleichbar tiefe Integration mit dem Apple-Ökosystem, einschließlich voller Unterstützung für Apple Business Manager, Apple School Manager und alle Apple-spezifischen MDM-Funktionen. Zero-Touch-Deployment sorgt dafür, dass neue Geräte direkt aus der Verpackung heraus vollständig konfiguriert sind.

Für Unternehmen mit einer reinen oder überwiegenden Apple-Flotte ist Jamf die optimale Wahl. Die Kombination aus Jamf Pro für das Gerätemanagement, Jamf Connect für die Identitätsverwaltung und Jamf Protect für die Endpunktsicherheit bildet ein geschlossenes Ökosystem, das speziell auf die Anforderungen von Apple-Umgebungen zugeschnitten ist.

VMware Workspace ONE

VMware Workspace ONE (seit der Broadcom-Übernahme teil des Broadcom-Portfolios) ist eine vollständige UEM-Plattform, die MDM, Application Delivery, Virtual Desktops und Endpoint Security in einer einzigen Konsole vereint. Der Intelligence Engine nutzt maschinelles Lernen, um Sicherheitsrisiken vorausschauend zu erkennen und automatisierte Gegenmaßnahmen einzuleiten.

Die Plattform eignet sich besonders für große Unternehmen mit heterogenen Geräteflotten und komplexen Anforderungen. Die Integration mit VMware-Virtualisierungslösungen ermöglicht eine nahtlose Verbindung zwischen physischen und virtuellen Arbeitsplätzen. Allerdings ist die Komplexität der Lösung hoch, und die Implementierung erfordert spezialisiertes Know-how.

Sophos Mobile

Sophos Mobile richtet sich an kleine und mittelständische Unternehmen, die eine einfach zu verwaltende MDM-Lösung suchen. Die Integration mit der Sophos Central Management-Konsole ermöglicht die Verwaltung aller Sophos-Sicherheitsprodukte aus einer einzigen Oberfläche. Container-Funktionen für E-Mail, Dokumente und Web-Browsing bieten eine solide Trennung von privaten und geschäftlichen Daten.

Der Vorteil von Sophos Mobile liegt in der Kombination aus MDM und Endpoint Protection: Antivirus, Web-Filtering und App-Kontrolle sind direkt integriert. Für Unternehmen, die bereits Sophos-Produkte für Netzwerk- und Endpunktsicherheit einsetzen, ist die Erweiterung um Sophos Mobile ein logischer und kosteneffizienter Schritt.

SOTI MobiControl

SOTI MobiControl ist spezialisiert auf das Management robuster Industriegeräte (Rugged Devices), IoT-Geräte und spezialisierter Hardware. Die Lösung bietet einzigartige Funktionen wie Remote Control mit Bildschirmfreigabe, umfangreiche Diagnosetools und Unterstützung für proprietäre Betriebssysteme, die in Logistik, Fertigung und Außendienst verbreitet sind.

Für Unternehmen mit spezialisierten Anforderungen — etwa Barcode-Scanner im Lager, Tablets in der Produktion oder mobile Terminals im Außendienst — ist SOTI oft die einzige Lösung, die alle Gerätetypen abdecken kann. Die Plattform unterstützt über 100 verschiedene OEM-Hersteller und bietet spezifische Funktionen für vertikale Märkte.

Apple vs. Android im Unternehmensumfeld

Die Wahl zwischen Apple und Android hat erhebliche Auswirkungen auf die MDM-Strategie. Beide Plattformen haben in den letzten Jahren massive Investitionen in Enterprise-Features getätigt, unterscheiden sich jedoch grundsätzlich in ihrem Ansatz.

Apple (iOS/iPadOS/macOS)

Apple bietet mit dem Apple Business Manager eine zentrale Plattform für Geräteregistrierung, App-Verteilung und verwaltete Apple-IDs. Die strenge Kontrolle über Hardware und Software sorgt für ein konsistentes Sicherheitsniveau über alle Geräte hinweg. Jedes iOS-Update wird für alle unterstützten Geräte gleichzeitig bereitgestellt, was das Patch-Management erheblich vereinfacht.

