Inhalt in Kürze
- Eine MDM-Richtlinie regelt verbindlich, wie Smartphones, Tablets und Laptops im Unternehmen konfiguriert und gesichert werden — ohne sie sind Firmen nach DSGVO, NIS-2 und BSI-Grundschutz angreifbar.
- 2026 sind 68 % der KMU in Deutschland laut Bitkom bereits von Cyberattacken mit mobilen Geräten betroffen; 30 % haben noch keine MDM-Policy im Einsatz.
- Die 9 Best Practices reichen von Zero-Trust-Authentifizierung über App-Allowlisting bis zu Remote-Wipe — alle sind mit Microsoft Intune, Jamf, MaaS360 oder VMware Workspace ONE umsetzbar.
- BYOD funktioniert DSGVO-konform nur über App-Schutz (Intune MAM-WE), nicht über Full-Device-Management. Betriebsrat muss früh eingebunden werden.
- hagel IT betreut Hamburger KMU mit Intune-Festpreis-Paketen ab 50 € pro Arbeitsplatz pro Monat — inklusive Policy-Design, Rollout und Compliance-Dokumentation.
Wer 2026 noch Smartphones und Tablets ohne Mobile Device Management im Umlauf hat, riskiert mehr als einen verlorenen Firmenkalender. Ein unverschlüsseltes iPad mit Kundendaten auf dem Rücksitz eines Taxis ist ein meldepflichtiger DSGVO-Vorfall. Eine unpatchte Android-Firmware im Außendienst ist das offene Tor für Ransomware. Wir sehen das als Managed IT Services-Partner in Hamburger Betrieben jeden Monat.
Die gute Nachricht: Eine solide MDM-Richtlinie ist in wenigen Wochen eingeführt — wenn man weiß, worauf es ankommt. Genau dieser Leitfaden.
Was ist eine MDM-Richtlinie?
Eine MDM-Richtlinie ist ein schriftliches Regelwerk plus technische Konfiguration, das drei Fragen beantwortet: Welche Geräte dürfen auf Firmendaten zugreifen? Unter welchen Sicherheitsbedingungen? Und was passiert, wenn eine Bedingung verletzt wird?
Technisch wird sie durchgesetzt über ein Mobile Device Management-System — zum Beispiel Microsoft Intune, Jamf, IBM MaaS360 oder VMware Workspace ONE. Die Richtlinie (Policy) legt fest: Passcode-Länge, Verschlüsselung, erlaubte Apps, Update-Zwang, Remote-Wipe-Rechte. Das MDM-System zwingt jedes registrierte Gerät automatisch in diese Konfiguration.
MDM ohne schriftliche Richtlinie ist zahnlos. Sobald ein Mitarbeiter vor dem Arbeitsgericht steht oder der Datenschutzbeauftragte nachfragt, zählt nur, was dokumentiert ist. Die Technik setzt durch — das Papier schützt Sie juristisch.
Die Richtlinie gilt für alle Endgeräte mit Firmendatenzugriff: Smartphones (iOS, Android), Tablets, Notebooks, Wearables und tragbare Speichermedien. Und für alle Nutzer: Vollzeit, Teilzeit, Freelancer, Praktikanten. Wer Microsoft 365 öffnet, fällt unter die Richtlinie — Punkt.
Warum eine MDM-Richtlinie 2026 Pflicht ist
Drei Entwicklungen machen das Thema dringend:
- NIS-2-Richtlinie seit Oktober 2024 in Kraft, Umsetzung in Deutschland läuft — betrifft alle Unternehmen ab 50 Mitarbeitern in kritischen Sektoren. Mobile Endpoints sind explizit Teil des Asset-Managements.
- Ransomware trifft mobil: Laut BSI-Lagebericht 2024 stiegen Angriffe auf mobile Endgeräte im Jahresvergleich um 28 Prozent, mit iOS-Spyware wie Pegasus als neuem Vektor.
- BYOD ist längst Realität: 73 % der deutschen KMU lassen dienstlich genutzte Privatgeräte zu — meist ohne klaren Rahmen. Das ist ein DSGVO-Problem mit Ansage.
