IT-Fragen? IT-Service Desk.

Firmenhandys und -laptops sind längst nicht mehr nur im Büro im Einsatz. Mitarbeitende arbeiten von zu Hause, aus dem Zug oder beim Kunden und greifen dabei auf dieselben Unternehmensdaten zu wie am Schreibtisch vor Ort. Das ist praktisch, schafft aber auch Angriffsfläche. Ein verlorenes Gerät oder ein gestohlenes Passwort kann ausreichen, damit Unbefugte Zugang zu sensiblen Informationen erhalten. Multi Faktor Authentifizierung bei MDM-Geräten hilft bei diesem Problem, indem sie den Zugriff an mehrere unabhängige Nachweise knüpft. Was das konkret bedeutet und wie Unternehmen das sinnvoll umsetzen, zeigen wir in diesem Artikel.

Was Multi Faktor Authentifizierung bei MDM-Geräten bedeutet

Alle Mitarbeitenden und Freelancer, die sich in das Unternehmenssystem einloggen wollen, müssen sich ausweisen. Das ist grundsätzlich nichts Neues. Lange Zeit reichte dafür ein Passwort. Passwörter können allerdings erraten, gestohlen oder durch Phishing abgegriffen werden. Die Multi Faktor Authentifizierung löst das Problem, indem der Zugriff an mindestens zwei voneinander unabhängige Nachweise geknüpft wird.

Diese Nachweise lassen sich in drei Kategorien einteilen:

• Wissen: etwas, das nur die Person kennt, zum Beispiel ein Passwort oder eine PIN
• Besitz: etwas, das die Person bei sich hat, zum Beispiel ein Smartphone, auf dem ein Einmalcode angezeigt wird
• Biometrie: etwas, das die Person ausmacht, zum Beispiel ein Fingerabdruck oder die Gesichtserkennung

Bei MDM-verwalteten Geräten kommt zusätzlich der Vorteil dazu, dass das Gerät selbst im System registriert und bekannt ist. So entsteht die Möglichkeit, das Gerät als zusätzlichen Faktor zu nutzen. Der Zugriff ist also nur dann möglich, wenn das richtige Gerät, die richtige Person und der richtige Nachweis zusammenkommen. Das ist ein deutlich höheres Sicherheitsniveau als eine reine Passwortverwaltung ermöglicht.

Warum MDM ohne MFA keinen ausreichenden Schutz bietet

Mobile Device Management bringt viele Vorteile für Unternehmen. Es ermöglicht, Geräte zentral zu verwalten, Sicherheitsrichtlinien durchzusetzen und im Verlustfall Daten aus der Ferne zu löschen. MDM schützt also das Gerät an sich, allerdings nicht den Zugang dazu. Gerade im Alltag können Situationen entstehen, in denen ein Passwort allein nicht ausreicht und ohne MFA Lücken aufkommen können:

• Ein Gerät geht verloren oder wird gestohlen. Die MDM-Lösung kann es sperren oder löschen, aber erst dann, wenn der Verlust bemerkt wird. Bis dahin ist der Zugriff mit dem richtigen Passwort möglich.
• Passwörter werden aus Bequemlichkeit einfach gewählt oder mehrfach verwendet. Das ist menschlich, aber hat sich immer wieder Sicherheitsrisiko herausgestellt.
• Beim Phishing werden Mitarbeitende dazu gebracht, ihre Zugangsdaten auf einer gefälschten Seite einzugeben. Das Passwort landet direkt beim Angreifer, der es sofort nutzen kann.

Multi Faktor Authentifizierung bei MDM-Geräten senkt die Risiken durch solche Situationen deutlich. Ein abgegriffenes Passwort allein genügt nicht mehr, um sich Zugang zum Gerät zu verschaffen, weil der zweite Faktor fehlt. Damit scheitert der Angriff in den meisten Fällen an dieser Hürde.

Multi Faktor Authentifizierung im MDM richtig einrichten

MFA im MDM-Umfeld einzuführen ist grundsätzlich kein Mammutprojekt. Allerdings braucht es eine durchdachte Umsetzung, damit Sicherheit und Nutzerfreundlichkeit zusammen funktionieren. Besonders wichtig ist es, MFA bereits in den Einrichtungsprozess neuer Geräte zu integrieren. Nimmt ein Mitarbeiter ein Firmengerät zum ersten Mal in Betrieb, sollte von Anfang an MFA eingerichtet werden. Ist das Modell fester Bestandteil des Prozesses, ist die Akzeptanz höher und Mitarbeitende müssen sich nicht nachträglich mit Veränderungen auseinandersetzen.

Darüber hinaus gibt es einige Punkte, die Unternehmen bei der Planung berücksichtigen sollten.

• Zugriff an Bedingungen knüpfen:Die meisten MDM-Lösungen ermöglichen es, Zugriffe auf Basis von Faktoren wie Gerätekonformität, Standort oder Netzwerk zu steuern. So können Sie festlegen, unter welchen Bedingungen welche Zugriffsrechte gelten.
• Nutzerfreundlichkeit einplanen:MFA wird nur dann konsequent genutzt, wenn Mitarbeitende sie im Alltag nicht als Hindernis wahrnehmen. Einmalcodes per App, biometrische Freigabe oder Push-Benachrichtigungen sind deutlich komfortabler als umständliche Hardware-Token und reichen für die meisten Unternehmen und Abteilungen aus.
• Ausnahmeregelungen begrenzen:Ausnahmen für bestimmte Geräte oder Nutzergruppen wirken praktisch, können aber schnell zu Problemen beim Schutz werden. Werden Ausnahmen zugelassen, sollte das bewusst passieren und dokumentiert werden.
• Schulung der Teams:Auch die beste technische Lösung nützt wenig, wenn Mitarbeitende nicht wissen, wie sie damit umgehen sollen. Eine kurze Einführung beim Rollout spart später viele Rückfragen.

