MDM-Lizenzen kosten je nach Anbieter und Funktionsumfang wenige Euro pro Gerät und Monat. Lizenzmodelle unterscheiden sich: pro Gerät eignet sich für kleinere Firmen, pro User für Unternehmen, in denen Mitarbeitende mehrere Geräte nutzen. Open-Source-Alternativen existieren, erfordern aber eigene IT-Ressourcen für Betrieb und Wartung.
Was ist MDM (Mobile Device Management)?
In diesem Artikel
Das Wichtigste in Kürze
- Kernfunktionen: Geräte-Enrollment, Richtlinien-Verteilung, App-Verwaltung, Remote Wipe bei Verlust
- Verwandte Konzepte: MAM (Apps), EMM (Geräte + Apps), UEM (alle Endpunkte)
- Compliance: In Deutschland müssen Unternehmen DSGVO-Anforderungen bei der Geräteverwaltung erfüllen
- Bereitstellung: Cloud, On-Premise oder integrierte Plattform – je nach Unternehmensgröße und Anforderung
- Rippling: Vereint HR, IT und Geräteverwaltung auf einer Plattform mit automatisiertem Lifecycle-Management
MDM (Abkürzung für Mobile Device Management) ist die zentrale Verwaltung und Absicherung mobiler Endgeräte im Unternehmen. Smartphones, Tablets und Laptops gehören längst zum Arbeitsalltag, doch mit jedem zusätzlichen Gerät wächst die Angriffsfläche für Cyberattacken und Datenverlust.
Remote Work, hybride Modelle und BYOD-Richtlinien verschärfen die Lage: IT-Teams müssen Hunderte Geräte konfigurieren, absichern und überwachen. Ohne eine zentrale Lösung bleibt das manuelle Stückwerk. Dieser Leitfaden erklärt, was MDM leistet, wie die Technik funktioniert und worauf deutsche Unternehmen bei der Einführung achten sollten.
Was ist MDM? Bedeutung und Definition
MDM (Mobile Device Management) ist der Branchenbegriff für die Verwaltung mobiler Geräte wie Smartphones, Tablets und Laptops. Der Begriff steht je nach Kontext für drei Dinge: eine Software, einen Prozess und eine IT-Disziplin.
Als Software bindet MDM alle mobilen Geräte der Mitarbeitenden in das Unternehmensnetzwerk ein und schützt es.
Als Prozess beschreibt es die Methodik, mit der IT-Teams Geräte registrieren, konfigurieren und überwachen.
Und als IT-Disziplin meint MDM die Abteilung oder Rolle, die sich um genau diese Aufgaben kümmert.
Warum jedes Unternehmen eine Geräteverwaltung braucht
Die Zahl mobiler Geräte im Berufsalltag steigt seit Jahren. Jedes Smartphone und jedes Tablet, das auf Unternehmensdaten zugreift, ist ein potenzielles Einfallstor für Datenverlust, unbefugten Zugriff oder Cyberangriffe.
Remote und Hybrid Work verschärfen das Problem. Mitarbeitende arbeiten aus dem Homeoffice, aus Co-Working-Spaces oder unterwegs. Ohne MDM bleibt der IT-Abteilung nur manuelle Konfiguration, kein Überblick über den Gerätestatus und kein Remote Wipe, wenn ein Laptop verloren geht. Das ist ein Geräte-Flickenteppich, der mit jeder Neueinstellung wächst.
Wer kümmert sich um MDM im Unternehmen?
In größeren Unternehmen verantwortet ein dediziertes IT-Team die Geräteverwaltung. Im Mittelstand liegt die Aufgabe oft bei einer einzelnen Person aus der IT oder dem Office Management.
Die Aufgaben umfassen:
Enrollment,
Richtlinien-Management,
App-Verteilung sowie
Support und Compliance-Monitoring.
Die Schnittstelle zu HR ist dabei entscheidend: Beim Onboarding brauchen neue Mitarbeitende konfigurierte Geräte, beim Offboarding müssen Unternehmensdaten zuverlässig gelöscht werden.
Was kann eine MDM-Software? Die wichtigsten Funktionen
Mobile Device Management deckt den gesamten Lebenszyklus eines Geräts ab, von der ersten Registrierung bis zur Stilllegung. Was früher händisch per Ticket und Spreadsheet lief, steuert die IT heute über eine zentrale Konsole:
Geräte-Enrollment: Neue Geräte werden automatisiert registriert, per Zero-Touch-Verfahren oder QR-Code. Beim Auspacken ist das Gerät bereits vorkonfiguriert.
Richtlinien-Verteilung: WLAN-Profile, VPN-Zugänge und E-Mail-Konfigurationen lassen sich zentral ausrollen, sowohl für einzelne Geräte als auch für ganze Abteilungen.
