Du googelst „Mac-MDM-Einrichtung". Drei Anleitungen widersprechen sich. Du verbringst einen Tag damit, dich zwischen Apple Business Manager, Registrierungstoken und dem überwachten Modus im Kreis zu drehen. Entweder gibst du auf, konfigurierst etwas falsch ohne es zu merken, oder du bezahlst jemanden, der das Problem löst. Kommt dir das bekannt vor?

Das ist das, was dir die meisten Anleitungen nicht verraten: MDM ist keine einmalige Konfiguration. Es ist eine fortlaufende operative Verantwortung. Richtlinien driften ab. Geräte fallen aus der Compliance heraus. Die Registrierung bricht in Grenzfällen ab. Das Offboarding muss mit der Geräteverwaltung verknüpft sein, sonst entstehen Zugriffslücken, die Auditoren sofort entdecken. Trotz verfügbarer moderner Tools verlassen sich 14 % der Unternehmen immer noch auf Tabellenkalkulationen, um die IT-Compliance zu verwalten (Indusface Blog). Wenn das auf dein Startup zutrifft, ist MDM längst überfällig.

Am Ende dieses Leitfadens kennst du die vier wesentlichen Punkte, weißt was du getrost überspringen kannst und was eine zentrale Geräteverwaltung tatsächlich erfordert – damit du entscheiden kannst, ob du sie intern selbst betreibst oder an jemanden abgibst, dessen Kernaufgabe das ist.

Was du brauchst, bevor du loslegst

Drei Dinge müssen vorhanden sein, bevor du dich mit einem MDM-Tool befasst:

• Ein Apple Business Manager (ABM)-Konto. Es ist kostenlos, aber für die Einrichtung sind eine D-U-N-S-Nummer und eine Apple-Verifizierung erforderlich, was mehrere Tage dauern kann.
• Administratorzugriff auf deinen gesamten Mac-Bestand, einschließlich der Geräte, die bereits von Mitarbeitern genutzt werden.
• Eine Entscheidung darüber, ob du MDM intern oder über einen Managed-IT-Partner verwalten willst. Das bestimmt jeden folgenden Schritt.

Apple Business Manager ist das Fundament, auf dem alles andere aufbaut. Wenn es nicht korrekt eingerichtet ist (falsche Unternehmensdaten, nicht verifiziertes Konto, Geräte außerhalb des autorisierten Vertriebskanals gekauft), schlägt die MDM-Registrierung fehl oder ist stark eingeschränkt. Kläre das zuerst.

Wenn du beispielsweise Geräte über deeploi beschaffst, werden diese von autorisierten Apple-Händlern versandt – jedes Gerät ist damit vom ersten Tag an ADE-fähig und meldet sich beim ersten Start automatisch bei MDM an.

Die vier Dinge, die dein Startup wirklich braucht

Auf der Ebene der Geräterichtlinien decken vier Kontrollmaßnahmen den Großteil dessen ab, was ISO 27001, SOC 2 und die meisten Sicherheitsfragebögen von Unternehmenskunden verlangen.

Die FileVault-Festplattenverschlüsselung schützt Daten im Ruhezustand, falls ein Gerät verloren geht oder gestohlen wird. Ohne sie kann jeder mit physischem Zugriff auf einen Mac Daten ohne Passwort von der Festplatte auslesen. Erforderlich für praktisch jedes Compliance-Framework.

Die Fernlöschfunktion ermöglicht es dir, ein Gerät remote zu löschen, wenn es verloren geht, gestohlen wird oder ein Mitarbeiter im Streit ausscheidet. Unverzichtbar für jedes Team, das mit Kundendaten umgeht.

Die Durchsetzung von Passwortrichtlinien legt Mindestlänge, Komplexität und Zeitlimit für die Bildschirmsperre fest – alles wird über MDM durchgesetzt, sodass es nicht auf Vertrauen oder Erinnerungen ankommt.

Die Durchsetzung von 2FA stellt sicher, dass jede Kontoanmeldung einen zweiten Faktor erfordert. Das schließt den häufigsten Angriffsvektor für Kontoübernahmen. 60 % aller Sicherheitsverletzungen betreffen den menschlichen Faktor, darunter gestohlene Zugangsdaten und Social Engineering (Verizon 2024 Data Breach Investigations Report). Ein starker zweiter Faktor macht gestohlene Passwörter deutlich weniger nützlich.

