Die Hälfte aller Mitarbeiter greift heute über mobile Geräte auf Firmendaten zu — Tendenz steigend. Gleichzeitig werden Cyberangriffe auf Endgeräte immer raffinierter. Wer seine Firmengeräte nicht systematisch verwaltet, verliert die Kontrolle über die eigenen Daten. Mobile Device Management (MDM) ist die Antwort. Wir erklären, was MDM kann, welche Lösungen es gibt und worauf Sie bei der Einführung achten sollten.
Was ist Mobile Device Management?
Mobile Device Management, kurz MDM, ist eine zentrale Verwaltungsplattform für mobile Endgeräte — Smartphones, Tablets, Laptops. Über eine Konsole können IT-Verantwortliche alle Firmengeräte konfigurieren, überwachen, aktualisieren und im Notfall auch remote löschen. Ziel ist es, sensible Unternehmensdaten zu schützen, ohne die Produktivität der Mitarbeiter einzuschränken.
Moderne MDM-Systeme gehen über reine Geräteverwaltung hinaus. Sie integrieren Identity Management, App-Verteilung, Compliance-Überwachung und Endpoint Protection. Der Begriff Unified Endpoint Management (UEM) hat sich etabliert — er beschreibt die integrierte Verwaltung aller Endgeräte, vom Desktop bis zum Smartphone.
Welche Probleme löst MDM?
- Datenverlust bei verlorenen Geräten — Ein gestohlenes Smartphone kann per Remote-Wipe gelöscht werden, ohne dass Daten in falsche Hände geraten.
- Inkonsistente Konfiguration — Alle Geräte werden nach einem zentralen Standard eingerichtet, inklusive VPN-Konfiguration, E-Mail-Setup und Sicherheitseinstellungen.
- Compliance-Verletzungen — DSGVO und Branchen-Vorgaben verlangen, dass nur autorisierte Geräte auf Firmendaten zugreifen dürfen. MDM dokumentiert und erzwingt diese Vorgaben.
- Patch-Management — Sicherheitsupdates werden zentral verteilt, ohne auf die Mitarbeiter zu warten.
- App-Chaos — Firmen-Apps werden automatisch installiert und aktualisiert, unsichere Apps können gesperrt werden.
- BYOD-Kontrolle — Wenn Mitarbeiter private Geräte nutzen, trennt MDM zwischen privatem und beruflichem Bereich.
MDM-Lösungen im Vergleich
Microsoft Intune ist Teil von Microsoft 365 Business Premium und der naheliegende Kandidat für Unternehmen, die bereits M365 nutzen. Es verwaltet Windows, macOS, iOS und Android-Geräte aus einer Konsole. Intune integriert nahtlos mit Azure AD, Conditional Access und Microsoft Defender. Für die meisten mittelständischen Unternehmen reicht Intune vollständig aus — und ist dabei kosteneffizient, weil es meist schon in der Lizenz enthalten ist.
Jamf ist spezialisiert auf Apple-Geräte und gilt als Platzhirsch im macOS- und iOS-Management. Wer eine hauptsächlich Apple-basierte Infrastruktur hat, ist mit Jamf auf der technisch fortschrittlichsten Plattform. Die Tiefe der Apple-Integration ist unübertroffen — dafür ist Jamf deutlich teurer als Intune und erfordert separates Lizenzmanagement.
VMware Workspace ONE bietet sehr breiten Plattform-Support und tiefe Integration in virtualisierte Umgebungen. Nach der Broadcom-Übernahme ist die Preisgestaltung allerdings unübersichtlicher geworden. Für reine Endgeräte-Verwaltung ist Workspace ONE oft überdimensioniert.
Was MDM NICHT kann
MDM ist kein Allheilmittel. Auf rein privaten Geräten ohne MDM-Profil haben Sie keine Kontrolle. Mitarbeiter können sich weigern, MDM auf privaten Geräten zu installieren — und haben damit rechtlich gute Karten. Für echte BYOD-Szenarien brauchen Sie zusätzliche Konzepte wie App-Wrapping oder Mobile Application Management (MAM), das nur die Firmen-Apps schützt, ohne das gesamte Gerät zu verwalten.
MDM einführen — der epta-Ansatz
Als Microsoft-Partner setzen wir Intune für die meisten unserer Kunden ein. Die Einführung läuft in drei Phasen: Zunächst erfassen wir Ihre aktuelle Gerätelandschaft — welche Geräte sind im Einsatz, wer nutzt sie, welche Apps sind relevant. Dann konfigurieren wir Intune mit Compliance-Richtlinien, App-Protection-Profilen und Conditional-Access-Regeln. Schließlich rollen wir die Profile schrittweise aus und schulen Ihre Mitarbeiter im Umgang mit den neuen Sicherheitsmechanismen.
Der Prozess dauert je nach Unternehmensgröße zwischen zwei und sechs Wochen. Wichtig ist uns, dass die Mitarbeiter verstehen, warum MDM eingeführt wird — nicht als Kontrollinstrument, sondern als Schutz für Unternehmen UND Mitarbeiter.