Die Stärken von Apple im Enterprise-Bereich liegen in der Hardware-basierten Verschlüsselung, dem Secure Enclave Chip, der strengen App-Review im App Store und der langen Unterstützungsdauer von fünf bis sechs Jahren. Managed Apple-IDs ermöglichen die zentrale Verwaltung von Benutzerkonten ohne Abhängigkeit von persönlichen Apple-IDs. User Enrollment bietet eine datenschutzfreundliche BYOD-Option, bei der die IT nur den geschäftlichen Container verwalten kann.

Android Enterprise

Google hat mit Android Enterprise einen einheitlichen Standard für die Geräteverwaltung geschaffen, der herstellerübergreifend funktioniert. Work Profile ermöglicht eine saubere Trennung zwischen privaten und geschäftlichen Daten auf dem gleichen Gerät. Fully Managed Devices bieten volle Kontrolle über unternehmenseigene Geräte, während Dedicated Devices für spezielle Anwendungsfälle wie Kiosks oder Digital Signage optimiert sind.

Die Herausforderung bei Android liegt in der Fragmentierung: Verschiedene Hersteller liefern Sicherheitsupdates zu unterschiedlichen Zeitpunkten, und nicht alle Geräte unterstützen alle Enterprise-Features. Samsung Knox bietet zusätzliche Sicherheitsfunktionen für Samsung-Geräte, ist jedoch nicht auf andere Android-Hersteller übertragbar. Für Unternehmen mit Android-Geräten ist die Auswahl von Geräten, die für Android Enterprise Recommended zertifiziert sind, daher besonders wichtig.

BYOD vs. COPE vs. COBO: Eigentumsmodelle im Vergleich

Die Wahl des Eigentumsmodells hat weitreichende Auswirkungen auf die MDM-Konfiguration, den Datenschutz und die Mitarbeiterzufriedenheit. Drei Modelle haben sich in der Praxis etabliert, jedes mit spezifischen Vor- und Nachteilen.

BYOD — Bring Your Own Device

Bei BYOD nutzen Mitarbeiter ihre privaten Geräte für berufliche Zwecke. Das Unternehmen spart Anschaffungskosten, und Mitarbeiter können mit ihrem bevorzugten Gerät arbeiten. Die MDM-Verwaltung beschränkt sich auf einen geschäftlichen Container — die IT hat keinen Zugriff auf private Daten, Apps oder Fotos.

Die Herausforderungen bei BYOD liegen im Datenschutz (klare Trennung erforderlich), in der Gerätevielfalt (verschiedene Modelle, Betriebssystemversionen und Sicherheitsniveaus) und in der Durchsetzung von Sicherheitsrichtlinien auf privaten Geräten. Eine klare BYOD-Richtlinie, die Rechte und Pflichten beider Seiten definiert, ist nötig.

COPE — Corporate-Owned, Personally Enabled

COPE-Geräte gehören dem Unternehmen, dürfen aber auch privat genutzt werden. Dieses Modell bietet die beste Balance zwischen Kontrolle und Mitarbeiterzufriedenheit. Die IT behält die volle Verwaltung des Geräts, einschließlich Betriebssystem-Updates, Sicherheitsrichtlinien und App-Kontrolle, während der Mitarbeiter das Gerät auch für private Zwecke verwenden darf.

COPE erfordert eine klare Regelung der privaten Nutzung, insbesondere hinsichtlich der Datentrennung und der Rechte des Arbeitgebers bei Ausscheiden des Mitarbeiters. Die Gerätekosten trägt das Unternehmen, dafür entfällt die Problematik unterschiedlicher Gerätetypen und Sicherheitsniveaus. Für die meisten mittelständischen Unternehmen ist COPE das empfohlene Modell.

