Selbstgehostetes Mobile Device Management

Souveränität über jedes Gerät, das Sie ausgeben.

ShadowZ MDM verwaltet Ihre Android Flotte auf Ihrem Server, unter Ihrem Domainnamen, ohne dass ein Anbieter dazwischen mitliest. Inklusive aktiver Härtung gegen IMSI Catcher, UWB und NFC Tracking.

Einmal zahlen. Selbst betreiben. Keine laufenden Gebühren.

panel.ihre-domain.com
42 Geräte
Pixel 8 — Forschung
active
Pixel 7a — Außendienst
active
Pixel 8 — Kanzlei
locked
Pixel 7 — Reserve
active

Das Problem

Wer Ihr MDM kontrolliert, kontrolliert Ihre Flotte.

Cloud MDMs lesen mit

Hexnode, Scalefusion, Intune, JumpCloud. Sie alle laufen in der Anbieter Cloud. Jede Konfiguration, jeder Befehl, jedes Standortprotokoll läuft über deren Server. Sie vertrauen einem zweiten Anbieter den Zugriff auf Ihre Geräte an.

Abomodell mit Lock-in

50 bis 80 Euro pro Gerät und Jahr. Bei 30 Geräten über 5 Jahre werden daraus schnell 10.000 Euro für Verwaltungssoftware. Eine Kündigung bedeutet Migration unter Zeitdruck und das erneute Enrollment jedes Geräts.

Tracking eingebaut

Standardlösungen blockieren weder den 2G Downgrade (IMSI Catcher), noch UWB Tracking, noch passives NFC Auslesen. Wer GrapheneOS wählt, um Tracking zu vermeiden, bekommt durch Cloud MDMs Überwachung durch die Hintertür.

Die Lösung

Drei Eigenschaften, die Ihnen kein Cloud MDM bieten kann.

01

Datenhoheit

Der Server läuft auf Ihrer Hardware, unter Ihrem Domainnamen, mit Ihrem TLS Zertifikat. Postgres, Redis, der MDM Kern. Drei Docker Container. Niemand außer Ihnen hat Zugriff auf die Datenbank mit den Konfigurationen, den enrollten Geräten, den Audit Logs.

02

Härtung gegen Überwachung

Pro Konfiguration aktivierbar: 2G Sperre gegen IMSI Catcher, UWB und NFC Funk vollständig aus, Thread Mesh blockiert, Bluetooth Kontaktfreigabe aus, Standortdienst hart aus. Dazu Härtung des Sperrbildschirms, automatisches Wipe nach Fehlversuchen, Sperre der App Installation.

03

Lifetime Lizenz

Einmal kaufen. Updates inklusive. Keine Gerätegrenzen in der Lifetime Stufe. Sollte der Lizenzserver morgen abgeschaltet werden, läuft Ihr MDM weiter, denn der Token wird offline validiert. Kein Kill Switch.

Funktionen

Vier Themenbereiche, kein Marketinggeschwätz.

Jeder Eintrag entspricht einer konkreten Funktion im Produkt. Wenn Ihnen etwas fehlt, fragen Sie uns vor dem Kauf.

01

Anti-Tracking

  • 2G Mobilfunk blockieren (IMSI Catcher Schutz, Android 14+)
  • UWB Funk deaktivieren (Tracking im FindMy Stil, Android 14+)
  • NFC Funk aus (passives Tag Tracking, Android 14+)
  • Thread Mesh Netzwerk blockieren (Android 15+)
  • Bluetooth Kontaktfreigabe aus
  • Standortdienst systemweit deaktivieren
  • Umschalten des Flugmodus blockieren (forensisch relevant)
02

Kontrolle

  • Kioskmodus: nur eine App sichtbar
  • App Whitelist: Erforderlich plus Erlaubt pro Konfiguration
  • Konfigurationsprofile, einer Gruppe oder einem Gerät zugewiesen
  • Remote Lock, Reboot, Wipe (mit Bestätigung)
  • Passwortrichtlinie in fünf Stufen, von PIN bis 12+ alphanumerisch
  • Passwortänderung beim nächsten Entsperren erzwingen
  • Hintergrundbilder zentral verwalten
03