Fazit: Multi Faktor Authentifizierung als wichtiger Sicherheitsbaustein im MDM

MDM und Multi Faktor Authentifizierung lösen unterschiedliche Probleme und ergänzen sich deshalb gut. MDM sorgt dafür, dass Geräte sicher verwaltet und im Ernstfall kontrolliert werden können. MFA stellt sicher, dass nur die richtigen Personen Zugang erhalten. Zusammen arbeiten sie gegen die häufigsten Ursachen für Cyberangriffe. Wichtig ist, MFA von Beginn an in Prozesse zu integrieren, Mitarbeitende zu schulen und die Nutzerfreundlichkeit im Blick zu halten. Benötigen Sie Unterstützung in der Einführung von MDM oder möchten sich zum Thema Multi Faktor Authentifizierung beraten lassen, nehmen Sie gerne Kontakt zu uns auf.

Viele Unternehmen starten ihren Weg in die Cloud mit einem Wunsch: schnelle Migration, günstige Umsetzung und unkomplizierter Einstieg. Alle Workloads sollen einfach in die Cloud übertragen werden und schon ist die Migration abgeschlossen. Danach folgt dann jedoch oft die Ernüchterung: Die Kosten steigen, die Systeme laufen langsamer als erwartet und wirklich flexibel ist das neue Modell auch nicht. Hintergrund dafür ist oft die Migration nach dem Lift & Shift Ansatz. Was es damit auf sich hat, wo der Ansatz an seine Grenzen kommt und wie eine durchdachtere Strategie aussehen kann, erklären wir in diesem Artikel.

Was ist Lift & Shift und warum setzen so viele Unternehmen darauf?

Die Lift & Shift Methode beschreibt eine Cloud-Migrationsstrategie, bei der bestehende IT-Systeme ohne größere Änderungen aus der On Premises Umgebung in die Cloud übertragen werden. Das System bleibt wie es ist und wird einfach verschoben. Damit ist dieser Ansatz der unkomplizierteste und schnellste in der Cloud-Migration. In einigen Szenarien ist es durchaus sinnvoll, Workloads mit dem Lift & Shift Ansatz zu migrieren:

• Workloads ähneln den Cloud-nativen Alternativen.
• Ein System läuft nur noch kurze Zeit und die Investition in eine Modernisierung würde sich nicht rentieren.
• Ein Rechenzentrum wird abgeschaltet und es bleibt wenig Zeit für eine Modernisierung der Workloads.
• Das Unternehmen möchte erste Erfahrungen mit der Cloud sammeln, ohne sofort viel umzubauen.

Vor allem als temporäre Lösung oder bei sehr simplen Workloads kann Lift & Shift sinnvoll sein. Als dauerhafter Zustand entstehen dadurch jedoch fast immer Probleme. Die Cloud ist kein eins zu eins Ersatz für ein Rechenzentrum, sondern zeigt ihre Vorteile dann, wenn Cloud-native Ansätze zum Einsatz kommen.

Cloud-Migration ohne Strategie: diese Probleme können entstehen

Verschieben Unternehmen ihre IT-Infrastruktur unverändert in die Cloud, verschieben sie auch alle Probleme mit. In der Cloud können diese Probleme jedoch deutlich teurer werden als noch zuvor in der On Premises Umgebung.

Höhere Betriebskosten als erwartet

Im eigenen Rechenzentrum läuft der Server rund um die Uhr, die Kosten dafür sind in der Regel fix. In der Cloud sind die Kostenmodelle meist komplexer: Oft handelt es sich um Pay-as-you-go-Modelle oder monatliche Abonnements, deren Kosten von der tatsächlichen Nutzung abhängen. Systeme, die nicht auf die Cloud ausgelegt sind, lassen sich jedoch nicht abhängig von der Nutzung skalieren und laufen dauerhaft auf Hochtouren. Daraus ergibt sich am Monatsende eine höhere Rechnung als die vorherige Servermiete.

Alte Strukturen in moderner Umgebung

Cloud-Umgebungen bieten zahlreiche Möglichkeiten: automatisches Hoch- und Runterskalieren bei Lastspitzen, integrierte Sicherheitsfunktionen und einfaches Testen neuer Features. Übertragen Unternehmen ihre Infrastruktur per Lift & Shift jedoch unverändert in die Cloud, entfallen häufig einige der zentralen Vorteile:

• Anwendungen reagieren bei hoher Last nicht flexibel, weil sie dafür nie gebaut wurden.
• Sicherheitslücken und mögliche Schwachstellen werden aus dem alten Rechenzentrum mit migriert und erhöhen das Risiko in der Cloud.
• Kostenvorteile der Cloud entfallen, da Anwendungen mehr Ressourcen verbrauchen als native Infrastruktur.

Zwar erscheint der Lift & Shift Ansatz anfangs oft günstiger als Neuentwicklungen oder Anpassungen, der Weg sorgt allerdings häufig für höheren Kosten und dafür, dass Vorteile der Cloud nicht ausgeschöpft werden können.

Vom Lift & Shift Ansatz zur nachhaltigen Cloud-Strategie

Eine funktionierende Cloud-Migrationsstrategie beginnt mit einer Frage: Was soll die Cloud für das Unternehmen leisten? Je nach Antwort unterscheiden sich die nächsten Schritte stark.

Drei Wege in die Cloud

In der Praxis kommen meist verschiedene Wege zum Einsatz, abhängig vom jeweiligen Workload und den Zielen. Diese drei finden besonders häufig Anwendung.

• Lift & Shift: Das System wandert unverändert in die Cloud. Dieser Weg ist der schnellste und günstigste, bringt aber die thematisierten Einschränkungen mit sich.
• Replatforming: Das System wird leicht modernisiert, um grundlegende Cloud-Vorteile nutzen zu können, zum Beispiel automatische Datensicherung oder bessere Skalierung.
• Refactoring: Die Anwendung wird grundlegend überarbeitet oder neu entwickelt, damit sie die Vorteile der Cloud vollständig ausnutzen kann.

Welcher Weg der richtige ist, hängt vom jeweiligen System, dem Zeitrahmen und dem Budget ab. Nicht jede Anwendung muss vollständig neu gebaut werden, aber Unternehmen sollten jede Anwendung bewusst einordnen.