Die 9 Best Practices für Ihre MDM-Richtlinie
Diese Best Practices sind nicht theoretisch. Jeder Punkt kommt aus Rollouts, die wir als IT-Systemhaus Hamburg in den letzten Jahren begleitet haben — vom 8-Mann-Architekturbüro bis zum 150-Mitarbeiter-Mittelständler.
| # | Best Practice | Was es konkret bedeutet | Intune-Umsetzung |
|---|---|---|---|
| 1 | Compliance Policy | Gerät erfüllt Mindestanforderungen | Configuration Profile → Compliance Policy |
| 2 | Starker Passcode + MFA | 6+ Zeichen, FaceID/Biometrie, MFA | Device Configuration → PIN Policy |
| 3 | Verschlüsselung erzwingen | BitLocker/FileVault/iOS-Verschlüsselung | Endpoint Security → Disk Encryption |
| 4 | Updates erzwingen | OS & Apps automatisch, Stichtag nach 14 Tagen | Update Rings + Feature Updates |
| 5 | App-Allowlist | Nur geprüfte Apps aus Store/Corporate Portal | Managed Apps + Store Policy |
| 6 | Remote-Wipe + Ortung | Selective oder Full Wipe aus Portal | Device Actions (Sync, Wipe, Retire) |
| 7 | Jailbreak-/Root-Erkennung | Kompromittierte Geräte sofort sperren | Compliance Policy → Device Health |
| 8 | Conditional Access | Zugriff nur von konformen Geräten | Azure AD → Conditional Access |
| 9 | Incident-Prozess | Verlust sofort melden, SLA 4h | SOP + Incident-Response-Plan |
1. Compliance Policy als Fundament
Jedes Gerät muss sich als „compliant” ausweisen, sonst kein Zugriff auf Exchange, SharePoint oder Teams. Die Compliance Policy prüft automatisch: OS-Version aktuell, Verschlüsselung an, Passcode gesetzt, kein Jailbreak, Antivirus aktiv.
2. Passcode + MFA — nicht verhandelbar
Sechs Zeichen Minimum, keine trivialen PINs (1234, 0000), Biometrie als zweiter Faktor. Zusätzlich Multi-Faktor-Authentifizierung auf Azure-AD-Ebene — das blockiert laut Microsoft 99,9 % aller Credential-Angriffe.
3. Verschlüsselung erzwingen
BitLocker auf Windows, FileVault auf macOS, iOS- und Android-Verschlüsselung per MDM aktivieren. Ohne Verschlüsselung ist ein verlorenes Gerät ein Art.-33-DSGVO-Meldefall binnen 72 Stunden — mit Verschlüsselung meist nicht.
4. Updates erzwingen (Patch-Pflicht)
Wir sehen in Kundenumgebungen regelmäßig Android-Geräte mit Patch-Stand von vor zwei Jahren. Das MDM erzwingt Updates spätestens 14 Tage nach Release — mit technischem Zwang, nicht mit Bitte.
5. App-Allowlist statt Verbots-Liste
Nicht „was ist verboten” — sondern „was ist erlaubt”. Für das Firmenhandy reichen oft 15–20 Apps. Alles andere wird blockiert oder nur für private Nutzung zugelassen (BYOD-Container).
6. Remote-Wipe ist Ihr Notfallkoffer
Selective Wipe löscht nur Firmendaten (BYOD-Szenarien), Full Wipe setzt das komplette Gerät zurück (Firmengeräte). Ab Auslösung: unter 90 Sekunden, sobald das Gerät online geht.
7. Jailbreak- und Root-Erkennung
Ein iPhone mit Jailbreak oder Android mit Root kann Ihre Sicherheitsmaßnahmen umgehen. Intune erkennt das automatisch und entzieht dem Gerät sofort den Zugriff.
8. Conditional Access — Zero Trust live
Zugriff auf Firmendaten nur, wenn: Gerät compliant, Standort plausibel, Netzwerk sicher, Benutzer authentifiziert (MFA). Alles über Azure-AD-Policies steuerbar.
9. Incident-Prozess mit klarem SLA
„Handy weg, was nun?” muss auf einer A4-Seite beantwortet sein — inklusive Telefonnummer der IT, Eskalationspfad und Wipe-Trigger. Schulung: einmal jährlich.
Corporate-Owned vs. BYOD vs. COPE — welcher Weg passt?