Hier hapert es in der Praxis: FileVault auf bestehenden Geräten zu aktivieren, die ohne diese Funktion eingerichtet wurden, erfordert eine Aktion des Nutzers. Mitarbeiter müssen ihre Geräte neu starten und ihr Passwort eingeben, um die Verschlüsselung zu aktivieren. Tun sie das nicht, bleibt die Richtlinie in der MDM-Konsole ungenutzt und wird als nicht konform angezeigt. Du brauchst einen Prozess, um das nachzuverfolgen. Die meisten Startups haben keinen.

Was du überspringen kannst, bevor du 20 Mitarbeiter erreichst

MDM-Plattformen sind für IT-Abteilungen konzipiert, die Hunderte von Geräten verwalten. Der Großteil ihrer Funktionen erzeugt administrativen Aufwand, ohne im kleinen Maßstab einen entsprechenden Sicherheitsgewinn zu bringen. Feature Creep erhöht die Konfigurationskomplexität und den Supportaufwand, ohne dass du dadurch nennenswert sicherer wirst.

Was du in der Anfangsphase überspringen kannst:

• Kiosk-Modus: Sperrt Geräte auf eine einzige App. Relevant für den Einzelhandel oder kundenorientierte Hardware. Irrelevant für ein Startup im Wissensbereich.
• Geofencing: Löst Richtlinienänderungen basierend auf dem physischen Standort aus. Erhöht die Konfigurationskomplexität bei minimalem Sicherheitsnutzen für Remote-Teams.
• App-Kataloge und Whitelisting: Legen genau fest, welche Apps Mitarbeiter installieren dürfen. Sinnvoll bei großem Umfang. Bei 10 Mitarbeitern erzeugt es Reibung und Support-Tickets ohne nennenswerte Verbesserung.
• Komplexes Zertifikatsmanagement: Authentifizierungsinfrastruktur auf Unternehmensniveau. Überdimensioniert, solange kein dedizierter IT-Mitarbeiter vorhanden ist, der sich darum kümmert.
• Benutzerdefinierte Konfigurationsprofile: Tiefgreifende Geräteanpassung über die vier Basisrichtlinien hinaus. Unnötig, es sei denn, eine konkrete Compliance-Anforderung verlangt es.

Das Prinzip: Beginne mit den vier Grundlagen. Erhöhe die Komplexität nur, wenn eine konkrete Compliance-Anforderung oder ein Audit es erfordert – nicht weil die Funktion in deiner MDM-Plattform vorhanden ist.

Schritt 1: Entscheide dich zwischen selbstverwaltetem MDM und einem Managed-IT-Service

Was selbstverwaltetes MDM beinhaltet

Du richtest Apple Business Manager ein, wählst eine MDM-Plattform, konfigurierst Richtlinien selbst, registrierst Geräte und übernimmst die laufende Wartung auf unbestimmte Zeit. Das bedeutet: Richtlinienabweichungen überwachen, die Durchsetzung von OS-Updates managen, Registrierungsfehler beheben, Sonderfälle beim Ein- und Austritt von Mitarbeitern verwalten und auf dem Laufenden bleiben, wenn Apple seine MDM-APIs ändert – was regelmäßig passiert.

Die wichtigsten Tools für selbstverwaltetes MDM:

• Jamf: leistungsstark, steile Lernkurve, unternehmensorientiert.
• Kandji: modern, Mac-first, übersichtlichere Oberfläche – erfordert aber dennoch technisches Know-how.
• Mosyle: einfacher, ursprünglich auf den Bildungsbereich ausgerichtet.
• JumpCloud: plattformübergreifend, breiterer Anwendungsbereich einschließlich Identitätsmanagement.

Die versteckten Kosten sind nicht das Software-Abonnement. Es ist die Zeit und Aufmerksamkeit derjenigen, die intern dafür verantwortlich sind. In einem 10-Personen-Startup ist ein falsch konfiguriertes MDM oft schlimmer als gar keines: Es erzeugt ein falsches Gefühl von Compliance-Abdeckung, während echte Lücken bestehen bleiben.