Was eine gute Cloud-Strategie ausmacht

Unabhängig vom gewählten Migrationspfad braucht es einige Grundlagen, damit die Cloud langfristig Vorteile schafft:

• Klare Verantwortlichkeiten: Wer darf was in der Cloud tun, wer hat welche Zugriffsrechte? Ohne Regeln entstehen schnell Sicherheitslücken und zusätzliche Kosten.
• Kostentransparenz: Cloud-Kosten sind variabel. Frameworks wie FinOps sind sinnvoll, um die Kosten im Blick zu halten, sie zu steuern und zu optimieren.
• Souveränität: Achten Unternehmen von Anfang an darauf, souveräne Lösungen einzusetzen, bleiben sie unabhängiger von einzelnen Anbietern und Veränderungen in Leistungen oder geopolitischen Gegebenheiten.

Fazit: Lift & Shift ist Start und Ergänzung, keine vollständige Strategie

Lift & Shift ist grundsätzlich kein falscher Ansatz, sondern ein guter Weg für simple Anwendungen oder den ersten Start in der Cloud. Grundsätzlich gilt aber: Verschieben Unternehmen Systeme einfach in die Cloud, ohne ihre Eignung zu prüfen und sie anzupassen, entgehen ihnen die Vorteile nativer Cloud-Anwendungen und die Kosten können in die Höhe schnellen. Für eine bedachte Migration sollten Systeme deshalb immer bewusst eingeordnet, klare Ziele definiert und Schritt für Schritt modernisiert werden. Dieser Weg braucht zwar Planung, sorgt aber am Ende für eine saubere Cloud-Infrastruktur, in der die Vorteile voll ausgenutzt werden können.

2026 verschärft Microsoft die Standards für Kerberos in Active Directory: Die veraltete RC4-Verschlüsselung wird schrittweise deaktiviert. Ziel ist es, bekannte Risiken zu reduzieren und die Sicherheitslücke CVE-2026-20833 zu adressieren. Mit den Sicherheitsupdates des ersten Halbjahres im Jahr 2026 wird das Standardverhalten am Key Distribution Center (KDC) phasenweise angepasst. Ohne saubere Vorbereitung kann das zu Authentifizierungsfehlern und Zugriffsproblemen führen.

Der Artikel gibt Ihnen einen kompakten Überblick und zeigt, wie Sie Ihr Unternehmen rechtzeitig dafür prüfen und vorbereiten können.

Was wird sich bei Kerberos ändern?

Um die Änderung einordnen zu können, lohnt sich ein Blick ins Jahr 2022: Damals hat Microsoft ein grundlegendes Standardverhalten definiert. Microsoft steuert die zulässigen Kerberos-Verschlüsselungsalgorithmen über zwei Registry-Einträge: Der eine steuert das domänenweite Standardverhalten (DefaultDomainSupportedEncTypes) und der andere (msds-SupportedEncryptionTypes) steuert das Verhalten dezidiert für Computer und Serverdienste. Mit den Updates aus 2022 und 2026 ändert sich jeweils der implizite Standardwert von DefaultDomainSupportedEncTypes. Wenn man einen anderen Wert möchte, muss man ihn explizit setzen. Der KDC orientiert sich immer dann an DefaultDomainSupportedEncTypes, wenn msds-SupportedEncryptionTypes entweder nicht gesetzt oder 0 entspricht. Beide Werte bestimmen den genutzten Verschlüsselungsalgorithmus für die Kerberos Anmeldung. Das Key Distribution Center ist die Steuerzentrale für das Active Directory und übernimmt die Rolle eines Türstehers, der den Einlass kontrolliert.

Vereinfacht gesagt: vor 2022 akzeptierte der KDC entweder RC4 oder AES – je nachdem, was angefragt wurde. Seit 2022 gilt implizit ein Default von 0x27. Ab 2026 wird der Standardwert auf 0x18 gesetzt.

Supported encryption type

Wird der Standard auf 0x18 gesetzt, können ältere Systeme oder alte Konfiguration scheitern, wenn Sie auf RC4 angewiesen sind. Der KDC erlaubt nur Algorithmen, die effektiv erlaubt sind.

Supported Windows versions

Die automatische Umsetzung wird über den im Januar 2026 eingeführten Wert RC4DefaultDisablementPhase gesteuert. Je nachdem, wie dieser eingestellt ist, werden RC4 Versuche zugelassen, blockiert oder protokolliert.
Bei aktiviertem RC4DefaultDisablementPhase wird AES zum Standard und setzt damit DefaultDomainSupportedEncTypes implizit auf den Wert 0x18. Bei einem aktivierten Audit Wert werden Meldungen generiert, die die fehlende Unterstützung kenntlich machen.
Eine vorzeitige Überprüfung Ihrer Umgebung ist daher dringendst zu empfehlen. Nach Abschluss der Umstellung wird RC4 für Kerberos in einer Active Directory Umgebung deaktiviert und daher erstmal nicht mehr nutzbar sein.

Microsoft unterteilt die Umstellung in drei Phasen:

Visualisierung der drei Update Phasen für Kerberos Änderung

Phase 1 (Audit Phase)

Die erste Phase ist die Audit Phase. In dieser Phase werden zusätzliche Telemetriedaten und Events eingeführt, um Probleme zu identifizieren, bevor die Durchsetzung greift. Ziel ist es, die RC4-Abhängigkeiten sichtbar zu machen und erforderliche Anpassungen rechtzeitig umzusetzen. Optional kann die Deaktivierung von RC4 bereits in dieser Phase manuell vorgezogen werden. Eine vorzeitige Deaktivierung sollte dennoch unbedingt vorab geprüft werden, da sie ansonsten zu Authentifizierungsabbrüchen und damit zu Dienstunterbrechungen führen kann. Für die Auswertung der Events bietet sich eine zentrale Stelle zur Protokollanalyse an (bspw. über Windows Eventlog Forwarding oder SIEM). Die Event ID’s 201-209, 4768-4769 sind zu prüfen.