App-Verwaltung: Unternehmens-Apps werden installiert, aktualisiert oder gesperrt. Unerwünschte Apps können blockiert werden.
Sicherheitsrichtlinien: Verschlüsselung erzwingen, Passwort-Policies setzen, Geofencing aktivieren; alles über eine zentrale Konsole als Gerätemanagement.
Remote Wipe: Bei Verlust oder Diebstahl löscht die IT Unternehmensdaten aus der Ferne. Bei BYOD-Geräten selektiv, ohne private Daten zu berühren.
Monitoring und Reporting: Gerätestatus, OS-Versionen und Compliance-Checks in Echtzeit. Veraltete Betriebssysteme oder fehlende Updates fallen sofort auf.
Alle wichtigen Funktionen in einer Anwendung
Die Funktionen greifen ineinander: Enrollment liefert die Datenbasis, Richtlinien setzen den Rahmen, Monitoring prüft die Einhaltung.
MDM, MAM, EMM und UEM: Was die Begriffe unterscheidet
Wer sich mit Geräteverwaltung beschäftigt, stößt schnell auf verwandte Abkürzungen neben MDM. MDM war der Anfang, MAM, EMM und UEM sind die Evolutionsstufen danach. Der Unterschied liegt im Scope: Was genau wird verwaltet? Davon zu trennen ist BYOD: kein Verwaltungsansatz, sondern die Frage, wem das Gerät gehört und ein wichtiger Faktor bei der Wahl der passenden Lösung.
MAM: Wenn es nur um die Apps geht
MAM (Mobile Application Management) fokussiert sich auf die Verwaltung und Absicherung von Unternehmens-Apps – nicht des gesamten Geräts. Geschäftliche Anwendungen laufen in einem isolierten Container, getrennt von privaten Daten.
Typischer Einsatz: BYOD-Szenarien, bei denen das Gerät privat bleibt und die IT nur die geschäftlichen Apps kontrolliert. Wer lediglich E-Mail und ein CRM absichern muss, kommt mit MAM aus.
EMM und UEM: Die erweiterten Ansätze
EMM (Enterprise Mobility Management) kombiniert MDM und MAM. Geräte und Apps werden gemeinsam verwaltet – eine Stufe umfassender als reine Geräteverwaltung.
UEM (Unified Endpoint Management) geht noch weiter: Alle Endgeräte, Smartphones, Laptops, Desktops, teils IoT, laufen über eine einzige Plattform. Für Unternehmen mit einem heterogenen Gerätemix ist UEM die aktuelle Marktrichtung.
BYOD: Wenn Mitarbeitende eigene Geräte mitbringen
BYOD (Bring Your Own Device) bedeutet: Mitarbeitende nutzen private Geräte für die Arbeit. Das spart Anschaffungskosten und erhöht die Zufriedenheit, weil jede:r sein:ihr vertrautes Gerät behält.
Doch wo es an der Schnittstelle zwischen privat und geschäftlich hakt, entstehen Risiken: Datentrennung, Compliance und Datenschutz verlangen klare Regeln. Die MDM-Lösung muss BYOD-fähig sein – mit Containerisierung und selektivem Wipe, das Unternehmensdaten löscht und private Fotos unberührt lässt.
So funktioniert MDM: vom Enrollment bis zur Fernwartung
MDM basiert auf einer Agent-Server-Architektur. Auf jedem verwalteten Gerät läuft ein MDM-Agent, also eine kleine Software, die über APIs direkt mit dem Betriebssystem kommuniziert. Der MDM-Server sitzt in der Cloud oder On-Premise und steuert die Agents zentral.
Der Ablauf in der Praxis sieht so aus:
Enrollment:
Das Gerät wird registriert – manuell, per QR-Code oder automatisiert per Zero-Touch. Apple Automated Device Enrollment (ADE, ehemals DEP) über Apple Business Manager, Android Zero-Touch (ab Android 9) und Windows Autopilot ermöglichen die Konfiguration direkt beim Auspacken.
Richtlinien-Push:
Die IT konfiguriert Richtlinien in der Verwaltungskonsole. Der Server überträgt sie per OTA (Over-the-Air) an die Agents auf den Geräten.
Laufende Verwaltung:
Der Agent meldet Gerätestatus, OS-Version und Compliance-Stand zurück. Bei Regelverstößen, etwa fehlender Verschlüsselung oder veraltetem OS, greift die definierte Richtlinie automatisch.
Klingt nach viel Technik? Mitarbeitende merken davon nichts, denn das Gerät funktioniert bereits ab dem Auspacken. Die IT behält den Überblick, ohne jedes Gerät anfassen zu müssen. Neue Mitarbeitende bekommen ihr konfiguriertes Gerät, ausscheidende verlieren den Zugang automatisch.
Cloud, On-Premise oder Plattform: Welches MDM-Modell passt?