COBO — Corporate-Owned, Business Only

COBO-Geräte werden ausschließlich für geschäftliche Zwecke bereitgestellt. Die private Nutzung ist untersagt, und die IT hat volle Kontrolle über alle Aspekte des Geräts. Dieses Modell bietet das höchste Sicherheitsniveau, da keine privaten Apps, Daten oder Konten auf dem Gerät vorhanden sind, die als Angriffsvektor dienen könnten.

COBO ist das Modell der Wahl für Branchen mit besonders hohen Sicherheitsanforderungen, etwa im Finanzsektor, im Gesundheitswesen oder bei Behörden. Die Mitarbeiterzufriedenheit kann jedoch leiden, wenn Mitarbeiter zusätzlich ein privates Gerät mitführen müssen. In der Praxis wird COBO häufig für spezifische Rollen eingesetzt — etwa für Außendienstmitarbeiter mit dedizierten Arbeitsgeräten.

MDM und DSGVO: Datenschutzkonformer Einsatz

Die Implementierung einer MDM-Lösung berührt zahlreiche datenschutzrechtliche Aspekte, die von Anfang an berücksichtigt werden müssen. Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten auf mobilen Geräten — sowohl hinsichtlich der Unternehmensdaten als auch der Daten der Mitarbeiter selbst.

Rechtsgrundlage und Zweckbindung

Die MDM-Nutzung muss auf einer validen Rechtsgrundlage basieren. Für unternehmenseigene Geräte (COPE/COBO) kann Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) herangezogen werden. Bei BYOD-Szenarien ist in der Regel eine Einwilligung des Mitarbeiters oder eine Betriebsvereinbarung erforderlich. Der Zweck der Datenverarbeitung muss klar definiert und dokumentiert sein — die MDM-Lösung darf nicht zur Mitarbeiterüberwachung zweckentfremdet werden.

Datensparsamkeit und Transparenz

Es dürfen nur die Daten erhoben werden, die für den definierten Zweck erforderlich sind. Standortdaten beispielsweise dürfen nur erhoben werden, wenn dies für die Gerätesicherheit (etwa Remote Wipe bei Verlust) notwendig ist — nicht zur Bewegungsüberwachung von Mitarbeitern. Eine kontinuierliche Standorterfassung ist in den meisten Fällen unverhältnismäßig und rechtswidrig.

Mitarbeiter müssen transparent über Art und Umfang der erhobenen Daten informiert werden. Eine Datenschutzinformation gemäß Art. 13 DSGVO ist Pflicht. Diese sollte verständlich erklären, welche Daten erhoben werden, wer darauf zugreifen kann und wie lange sie gespeichert werden. Besondere Aufmerksamkeit verdient die Frage, welche Daten die IT-Abteilung auf BYOD-Geräten einsehen kann — und welche nicht.

Datenschutz-Folgenabschätzung

In vielen Fällen ist vor der Einführung einer MDM-Lösung eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen. Dies gilt insbesondere, wenn Standortdaten erhoben werden, eine systematische Überwachung von Geräteaktivitäten stattfindet oder eine große Anzahl von Mitarbeitern betroffen ist. Die DSFA dokumentiert die Risiken für die Betroffenen und die Maßnahmen zu deren Minimierung.

Unsere Experten unterstützen Sie bei der datenschutzkonformen Implementierung Ihrer MDM-Lösung — von der Rechtsgrundlage über die DSFA bis zur Mitarbeiterinformation. Als erfahrener externer Informationssicherheitsbeauftragter kennen wir die Anforderungen der DSGVO, der ISO 27001 und branchenspezifischer Regularien und sorgen dafür, dass Ihre MDM-Strategie von Anfang an compliant ist.

