Skip to content
IT Management

MDM vs MAM: What are the differences?

·
5 min read
HR on one side, IT on the other?
Manage devices, licenses, and security from one place. Synced with your team’s joiners and leavers. Discover Factorial IT
Written by

Firmenlaptops, private Smartphones mit dem geschäftlichen E-Mail-Konto, Freelancer, die vom iPad aus auf das CRM zugreifen, Vertriebsmitarbeitende mit Kundendaten in der Hosentasche … In der Realität liegen Ihre Unternehmensdaten heute an deutlich mehr Orten, als Ihr IT-Team wirklich überblicken kann. Ein verlorenes Gerät, ein schlecht abgewickelter Austritt oder ein nicht entzogener Zugang reichen aus, um daraus ein Datenleck zu machen, bevor die IT überhaupt reagieren kann.

Vor diesem Hintergrund haben Unternehmen zwei grundsätzliche Wege, um zu schützen, was über diese Geräte läuft: entweder das gesamte Gerät kontrollieren (MDM) oder ausschließlich die Unternehmens-Apps absichern, die darauf laufen (MAM). Die beiden Kürzel klingen ähnlich und werden häufig verwechselt, beantworten aber unterschiedliche Fragen und kommen in unterschiedlichen Kontexten zum Einsatz.

In diesem Artikel erklären wir Ihnen, was genau hinter jedem der beiden Ansätze steckt, welche Hauptfunktionen sie abdecken, wann welcher Ansatz Sinn ergibt und welche zentralen Unterschiede Sie kennen sollten, bevor Sie sich entscheiden.

Was ist ein MDM?

MDM steht für Mobile Device Management (Verwaltung mobiler Endgeräte). Dahinter steht eine Reihe von Werkzeugen und Prozessen, mit denen ein Unternehmen alle von den Mitarbeitenden genutzten Geräte aus der Ferne verwalten, konfigurieren und absichern kann – Laptops, Smartphones, Tablets und sogar Desktop-Rechner.

In der Praxis funktioniert ein MDM, indem auf jedem Gerät der Flotte ein Agent ausgerollt wird. Ab diesem Moment hat das IT-Team über eine zentrale Konsole die volle Kontrolle über das Gerät: Sicherheitsrichtlinien anwenden, Anwendungen installieren oder deinstallieren, die Festplattenverschlüsselung erzwingen, das Gerät bei Verlust sperren oder im Diebstahlfall alle Daten aus der Ferne löschen. Eine Art Fernbedienung mit Admin-Rechten für die gesamte Geräteflotte.

MDM ist die Referenzlösung, wenn die Geräte dem Unternehmen gehören, denn es ermöglicht, die Konfiguration zu standardisieren, die Einhaltung der Sicherheitsrichtlinien sicherzustellen und im Ernstfall schnell zu reagieren. Standards wie SOC 2, ISO 27001, BSI C5 oder die NIS2-Richtlinie (in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz und überwacht durch das BSI) schreiben kein MDM zwingend vor. Trotzdem führen es die meisten Unternehmen, die solche Zertifizierungen anstreben, früher oder später ein – ganz einfach, weil es der schnellste Weg ist, das eigene Sicherheitsniveau anzuheben.

Wichtige Funktionen eines MDM

  • App-Management: Ausrollen und Aktualisieren der Anwendungen, die Mitarbeitende benötigen, ohne dass sie diese manuell installieren müssen.
  • Steuerung von Konfigurationen und Sicherheitsrichtlinien: verpflichtende Festplattenverschlüsselung, aktive Firewall, sichere Passwörter und automatische Betriebssystem-Updates.
  • Schutz und Fernlöschung von Daten: Bei Verlust oder Diebstahl lassen sich sämtliche Daten auf dem Gerät löschen, um Datenlecks zu verhindern.
  • Fernsperrung: ein Gerät innerhalb von Sekunden für den Zugriff sperren.
  • Inventar und Übersicht über die Geräteflotte: Echtzeit-Überblick darüber, wie viele Geräte im Einsatz sind, in welchem Zustand sie sich befinden, welches Betriebssystem läuft und welche Apps installiert sind.
  • Schwachstellenerkennung: Identifizierung veralteter Anwendungen oder bekannter Sicherheitslücken.
  • Skript-Ausführung aus der Ferne: Automatisierung von Wartungsaufgaben oder massenhafte Behebung von Vorfällen.
  • Remote-Support: vom Zurücksetzen vergessener Passwörter bis zur Behebung von Problemen, ohne dass Mitarbeitende ihr Gerät ins Büro bringen müssen.
  • Automatisiertes Onboarding und Offboarding: Ist das MDM an das HRIS angebunden, lösen Ein- und Austritte automatisch die Zuweisung des Geräts, die Installation der Apps und den Entzug der Zugänge aus.