Bei der MDM-Einführung sind zwei Entscheidungen zu treffen: Wo laufen die Daten – in der Cloud oder On-Premise? Und setzen Sie auf ein spezialisiertes Standalone-Tool oder eine integrierte Plattform? Beide Fragen hängen von Unternehmensgröße und Compliance-Anforderungen ab.
Cloud oder On-Premise: Wo laufen die Daten?
Cloud-MDM ist der Standard für die meisten Unternehmen. Der Anbieter hostet die Server, kümmert sich um Updates und Skalierung. Die Bereitstellung dauert Tage statt Wochen, der IT-Aufwand bleibt gering.
On-Premise-MDM eignet sich für regulierte Branchen, wie Gesundheit, Finanzwesen und öffentliche Verwaltung, mit strengen Datenhaltungsvorgaben. Die volle Datenkontrolle erkauft man sich mit höheren Initialkosten und eigener Infrastruktur. Hybrid-Modelle sind ein Kompromiss, bleiben in der Praxis aber selten.
Standalone-Tool oder integrierte Plattform?
Standalone-MDM-Tools sind spezialisiert und bieten oft tiefere Geräte-Features. Der Nachteil: Gerätedaten leben isoliert, die IT pflegt ein weiteres System neben HR und Identity Management.
Integrierte Plattformen verbinden Geräteverwaltung mit HR und IT auf einer Datenbasis. Neue Mitarbeitende bekommen beim Onboarding automatisch das richtige Gerät mit den entsprechenden Richtlinien. Beim Offboarding werden Zugänge und Geräte in einem Schritt deaktiviert. Für den Mittelstand bedeutet das: weniger Systeme, weniger manuelle Abstimmung.
„Das größte Problem bei isolierten MDM-Tools ist nicht die Technik – es ist der Bruch zwischen HR und IT. Wenn Onboarding und Geräteverwaltung auf getrennten Systemen laufen, fallen Geräte durch.”
Ronny Röder
Payroll-Specialist bei Rippling Deutschland
MDM-Lizenzen kosten je nach Anbieter und Funktionsumfang wenige Euro pro Gerät und Monat. Die Preisspanne hängt vom Lizenzmodell ab – pro Gerät oder pro User.
Warum HR und IT zusammengehören: die blinde Stelle klassischer MDM-Tools
Die meisten MDM-Tools verwalten Geräte technisch einwandfrei – und scheitern trotzdem im Alltag. Der Grund liegt selten in der Software, sondern in der Lücke zwischen HR und IT. Wer wann ein Gerät braucht, welche Rolle welche Apps erfordert, wann ein Zugang erlischt: Diese Informationen leben im HR-System, das MDM-Tool weiß davon nichts. Genau hier entstehen die Probleme, die kein noch so gutes Standalone-Tool löst.
Das zeigt sich entlang des gesamten Mitarbeiter-Lifecycles:
Onboarding: Neue Mitarbeitende warten Tage auf ihr Gerät, weil HR-Eintrittsdatum und IT-Provisionierung nicht synchron laufen.
Offboarding: HR verbucht den Austritt, aber die IT erfährt davon nicht. Zugänge und Geräte bleiben aktiv – ein DSGVO- und Sicherheitsrisiko.
Rollenwechsel: Mitarbeitende behalten alte Berechtigungen und Apps, weil HR-Stammdaten und MDM-Policies getrennt gepflegt werden.
Doppelte Datenpflege: Dieselben Daten werden in HR-System und MDM-Tool gepflegt – die Brücke dazwischen ist oft eine fehleranfällige Excel-Liste.
Audit: Die Frage „Wer hatte wann Zugriff auf welches Gerät?" lässt sich ohne gemeinsame Datenbasis nur mühsam rekonstruieren.
Diese Schmerzpunkte haben eine gemeinsame Wurzel: Gerätedaten und Personaldaten liegen in getrennten Systemen. Jede Änderung muss zweimal passieren, und jede manuelle Übertragung ist eine Fehlerquelle.
Rippling vereint HR, IT und Geräteverwaltung auf einer Datenbasis, sodass Onboarding, Rollenwechsel und Offboarding automatisch laufen.
DSGVO und BYOD: Was deutsche Unternehmen beachten müssen
DSGVO Art. 32 verpflichtet Unternehmen zu angemessenen technischen Maßnahmen zum Schutz personenbezogener Daten und MDM ist der Standard, um diese Anforderung im Rahmen der IT-Compliance auf mobilen Geräten umzusetzen.
Der Punkt, an dem die meisten Unternehmen stolpern, ist die Datentrennung. Geschäftliche und private Daten auf einem Gerät zu mischen, widerspricht den DSGVO-Grundsätzen. Containerisierung löst das Problem: Geschäftliche Apps und Daten laufen in einem abgeschirmten Bereich, der private Bereich bleibt unangetastet.