Phase 2 (Enforcement with manual rollback)

In der zweiten Phase wird der Standard von RC4 auf AES automatisch gesetzt. Diese Umstellung kann noch rückgängig gemacht werden. Diese Phase ist die letzte Phase, in der Administratoren noch die Flexibilität haben, RC4DefaultDisablementPhase zurückzudrehen. Bevor es zur dritten Phase geht, sollte sichergestellt werden, dass kein Gerät mehr auf RC4 angewiesen ist, da ansonsten die Authentifizierung fehlschlägt.

Phase 3 (Enforcement)

Die dritte Phase ist die letzte Phase. In dieser Phase gibt es kein einfaches Entrinnen mehr. Die Durchsetzung greift ein und deaktiviert RC4. Eine Reaktivierung über RC4DefaultDisablementPhase ist dann nicht mehr möglich. Wenn Sie diese Phase überstanden haben und Ihre Serverdienste weiterhin laufen, haben Sie gute Arbeit geleistet.

Hintergrund: Kerberos AES und RC4

Beides sind weitverbreitete Verschlüsselungsalgorithmen. RC4 war lange Bestandteil von vielen Softwares, da es im Vergleich zu AES effizienter und eine größere Abwärtskompatibilität gewährleistet.

Der Rivest Cipher 4 (RC4) Verschlüsselungsalgorithmus ist kryptografisch unsicher und kann durch sogenannte „Roasting Attacken“ wie dem Kerberoasting ausgenutzt werden. Hierbei fordert ein Angreifer ein Kerberos Ticket an und „brute forced“ offline das Passwort des Authentifizierungstickets. Gelingt es, das Passwort zu knacken, sind u.a. weitergehende Ticket-Manipulation wie dem Silver Ticket möglich, um sich Zugriff auf Dienste zu verschaffen.

Muss ich bei Kerberos handeln?

Sie müssen handeln, wenn Sie eine Active Directory oder Hybrid-Umgebung nutzen. Sobald sich ein Legacy Gerät im Netzwerk befindet und das Update eingespielt wird, schlägt die Kerberos Authentifizierung fehl und es kommt zu einem Fallback zu NTLM. Bei NTLM gibt es ganz andere Angriffsvektoren, die zu beheben sind. Wenn Sie NTLM bereits erfolgreich unterbunden haben, schlägt die Anmeldung grundlegend fehl. Ggf. müssen Sie regulatorische Anforderungen (wie NIS2, DORA, ISO/IEC 27001 etc.) nachkommen und wollen daher beim Audit glänzen. Das können Sie nur, wenn Sie RC4 deaktivieren und AES die Bühne geben.

Was sollte ich jetzt machen?

Um obiges kurz und knapp zusammenzufassen, hier eine Handlungsempfehlung zu der bevorstehenden technischen Umstellung seitens Microsofts. Es ist wichtig, dass Sie sich unbedingt vorab ein Bild Ihrer Umgebung machen. Die Umstellung findet automatisch statt und kann im schlimmsten Fall den Zugriff auf Serverdienste einschränken.

1. Prüfen, ob Domain Function Level auf mind. Windows Server 2008 ist. Wenn drunter → unbedingt handeln.
2. Prüfen, ob Legacy Systeme benutzt werden. Unter Legacy Systemen zählen Windows Server 2003 / Windows XP und älter → unbedingt handeln.
3. Prüfen, ob Service Accounts (normale User & gMSA) genutzt werden → normale User durch gMSA ersetzen. RC4 bei gMSA ausschalten.
4. Jeder Domain Controller ist auf dem gleichen Windows Update Stand von Januar 2026.
5. Auf den Domain Controller sind die Events ID 201-209 im SYSTEM LOG zu prüfen.

Bei Fragen oder Anregen zum Thema Active Directory oder Kerberos Authentfizierung stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

Mobile Endgeräte sind fester Bestandteil im Arbeitsalltag zahlreicher Unternehmen geworden. Smartphones, Tablets und Laptops ermöglichen flexibles Arbeiten – ob im Büro, im Homeoffice oder unterwegs. Je mehr Geräte allerdings im Umlauf sind, desto komplexer wird ihre Verwaltung. Mobile Device Management bietet Unternehmen die technische Grundlage, um alle Geräte zentral zu steuern, abzusichern und zu überwachen. Die rein technische Umsetzung reicht jedoch noch nicht aus. Auch alle Mitarbeitenden müssen wissen, wie sie mit ihren Geräten umgehen sollen und welche Richtlinien warum gelten. Deshalb lohnen sich MDM-Schulungen für alle Mitarbeitenden im Zuge der Einführung des Mobile Device Managements. Warum diese Schulungen wichtig sind, welche Inhalte sie vermitteln sollten und welche Formate sich eignen, erklären wir in diesem Artikel.

Warum MDM-Schulungen wichtig für Unternehmen sind

Zahlreiche Sicherheitsvorfälle entstehen durch menschliche Fehler, weniger durch technische Schwachstellen. Mitarbeitende, die nicht wissen, welche Apps sie auf ihrem Dienstgerät installieren dürfen oder wie sie mit Unternehmensdaten auf privaten Geräten umgehen sollen, machen eines der größten Risiken für die IT im Unternehmen aus. Mit MDM-Lösungen können entsprechende Sicherheitsrichtlinien umgesetzt werden, erfordern allerdings Verständnis und Akzeptanz der User, das durch Schulungen entsteht. Andernfalls entstehen verschiedene Risiken:

• Mitarbeitende umgehen bewusst oder unbewusst Sicherheitsrichtlinien, etwa indem sie Gerätesperren deaktivieren.
• Nicht freigegebene Apps werden installiert, die Risiken für Malware bieten.
• Sie wissen nicht, wie sie sich bei Verlust oder Diebstahl eines Geräts verhalten sollten.
• Der Umgang mit BYOD-Geräten und der Trennung privater und beruflicher Daten ist unklar.

