Mobile Device Management: MDM-Tools im Vergleich für KMU

Key Takeaways

• MDM ist für KMU unter NIS-2 keine optionale Maßnahme mehr, sondern ein nachweisbarer Baustein des Risikomanagements.
• Microsoft Intune eignet sich für Microsoft-365-Umgebungen als logische Erweiterung – aber es gibt Alternativen, die je nach Betriebssystemmix und Budget besser passen.
• Die Integration von MDM-Telemetrie in ein SIEM (z. B. Wazuh) erhöht die Sichtbarkeit auf mobile Endpoints erheblich.
• Geräte ohne MDM-Anbindung gelten aus Sicht eines NIS-2-Auditors als unkontrollierte Risikoquellen.

Warum MDM für KMU nicht mehr optional ist

Smartphones, Tablets und Laptops von Mitarbeitern sind heute Standardbestandteil der Unternehmens-IT – häufig ohne dass diese Geräte systematisch verwaltet werden. In vielen KMU gilt: Wer ein Gerät hat, verbindet es mit dem Exchange-Postfach oder Microsoft Teams, fertig. Eine Inventarisierung, die Durchsetzung von Sicherheitsrichtlinien oder die Möglichkeit, ein verlorenes Gerät remote zu löschen, fehlt.

Das ändert sich mit NIS-2. Artikel 21 der Richtlinie fordert explizit Maßnahmen zur Sicherung von Endgeräten und zur Zugriffskontrolle. Mobile Device Management ist dabei kein technischer Selbstzweck, sondern der operative Hebel, mit dem diese Anforderungen nachweisbar umgesetzt werden.

Ein konkretes Szenario: Ein Vertriebsmitarbeiter verliert sein Smartphone auf einer Messe. Das Gerät ist nicht verschlüsselt, hat keine PIN-Pflicht und enthält lokal gespeicherte Kundenangebote mit personenbezogenen Daten. Nach DSGVO Art. 33 ist das ein meldepflichtiger Vorfall gegenüber der Aufsichtsbehörde. Mit aktivem MDM wäre das Gerät remote löschbar gewesen – der Vorfall hätte möglicherweise nicht als Datenpanne gemeldet werden müssen, weil der Zugriff auf die Daten durch Verschlüsselung ausgeschlossen gewesen wäre.

Die Bedrohungslage: Mobile Endpoints als unterschätzte Angriffsfläche

Mobile Geräte sind aus Sicht eines Angreifers attraktiv, weil sie mehrere strukturelle Schwächen aufweisen:

• Sie operieren häufig außerhalb des Unternehmensnetzwerks – damit außerhalb klassischer Perimeter-Controls wie Firewall und Proxy.
• Sie sind selten mit EDR-Lösungen (Endpoint Detection & Response) ausgestattet.
• Insbesondere Android-Geräte laufen oft mit veralteten Betriebssystemversionen, weil OEM-Updatezyklen kürzer sind als die tatsächliche Gerätenutzungsdauer.
• Mobile Browser kürzen URL-Leisten – das erhöht die Phishing-Anfälligkeit messbar.

Laut BSI-Lagebericht 2024 sind mobile Endgeräte ein relevanter Angriffsvektor für initiale Kompromittierungen, insbesondere in Verbindung mit Smishing (SMS-Phishing) und gefälschten App-Stores. MDM löst nicht alle diese Probleme, aber es schafft die Grundlage: Inventarisierung, Patchstand-Überwachung, Richtliniendurchsetzung, Verschlüsselung und Remote-Wipe sind die vier Säulen, auf denen mobile Sicherheit steht.

MDM-Lösungen im Vergleich

Microsoft Intune

Intune ist für Unternehmen mit Microsoft 365 (ab Business Premium oder E3) die naheliegende Wahl – nicht weil es das funktionsreichste MDM auf dem Markt ist, sondern weil es bereits in der Lizenz enthalten ist und sich nahtlos mit Azure AD (Entra ID), Conditional Access und Microsoft Defender for Endpoint integriert.

Stärken:

• Native Integration in den Microsoft-Stack: Compliance-Richtlinien greifen direkt auf Conditional Access. Ein Gerät, das die Compliance verletzt (z. B. BitLocker deaktiviert), wird automatisch vom Exchange- oder SharePoint-Zugriff ausgesperrt.
• Plattformübergreifende Unterstützung: Windows, macOS, iOS/iPadOS und Android Enterprise.
• Co-Management mit Microsoft Configuration Manager (MECM) für Hybrid-Umgebungen mit On-Premises-Infrastruktur.