Observability

  • Live Heartbeat alle 30 Sekunden, online oder offline im Panel
  • Crash Reports automatisch hochgeladen, Stack Trace plus Logcat Tail
  • Log Snapshots auf Anfrage, 2 bis 5 Sekunden Umlaufzeit
  • Audit Log aller Admin Aktionen, BEFORE Trigger gegen Manipulation
  • Netzwerk und Sicherheitsprotokollierung optional aktivierbar
  • Supportnachricht auf dem Sperrbildschirm: Eigentümerhinweis auf jedem Gerät
04

Sicherheit

  • mTLS zwischen Agent und Server, Ihre eigene interne CA
  • Postgres Row Level Security, fail closed bei vergessenem Mandantenfilter
  • TOTP 2FA für den Admin Login mit Recovery Codes
  • CSRF Schutz, HSTS, Content Security Policy
  • AES-256-GCM verschlüsselte Backups via gpg, 600k PBKDF2 Iterationen
  • CA Schlüssel auf der Festplatte mit einer Passphrase verschlüsselt
  • Verschlüsselung der Lizenz JWT im Ruhezustand

In Vorbereitung

Das ShadowZ Phone.

Ein vorkonfiguriertes Pixel 9a auf Basis von GrapheneOS, ausgeliefert mit aktivem DeviceOwner Status und dem bereits enrollten ShadowZ MDM Agenten. Auspacken, den Lizenz QR Code scannen, fertig.

  • GrapheneOS gehärtet, Verified Boot aktiv, Bootloader gesperrt
  • Funktioniert ausschließlich mit ShadowZ MDM. Keine Kompatibilität mit Cloud MDMs.
  • Anti-Tracking Richtlinie ab Werk: 2G blockiert, UWB und NFC aus, Sensorschalter vorkonfiguriert
  • Pixel 9a Hardware mit Titan M2 Sicherheitschip
Hinweis: Das ShadowZ Phone setzt eine aktive ShadowZ MDM Instanz voraus. Beide Produkte werden separat erworben. Der Lifetime Plan des MDM enthält keine Telefonhardware.
ShadowZ Phone: Einrichtungsassistent auf Basis von GrapheneOS, erster Schritt mit ShadowZ Branding
MDM Agent
enrollt ✓

Preise

Eine Lizenz für Ihre gesamte Flotte.

Alle Preise inklusive Mehrwertsteuer. Zahlung per Banküberweisung oder Bitcoin. Aktivierung in der Regel innerhalb von 24 Stunden.

Monatlich

€199 pro Monat

Für Evaluierungen und kürzere Einsätze.

  • Bis zu 50 Geräte
  • Alle Funktionen
  • E-Mail Support
  • Jederzeit kündbar
Monatlich starten

Jährlich

€999 pro Jahr

Für etablierte Installationen mit fester Geräteanzahl.

  • Bis zu 500 Geräte
  • Alle Funktionen
  • Priorisierter Support
  • 12 Monate Laufzeit
Jährlich kaufen
Empfohlen

Lifetime

€2.999 einmalig

Für Betriebe, die das MDM dauerhaft im eigenen Stack betreiben.

  • Unbegrenzte Geräte
  • Alle Funktionen, alle zukünftigen Updates
  • Direkter Supportkanal
  • Kein Abo, keine automatische Verlängerung, kein Kill Switch
Lifetime sichern

Für Enterprise Lizenzen mit mehr als 1000 Geräten oder On-Premise Setups mit Air Gap kontaktieren Sie uns direkt: sales@shadowz.live.

Technische Daten

Auf Ihrem Server, Ihr Stack, Ihre Regeln.

