In vielen mittelständischen Unternehmen in Südbaden gehören Smartphones und Tablets längst zur Grundausstattung. Außendienstmitarbeiter greifen unterwegs auf Kundendaten zu, Techniker dokumentieren Einsätze per App, und die Geschäftsführung liest E-Mails am Wochenende auf dem Firmenhandy. Doch was passiert, wenn eines dieser Geräte verloren geht, gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt? Ohne eine zentrale Verwaltung – ein sogenanntes Mobile Device Management (MDM) – stehen Unternehmen vor einem ernsthaften Sicherheitsproblem.
Firmenhandys ohne Verwaltung: Das unterschätzte Sicherheitsrisiko
Die Realität in vielen KMU sieht so aus: Firmenhandys werden ausgegeben, ein Google- oder Apple-Konto wird eingerichtet, und der Rest bleibt dem Mitarbeiter überlassen. Updates? Werden irgendwann installiert – oder auch nicht. Apps? Jeder lädt, was er braucht. Bildschirmsperre? Optional. Was im Alltag bequem erscheint, wird im Ernstfall zum Albtraum.
- Ein verlorenes Smartphone ohne Verschlüsselung gibt Zugang zu E-Mails, Kontakten und internen Dokumenten
- Ehemalige Mitarbeiter behalten Zugriff auf Firmendaten, weil niemand das Gerät zurücksetzt
- Veraltete Betriebssysteme mit bekannten Sicherheitslücken bleiben monatelang ungepatcht
- Privat installierte Apps greifen auf geschäftliche Kontakte und Kalender zu
- Kein Überblick, welche Geräte überhaupt im Einsatz sind und welche Software darauf läuft
- Bei einem Cyberangriff fehlt die Möglichkeit, kompromittierte Geräte sofort zu isolieren
⚠️ Wichtig: Laut einer Bitkom-Studie wurden bereits 30 % aller deutschen Unternehmen über mobile Endgeräte angegriffen. Bei KMU ohne MDM ist die Dunkelziffer vermutlich noch höher, da Vorfälle oft gar nicht bemerkt werden.
BYOD, COPE oder COBO: Welches Modell passt zu Ihrem Unternehmen?
Bevor Sie sich für eine MDM-Lösung entscheiden, müssen Sie eine grundlegende Frage klären: Wem gehören die Geräte, und wie werden sie genutzt? Im Wesentlichen gibt es drei Modelle, die sich in Kontrolle, Kosten und Mitarbeiterakzeptanz deutlich unterscheiden.
| Modell | Beschreibung | Vorteile | Nachteile |
|---|---|---|---|
| BYOD (Bring Your Own Device) | Mitarbeiter nutzen private Geräte für die Arbeit | Keine Anschaffungskosten, hohe Akzeptanz | Geringste Kontrolle, DSGVO-Risiken, Support-Aufwand durch Gerätevielfalt |
| COPE (Corporate Owned, Personally Enabled) | Firmengerät mit erlaubter Privatnutzung | Gute Balance aus Kontrolle und Akzeptanz | Datentrennung nötig, mittlere Kosten |
| COBO (Corporate Owned, Business Only) | Firmengerät ausschließlich für geschäftliche Nutzung | Maximale Kontrolle und Sicherheit | Höchste Kosten, geringere Akzeptanz, Mitarbeiter tragen zwei Geräte |
Für die meisten KMU in Südbaden empfehlen wir das COPE-Modell: Sie behalten die volle Kontrolle über das Gerät, während Mitarbeiter es auch privat nutzen dürfen. Das reduziert die Anzahl der Geräte und erhöht die Akzeptanz. Entscheidend ist dabei eine saubere Datentrennung – und genau hier kommt MDM ins Spiel.
Was kann Mobile Device Management? Die wichtigsten Funktionen
Ein MDM-System ist weit mehr als nur eine Geräteverwaltung. Es ist die zentrale Schaltstelle für Sicherheit, Compliance und Effizienz Ihrer mobilen Infrastruktur. Über eine webbasierte Konsole steuern IT-Verantwortliche sämtliche Mobilgeräte im Unternehmen – vom Smartphone über das Tablet bis zum Laptop.