Der BSI IT-Grundschutz Baustein SYS.3.2.2 behandelt MDM explizit und nennt unter anderem folgende zentrale Maßnahmen:
Zentrale Geräteverwaltung über eine MDM-Plattform
Erzwungene Verschlüsselung auf allen verwalteten Geräten
Automatische Updates, um Sicherheitslücken schnell zu schließen
Unternehmen, die BYOD erlauben, benötigen zusätzlich klare Nutzungsvereinbarungen: Was darf die IT auf dem Privatgerät sehen? Welche Apps werden im Container verwaltet? Und was passiert bei Verlust – selektives Wipe der Unternehmensdaten, ohne private Fotos und Nachrichten zu löschen.
Geräte zentral verwalten, ohne private Daten anzutasten
Was ist MDM? Ordnung für Ihre Geräteverwaltung
Ob 20 Smartphones oder 500 Laptops – ohne MDM bleibt Geräteverwaltung reaktiv. Entscheidend ist nicht die Software allein, sondern die Passung: Unternehmensgröße, OS-Mix, BYOD-Policy und Compliance-Anforderungen bestimmen, welches Modell funktioniert.
Anders als isolierte MDM-Tools vereint Rippling HR, IT und Geräteverwaltung auf einer All-in-one-Plattform. Neue Mitarbeitende bekommen beim Onboarding automatisch das richtige Gerät mit den richtigen Zugängen und beim Offboarding wird beides in einem Schritt deaktiviert. Möchten Sie sehen, wie das bei Ihnen aussehen kann? Das IT-Team zeigt den Ablauf gerne in einer Demo.
FAQs
Was kostet eine MDM-Lösung?
Welche Geräte und Betriebssysteme unterstützt MDM?
Die meisten MDM-Lösungen verwalten iOS, Android, Windows und macOS. Einige unterstützen zusätzlich ChromeOS oder Linux. Die Verwaltungstiefe variiert: Apple bietet über das MDM Framework granulare Steuerung, Android Enterprise ermöglicht über Work Profile und Device Owner Mode umfassende Richtlinien. Entscheidend ist, dass die Lösung den tatsächlichen OS-Mix im Unternehmen abdeckt.
Was empfiehlt das BSI für Mobile Device Management?
Der BSI IT-Grundschutz Baustein SYS.3.2.2 widmet sich explizit der Verwaltung mobiler Geräte. Er nennt als zentrale Maßnahmen unter anderem die zentrale Geräteverwaltung über eine MDM-Plattform, erzwungene Verschlüsselung auf allen verwalteten Geräten und automatische Updates zum schnellen Schließen von Sicherheitslücken. Darüber hinaus deckt der Baustein Themen wie Strategie, Berechtigungskonzept und Notfallplanung ab.
Wie lange dauert die Einführung von MDM im Unternehmen?
Cloud-basierte MDM-Lösungen lassen sich innerhalb weniger Tage in Betrieb nehmen, denn Enrollment, Richtlinien und erste Geräte sind schnell konfiguriert. On-Premise-Installationen dauern je nach Geräteanzahl und Infrastruktur mehrere Wochen bis Monate, weil Server-Infrastruktur und Netzwerk-Konfiguration hinzukommen. Der größte Zeitfaktor ist nicht die Technik, sondern die interne Abstimmung: Richtlinien definieren, BYOD-Policy klären und Mitarbeitende informieren.
Kann MDM auch auf privaten Geräten der Mitarbeitenden eingesetzt werden?
Ja, über Containerisierung. MDM erstellt auf dem Privatgerät einen abgeschirmten Bereich für geschäftliche Apps und Daten. Die IT verwaltet nur diesen Container, private Apps und Fotos bleiben unangetastet. Bei Verlust oder Austritt löscht ein selektives Wipe ausschließlich die Unternehmensdaten. Voraussetzung ist eine klare Nutzungsvereinbarung zwischen Arbeitgeber und Mitarbeitenden.
Verwalten Sie alle Zugangspunkte über eine zentrale Konsole
Haftungsausschluss
Rippling und seine verbundenen Unternehmen bieten keine Steuer-, Buchhaltungs- oder Rechtsberatung an. Dieses Material wurde nur zu Informationszwecken erstellt und ist nicht als Rechts-, Buchhaltungs- oder Steuerberatung gedacht und sollte nicht als solche herangezogen werden. Sie sollten Ihre eigenen Steuer-, Buchhaltungs- und Rechtsberater konsultieren, bevor Sie damit verbundene Aktivitäten oder Transaktionen durchführen.
Author
Stephen Pieper
German Product Lead
Hubs
Erleben Sie Rippling in Aktion
Mit zentralen HR-, IT- und Finanzfunktionen sparen Sie bares Geld, automatisieren Routineaufgaben und treffen fundiertere Entscheidungen.