An dieser Stelle sind auch Anforderungen der DSGVO und der NIS2-Richtlinie relevant. Beide fordern, dass Unternehmen neben technischen Maßnahmen für die IT-Sicherheit auch organisatorische Maßnahmen etablieren. Dazu zählen auch Mitarbeiterschulungen, die das Team über richtige Verhaltensweisen und Schutzmaßnahmen aufklären.

Diese Inhalte können Teil einer effektiven MDM-Schulung sein

Eine gute MDM-Schulung geht einerseits auf technisches Grundwissen ein und schafft andererseits ein Verständnis für den Sinn hinter verwalteten Geräten und Sicherheitsmaßnahmen. Verstehen alle Teams, warum Regeln gelten, steigt die Akzeptanz und Mitarbeitende halten sich daran. Wichtig ist dabei auch: Passen Sie die Inhalte auf die jeweilige Zielgruppe an. Für IT-Administratoren sind andere Grundlagen und Themen wichtig als für Mitarbeitende im Vertrieb oder Kundenservice.

Für alle Mitarbeitenden eignen sich diese Inhalte:

• Was ist MDM und welche Geräte sind im Unternehmen davon betroffen?
• Welche Unternehmensrichtlinien gelten für mobile Endgeräte?
• Wie funktioniert die Einbindung eines Geräts in das MDM-System?
• Was ist im Fall eines Geräteverlusts zu tun und was bedeutet ein Remote Wipe?
• Wie werden private und berufliche Daten auf BYOD-Geräten sauber getrennt?

Für IT-Verantwortliche und Administratoren kommen weitere Themen hinzu, etwa die Konfiguration von Geräteprofilen, das Management von App-Berechtigungen oder die Auswertung von Compliance-Reports. Durch eine klare Unterscheidung dieser Zielgruppen stellen Sie sicher, dass die Schulungen effizient sind und die Informationen wirklich relevant sind.

Wie können Unternehmen MDM-Schulungen erfolgreich umsetzen?

Natürlich ist es wichtig, was Teams im Zuge der MDM-Schulungen lernen. Zentrale Frage ist aber auch, wie sie die nötigen Infos vermittelt bekommen. Dafür können Unternehmen verschiedene Wege wählen:

• Ein Präsenztraining eignet sich optimal für komplexere Themen und den direkten Austausch, vor allem bei der Implementierung von MDM im Unternehmen.
• E-Learning-Module sind flexibel und lassen sich gut dokumentieren, eignen sich also besonders gut für verteilte Teams, die hauptsächlich remote arbeiten.
• Micro-Learning umfasst kurze Einheiten von wenigen Minuten zu einem konkreten Thema und kann gut für regelmäßige Auffrischungen eingesetzt werden.
• Im Onboarding neuer Mitarbeitender können direkt die nötigen MDM-Grundlagen eingebunden werden, damit sie Geräte von Anfang an richtig nutzen können.

Den Erfolg der MDM-Schulungen können Sie beispielsweise durch kleine Wissenstests nach einzelnen Einheiten überprüfen. Holen Sie sich außerdem Feedback ein, ob an den Schulungen etwas verbessert werden kann, um für zukünftige Einheiten zu lernen.

Wichtig ist auch: MDM-Lösungen entwickeln sich ständig weiter. Deshalb reicht eine einmalige Schulung meist nicht aus. Neue Gerätetypen, aktualisierte Unternehmensrichtlinien oder neue gesetzliche Vorgaben erfordern regelmäßige Updates. Sinnvoll ist es daher, MDM-Schulungsinhalte jährlich aufzufrischen und zusätzliche Schulungen einzuplanen, wenn es größere Änderungen gibt.

Fazit: Schulungen machen MDM zum Erfolg

Oft werden MDM-Schulungen als notwendige Compliance-Maßnahme angesehen. Dabei sorgen sie dafür, dass alle Teams die Regeln und Vorgaben rund um die Geräteverwaltung verstehen und akzeptieren und reduzieren somit die Sicherheitsrisiken für die IT des gesamten Unternehmens. Je besser Mitarbeitende nämlich verstehen, warum Regeln gelten, desto weniger fühlen sie sich kontrolliert und desto eher halten sie sich an sie. Unternehmen schaffen so die Grundlage für sichere Remote-Arbeit.

Der klassische Weg, ein Legacy-Upgrade oder kurzweilige Koexistenz unterschiedlicher Exchange-Versionen, ist für größere Organisationen oder langsame Migrationsphasen oft der sinnvollste Weg. Sie nehmen einen neuen Exchange SE-Server in Ihre Organisation auf und migrieren Postfächer dorthin. Das ist Pflicht, wenn Sie noch auf Exchange 2016 sind, aber optional bei 2019.

Das In-Place-Upgrade ist die spannende Neuheit: Sie installieren Exchange SE einfach über Ihre bestehende 2019-CU15-Installation und machen daraus direkt einen SE-Server. Der Vorgang verhält sich wie eine normale CU-Installation. Weitere Einblicke gibt es hier.

Warum das In-Place Upgrade kaum Risiko birgt

Microsoft betitelt das In-Place Upgrade als „Low-Risk“. Früher waren neue Exchange-Versionen echte Monster-Updates.
Neue Anforderungen, Produktkeys und Features wurden eingearbeitet. Für die IT-Admins unter Ihnen hieß das: Side-by-Side-Migration, endlose Tests, Kompatibilitätschecks, Team-Schulungen, Skripte umbauen (oder Mut zur Lücke). Kein Wunder, dass viele früher lieber auf ein CU1 gewartet haben, bevor es produktiv ging.

Microsoft Exchange Server SE ist unter der Haube ein Exchange 2019. Der Code ist 1:1 der gleiche. Microsoft hat nur den Produktnamen und die EULA geändert. Keine neuen Features, keine geänderten Hardware-Anforderungen, keine neuen Keys oder Code-Überarbeitungen.

Das In-Place Upgrade klingt gut, passt aber nicht pauschal zu jeder Umgebung. Die meisten von Ihnen betreiben Exchange 2019 wahrscheinlich noch auf älteren Windows-Servern. In diesem Zusammenhang wäre ein In-Place Upgrade vermutlich die falsche Lösung. Hier wäre das Legacy-Upgrade am sinnvollsten, um dem neuen Exchange SE ein zukunftssicheres Zuhause zu bieten. Mit einem modernen Windows Server 2025 profitieren Sie von Security-Fixes, längerer Supportlaufzeit und Hotpatching.