Remote Wipe & Lock
Verlorene oder gestohlene Geräte können aus der Ferne gesperrt oder vollständig gelöscht werden – in Sekunden, nicht in Tagen.
App-Management
Geschäftsanwendungen werden zentral verteilt, aktualisiert und bei Bedarf wieder entfernt. Unerwünschte Apps lassen sich blockieren.
Compliance-Checks
Automatische Prüfung, ob Geräte den Sicherheitsrichtlinien entsprechen: Ist die Verschlüsselung aktiv? Ist das OS aktuell? Ist ein Jailbreak vorhanden?
Geofencing & Standort
Gerätefunktionen können standortabhängig gesteuert werden – etwa die Kamera in sensiblen Bereichen deaktivieren.
E-Mail & VPN-Konfiguration
Sichere Zugänge zu Firmennetzwerk und E-Mail werden automatisch konfiguriert, ohne dass der Mitarbeiter Zugangsdaten kennen muss.
Datenverschlüsselung
Erzwungene Verschlüsselung auf allen verwalteten Geräten – sowohl für gespeicherte Daten als auch für die Übertragung.
MDM-Lösungen im Vergleich: Welches System passt zu KMU?
Der Markt für MDM-Lösungen ist vielfältig. Für mittelständische Unternehmen kommen vor allem vier Plattformen in Frage, die sich in Funktionsumfang, Ökosystem und Preisgestaltung unterscheiden.
| Lösung | Stärke | Ideal für | Preis pro Gerät/Monat (ca.) |
|---|---|---|---|
| Microsoft Intune | Nahtlose Integration in Microsoft 365 | Unternehmen mit Microsoft-Infrastruktur | Ab 6,70 € (in M365 Business Premium enthalten) |
| Jamf Pro | Beste Apple-Verwaltung am Markt | Unternehmen mit überwiegend Apple-Geräten | Ab ca. 8 € pro Gerät |
| VMware Workspace ONE | Plattformübergreifend sehr stark | Heterogene Geräteflotten (iOS, Android, Windows) | Ab ca. 4–7 € je nach Edition |
| SOTI MobiControl | Stark bei Spezialgeräten (Ruggedized, IoT) | Logistik, Fertigung, Außendienst mit Spezialgeräten | Ab ca. 5 € pro Gerät |
Wenn Sie bereits Microsoft 365 Business Premium nutzen, ist Microsoft Intune bereits in Ihrer Lizenz enthalten – Sie zahlen also nichts extra. Für viele mittelständische Betriebe ist das der einfachste und kostengünstigste Einstieg in professionelles Mobile Device Management. Wir unterstützen Sie bei der Einrichtung und Konfiguration.
Datentrennung: Geschäftlich und Privat auf einem Gerät
Die größte Herausforderung beim COPE-Modell ist die saubere Trennung von geschäftlichen und privaten Daten. Mitarbeiter möchten ihre persönlichen Fotos und WhatsApp-Nachrichten nicht mit dem Arbeitgeber teilen. Gleichzeitig muss das Unternehmen sicherstellen, dass Geschäftsdaten nicht in private Cloud-Speicher oder unsichere Apps gelangen.
Moderne MDM-Lösungen setzen dabei auf das Konzept der Container-Technologie: Auf dem Gerät wird ein verschlüsselter Bereich geschaffen, in dem alle geschäftlichen Apps und Daten isoliert laufen. Der private Bereich bleibt davon komplett unberührt.
Android Enterprise Work Profile
Auf Android-Geräten erstellt das MDM ein separates Arbeitsprofil. Geschäftliche Apps sind mit einem Koffersymbol gekennzeichnet und laufen in einem eigenen Container. Copy-Paste zwischen den Bereichen kann unterbunden werden.
Apple Managed Apps
Bei iOS setzt Apple auf verwaltete Apps. Geschäftliche Daten werden innerhalb dieser Apps verschlüsselt gespeichert und können nicht in private Apps kopiert oder per AirDrop geteilt werden.
Selektiver Wipe
Verlässt ein Mitarbeiter das Unternehmen, wird nur der geschäftliche Container gelöscht – private Fotos, Apps und Nachrichten bleiben vollständig erhalten.