Die Wahl des Nutzungsmodells entscheidet über Budget, Rechtsrisiko und Akzeptanz. Ein Architekturbüro mit 15 iPads kommt mit COBO günstig davon. Ein Maklerbüro mit 30 Außendienstlern will BYOD — sonst tragen die Mitarbeiter zwei Handys in der Tasche. Unterschiede in der Übersicht:
| Modell | Eigentum | DSGVO-Aufwand | Kosten | Passt für |
|---|---|---|---|---|
| COBO (Corporate Owned, Business Only) | Firma | Gering | Hoch (Hardware) | Außendienst, regulierte Branchen, Ärzte, Kanzleien |
| COPE (Corporate Owned, Personally Enabled) | Firma | Mittel (Trennung Privat/Business) | Hoch | Management, Projektleiter, Vertrieb |
| BYOD (Bring Your Own Device) | Mitarbeiter | Hoch (MAM, Betriebsrat, Einwilligung) | Niedrig | Allgemeine Belegschaft, Start-ups, projektbasiert |
| CYOD (Choose Your Own Device) | Firma | Gering | Mittel | Junge Belegschaft, Tech-affine Branchen |
Für die meisten Hamburger KMU unter 50 Mitarbeitern empfehlen wir COPE für Führungskräfte und COBO für Außendienst — plus BYOD-MAM für alle anderen, die nur E-Mail + Teams brauchen. Das ist der beste Mix aus Kosten, Sicherheit und Akzeptanz.
MDM-Lösungen 2026 im Vergleich
Vier Systeme dominieren den Markt in der DACH-Region. Das passt zu welchem Profil:
| Lösung | Stärken | Schwächen | Preis/Nutzer/Monat | Für wen? |
|---|---|---|---|---|
| Microsoft Intune | Tief in M365 integriert, MAM für BYOD, Conditional Access, Autopilot | Mac-Management weniger elegant, Lernkurve steil | ca. 8 € (oder in M365 BP/E3/E5 enthalten) | KMU mit Microsoft-365-Stack (Standard für 80 % unserer Kunden) |
| Jamf Pro | Unschlagbar bei Apple, Zero-Touch-Deployment, sehr ausgereift | Nur Apple, keine Windows-Verwaltung | ca. 7 € | Architekten, Kreative, Media, Apple-lastige Teams |
| IBM MaaS360 | Multi-OS, KI-gestützte Threat Detection, starke Containerisierung | Eher Enterprise-Pricing, deutsche Doku dünn | ab ca. 5 € | Multi-OS-Umgebungen, Finanz, Logistik |
| VMware Workspace ONE | Umfassendster EMM-Stack, starke Unified Endpoint Management | Komplex, hoher Einführungsaufwand | ab ca. 6 € | Konzerne und gewachsene Umgebungen mit heterogenen Geräten |
Externe Referenzen: Microsoft Learn Intune Dokumentation, IBM MaaS360 Produktseite.
Zwei-Faktor-Authentifizierung. Das ist der Schutz Nummer eins vor Ransomware. Egal wie die MDM-Lösung heißt — wenn MFA nicht an ist, war alles andere Kosmetik.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Konkrete Intune-Policy-Beispiele aus der Praxis
Hier sind die Policies, die wir standardmäßig für Managed Workplace Services in Hamburger KMU ausrollen. Diese Konfigurationen decken 80 % aller Anforderungen ab.
Die Grundkonfiguration bauen wir für Neukunden gerne auf einmal — bewährt hat sich der Intune Autopilot Rollout aus Hamburg, bei dem neue Geräte sich direkt beim Auspacken selbst konfigurieren.
Policy 1: Windows-11-Baseline (Firmengeräte)
- BitLocker: Erzwungen, XTS-AES 256, Recovery-Key in Azure AD gesichert.
- Windows Hello: Biometrie + PIN (min. 6 Stellen, keine einfachen Muster).
- Defender for Endpoint: Aktiv, Tamper Protection an, Cloud-Analyse eingeschaltet.
- Windows Update for Business: Feature Updates 60 Tage verzögert, Quality Updates 7 Tage, Deadline 14 Tage.
- App-Installation: Nur aus Microsoft Store for Business oder per Intune bereitgestellt — Sideloading blockiert.
- Conditional Access: Kein Zugriff auf M365 ohne compliant-Status + MFA.
Policy 2: iOS/iPadOS für Außendienst (COBO)
- Supervised Mode. Gerät wird per Apple Business Manager supervised ausgerollt — volle Kontrolle, ohne Jailbreak-Risiko.
- Passcode 6-stellig + FaceID. Keine 4-stelligen PINs, keine simplen Muster.
- App-Store-Einschränkungen. Private Apps gesperrt, nur Managed Apps aus dem Corporate Portal.
- iCloud-Backup deaktiviert. Datenabfluss auf private Apple-ID unterbunden.
- VPN on-demand. Automatische VPN-Verbindung beim Öffnen von Outlook/Teams.