Warum sollten Sie trotzdem auf SE migrieren?

Das „Sollen“ muss eher durch „Müssen“ ersetzt werden. Microsoft baut die Lizenzierung für die Zukunft um – und die Exchange-On-Premises-Welt leidet mit. Da der Support für Exchange 2019 im Oktober 2025 geendet ist, müssen Sie auf SE upgraden.

Aber die neue SE Version bietet auch interessante Features, wie bspw. ein fortlaufendes Update-Modell, das stärker an Windows Server und Azure Stack angelehnt ist. Statt großer, seltener CUs wird es künftig kleinere, kontinuierliche Updates geben, die weniger Risiko erzeugen und Ihre Wartungsfenster verkürzen. Ihre Organisation profitiert dadurch von einer stabileren Plattform, planbareren Updatezyklen und schneller verfügbaren Security-Fixes.

Microsoft Exchange Extended Security Updates

Microsoft Exchange SE gibt es nun seit einigen Monaten auf dem Markt, Exchange 2016 und 2019 haben seit dem 14. Oktober 2025 ihr Support-Ende erreicht. Microsofts Goodie, die Extended Security Updates (ESU), wurden ins Leben gerufen, um gegen Einwurf von Münzen weiterhin kritische Sicherheitsupdates (SUs) und generellen Support zu gewährleisten.​

Doch alles hat ein Ende – der Extended Support läuft am 14. April 2026 aus. Dann sind Exchange Server 2016 und 2019 offiziell „tot“ und werden nicht weiter von Microsoft berücksichtigt. Es ist also Zeit zum Handeln, falls Sie noch alte Exchange Server in Ihrer Organisation betreiben.

Migrationspfade

Microsoft passt das Koexistenz-Verhalten der Exchange Server an. Früher konnte man noch ältere, sogar nicht mehr unterstützte Versionen neben neueren Versionen koexistieren lassen. Diese Flexibilität endet nun in zwei Schlüsselpunkten.

Die Installation von Exchange Server 2019 CU15 oder Exchange Server SE RTM verweigert die Koexistenz mit Exchange Server 2013. Ein Zwischenschritt auf 2019 Cu14 im klassischen Legacy Upgrade Pfad ist von Nöten. Anschließend muss nach der Postfachmigration der alte 2013 Server entfernt werden, bevor mittels In-Place Upgrade auf Exchange SE RTM aktualisiert werden darf.

Migrationspfad EX 2013

Möchten Sie von einem Exchange Server 2016 CU23 zum Exchange SE RTM migrieren, ist der Zwischenschritt auf 2019 CU15 relevant. Anschließend ist eine langsame Migrationsphase inklusive Koexistenz mit einem neu hinzugefügten Exchange Server SE RTM möglich. Die Option direkt vom Exchange 2019 CU15 via In-Place Upgrade zum Exchange SE ist ebenfalls möglich.

Sollte später bereits das CU1 für Exchange SE vorhanden sein, ist eine Koexistenz mit Exchange 2019 Cu15 technisch noch machbar, aber offiziell nicht supported. Wenn gegen Ende 2026 Exchange SE CU2 veröffentlich wird, ist erneut keine Koexistenz mit Exchange 2019 CU15 möglich. Hier müssen Sie vor dem CU2 Update den letzten Exchange 2019 CU15 aus der Organisation entfernen.

Migrationspfad EX 2016

Einfacher sieht es für den Schritt vom Exchange Server 2019 CU15 zum Exchange Server SE RTM aus. Die Optionen zum In-Place Upgrade oder Koexistenz mit einem neu hinzugefügten Exchange Server SE RTM sind möglich. Ebenfalls unterstützen die in Zukunft erscheinenden Exchange SE CU1 und CU2 Versionen keine weiteren Koexistenz-Szenarien mit Exchange 2019 Cu15.

Migrationspfad EX 2019

„Wir müssen in die Cloud, und zwar sofort.“ Dieser Satz fällt mittlerweile in vielen Unternehmen. Darauf folgt jedoch häufig Verunsicherung. Was geschieht mit den bestehenden Systemen? Wie gehen wir mit sensiblen Daten um? Muss wirklich alles in die Cloud? Ein radikaler Umzug ist meist weder nötig noch wirklich ratsam. Beim Weg in die Cloud geht es vielmehr um eine strukturierte Transformation statt um die rein technische Umsetzung. Umso wichtiger ist es also, diesen Weg detailliert zu planen und Schritt für Schritt zu gehen. Welche Möglichkeiten es für einen schrittweisen Einstieg in die Cloud gibt, welche Workloads in die Cloud gehören und welche auch On Premises bleiben können, zeigen wir in diesem Artikel.

Hybride Lösungen als Brücke zum Einstieg in die Cloud

Ist die Entscheidung für die Cloud gefallen, stehen Unternehmen vor der Frage, ob die bestehende IT-Infrastruktur komplett in die Cloud verlagert werden soll oder ob On-Premises Systeme bestehen bleiben können. Hybride Lösungen sind hier oft ein sinnvoller Weg, um erste Schritte zu gehen, ohne komplizierte Neuentwicklungen anstoßen zu müssen. Bei dieser Variante arbeiten lokale Server und Cloud-Dienste parallel und ergänzen sich gegenseitig.

In der IT-Infrastruktur bedeutet das konkret: Kritische Anwendungen und Daten bleiben On Premises unter direkter Kontrolle. Gleichzeitig werden flexible Cloud-Ressourcen dort eingesetzt, wo sie das Unternehmen wirklich voranbringen, etwa bei der Skalierung von Rechenleistung in Spitzenlastzeiten oder bei der unkomplizierten und ortsunabhängigen Zusammenarbeit im Team. Übliche Bedenken rund um Datensicherheit und Kontrollverlust können so gezielt thematisiert werden, weil die Hoheit über sensible Systeme lokal erhalten bleibt.