Einrichtung und Enrollment: So kommen die Geräte ins System
Die Ersteinrichtung ist oft der Teil, der IT-Verantwortliche am meisten abschreckt. Tatsächlich ist der Prozess bei modernen MDM-Lösungen deutlich einfacher geworden – vor allem dank sogenannter Zero-Touch-Enrollment-Verfahren.
Geräte beim Händler registrieren
Apple-Geräte werden über den Apple Business Manager, Android-Geräte über Android Zero-Touch Enrollment beim Kauf direkt dem MDM zugeordnet. Das Gerät weiß beim ersten Einschalten bereits, zu welchem Unternehmen es gehört.
Richtlinien konfigurieren
Im MDM-Portal definieren Sie vorab: Welche Apps sollen installiert werden? Welche Sicherheitsrichtlinien gelten? Welche WLAN- und VPN-Konfigurationen werden benötigt?
Gerät einschalten und verbinden
Der Mitarbeiter schaltet das Gerät ein, verbindet es mit dem Internet – und die Konfiguration läuft vollautomatisch. Apps werden installiert, Richtlinien greifen, E-Mail wird eingerichtet.
Compliance prüfen
Nach dem Enrollment prüft das System automatisch, ob das Gerät alle Vorgaben erfüllt. Ist das nicht der Fall, wird der Mitarbeiter zur Korrektur aufgefordert oder der Zugang eingeschränkt.
Für bestehende Geräte, die bereits im Einsatz sind, bieten alle großen MDM-Lösungen auch ein manuelles Enrollment an – meist über einen QR-Code oder einen Einladungslink per E-Mail. Das ist in wenigen Minuten erledigt und erfordert keine technischen Vorkenntnisse vom Mitarbeiter.
DSGVO und MDM: Was darf der Arbeitgeber überwachen?
Mobile Device Management bewegt sich an der Schnittstelle von IT-Sicherheit und Arbeitnehmerrechten. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) setzen dem Arbeitgeber klare Grenzen – auch wenn er Eigentümer der Geräte ist.
- Der Arbeitgeber darf Geräteinformationen erfassen: Modell, Betriebssystemversion, Verschlüsselungsstatus, installierte geschäftliche Apps
- Der Arbeitgeber darf Sicherheitsrichtlinien durchsetzen: Passwort-Pflicht, Verschlüsselung, Update-Erzwingung
- Der Arbeitgeber darf bei COPE/BYOD nicht auf private Apps, Fotos, Nachrichten oder den Browserverlauf zugreifen
- Eine dauerhafte GPS-Ortung von Mitarbeitern ist ohne ausdrückliche Einwilligung und triftigen Grund nicht zulässig
- Der Betriebsrat (sofern vorhanden) muss vor der MDM-Einführung einbezogen werden
- Eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO ist bei BYOD-Szenarien dringend empfohlen
App-Verwaltung und -Verteilung im Unternehmenseinsatz
Neben der Gerätesicherheit ist die zentrale App-Verwaltung einer der größten Mehrwerte von MDM. Statt jeden Mitarbeiter einzeln Apps installieren und konfigurieren zu lassen, übernimmt das MDM diese Aufgabe automatisch und einheitlich.
Managed App Store
Stellen Sie einen firmeneigenen App-Katalog bereit. Mitarbeiter sehen nur freigegebene Apps und können diese mit einem Klick installieren.
Silent Install
Geschäftskritische Apps werden automatisch und ohne Nutzerinteraktion installiert – ideal für neue Geräte oder Pflicht-Updates.
App-Konfiguration
Viele Business-Apps lassen sich per MDM vorkonfigurieren. Der Mitarbeiter muss sich nicht um Serveradressen, Proxy-Einstellungen oder Lizenzschlüssel kümmern.
Blacklist & Whitelist
Definieren Sie, welche Apps auf Firmengeräten erlaubt oder verboten sind. TikTok auf dem Firmenhandy? Das entscheiden Sie.
Kosten und Lizenzmodelle: Was kostet MDM wirklich?