Wann ist ein MDM die richtige Wahl?

Ein MDM ist immer dann die passende Lösung, wenn eines oder mehrere der folgenden Szenarien zutreffen:

  • Die Geräte gehören dem Unternehmen, das sie damit umfassend konfigurieren und kontrollieren darf.
  • Sie arbeiten mit sensiblen Daten (Finanzdaten, Gesundheitsdaten, geistiges Eigentum, Kundendaten), die eine strenge Kontrolle der Umgebung erfordern, in der sie gespeichert und verarbeitet werden.
  • Sie agieren in einer regulierten Branche oder streben Zertifizierungen wie SOC 2, ISO 27001, BSI C5 oder die NIS2-Konformität an.
  • Sie verwalten eine gemischte Flotte (macOS, Windows, Linux, iOS, Android) und müssen Richtlinien und Konfigurationen aus einer einzigen Konsole standardisieren.
  • Sie haben ein hohes Aufkommen an Onboardings und Offboardings und möchten den manuellen Aufwand beim Einrichten und Zurückholen von Geräten loswerden.
  • Sie brauchen die Fähigkeit, im Ernstfall sofort zu reagieren: ein Gerät innerhalb von Minuten sperren, löschen oder auditieren – und nicht erst nach Tagen.

Was ist ein MAM?

MAM steht für Mobile Application Management (Verwaltung mobiler Anwendungen). Im Gegensatz zum MDM kontrolliert ein MAM nicht das gesamte Gerät, sondern ausschließlich die Unternehmens-Apps, die das Unternehmen für den Zugriff auf seine Daten und Systeme freigegeben hat.

In der Praxis bedeutet das, dass das IT-Team Sicherheitsrichtlinien für einzelne Anwendungen festlegen kann (geschäftliches E-Mail-Konto, CRM, Kommunikationstools, Projektmanagement-Software …), ohne Einblick oder Kontrolle über den Rest des Geräts zu haben. Die Unternehmensdaten liegen in einer Art abgeschottetem Container, getrennt von der privaten Umgebung der Nutzenden. So lassen sich die Daten des Unternehmens schützen, ohne dass jemand auf Fotos, private Apps oder den Browserverlauf der Mitarbeitenden zugreifen muss.

Diese Trennung macht MAM zu einer besonders sinnvollen Lösung in BYOD-Umgebungen (Bring Your Own Device), in denen Mitarbeitende ihre privaten Geräte für die Arbeit nutzen. Ein MDM auf dem privaten Smartphone eines Mitarbeitenden durchzusetzen, ist rechtlich wie kulturell heikel. Ein MAM nur auf der App für die geschäftliche E-Mail oder das CRM einzusetzen, ist deutlich angemessener – und respektiert die Privatsphäre der Nutzenden.

Wichtige Funktionen eines MAM

  • Ausrollen und Aktualisieren von Unternehmens-Apps über eine zentrale Konsole.
  • Sicherheitsrichtlinien auf Anwendungsebene: Authentifizierungspflicht, automatische Sperre nach Inaktivität, Einschränkungen für das Kopieren und Einfügen zwischen geschäftlichen und privaten Apps.
  • Container für Unternehmensdaten: Die Informationen des Unternehmens werden getrennt und verschlüsselt auf dem Gerät gespeichert.
  • Selektives Löschen: Bei Austritt oder Verlust des Geräts werden ausschließlich die geschäftlichen Daten und Anwendungen entfernt, ohne dass die privaten Informationen der Mitarbeitenden angetastet werden.
  • Whitelists und Blacklists für Anwendungen: festlegen, welche Apps Unternehmensdaten verarbeiten dürfen, und Zugriffe aus nicht freigegebenen Apps blockieren.
  • Bedingter Zugriff (Conditional Access): Einschränkung des Zugriffs auf Anwendungen je nach Kontext (Standort, Netzwerk, Sicherheitsstatus des Geräts).
  • Verteilung interner Anwendungen: Bereitstellung eigener Unternehmens-Apps, ohne den Weg über die öffentlichen Stores von Apple oder Google nehmen zu müssen.