Server Stack
Docker Compose. Postgres 16, Redis 7, Go Binary, Caddy oder nginx als TLS Frontend.
Mindesthardware
4 GB RAM, 2 vCPU, 20 GB Disk. Ausreichend für mehrere hundert Geräte.
Domain plus TLS
Ihr eigener Hostname. Let's Encrypt über Caddy automatisch, oder Ihr eigenes Zertifikat.
Datenbank
Postgres mit Row Level Security. Verschlüsselte Backups über das integrierte Werkzeug (gpg, AES-256-GCM).
Auth
JWT mit Access und Refresh Token, TOTP 2FA für Admins, mTLS zwischen Agent und Server.
Update Modell
Docker Image Pull. Kein automatisches Update, Sie entscheiden wann.
OS Kompatibilität
Android 9 bis Android 16. Voller Funktionsumfang nur als DeviceOwner. GrapheneOS empfohlen.
Sprachen
Englisch, Deutsch, Französisch, Spanisch, Italienisch, Portugiesisch.
Lizenzmodell
Signiertes JWT von license.shadowz.live, offline validiert. Fällt der Lizenzserver aus, läuft Ihr MDM weiter.
Quellcode
Proprietär. Vollständige Architekturdokumentation auf Anfrage. Auditrecht für Lifetime Kunden.

Häufig gefragt

Wonach wir am meisten gefragt werden.

Auf welchen Servern läuft das MDM?
Auf Ihren. Sie installieren es mit einem Shell Skript auf einem VPS, einer dedizierten Maschine oder im eigenen Rechenzentrum. Wir empfehlen Hetzner, OVH, einen Strato Root Server oder eine Maschine im eigenen Rack. ARM und x86_64 werden unterstützt.
Ist das DSGVO konform?
Sie sind der Verantwortliche, Sie entscheiden, wo Ihre Server stehen und wie Sie sie absichern. Wir liefern das Werkzeug. Die Software speichert Audit Logs, Crash Reports und Konfigurationen ausschließlich auf Ihrem Server. Es werden keine Telemetriedaten an uns gesendet.
Wie verhält sich das zu HeadwindMDM?
HeadwindMDM ist eine ältere Open Source MDM Lösung. ShadowZ MDM ist ein kommerzielles Produkt mit Fokus auf aktuelle Funktionen gegen Überwachung (Wave 4 Beschränkungen wie 2G Sperre, UWB aus, NFC aus), einem modernen Tech Stack (Go, Next.js, Postgres mit RLS), sechs Sprachen und kommerziellem Support.
Was passiert, wenn Sie den Betrieb einstellen?
Der Lizenztoken wird offline validiert und ist 60 Tage pro Zyklus gültig. Ist der Lizenzserver länger nicht erreichbar, läuft das MDM in einem schreibgeschützten Modus weiter, neue Geräte können enrollt werden, bestehende laufen unverändert. Im Notfall veröffentlichen wir eine Anleitung zur Lizenzdeaktivierung, sodass Sie das Produkt ohne uns betreiben können.
Bekomme ich den Quellcode?
Standardlizenzen erhalten keinen Quellcode. Lifetime Kunden haben ein Auditrecht: nach Unterzeichnung eines Vertrags mit Vertraulichkeitsvereinbarung erhalten sie schreibgeschützten Zugriff auf das Repository für Sicherheitsaudits. Eine Open Source Veröffentlichung ist nicht geplant.
Skaliert das auf tausende Geräte?
Die Datenbank ist Postgres mit Row Level Security. Der Heartbeat erfolgt alle 30 Sekunden, der Server hält offene WebSocket Verbindungen für jedes Online Gerät. Auf einer Maschine mit 8 vCPU und 16 GB RAM haben wir bis zu 5000 Geräte getestet. Für größere Flotten kontaktieren Sie uns für eine Architekturbewertung.
Welche Android Versionen werden unterstützt?
Android 9 bis Android 16. Die Anti-Tracking Funktionen benötigen Android 14 (2G, UWB, NFC) oder Android 15 (Thread). Auf älteren Versionen sind diese Schalter deaktiviert, der Rest funktioniert. GrapheneOS wird besonders empfohlen, weil die Härtung dort mit dem MDM statt gegen es arbeitet.
Kann ich von einem anderen MDM migrieren?
Ja, aber es ist ein manueller Prozess. Jedes Gerät muss neu enrollt werden, denn der DeviceOwner Status ist nicht zwischen MDMs übertragbar. Wir unterstützen die Migration der Konfiguration über ein Skript für Hexnode, Scalefusion und HeadwindMDM. Bei größeren Flotten begleiten wir die Migration.

Noch eine Frage? Schreiben Sie an hello@shadowz.live .