Die Kosten für Mobile Device Management setzen sich aus mehreren Komponenten zusammen. Neben der reinen Softwarelizenz fallen Kosten für Einrichtung, Schulung und laufenden Betrieb an. Hier eine realistische Kalkulation für ein typisches KMU mit 30 bis 50 verwalteten Geräten.
| Kostenart | Einmalig | Monatlich (pro Gerät) |
|---|---|---|
| MDM-Softwarelizenz | – | 4–10 € je nach Anbieter |
| Ersteinrichtung & Konfiguration | 1.500–4.000 € | – |
| Enrollment pro Gerät | 15–30 € | – |
| Laufender Support & Monitoring | – | 2–5 € (bei externem IT-Dienstleister) |
| Mitarbeiterschulung | 500–1.500 € | – |
Nutzen Sie bereits Microsoft 365 Business Premium (ab 20,60 €/Nutzer/Monat), ist Intune bereits enthalten. In diesem Fall zahlen Sie nur die Einrichtung und ggf. laufenden Support. Bei 40 Geräten und externem Support landen Sie bei etwa 3.000–5.000 € Einrichtung und 80–200 € monatlich für den Betrieb – ein überschaubares Investment im Vergleich zu den potenziellen Kosten eines Datenverlusts.
Checkliste: MDM-Einführung im Unternehmen
Die Einführung von Mobile Device Management ist ein Projekt, das gut vorbereitet sein will. Mit dieser Checkliste stellen Sie sicher, dass Sie an alles denken.
Vor der Einführung
- Bestandsaufnahme: Wie viele und welche Mobilgeräte sind im Einsatz?
- Gerätemodell festlegen: BYOD, COPE oder COBO?
- Anforderungen definieren: Welche Sicherheitsrichtlinien müssen gelten?
- Betriebsrat einbeziehen (falls vorhanden)
- Datenschutz-Folgenabschätzung durchführen
- MDM-Lösung evaluieren und Testphase durchführen
- MDM-Richtlinie für Mitarbeiter erstellen
Während der Einrichtung
- Sicherheitsrichtlinien im MDM-Portal konfigurieren
- App-Katalog zusammenstellen und Verteilungsregeln festlegen
- E-Mail-, WLAN- und VPN-Profile anlegen
- Compliance-Regeln und automatische Reaktionen definieren
- Pilotgruppe mit 5–10 Geräten testen
- Feedback der Pilotgruppe einholen und Konfiguration anpassen
Nach dem Rollout
- Alle Mitarbeiter schulen und MDM-Richtlinie unterschreiben lassen
- Regelmäßige Compliance-Reports prüfen
- Prozess für neue Mitarbeiter und Geräteaustausch etablieren
- Offboarding-Prozess definieren (selektiver Wipe bei Ausscheiden)
- MDM-Richtlinien mindestens jährlich überprüfen und aktualisieren
- Notfallplan für Geräteverlust oder Sicherheitsvorfall dokumentieren
Fazit: MDM ist kein Luxus, sondern Pflicht
Mobile Device Management ist für mittelständische Unternehmen längst keine optionale Spielerei mehr. Angesichts steigender Cyberbedrohungen, strenger Datenschutzanforderungen und zunehmend mobiler Arbeitsweisen ist eine zentrale Geräteverwaltung unverzichtbar. Die gute Nachricht: Der Einstieg ist einfacher und günstiger als viele denken – besonders wenn Sie bereits Microsoft 365 nutzen.
Wer heute noch Firmenhandys ohne MDM betreibt, riskiert nicht nur Datenverluste und DSGVO-Bußgelder, sondern auch das Vertrauen von Kunden und Geschäftspartnern. Die Investition in ein professionelles MDM zahlt sich vom ersten verhinderten Sicherheitsvorfall an aus.
Die Frage ist nicht, ob ein mobiles Endgerät kompromittiert wird, sondern wann. MDM entscheidet darüber, ob das ein Zwischenfall oder eine Katastrophe wird.
Als IT-Dienstleister in Südbaden unterstützen wir mittelständische Unternehmen bei der Auswahl, Einrichtung und dem laufenden Betrieb von MDM-Lösungen. Ob Sie bei null anfangen oder eine bestehende Lösung optimieren möchten – wir finden die passende Strategie für Ihr Unternehmen.