Wann ist ein MAM die richtige Wahl?

Ein MAM ist immer dann die passende Lösung, wenn eines oder mehrere der folgenden Szenarien zutreffen:

  • Sie arbeiten mit einem BYOD-Modell, und Ihre Mitarbeitenden greifen mit ihren privaten Geräten auf Unternehmensressourcen zu.
  • Sie möchten die Privatsphäre der Mitarbeitenden wahren und die Kontrolle strikt auf den geschäftlichen Bereich beschränken.
  • Sie arbeiten mit Freelancern, externen Dienstleistern oder Zeitarbeitskräften zusammen, bei denen eine vollständige Kontrolle des Geräts nicht sinnvoll wäre.
  • Sie müssen nur eine begrenzte Auswahl an Unternehmens-Apps absichern (E-Mail, CRM, interne Tools) – nicht das gesamte Gerät.
  • Sie wollen eine schnelle, schlanke Einführung, ohne auf jedem Gerät einen Agenten mit umfassenden Rechten installieren zu müssen.
  • Der rechtliche oder kulturelle Rahmen Ihres Unternehmens schränkt die Möglichkeit ein, ein MDM auf nicht-betrieblichen Geräten durchzusetzen.

Die wichtigsten Unterschiede zwischen MDM und MAM

Auch wenn beide Ansätze dasselbe Ziel verfolgen – nämlich Unternehmensdaten zu schützen –, setzen MDM und MAM auf unterschiedlichen Ebenen an und lösen unterschiedliche Probleme. Die folgenden zentralen Unterschiede sollten Sie kennen, bevor Sie sich entscheiden:

Kriterium MDM (Mobile Device Management) MAM (Mobile Application Management)
Kontrollumfang Das gesamte Gerät (Betriebssystem, Konfiguration, Anwendungen, Daten). Ausschließlich die freigegebenen Unternehmens-Apps.
Idealer Gerätetyp Geräte im Eigentum des Unternehmens. Private Geräte der Mitarbeitenden (BYOD).
Privatsphäre der Nutzenden Geringer: Das Unternehmen hat umfassenden Einblick in das Gerät. Höher: Private Informationen bleiben außerhalb der Reichweite der IT.
Fernlöschung Vollständig: löscht alle Inhalte des Geräts. Selektiv: entfernt nur geschäftliche Daten und Apps.
Rollout Erfordert die Installation eines Agenten mit weitreichenden Rechten auf dem Gerät. Leichter: wirkt nur auf bestimmte Apps.
Typische Anwendungsfälle Unternehmensflotten, regulierte Branchen, strikte Compliance. BYOD, Freelancer, punktueller Zugriff auf Unternehmens-Apps.
Gerätekonfiguration Ermöglicht die Standardisierung der Konfiguration der gesamten Flotte. Greift nicht in die allgemeine Gerätekonfiguration ein.
Kosten und Komplexität Höher: umfassende Verwaltung und laufende Wartung. Geringer: fokussiert auf einzelne Anwendungen.

Tatsächlich konkurrieren MDM und MAM nicht miteinander. Die meisten Unternehmen, die sich mit dieser Frage beschäftigen, kombinieren am Ende beide Ansätze: MDM für die Firmengeräte und MAM für die privaten Geräte, die mit Unternehmensdaten in Berührung kommen. Die jüngeren Lösungen, die sogenannten UEM-Systeme (Unified Endpoint Management), führen beide Ebenen in einer einzigen Konsole zusammen, damit das ständige Springen zwischen verschiedenen Tools entfällt.

Factorial IT geht diesen Gedanken einen Schritt weiter und verbindet die Geräteverwaltung direkt mit dem HRIS. Tritt jemand ins Unternehmen ein, richten sich Gerät und Anwendungen von selbst ein. Verlässt jemand das Unternehmen, werden Zugänge entzogen und Daten gelöscht, ohne dass jemand aus der IT daran denken muss.

Related posts