MDM & Kiosk-Apps: Firmen-Geräte sicher verwalten

TL;DR: Wer Mitarbeitenden Diensthandys oder Tablets gibt, will sie verwalten: nur erlaubte Apps, kein privates Surfen, Fernsperre bei Verlust, einheitliche Einrichtung. Dafür gibt es zwei Wege - fertige MDM-Plattformen (Intune, Jamf & Co.) oder eine eigene, auf Ihre Prozesse zugeschnittene Lösung, oft als Kiosk-App auf Basis von Android Enterprise oder Apples Business-Frameworks. Welcher Weg passt, hängt davon ab, wie speziell Ihr Anwendungsfall ist.

---

Für Entscheider: Worum es geht

Stellen Sie sich vor: Ihr Außendienst bekommt 40 Tablets. Darauf soll die Auftrags-App laufen, der Routenplaner und sonst nichts. Kein YouTube, kein App-Store-Stöbern, keine versehentlich gelöschte Arbeits-App. Wenn ein Gerät im Zug liegen bleibt, soll es aus der Ferne gesperrt werden - mit allen Kundendaten darauf.

Genau das leistet Mobile Device Management (MDM). Es ist die Brücke zwischen „wir haben Geräte verteilt" und „wir haben die Geräte im Griff". Für viele Unternehmen ist das kein Luxus, sondern eine Frage von Datenschutz, Sicherheit und schlicht Funktionsfähigkeit.

Was MDM eigentlich kann

Der Begriff ist breit. In der Praxis geht es meist um eine Auswahl dieser Funktionen:

• Provisionierung: Geräte beim Auspacken automatisch einrichten - richtige Apps, WLAN, Konten, alles vorkonfiguriert
• App-Verwaltung: Apps zentral installieren, aktualisieren, entfernen - ohne dass jemand am Gerät hantieren muss
• Kiosk-Modus: Das Gerät zeigt nur eine (oder wenige) erlaubte Apps, alles andere ist gesperrt
• Richtlinien: Passwortpflicht, Verschlüsselung, gesperrte Funktionen (Kamera, Bluetooth, App-Store)
• Fernzugriff: Gerät sperren, orten oder löschen, wenn es verloren geht
• Monitoring: Welche Geräte sind online, welche brauchen Updates, wo gibt es Probleme

Die zwei Plattform-Welten

Wie bei fast allem im Mobile-Bereich unterscheiden sich iOS und Android grundlegend - und das bestimmt, was möglich ist.

Android Enterprise

Android hat mit Android Enterprise ein ausgereiftes, offenes Framework für die Geräteverwaltung. Es kennt verschiedene Modi: das komplett verwaltete Gerät (Firmeneigentum, volle Kontrolle), das Arbeitsprofil (privat und beruflich getrennt auf einem Gerät) und den dedizierten Kiosk-Modus für Single-Purpose-Geräte. Für eigene Lösungen ist Android meist der flexiblere und kostengünstigere Weg - gerade beim Kiosk-Modus an Maschinen, Kassen oder im Lager.

Apple: Business Manager & Declarative Management

Apple verwaltet Geräte über den Apple Business Manager in Kombination mit einer MDM-Lösung. Apple ist hier kontrollierter und standardisierter: Geräte werden über die Seriennummer dem Unternehmen zugeordnet und lassen sich „supervised" (betreut) einrichten. Das ist sehr zuverlässig, aber weniger frei gestaltbar als bei Android. Eigene tiefe Eingriffe sind enger begrenzt - dafür ist das, was geht, sehr robust.

Der modernere Ansatz heißt Declarative Device Management: Statt dass das Gerät ständig beim Server nachfragt, was es tun soll, wendet es hinterlegte Richtlinien selbstständig an und meldet nur den Status zurück. Das macht die Verwaltung zuverlässiger und skaliert besser über viele Geräte - relevant, sobald es nicht um fünf, sondern um Hunderte Geräte geht.

Fertige Plattform oder eigene Lösung?

Das ist die eigentliche Entscheidung - und hier berate ich ehrlich, statt pauschal „bauen wir selbst" zu sagen.

Wann eine fertige Plattform reicht

• Sie wollen Standard-Geräte mit Standard-Apps verwalten
• Es geht primär um Sicherheit, Updates und Fernsperre
• Sie brauchen keine Sonderlogik, die zu Ihrem Betrieb passt
• Eine monatliche Lizenz pro Gerät ist akzeptabel

Dann sind Lösungen wie Microsoft Intune, Jamf oder vergleichbare oft der schnellste Weg. Hier baue ich nichts - ich helfe bei Auswahl und Einrichtung.

Wann sich eine eigene Lösung lohnt

• Das Gerät soll genau einen Zweck erfüllen (Kiosk an der Maschine, am Eingang, im Fahrzeug)
• Ihre App und die Geräteverwaltung sollen verschmelzen - eine Oberfläche, ein Ablauf
• Sie wollen laufende Lizenzkosten pro Gerät reduzieren oder gezielter steuern
• Standard-MDM bildet Ihren Prozess nur zu 60 % ab

Hier liegt meine Stärke: maßgeschneiderte Apps, die den Kiosk-/Verwaltungsteil gleich mitbringen, statt zwei Systeme nebeneinander zu betreiben.