Welche Workloads eignen sich für den Einstieg in die Cloud?

Nicht jede Anwendung ist gleichermaßen sinnvoll für den Betrieb in der Cloud. Wichtig ist deshalb, zuerst zu bewerten, ob die Auslagerung in die Cloud sinnvoll ist. Es geht weniger darum, ob ein Umzug in die Cloud grundsätzlich möglich ist – technisch lassen sich die meisten Workloads abbilden, sinnvoll ist das aber nicht immer. Grundsätzlich sind gerade für den Einstieg verschiedene Workloads gut für die Cloud geeignet:

• Kollaborationstools wie E-Mail, Videocalls und gemeinsame Dokumentenbearbeitung – sie sind oft cloudnativ und funktionieren dort am besten
• Anwendungen mit stark schwankendem Ressourcenbedarf, die je nach Auslastung skalieren müssen
• Entwicklungs- und Testumgebungen, die schnell auf- und wieder abgebaut werden sollen
• Backup- und Archivierungslösungen, bei denen Verfügbarkeit und Skalierbarkeit besonders wichtig sind

Auf der anderen Seite gibt es einige Bereiche, in denen ein lokaler Betrieb nach wie vor die bessere Wahl sein kann. Dazu zählen vor allem Anwendungen mit hohen Compliance-Anforderungen, etwa in der Medizin, im Finanzwesen oder in Behörden. Hier gelten strenge gesetzliche Vorgaben für Datenhaltung und -zugriff. Auch Systeme mit extrem niedrigen Latenzanforderungen wie zum Beispiel Steuerungssoftware in der Produktion  sind häufig besser On Premises aufgehoben. Gleiches gilt für sehr große Datenmengen, bei denen die Übertragungskosten und -zeiten in die Cloud wirtschaftlich keinen Sinn ergeben.

Wichtig ist, dass es keine universelle Antwort gibt. Welcher Weg für ein Unternehmen passend ist, hängt von der Branche, der bestehenden Infrastruktur und den regulatorischen Rahmenbedingungen ab. Eine fundierte Bestandsaufnahme ist deshalb der erste sinnvolle Schritt.

Erste Schritte in die Cloud ohne Risiko mit Backup & Disaster Recovery

Haben Unternehmen noch keine Erfahrungen mit der Cloud, lohnt sich ein Einstieg mit möglichst geringem Risiko, aber dennoch hohem Nutzen – ein Quick Win. Gut geeignet dafür ist Backup und Disaster Recovery. Die Logik dahinter ist einfach: Backups sind ohnehin grundsätzlich von den produktiven Systemen getrennt, sodass ein ideales Testfeld für die Cloud entsteht, ohne dass kritische Abläufe davon betroffen sind. Gleichzeitig löst der Umstieg auf Cloud-Backups ein häufiges Problem: Lokale Backups sind anfällig für dieselben physischen Risiken wie die Primärsysteme, etwa Feuer, Wasserschäden oder Hardwareausfälle. Ein Cloud-Backup liegt geografisch getrennt und ist im Ernstfall unabhängig verfügbar. Für Unternehmen entstehen also mehrere Vorteile:

• Schnelle Implementierung ohne Eingriff in laufende Systeme
• Skalierbare Speicherkapazität: Unternehmen zahlen nur, was sie tatsächlich nutzen
• Kürzere Wiederherstellungszeiten im Ernstfall durch automatisierte Disaster-Recovery-Prozesse
• Erste praktische Erfahrungen mit Cloud-Anbietern, SLAs und Verwaltungstools ohne großes Risiko

Grundsätzlich gilt der Umstieg auf Cloud-Backups als guter Einstieg in die Cloud, der das Vertrauen in die Technologie im Unternehmen stärkt. So kann die Basis für weitere Migrationsprojekte entstehen, die auf Zustimmung im Unternehmen trifft.

Fazit: Einstieg in die Cloud mit Quick Wins, die Sicherheit geben

Die Cloud bietet Unternehmen große Chancen – der Einstieg sollte aber unbedingt durchdacht sein. Ein schrittweiser Einstieg sorgt für mehr Klarheit und Sicherheit, vermeidet Risiken und ist weitsichtig. Durch hybride Modelle schaffen Unternehmen Flexibilität, ohne aber bewährte Strukturen zu opfern. Wichtig ist eine klare Unterscheidung zwischen Workloads, die in die Cloud gehören und solchen, die weiterhin On Premises betrieben werden können. So vermeiden Unternehmen unnötige Kosten und Komplexität und profitieren gleichzeitig von Cloud-Vorteilen.

Mobile Geräte sind aus dem Arbeitsalltag nicht mehr wegzudenken. Gleichzeitig wachsen allerdings die Anforderungen an Sicherheit, Compliance und den Schutz persönlicher Daten. Deshalb treffen Mobile Device Management (MDM) und Datenschutz aufeinander. Unternehmen müssen geschäftliche Informationen zuverlässig absichern, dürfen dabei aber nicht in die Privatsphäre ihrer Mitarbeitenden eingreifen. Besonders bei BYOD und hybriden Arbeitsmodellen entstehen so schnell Unsicherheiten und Vorbehalte. Ein durchdachtes Mobile Device Management hilft dabei, diese Herausforderungen zu meistern, indem Datenschutz von Anfang an berücksichtigt wird. Wir zeigen in diesem Artikel, wo die größten Bedenken liegen und wie Unternehmen geschäftliche und private Daten sinnvoll trennen.

Welche Bedenken gibt es rund um MDM und den Datenschutz?

MDM und Datenschutz werden häufig als Gegensätze wahrgenommen. Auf der einen Seite steht die berechtigte Notwendigkeit, sensible Unternehmensdaten zu schützen. Auf der anderen Seite stehen wiederum Mitarbeitende, die Sorge haben, durch MDM-Lösungen überwacht oder in ihrer Privatsphäre eingeschränkt zu werden. Diese Sorge ist einer der Hauptgründe, aus denen MDM-Projekte intern immer wieder auf Widerstand stoßen.