So sieht Managed IT aus

Ein IT-Partner konfiguriert und wartet dein MDM für dich. Richtlinien sind entsprechend deinen Compliance-Anforderungen vorkonfiguriert. Geräte werden per Zero-Touch-Provisioning registriert – vorkonfiguriert direkt an den Mitarbeiter geliefert und beim ersten Start sofort einsatzbereit. Wenn etwas nicht funktioniert, musst du dich nicht darum kümmern.

deeploi verwaltet MDM als Teil seiner All-in-One-IT-Plattform. So sieht das für Gründer konkret aus: Wenn ein neuer Mitarbeiter eintritt, bestätigst du Namen, Rolle und Startdatum in deinem HRIS – das war's. deeploi kümmert sich um den Rest. Das Gerät wird vorkonfiguriert ausgeliefert, die Basisrichtlinien bereits aktiv: FileVault aktiviert, Passwortrichtlinie gesetzt, Fernlöschung eingerichtet. Die 2FA-Durchsetzung wird beim Onboarding konfiguriert und mit deinem Identitätsanbieter verknüpft.

Das deeploi-Team überwacht außerdem jedes Gerät auf Richtlinienabweichungen. Wenn FileVault deaktiviert wird, ein OS-Update überfällig ist oder ein MDM-Profil entfernt wird, wird ein Ticket erstellt und das Team handelt – ohne dass der Gründer einbezogen werden muss. Wenn jemand das Unternehmen verlässt, bestätigst du das Austrittsdatum und genehmigst die Offboarding-Schritte in der Plattform; deeploi widerruft dann die SaaS-Konten, aktiviert die E-Mail-Weiterleitung und sperrt das Gerät per Fernzugriff für die Rückgabe.

deeploi ist selbst nach ISO 27001 zertifiziert, was die Lieferantensicherheitsbewertung vereinfacht, wenn du deinen eigenen Zertifizierungsprozess startest. Mit einer durchschnittlichen Support-Reaktionszeit von 12 Minuten und einer von Kunden gemeldeten Reduzierung des IT-Aufwands um 97 % ist der operative Unterschied zu selbstverwaltetem MDM erheblich.

Entscheidungskriterien

• Hast du jemanden mit technischem Hintergrund, der die MDM-Konfiguration und die laufende Wartung dauerhaft übernehmen kann?
• Ist die Zeit dieser Person hier besser investiert oder in der Arbeit, für die sie eingestellt wurde?
• Strebst du eine Zertifizierung nach ISO 27001 oder SOC 2 an? Wenn ja, reduziert ein verwaltetes MDM den laufenden Compliance-Aufwand erheblich.

Schritt 2: Registriere deine Macs über Apple Business Manager

Du musst verstehen, was die Registrierung beinhaltet und wo es Probleme geben kann. Es gibt zwei Wege:

• Automatisierte Geräteregistrierung (ADE): für neue Geräte, die über Apple oder einen autorisierten Händler gekauft wurden. Das Gerät wird vorkonfiguriert geliefert und richtet sich beim ersten Start ohne manuellen Eingriff ein (Zero-Touch-Setup). Das ist die richtige Wahl für alle künftig beschafften Geräte.
• Manuelle Registrierung: für bereits im Einsatz befindliche Geräte. Der Mitarbeiter muss ein Registrierungsprofil herunterladen und installieren. Mehr Aufwand, mehr Fehlerquellen.

Erwartetes Ergebnis: Die Geräte erscheinen in der MDM-Konsole, sind den Mitarbeitern zugewiesen und bereit für die Richtlinienverteilung.

Wo es hakt: Die manuelle Registrierung hängt von der Mitarbeit der Mitarbeiter und der korrekten Ausführung ab. Mitarbeiter überspringen Schritte, registrieren das falsche Profil oder entfernen das MDM-Profil später, weil sie es nicht wollen. Der überwachte Modus (der das Entfernen des Profils verhindert) setzt voraus, dass die Geräte die ADE durchlaufen haben – er lässt sich also nicht nachträglich anwenden, ohne das Gerät vollständig zu löschen und neu zu registrieren. Genau hier geraten die meisten DIY-MDM-Projekte ins Stocken.

Schritt 3: Konfiguriere deine vier Kernrichtlinien und halte sie aufrecht

Richtlinienkonfiguration und laufende Wartung sind keine getrennten Aktivitäten. Hier ist, was jede der vier wesentlichen Maßnahmen in der Praxis beinhaltet:

FileVault-Durchsetzung: wird über MDM ausgerollt, aber bei bestehenden unverschlüsselten Geräten ist eine Nutzeraktion erforderlich, um den Vorgang abzuschließen. Wiederherstellungsschlüssel müssen in der MDM-Konsole hinterlegt werden. Ist das nicht der Fall, kannst du ein gesperrtes Gerät nicht wiederherstellen. Niemals.