Ehrlich dazugesagt: „Eigene Lösung" heißt nicht „keine laufenden Kosten". Backend, Wartung, Updates und das Mitgehen mit OS- und Store-Änderungen bleiben. Wer eine eigene MDM-Verwaltung betreibt, muss zudem als MDM-Anbieter agieren (bei Android: EMM-Registrierung bei Google, bei Apple entsprechende Voraussetzungen) - das ist keine Lizenz pro Gerät, aber ein Stück Infrastruktur und Aufwand. Der Vorteil liegt in Passgenauigkeit und Steuerbarkeit, nicht in „kostet nichts mehr".

Typische Einsatzszenarien

Kiosk-Geräte am festen Ort

Ein Tablet am Maschinenarbeitsplatz, das nur die Wartungs-App zeigt. Ein Terminal am Eingang für die Besucheranmeldung. Hier ist der Kiosk-Modus das Herzstück: Das Gerät lässt sich nicht „verlassen", es gibt keine Ablenkung, keine Fehlbedienung.

Außendienst & mobile Teams

Ein Vertriebs- oder Serviceteam mit Diensttablets. Darauf laufen Auftrags-App, Navigation und Dokumentation - privat gesperrt. Geht ein Gerät verloren, wird es ferngesperrt, bevor Kundendaten in falsche Hände geraten.

Frontline in Pflege, Handel, Logistik

Geteilte Geräte, die im Schichtbetrieb von vielen genutzt werden. Hier zählt: schnelle Anmeldung, immer aktuelle Apps, robuste Einrichtung. Ein verlorenes oder defektes Gerät muss in Minuten ersetzt sein - ohne IT-Abteilung vor Ort.

Datenschutz & Mitbestimmung

MDM ist ein Eingriff - und wo Mitarbeitende betroffen sind, gelten Regeln. Drei Punkte, die ich jedem Projekt voranstelle:

• Trennung privat/beruflich: Wenn Geräte auch privat genutzt werden, muss die private Sphäre technisch geschützt bleiben (Arbeitsprofil statt Vollzugriff).
• Transparenz: Mitarbeitende müssen wissen, was das Unternehmen sehen und steuern kann - und was nicht.
• Mitbestimmung: In Betrieben mit Betriebsrat ist MDM oft mitbestimmungspflichtig. Das gehört früh geklärt, nicht nach dem Rollout.

Auch hier gilt: Sauber gemacht ist Datenschutz ein Vertrauensfaktor, kein Hindernis.

Aufwand & Vorgehen

Wie groß ein MDM-Projekt wird, hängt fast vollständig vom Zuschnitt ab:

• Reiner Kiosk-Modus für eine bestehende App auf Android ist überschaubar - oft eine sinnvolle Ergänzung zu einer App, die ohnehin gebaut wird.
• Eigene Verwaltungslogik (Geräte registrieren, App-Verteilung, Fernsteuerung) ist eine eigene Komponente mit Backend.
• Beide Plattformen plus Dashboard ist das größte Paket - hier lohnt es sich, den Umfang vorab scharf zu schneiden.

Bevor ein größeres Budget fließt, ist oft ein schlanker Proof of Concept sinnvoll: ein einzelnes Gerät im Kiosk-Modus, das Ihren echten Ablauf zeigt. So sehen Sie, ob der Weg trägt, bevor Sie in die Breite gehen. Ich arbeite zu Festpreisen - nach einem kurzen Konzept-Gespräch wissen Sie, woran Sie sind.

Checkliste: MDM-Projekt starten

• ☐ Wie viele Geräte, welche Plattform (Android, iOS, gemischt)?
• ☐ Firmeneigentum oder auch private Nutzung (BYOD)?
• ☐ Ein fester Zweck (Kiosk) oder vielseitige Nutzung?
• ☐ Reicht eine fertige Plattform oder braucht es eigene Logik?
• ☐ Datenschutz- und Mitbestimmungsfragen geklärt?
• ☐ Wie werden verlorene/defekte Geräte ersetzt?
• ☐ Laufende Lizenzkosten akzeptabel oder lieber Einmal-Investition?

Fazit: Den richtigen Punkt auf dem Spektrum finden

MDM ist keine Ja/Nein-Frage, sondern eine Frage des Zuschnitts. Für Standardfälle ist eine fertige Plattform der schnellste Weg. Sobald das Gerät aber genau einen Zweck erfüllen oder mit Ihrer App verschmelzen soll, ist eine maßgeschneiderte Lösung oft günstiger und schlüssiger - ohne monatliche Lizenz, dafür genau auf Ihren Ablauf zugeschnitten.

Mein Rat: Entscheiden Sie zuerst, ob Ihr Fall Standard ist oder speziell. Klären Sie Datenschutz und Mitbestimmung früh. Und testen Sie den Kiosk-/Verwaltungsteil an einem Gerät, bevor Sie 40 davon ausrollen.