Schwächen:

• Die Lernkurve ist steil; das Intune Admin Center (ehemals Endpoint Manager) ist komplex strukturiert und erfordert fundiertes Azure-Wissen.
• Erweiterte Features wie Intune Tunnel (VPN) oder App-Schutzrichtlinien für unverwaltete Geräte sind erst ab höheren Lizenzstufen nutzbar.
• Das native Reporting ist eingeschränkt – ohne Log Analytics oder Microsoft Sentinel sieht man wenig über den Status quo hinaus.

Typisches Einsatzszenario: KMU mit 50 bis 500 Nutzern, vollständig im Microsoft-365-Ökosystem, Windows-Laptops und iPhones im Außendienst.

Ein einfaches Beispiel für eine Intune-Compliance-Richtlinie für Windows 10/11 als JSON (exportiert aus dem MEM-Portal via Graph API):

{
  "@odata.type": "#microsoft.graph.windows10CompliancePolicy",
  "displayName": "KMU-Baseline-Compliance",
  "bitLockerEnabled": true,
  "secureBootEnabled": true,
  "codeIntegrityEnabled": true,
  "storageRequireEncryption": true,
  "osMinimumVersion": "10.0.19045",
  "passwordRequired": true,
  "passwordMinimumLength": 12,
  "passwordRequiredType": "alphanumeric"
}

Diese Richtlinie lässt sich über die Microsoft Graph API automatisiert ausrollen und in einem Infrastructure-as-Code-Workflow (z. B. Terraform mit dem AzureAD-Provider) versionieren – was für Audit-Trails unter NIS-2 von Vorteil ist.

Jamf Pro / Jamf Now

Jamf ist die De-facto-Standardlösung für Apple-zentrierte Umgebungen. Während Jamf Pro für größere Deployments konzipiert ist, richtet sich Jamf Now an KMU: Self-Service-Setup, vereinfachte Oberfläche, niedrigerer Einstiegspreis (ab ca. 4 USD pro Gerät/Monat).

Stärken:

• Beste Apple-Integration am Markt: Apple Business Manager (ABM), DEP-Enrollment (Device Enrollment Program) und VPP-App-Deployment funktionieren reibungslos.
• Granulare Konfigurationsprofile für macOS und iOS, die Apple-native Sicherheitsfunktionen (FileVault, Gatekeeper, System Integrity Protection) zentral steuern.
• Jamf Protect als natives EDR für macOS verfügbar – eng mit der MDM-Schicht verzahnt.

Schwächen:

• Android-Support ist minimal und für gemischte Geräteflotten nicht geeignet.
• Kein nativer Azure-AD-Connector; die Integration in Entra ID erfordert Drittanbieter-Lösungen oder manuelle SAML-Konfiguration.
• Sobald Jamf Pro notwendig wird (erweiterte Inventarisierung, Patch-Management, Self-Service-Portal), steigen die Kosten sprunghaft.

Typisches Einsatzszenario: Kreativagenturen, Steuerberatungen, Architekturbüros – Unternehmen, die ausschließlich oder überwiegend Apple-Geräte betreiben.

VMware Workspace ONE UEM

Workspace ONE (ehemals AirWatch) ist eine Enterprise-Plattform mit hervorragendem plattformübergreifendem Gerätesupport und tiefer Integration in virtuelle Desktops (VMware Horizon). Für KMU ist sie heute jedoch selten die richtige Wahl: Die Broadcom-Übernahme hat das Lizenzmodell für kleinere Unternehmen deutlich verschlechtert. Workspace ONE kommt für KMU nur in Frage, wenn eine bestehende VMware-Enterprise-Agreement-Lizenz die Kosten abdeckt.

Headwind MDM (Open Source)

Headwind MDM ist eine quelloffene Lösung für Android-Geräte, die sich besonders für homogene Android-Flotten eignet. Sie kann self-hosted betrieben werden, was für datenschutzbewusste Unternehmen mit spezifischen Anforderungen an Datensouveränität interessant ist.

Stärken:

• Keine Lizenzkosten, vollständige Kontrolle über die Daten.
• Kiosk-Modus gut geeignet für Industriegeräte, Tablets im Außendienst oder POS-Systeme.

Schwächen:

• Kein Support für iOS, macOS oder Windows.
• Betrieb und Wartung der Serverinfrastruktur liegen vollständig beim Unternehmen.
• Compliance-Dokumentation für NIS-2- und DSGVO-Audits muss manuell aufgebaut werden.