Kosten einer MDM-Lösung

Die Kosten einer MDM-Implementierung setzen sich aus mehreren Komponenten zusammen und variieren stark je nach gewählter Lösung, Anzahl der Geräte und Funktionsumfang. Eine realistische Kosteneinschätzung ist für die Budgetplanung und die Auswahl der passenden Lösung nötig.

Lizenzkosten

Die meisten MDM-Lösungen werden als SaaS-Modell (Software as a Service) angeboten und pro Gerät oder pro Benutzer lizenziert. Die Preisspanne reicht von etwa 2 Euro pro Gerät pro Monat für Basislösungen bis zu 15 Euro oder mehr für vollständige UEM-Suiten mit erweiterten Sicherheitsfunktionen. Microsoft Intune ist in den meisten Microsoft 365 Enterprise-Plänen bereits enthalten, was für Microsoft-Kunden einen erheblichen Kostenvorteil darstellt.

Implementierungskosten

Die Ersteinrichtung umfasst die Konfiguration der MDM-Plattform, die Definition von Sicherheitsrichtlinien, die Integration mit bestehender IT-Infrastruktur (Active Directory, E-Mail-Server, VPN) und das initiale Enrollment aller Geräte. Je nach Komplexität und Geräteanzahl sind hierfür zwischen zwei und zwanzig Personentage einzuplanen. Externe Beratung kostet typischerweise zwischen 1.200 und 1.800 Euro pro Tag.

Betriebskosten

Neben den laufenden Lizenzkosten fallen Betriebskosten für die Administration, das Monitoring und den Support an. Für Unternehmen mit 50 bis 200 Geräten sollte mindestens ein halber IT-Mitarbeiter für das MDM-Management eingeplant werden. Schulungen für IT-Mitarbeiter und Endanwender sowie regelmäßige Policy-Reviews verursachen zusätzliche Kosten.

Gesamtkosten (TCO) — Beispielrechnung

Für ein mittelständisches Unternehmen mit 100 Geräten ergeben sich typische Jahreskosten von 5.000 bis 15.000 Euro für Lizenzen, 3.000 bis 8.000 Euro für Implementierung (einmalig im ersten Jahr) und 10.000 bis 20.000 Euro für Betrieb und Administration. Dem gegenüber stehen potenzielle Einsparungen durch Effizienzgewinne, reduzierte Sicherheitsvorfälle und vereinfachte Compliance-Nachweise, die den ROI in der Regel innerhalb von 12 bis 18 Monaten positiv werden lassen.

MDM-Implementierung: Best Practices

Die erfolgreiche Einführung einer MDM-Lösung erfordert eine strukturierte Vorgehensweise und die Berücksichtigung technischer, organisatorischer und menschlicher Faktoren. Die folgenden Best Practices haben sich in der Praxis bewährt.

Schrittweise Einführung

Beginnen Sie mit einer Pilotgruppe von 10 bis 20 technisch affinen Mitarbeitern, bevor Sie das MDM unternehmensweit ausrollen. So können technische Probleme, Policy-Konflikte und Benutzerfreundlichkeitsmängel frühzeitig erkannt und behoben werden. Der Pilotbetrieb sollte mindestens vier Wochen dauern und alle geplanten Funktionen abdecken.

Kommunikation und Schulung

Transparent über die Einführung informieren, Bedenken der Mitarbeiter ernst nehmen und klare Kommunikation über den Umfang der Überwachung sind wichtig für die Akzeptanz. Schulungen sollten nicht nur die technische Bedienung abdecken, sondern auch den Nutzen für die Mitarbeiter hervorheben — etwa den Schutz ihrer Daten bei Geräteverlust. Ein ausführliches Security Awareness Training sensibilisiert zusätzlich für die Bedeutung mobiler Sicherheit.