Passwortrichtlinie: Mindestlänge, Komplexitätsregeln, Zeitlimit für die Bildschirmsperre. Einfach zu konfigurieren, aber Richtlinienkonflikte zwischen MDM und den macOS-Systemeinstellungen kommen häufig vor und sind nicht immer offensichtlich. Teste die Richtlinie, bevor du sie für alle ausrollst.

Fernlöschung: Muss getestet werden, bevor du sie brauchst. Eine ungetestete Fernlöschfunktion ist keine Fernlöschfunktion. Führe mindestens einen Test-Löschvorgang auf einem Reservegerät durch.

Durchsetzung von 2FA: MDM interagiert mit den Einstellungen deines Identitätsanbieters (Google Workspace, Microsoft Entra). MDM allein setzt 2FA nicht durch; beide Systeme müssen gemeinsam konfiguriert werden. Das ist eine der häufigsten Lücken bei DIY-Setups.

Die laufende Wartung ist genauso wichtig wie die Ersteinrichtung. Richte Warnmeldungen für Richtlinienabweichungen ein: Geräte, auf denen FileVault deaktiviert wurde, bei denen OS-Updates im Rückstand sind oder bei denen das MDM-Profil entfernt wurde. Das sind keine seltenen Ausnahmen. Apple veröffentlicht jährlich größere OS-Updates und regelmäßig Sicherheitspatches; die MDM-Durchsetzung muss entsprechend aktualisiert werden.

Der häufigste Grund für MDM-Probleme ist keine technische Fehlkonfiguration bei der Einrichtung. Es ist die Konsole, die nach dem ersten Monat niemand mehr überprüft. Warnmeldungen werden ausgelöst, Geräte fallen aus der Compliance heraus, und niemand handelt, weil niemand die Verantwortung trägt. Selbstverwaltetes MDM braucht einen Verantwortlichen – nicht nur eine einmalige Einrichtung.

Wer eine verwaltete IT-Plattform wie deeploi nutzt, hat jede Richtlinie in diesem Schritt bereits vor der Registrierung des ersten Geräts vorkonfiguriert. Du musst keine FileVault-Einführung testen oder Verbindungen zum Identitätsanbieter konfigurieren – deeploi erledigt das im Rahmen der Einrichtung. Wenn Apple ein größeres OS-Update veröffentlicht, aktualisiert deeploi die Durchsetzung entsprechend. Du musst das nicht nachverfolgen.

Drei Anzeichen dafür, dass dein MDM-Setup Aufmerksamkeit braucht

Geräte werden als nicht konform angezeigt, ohne dass jemand darauf reagiert. Das MDM ist installiert, aber niemand prüft das Dashboard. Die Software läuft; die Verwaltung nicht. Das ist der häufigste Fehler bei Startups.

Das Gerät eines ehemaligen Mitarbeiters ist noch immer registriert und aktiv. Das Offboarding war nicht mit MDM verknüpft. Das Gerät ist in deiner Konsole vorhanden, möglicherweise mit einem aktiven Konto und Zugriff auf Unternehmensdaten. Das ist die Zugriffskontrolllücke, die ein Auditor als Erstes finden wird.

Dein MDM wurde seit der Ersteinrichtung nicht aktualisiert. Richtlinien wurden nicht überprüft. Betriebssystemversionen hinken mehrere Releases hinterher. Apple hat sein MDM-Framework aktualisiert, und deine Konfiguration spiegelt die Änderungen nicht wider. Ein MDM, das man einmal einrichtet und dann vergisst, ist kein konformes MDM.

Wer diese Anzeichen erkennt, braucht mehr als MDM-Software. Gefragt ist jemand, der sie aktiv verwaltet. Das ist der Unterschied zwischen einem Tool und einem Managed Service.