Kernfunktionen im technischen Vergleich

Funktion	Intune	Jamf Now	Workspace ONE	Headwind MDM
Windows	✓	—	✓	—
macOS	✓	✓	✓	—
iOS/iPadOS	✓	✓	✓	—
Android Enterprise	✓	—	✓	✓
Remote Wipe	✓	✓	✓	✓
BitLocker/FileVault	✓	✓	✓	—
Conditional Access	nativ	via SAML	✓	—
SIEM-Integration	Log Analytics / Event Hub	Syslog / Jamf Protect	Syslog / REST	REST API
Preis pro Gerät/Monat	im M365-Plan inkl.	ab ~4 USD	auf Anfrage	0 (self-hosted)

NIS-2 und DSGVO: Was MDM technisch leisten muss

Die NIS-2-Richtlinie (in Deutschland umgesetzt durch das NIS2UmsuCG) verlangt in Artikel 21 Abs. 2 unter anderem Maßnahmen zu Zugriffskontrolle, Asset-Management und Incident-Response. MDM adressiert alle drei Bereiche direkt:

Zugriffskontrolle: MDM-Compliance-Richtlinien, verknüpft mit Conditional Access, stellen sicher, dass nur verwaltete und richtlinienkonforme Geräte auf Unternehmensdaten zugreifen dürfen. Das ist ein technischer, auditierbarer Nachweis.

Incident-Response: Remote-Wipe-Fähigkeiten sind ein direkter Baustein eines Incident-Response-Plans für gestohlene oder verlorene Geräte. Ohne diese Funktion fehlt eine elementare Reaktionsoption.

Asset-Management: Das MDM-Inventar dokumentiert, welche Geräte im Unternehmen existieren, welchen Patchstand sie haben und ob sie den Sicherheitsanforderungen entsprechen.

Aus DSGVO-Perspektive (Art. 32, technisch-organisatorische Maßnahmen) ist Geräteverschlüsselung für alle Geräte, die personenbezogene Daten verarbeiten, de facto Pflicht. MDM ist der Mechanismus, mit dem Verschlüsselung zentral durchgesetzt, überwacht und für Audits nachgewiesen werden kann.

Ein häufiger Konfigurationsfehler: Unternehmen enrollen Geräte in Intune, erstellen aber keine Compliance-Richtlinien und verbinden diese nicht mit Conditional Access. Das MDM ist dann ein leeres Inventar ohne Sicherheitswirkung – aber mit dem Irrglauben, man sei compliant.

Integration mit SIEM: MDM-Telemetrie in Wazuh einbinden

MDM-Logs in ein SIEM zu integrieren ist für viele KMU ein blinder Fleck. Dabei liefert MDM wertvolle Sicherheitssignale: nicht-konforme Geräte, fehlgeschlagene Enrollment-Versuche, ungewöhnliche Remote-Wipe-Ereignisse oder plötzlich nicht mehr verwaltete Geräte.

Mit Wazuh lassen sich Intune-Logs über Azure Event Hub als Datenquelle integrieren. Ergänzend kann über die Microsoft Graph API der aktuelle Compliance-Status aller Geräte abgefragt werden:

# Intune: Alle nicht-konformen Geräte via Graph API abrufen
$graphUrl = "https://graph.microsoft.com/v1.0/deviceManagement/managedDevices"
$filter = "?`$filter=complianceState eq 'noncompliant'"
$response = Invoke-RestMethod `
    -Uri ($graphUrl + $filter) `
    -Headers @{Authorization = "Bearer $token"} `
    -Method GET

$response.value | Select-Object deviceName, userPrincipalName, osVersion, complianceState

Auf Basis dieses Outputs lässt sich eine Wazuh-Regel definieren, die bei nicht-konformen Geräten einen Alert auslöst:

<!-- Wazuh: Alert bei Intune-Compliance-Verletzung -->
<rule id="91500" level="10">
  <if_sid>91001</if_sid>
  <field name="event.provider">Microsoft.Intune</field>
  <field name="event.action">deviceComplianceState</field>
  <match>noncompliant</match>
  <description>Intune: Nicht-konformes Gerät erkannt - $(deviceDisplayName)</description>
  <group>mdm,compliance,endpoint</group>
</rule>

Geräte, die länger als 48 Stunden im nicht-konformen Zustand verbleiben, sollten als eskaliertes Ereignis behandelt und dem zuständigen IT-Verantwortlichen gemeldet werden. Diese Schwelle lässt sich als Active Response-Regel in Wazuh konfigurieren.

Entscheidungshilfe: Welches MDM passt zu welchem KMU?