Datenschutzbedenken im Team entstehen vor allem dann, wenn nicht klar ist, welche Daten tatsächlich erfasst werden und wo genau die Grenzen der Verwaltung liegen. Besonders kritisch sehen viele Mitarbeitende:

• die mögliche Einsicht in private E-Mails, Fotos oder Nachrichten
• die Ortung von Geräten außerhalb der Arbeitszeit
• pauschale Fernlöschungen, bei denen auch private Inhalte verloren gehen
• unklare Zuständigkeiten und fehlende Transparenz

Die DSGVO als wichtiger rechtlicher Rahmen

Die DSGVO gibt hier eine klare Richtung vor. Unternehmen dürfen Daten nur nutzen und verarbeiten, solange sie einem konkreten Zweck dienen, die Nutzung verhältnismäßig ist und transparent kommuniziert wird. Für MDM bedeutet das: versteckten Funktionen, unnötige Datenerhebung und pauschale Eingriffe in private Bereiche sind durch die DSGVO untersagt. Unternehmen haben selbst die Verantwortung, nachzuweisen, dass MDM und Datenschutz sowohl technisch als auch organisatorisch miteinander vereinbar sind. Maßnahmen können dafür verschiedene zum Einsatz kommen.

Organisatorische Maßnahmen für Datenschutz im MDM: Vertrauen durch klare Regeln

Um Mobile Device Management und Datenschutz sinnvoll umzusetzen, braucht es mehr als die richtige technische Lösung. Klare organisatorische Rahmenbedingungen sind mindestens genauso wichtig, da sie die Grundlage dafür bilden, dass MDM-Lösungen akzeptiert und korrekt eingesetzt werden. Dabei braucht es vor allem verbindliche Richtlinien für die Nutzung, die verschiedene Aspekte regeln:

• ob und in welchem Umfang private Nutzung der Geräte erlaubt ist
• welche Daten durch das Unternehmen verwaltet werden
• welche Maßnahmen bei Verlust oder Diebstahl gelten
• welche Rechte und Pflichten beide Seiten haben

Wichtig ist, dass diese Regeln klar an alle Mitarbeitenden kommuniziert werden. So ist für alle Seiten von Beginn an klar, was MDM darf und was ausdrücklich untersagt ist, sodass die Vorbehalte deutlich geringer ausfallen.

Transparenz ist wichtig für Vertrauen
Der Einsatz einer MDM-Lösung im Unternehmen steht und fällt mit der Offenheit des Unternehmens. Sie müssen nachvollziehbar erklären, welche Funktionen zum Einsatz kommen und was definitiv nicht passiert. Aussagen wie „Wir sehen keine privaten Inhalte“ oder „Standortdaten werden nicht dauerhaft gespeichert“ sorgen für Sicherheit im Team.

Einbindung relevanter Stellen
Außerdem sinnvoll ist es, Datenschutzbeauftragte frühzeitig einzubinden, um Risiken zu bewerten und Maßnahmen transparent zu dokumentieren. In mitbestimmungspflichtigen Umfeldern ist auch die Einbindung des Betriebsrats nötig. Um nach der Einführung Unsicherheiten abzubauen, eignen sich Schulungen und kurze Leitfäden, an denen Mitarbeitende sich orientieren können.

Technische Umsetzung von MDM mit sauberer Datentrennung

Neben organisatorischen Aspekten geht es außerdem um die technische Umsetzung der klaren Trennung geschäftlicher und privater Daten. Dafür bieten MDM-Lösungen verschiedene Wege in der Umsetzung.

• Geschützte Bereiche: Ein grundlegendes Prinzip ist die logische Trennung von Daten. Geschäftliche Apps und Informationen werden in einem geschützten Bereich verwaltet, sodass private Inhalte unberührt bleiben. So kann die IT Unternehmensdaten absichern, ohne das gesamte Gerät zu kontrollieren, beispielsweise können private Apps so nicht auf die geschäftlichen Daten zugreifen, berufliche Apps aber auch nicht auf die privaten Daten.

• Selektive Maßnahmen: Statt ein Gerät komplett zurückzusetzen, können bei Bedarf gezielt nur geschäftliche Daten entfernt werden. Das ist besonders relevant bei Gerätewechseln oder nach Ausstieg von Mitarbeitenden aus dem Unternehmen. Private Inhalte bleiben erhalten, geschäftliche Daten können restlos gelöscht werden.

• Restriktive Einsicht: Datenschutzfreundliche MDM-Konzepte setzen auf Einschränkung der Einsichtsmöglichkeiten. Administratoren verwalten Einstellungen und Anwendungen, erhalten aber keinen Zugriff auf persönliche Inhalte. Zugriffe werden dokumentiert und auf das notwendige Minimum begrenzt.

Diese Form der Trennung reduziert datenschutzrechtliche Risiken und vereinfacht zeitgleich den Betrieb. Klare Trennung und Regelungen sorgen für Transparenz und Sicherheit für Admins und Mitarbeitende und machen Mobile Device Management so zu einem stabilen Fundament für mobiles Arbeiten.

Fazit: Vertrauen und Transparenz als Grundlage mit datenschutzkonformem MDM

Mobile Device Management und Datenschutz schließen sich keinesfalls aus. Vielmehr ergänzen die beiden Themen sich und sorgen für Transparenz und Sicherheit für Mitarbeitende und Unternehmen. Wer Datenschutz frühzeitig berücksichtigt, schafft Rechtssicherheit, Akzeptanz und nachhaltige Strukturen. Wichtig dabei ist vor allem die Kombination aus klaren Regeln, transparenter Kommunikation und einer technischen Umsetzung, die private Daten respektiert und geschäftliche schützt. Unternehmen profitieren von besser geschützten Informationen, während Mitarbeitende die Kontrolle über ihre persönlichen Inhalte behalten. So kann MDM als sinnvolles Werkzeug für einen sicheren und modernen Arbeitsalltag in das Unternehmen integriert werden, das Vertrauen schafft und langfristig tragfähig bleibt.