- Remote-Wipe-Trigger. Bei Meldung „verloren/gestohlen" maximale 10 Minuten bis zum Wipe.
Policy 3: BYOD-App-Schutz (MAM-WE ohne Device Enrollment)
Das ist die DSGVO-sichere Variante für Privatgeräte. Mitarbeiter registrieren nicht das Gerät, sondern nur die Apps (Outlook, Teams, OneDrive). Der Container trennt Firmendaten von privaten Fotos und WhatsApp.
- Copy/Paste aus Firmen-Apps nur in Firmen-Apps
- Screenshots in geschützten Apps blockiert
- Kein Speichern auf lokalem Gerät außerhalb der Container-Apps
- PIN für Firmen-Apps auch bei entsperrtem Gerät
- Selective Wipe beim Austritt löscht nur den Container
Compliance: DSGVO, Betriebsrat und NIS-2
Die Technik ist das eine — der rechtliche Rahmen das andere. Drei Ebenen müssen stimmen:
DSGVO (Art. 5, 25, 32)
Eine MDM-Richtlinie muss das Prinzip der Datenminimierung umsetzen: Nur die Daten erheben, die für den Zweck nötig sind. Konkret: Kein GPS-Tracking bei BYOD ohne explizite Einwilligung. Keine Screen-Captures. Keine Telemetrie-Daten, die Rückschlüsse auf Verhalten zulassen. Der Leitfaden des Hamburgischen Beauftragten für Datenschutz (HmbBfDI) ist hier Pflichtlektüre.
Betriebsrat (§ 87 BetrVG)
MDM ist mitbestimmungspflichtig — Punkt. Jede Policy, die Verhalten oder Leistung überwachen kann, braucht eine Betriebsvereinbarung. Wer das überspringt, verliert vor dem Arbeitsgericht. Wir planen bei allen Rollouts 4–8 Wochen für diese Abstimmung ein. Das ist frustrierend, aber alternativlos.
NIS-2 (ab Oktober 2024)
Für Unternehmen im erweiterten KRITIS-Scope (ab 50 MA) ist Asset Management inklusive mobiler Endpoints Pflicht — inklusive Incident-Meldung innerhalb von 24 Stunden. Eine MDM-Inventur ist der schnellste Weg, die NIS-2-Vorgabe für mobile Geräte zu erfüllen. Mehr dazu auf unserer Seite NIS2 & IT-Compliance Hamburg.
Viele Standard-MDM-Einstellungen aus Online-Tutorials sind in Deutschland nicht zulässig. Beispiel: Anwesenheits-Tracking über GPS, das über die Grenzen der Arbeitszeit hinausgeht. Holen Sie Ihren Betriebsrat und Datenschutzbeauftragten BEVOR der Rollout startet — nicht danach.
Wir hatten 35 Außendienstler mit Privathandys, jeder mit eigener Mail-App. Als der erste Betriebsrat fragte, wer eigentlich was auf den Geräten mitliest, wurde es unangenehm. Mit der Umstellung auf Intune MAM-WE sind wir sauber — Firmendaten im Container, privat bleibt privat, Selective Wipe beim Austritt. Und der Betriebsrat hat zugestimmt.
Security: Conditional Access und Zero Trust
MDM allein ist keine Security-Strategie. Erst in Kombination mit Conditional Access und Zero Trust entfaltet es seine volle Wirkung.
Zero Trust heißt: Kein Gerät, kein Nutzer, kein Netzwerk wird implizit vertraut. Jeder Zugriff wird zur Laufzeit neu bewertet. Im Microsoft-Stack läuft das so:
- Gerät ist bei Intune registriert und compliant
- Nutzer authentifiziert sich mit MFA über Azure AD
- Azure AD Conditional Access prüft: Standort plausibel? Risk-Score niedrig? Netzwerk bekannt?
- Zugriff auf Exchange, SharePoint, Teams wird zur Laufzeit erlaubt oder blockiert
Das ist der Grund, warum Cybersecurity Hamburg bei uns immer im Paket mit MDM kommt — einzeln ergeben sie kein komplettes Bild. Wir haben das in einer Fallstudie zur Absicherung von 40 Arbeitsplätzen mit Intune im Detail beschrieben.
Die 7 häufigsten Fehler bei MDM-Einführungen
Aus über 50 Rollouts in den letzten Jahren kristallisiert sich ein Muster: Die meisten Projekte scheitern nicht an der Technik, sondern an diesen Punkten.