Mac-MDM-Checkliste für Startups

• Apple Business Manager-Konto erstellt und verifiziert
• MDM-Anbieter ausgewählt oder Managed-IT-Partner eingebunden
• Alle Macs registriert und in der MDM-Konsole sichtbar
• FileVault-Verschlüsselung erzwungen und Wiederherstellungsschlüssel hinterlegt
• Passwortrichtlinie konfiguriert und auf allen Geräten aktiv
• Fernlöschung aktiviert und getestet
• 2FA-Durchsetzung aktiv und mit Identitätsanbieter bestätigt
• Warnungen bei Richtlinienabweichungen konfiguriert und einem Verantwortlichen zugewiesen
• Offboarding-Prozess mit MDM-Deprovisioning verknüpft
• MDM-Konfiguration nach jedem größeren macOS-Release überprüft und aktualisiert

Mit dem Wesentlichen anfangen – dann ausbauen

Die vier Grundlagen sind der richtige Ausgangspunkt. Alles andere kann warten. Aber diese vier richtig hinzubekommen und dauerhaft beizubehalten, ist kein Projekt für einen Nachmittag. Es ist eine fortlaufende Verantwortung, die einen Verantwortlichen braucht.

Zwei Situationen rechtfertigen es, über die Grundlagen hinaus Komplexität einzuführen: wenn die Gerätezahl 20 oder mehr erreicht und die manuelle Überwachung nicht mehr ausreicht, sowie zu Beginn eines formellen Compliance-Audits, bei dem zusätzliche Kontrollen durchgesetzt werden müssen.

Bis dahin: Halte es einfach. Schaffe ein solides Fundament. Und wenn du dich lieber auf die Entwicklung deines Produkts konzentrieren möchtest, statt MDM-Konsolen zu verwalten, ziehe einen Partner in Betracht, der sich vollzeitlich darum kümmert.

FAQ

Brauche ich wirklich MDM, wenn mein Startup nur fünf Macs hat?

Ja – wenn du Kundendaten verarbeitest, eine Zertifizierung nach ISO 27001 oder SOC 2 anstrebst oder damit rechnest, dass Unternehmenskunden nach deiner Sicherheitslage fragen. Fünf Geräte sind kein Grund, darauf zu verzichten. Es ist sogar der richtige Zeitpunkt, es von Anfang an richtig zu machen – bevor sich schlechte Gewohnheiten festsetzen und bevor die Nachrüstung einer gewachsenen Geräteflotte mit MDM zu einem eigenständigen Projekt wird.

Sollte ich MDM selbst verwalten oder einen Managed-IT-Service nutzen?

Das hängt davon ab, ob du jemanden mit technischem Hintergrund hast, der bereit ist, sich langfristig darum zu kümmern – und nicht nur einmalig die Einrichtung übernimmt. Selbstverwaltete Tools wie Jamf oder Kandji funktionieren, wenn du einen Techniker hast, der sie laufend warten kann. Wenn niemand die Verantwortung für Konfiguration, Überwachung und Fehlerbehebung übernehmen will, übernimmt eine Managed-IT-Plattform die technische Seite für dich. Die Plattform von deeploi umfasst MDM-Einrichtung, Richtlinienkonfiguration, Geräteregistrierung, laufende Richtlinienüberwachung, OS-Update-Management und die Überwachung von Sicherheitswarnungen – alles im Rahmen einer monatlichen Pauschalgebühr pro Mitarbeiter. Es gibt keine MDM-Konsole zu verwalten, keine Richtlinien zu konfigurieren und keinen Berater, den man separat beauftragen müsste.

Kann mein Arbeitgeber über MDM persönliche Daten einsehen?

Nein. MDM verwaltet die Gerätekonfiguration: Richtlinien, Verschlüsselung, Softwareverteilung. Es hat keinen Zugriff auf persönliche Dateien, Nachrichten, den Browserverlauf oder App-Inhalte. Was ein Administrator sehen kann: Gerätename, Seriennummer, Betriebssystemversion, installierte Apps und den Richtlinienkonformitätsstatus. Nichts Persönliches.

Was ist der Unterschied zwischen MDM und Endpoint-Sicherheit?

MDM verwaltet die Gerätekonfiguration und setzt Richtlinien durch – es steuert, wie ein Gerät eingerichtet ist. Endpoint Security überwacht auf schädliche Aktivitäten und reagiert in Echtzeit auf Bedrohungen. Die meisten Startups brauchen beides: MDM für die grundlegende Konfigurationsebene, Endpoint Security für die Bedrohungserkennung. Sie ergänzen sich gegenseitig, ersetzen sich nicht.