Die Wahl des MDM-Tools hängt von drei Faktoren ab: Gerätebetriebssystem-Mix, vorhandene Infrastruktur und Budget. Folgende Faustregeln gelten in der Praxis:

Microsoft-365-Umgebung, gemischte Geräteflotte (Windows + iOS): Intune ist die logische Wahl. Keine zusätzlichen Lizenzkosten bei Business Premium, native Entra-ID-Integration, Conditional Access out of the box.

Reine Apple-Umgebung: Jamf Now für bis zu ca. 100 Geräte. Sobald erweiterte Konfigurationsprofile, Patch-Management oder ein Self-Service-Portal notwendig werden, Jamf Pro evaluieren.

Android-Außendienstgeräte, hohe Datensensibilität: Headwind MDM als self-hosted Lösung, wenn iOS/Windows-Support keine Rolle spielt. Alternativ: Android Enterprise mit Intune.

Heterogene Umgebung mit bestehendem VMware-Stack: Workspace ONE nur dann, wenn eine bestehende Enterprise-Agreement-Lizenz es abdeckt.

Ein oft übersehener Aspekt ist das Nutzungsmodell: BYOD (Bring Your Own Device), CYOD (Choose Your Own Device) oder COPE (Corporate Owned, Personally Enabled) haben unterschiedliche rechtliche Implikationen für den MDM-Einsatz.

Bei BYOD kann MDM auf einen Work-Profile-Container beschränkt werden – Full Device Management ist ohne ausdrückliche Einwilligung rechtlich problematisch und unter DSGVO schwer zu begründen. Bei CYOD und COPE ist Full Management zulässig. Für KMU ohne klare Device-Policy ist die Definition dieses Modells der erste Schritt vor der Tool-Auswahl – weil er bestimmt, welche MDM-Features überhaupt eingesetzt werden dürfen.

Häufige Konfigurationsfehler und wie man sie vermeidet

Enrollment ohne Compliance-Richtlinie: Geräte werden enrollt, aber keine Richtlinien definiert. MDM wird zum reinen Inventarsystem. Fix: Mindestens eine Baseline-Compliance-Richtlinie (Verschlüsselung, PIN, Mindest-OS-Version) definieren und mit Conditional Access verknüpfen.

Kein Blocking für nicht-enrollte Geräte: MDM schützt nur verwaltete Geräte. Fix: Conditional Access-Policy, die den Zugriff auf Exchange, SharePoint und Teams auf Intune-konforme Geräte beschränkt.

Keine Audit-Dokumentation: MDM-Konfigurationen und Compliance-Berichte müssen für NIS-2-Audits reproduzierbar exportierbar sein. Fix: Regelmäßige automatisierte Exporte des Compliance-Status über die Graph API in ein Ticketsystem oder ein dokumentiertes Log.

Lückenhaftes Offboarding: Wenn Mitarbeiter das Unternehmen verlassen, müssen Geräte zeitnah aus dem MDM entfernt oder zurückgesetzt werden. Fix: MDM-Offboarding als fester, dokumentierter Schritt in der HR-Offboarding-Checkliste – mit nachvollziehbarem Zeitstempel für den Audit-Trail.

Fazit

MDM ist für KMU kein Luxus, sondern ein operativer Sicherheitsbaustein, der gleichzeitig NIS-2- und DSGVO-Anforderungen adressiert. Die Tool-Auswahl ist dabei weniger entscheidend als die Konfigurationstiefe: Ein korrekt konfiguriertes Intune mit aktiven Compliance-Richtlinien und Conditional Access liefert mehr Sicherheitswirkung als eine technisch überlegene Lösung, die halb implementiert im Regal steht.

Die Integration von MDM-Telemetrie in ein SIEM schließt die Lücke zwischen reiner Geräteverwaltung und aktivem Sicherheitsmonitoring. Erst wenn Compliance-Ereignisse aus Intune oder Jamf mit Azure-AD-Anmeldeanomalien, Exchange-Zugriffsprotokollen und Netzwerktelemetrie korreliert werden, entsteht die Sichtbarkeit, die für eine schnelle Reaktion auf Sicherheitsvorfälle notwendig ist.

Wenn Sie MDM-Telemetrie in eine bestehende SIEM-Umgebung integrieren wollen oder eine NIS-2-konforme Sicherheitsüberwachung von Grund auf aufbauen möchten, ist Vyrex Security als managed SIEM/SOC-Anbieter der richtige Ansprechpartner. Vyrex verbindet Endpoint-Compliance-Daten aus Intune oder Jamf mit korrelierenden Ereignissen aus Azure AD, Exchange Online und Netzwerk-Infrastruktur zu einem vollständigen, 24/7-überwachten Lagebild – ohne dass KMU dafür ein eigenes SOC-Team aufbauen müssen.