Policy-Design

Sicherheitsrichtlinien sollten so restriktiv wie nötig und so permissiv wie möglich gestaltet werden. Übermäßig strenge Policies führen zu Workarounds und Shadow-IT — Mitarbeiter nutzen dann unsichere Alternativen, um Einschränkungen zu umgehen. Ein risikobasierter Ansatz, der die Sensitivität der verarbeiteten Daten berücksichtigt, führt zu besseren Ergebnissen als pauschale Verbote.

Häufig gestellte Fragen (FAQ)

Was kostet MDM für ein kleines Unternehmen?

Für ein kleines Unternehmen mit 10 bis 50 Geräten liegen die monatlichen Kosten typischerweise zwischen 3 und 8 Euro pro Gerät, also 30 bis 400 Euro monatlich. Viele Lösungen bieten Einstiegstarife oder sind in bestehenden Lizenzen enthalten — Microsoft Intune beispielsweise ist in Microsoft 365 Business Premium inkludiert. Die Implementierungskosten lassen sich durch cloudbasierte Lösungen mit Self-Enrollment minimieren.

Kann mein Arbeitgeber über MDM meine privaten Daten sehen?

Bei einer korrekt konfigurierten MDM-Lösung im BYOD-Modus hat der Arbeitgeber keinen Zugriff auf private Daten, Fotos, Nachrichten oder den Browserverlauf. Die Verwaltung beschränkt sich auf den geschäftlichen Container. Der Arbeitgeber kann lediglich sehen, ob das Gerät den Sicherheitsrichtlinien entspricht — etwa ob ein aktuelles Betriebssystem installiert ist und ein Sperrcode eingerichtet wurde. Transparente Kommunikation über den Umfang der Verwaltung ist dennoch zentral.

Ist MDM auch für Unternehmen mit weniger als 50 Mitarbeitern sinnvoll?

Ja, gerade kleine Unternehmen profitieren von MDM, da sie oft keine dedizierte IT-Sicherheitsabteilung haben. MDM automatisiert viele Sicherheitsaufgaben — von der Geräteeinrichtung über Updates bis zur Notfallreaktion bei Geräteverlust. Die Kosten sind mit cloudbasierten Lösungen auch für Kleinunternehmen tragbar, und der Schutz vor Datenverlust und DSGVO-Verstößen rechtfertigt die Investition in jedem Fall.

Wie lange dauert die Implementierung einer MDM-Lösung?

Die reine technische Einrichtung einer cloudbasierten MDM-Lösung dauert ein bis drei Tage. Das Enrollment aller Geräte und die Feinabstimmung der Policies nehmen weitere ein bis vier Wochen in Anspruch, abhängig von der Anzahl der Geräte und der Komplexität der Anforderungen. Inklusive Pilotphase und unternehmensweitem Rollout sollten drei bis sechs Monate eingeplant werden.

Was passiert mit meinen Daten, wenn ich das Unternehmen verlasse?

Bei BYOD-Geräten werden nur die geschäftlichen Daten und Apps aus dem Container entfernt — alle privaten Daten bleiben unangetastet. Bei COPE-Geräten wird das Gerät auf Werkseinstellungen zurückgesetzt und an das Unternehmen zurückgegeben. Bei COBO-Geräten wird das Gerät komplett gelöscht. Die genauen Vorgehensweisen sollten in der BYOD-Richtlinie oder im Arbeitsvertrag dokumentiert sein.

Funktioniert MDM auch ohne Internetverbindung?

Grundlegende Sicherheitsrichtlinien — wie Verschlüsselung, Passwortanforderungen und App-Beschränkungen — bleiben auch ohne Internetverbindung aktiv, da sie lokal auf dem Gerät durchgesetzt werden. Funktionen wie Remote Wipe, App-Updates und Compliance-Prüfungen erfordern jedoch eine Verbindung zum MDM-Server. Viele Lösungen arbeiten mit einer Offline-Toleranzperiode: Wird ein Gerät für einen definierten Zeitraum nicht verbunden, werden automatisch Schutzmaßnahmen wie Datenlöschung oder Gerätesperrung ausgelöst.