- Betriebsrat zu spät einbinden. Vier Wochen vor Rollout reicht nicht — acht Wochen sind realistisch.
- Kein Pilot-Setup. Gleich 80 Geräte ausrollen, statt erst mit 5 zu testen. Garantiert Chaos.
- Zu restriktive Policy im Start. 50 Apps zu blocken killt Akzeptanz. Lieber mit 10 anfangen und erweitern.
- Keine Kommunikation. Mitarbeiter wachen mit Password-Zwang auf und sind sauer. Vorher informieren, Warum erklären.
- BYOD ohne MAM-Policy. Privatgeräte voll enrollen ist DSGVO-technisch eine Zeitbombe. App-Schutz reicht meistens.
- Keine Ausnahmen-Prozedur. GF-Assistentin braucht eine spezielle App? Dafür ist ein klarer Approval-Workflow Pflicht.
- Policy nie überprüft. Ein Jahr später passt die Policy nicht mehr zu neuen Apps, OS-Versionen, Bedrohungen — halbjährliches Review einplanen.
Bei einem Hamburger Maschinenbau-Kunden (45 MA) haben wir den Intune-Rollout auf 12 Wochen gestreckt — 2 Wochen Policy-Design, 4 Wochen Betriebsrat, 2 Wochen Pilot mit 5 Nutzern, 4 Wochen Rollout in drei Wellen. Kein einziger Support-Eskalation, alle 45 Geräte nach 12 Wochen compliant. Das ist der Unterschied zwischen „schnell" und „schnell richtig".
Checkliste: Ihre MDM-Richtlinie in 10 Schritten
Diese Checkliste gehen wir mit jedem Neukunden durch — als Startpunkt für das eigene Policy-Dokument:
- Asset-Inventur: Welche Geräte, welche OS-Versionen, welche Nutzer-Gruppen existieren aktuell?
- Nutzungsmodelle festlegen: COBO, COPE, BYOD, CYOD — pro Nutzergruppe definieren.
- MDM-Lösung wählen: Intune, Jamf, MaaS360 oder Workspace ONE — abhängig von OS-Mix und Ökosystem.
- Policy-Framework designen: Compliance-Regeln, Passcode, Verschlüsselung, App-Liste, Remote-Wipe.
- Betriebsrat einbinden: Frühzeitig, mit konkretem Policy-Entwurf, nicht erst am Rollout-Tag.
- Datenschutzbeauftragten involvieren: DSFA für BYOD-Szenarien zwingend.
- Pilot mit 5–10 Nutzern: Mindestens 2 Wochen, Feedback-Loop einbauen.
- Schulung planen: 30-Minuten-Onboarding für jeden Mitarbeiter, Incident-Meldeprozess klar.
- Rollout in Wellen: Nie alle Nutzer auf einmal. Hilft bei Problemlösung und Helpdesk-Kapazität.
- Review-Termin setzen: Halbjährlich, mit CISO/IT-Leiter + Betriebsrat, Policy-Anpassungen dokumentieren.
Wer bei uns MDM einführt
Wir betreuen aus Hamburg heraus Kunden von 5 bis 150 Mitarbeitern — in Branchen wie Kanzleien, Architektur, Handel, Logistik, Medizintechnik und Bau. Die meisten starten mit Microsoft Intune, weil die Lizenz in Microsoft 365 Business Premium bereits enthalten ist. Mehr zu unserem Cloud & Microsoft 365 Angebot.
Fazit: MDM ist kein Projekt, sondern ein Prozess
Die beste MDM-Richtlinie der Welt ist in 18 Monaten veraltet — neue iOS-Version, neues Android-Security-Modell, neuer Angriffsvektor. Wer MDM als einmaliges Projekt behandelt, hat es nicht verstanden. Es ist ein laufender Prozess, der halbjährlich justiert wird.
Wir kennen die Hebel: Microsoft Intune als Plattform, Conditional Access als Wächter, App-Schutz für BYOD, klare Richtlinien als juristisches Fundament. Das alles setzen wir für unsere Kunden am Standort Hamburg, im IT-Systemhaus Bremen, in Kiel und Lübeck zum Festpreis ab 50 € pro Arbeitsplatz pro Monat um — inkl. Monitoring, Helpdesk und halbjährlichem Policy-Review.
MDM-Richtlinie einführen — ohne Betriebsrats-Drama und Rollout-Chaos?
15 Minuten. Kostenlos. Mit Jens persönlich. Ohne Vertriebsdruck.
Kostenloses Erstgespräch buchen →