Fazit
Mobile Device Management ist 2026 keine Option mehr, sondern Pflicht für jedes Unternehmen, das mobile Geräte einsetzt. Die Einführung ist überschaubar, die Risiken ohne MDM sind es nicht. Für Microsoft-365-Kunden ist Intune fast immer die richtige Wahl. Wer unsicher ist, wo anzufangen — wir analysieren Ihre Situation und zeigen Ihnen einen pragmatischen Weg zu einer verwalteten und sicheren Geräte-Landschaft.
Weiterführende Leistungen:IT-Sicherheit · Cyber Security · Microsoft 365 Beratung · Microsoft Copilot
Was ist MDM? Mobile Device Management einfach erklärt
Mobile Device Management (MDM) ist eine Software-Plattform, mit der ein Unternehmen alle mobilen Geräte — Notebooks, Smartphones, Tablets — zentral verwaltet. Ziel: einheitliche Sicherheits-Einstellungen, kontrollierte App-Installationen, Fernlöschfunktion bei Verlust und automatische Gerätebereitstellung für neue Mitarbeitende. Ohne MDM müsste jedes Gerät einzeln konfiguriert werden — mit MDM klappt die Einrichtung in Minuten statt Stunden.
MDM ist nicht dasselbe wie eine Antivirus-Lösung oder ein Helpdesk. Ein MDM-System sorgt für die Verwaltung der Geräte, nicht für deren Bedienung oder den Endnutzer-Support. Klassische Managed-Services nutzen MDM als Grundlage — zusammen mit Monitoring, Backup und Support.
Apple MDM Software und iOS MDM
Wer iPhones, iPads oder Macs verwaltet, hat zwei Hauptwege: Apple Business Manager (ABM) als Apple-eigene Schaltzentrale plus ein MDM-Produkt als Partner. Die meistgenutzten Apple-MDM-Plattformen in Deutschland sind Jamf (Marktführer, stark bei Unternehmen mit vielen Macs), Microsoft Intune (Teil von Microsoft 365, eng mit Entra ID verzahnt), Mosyle (günstigerer Herausforderer, stark bei rein Apple-fokussierten Firmen) und Kandji (moderner Cloud-Ansatz, hohes Tempo bei neuen Apple-Features).
Apple Business Manager selbst kostet nichts, ist aber Voraussetzung für sauberes Zero-Touch-Enrollment: neue Geräte werden beim Hersteller gekauft, per Seriennummer registriert und automatisch beim ersten Einschalten mit den Firmeneinstellungen versehen. Für Mittelständler mit 20+ Apple-Geräten ist das der Industriestandard.
iOS MDM vs. Android Enterprise vs. Windows MDM
Jedes Betriebssystem hat sein eigenes MDM-Framework. iOS/iPadOS nutzt Apples MDM-Protokoll, Android basiert auf Android Enterprise (Work-Profil-Ansatz), Windows nutzt MDM über die Modern Device Management API. Die Auswahl der MDM-Plattform sollte alle drei abdecken können — zumindest wenn gemischte Gerätelandschaften bestehen.
Intune hat hier den Vorteil, alle drei Plattformen nativ zu beherrschen. Jamf und Mosyle fokussieren auf Apple, Android/Windows sind dort meist Beiwerk. Für reine Apple-Umgebungen ist das kein Problem — wer gemischte Flotten managt, sollte diese Abdeckung bei der Auswahl priorisieren.
FAQ zu Mobile Device Management
Was ist MDM und warum brauche ich es?
MDM ist eine Software, die alle Firmengeräte zentral verwaltet — Einstellungen, Apps, Sicherheit, Remote-Löschung. Ohne MDM müsste jedes Gerät manuell konfiguriert werden, bei Verlust wären Firmendaten ungeschützt. Ab 10 Geräten wird MDM wirtschaftlich sinnvoll, ab 25 Geräten praktisch unverzichtbar.
Welche ist die beste MDM-Software für KMU?
Für Microsoft-365-Kunden: Intune (bereits in Business Premium und E3/E5 enthalten). Für reine Apple-Umgebungen: Jamf oder Mosyle. Für gemischte Flotten und hohe Budgets: Jamf + Intune kombiniert. Für preissensitive KMU mit 10–30 Geräten: Mosyle oder SimpleMDM.
Was kostet MDM pro Gerät?
Typische Preise: Mosyle Business 1–2 €/Gerät/Monat, Intune 6–8 €/User/Monat (alle Geräte), Jamf Pro 4–5 €/Gerät/Monat, Kandji ab 4 €/Gerät/Monat. Bei epta gehört die MDM-Betreuung zur Managed-Service-Pauschale dazu.
Kann ich ein privates Handy auch ins MDM einbinden?
Ja — über das BYOD-Modell (Bring Your Own Device) mit einem Work-Profil. Firmendaten und private Daten bleiben strikt getrennt. Voraussetzung: klare Vereinbarung mit dem Mitarbeitenden und sauberer Datenschutzrahmen. Für viele KMU ist das firmeneigene Gerät aber langfristig der einfachere Weg.
Was passiert mit den Geräten, wenn ein Mitarbeitender geht?
Mit MDM: ein Klick, und alle Firmendaten sind vom Gerät entfernt — entweder das ganze Gerät wird zurückgesetzt (Corporate) oder nur das Work-Profil gelöscht (BYOD). Ohne MDM ist das praktisch nicht zuverlässig möglich, vor allem nicht beweisfähig für Compliance.