Identität wurde lange als Eckpfeiler der Cybersicherheit betrachtet, doch ihre Fähigkeit, allein zu bestehen, nimmt ab. Da Angreifer zunehmend KI und ausgefeilte Phishing-Techniken einsetzen, erweist sich der traditionelle Ansatz der reinen Überprüfung der Mitarbeiteridentität als unzureichend. Der Aufstieg von SaaS, BYOD-Richtlinien und hybriden Arbeitsmodellen bedeutet, dass eine gültige Anmeldeinformation keine sichere Verbindung mehr automatisch gewährleistet. ## Der blinde Fleck nach der Authentifizierung Während Multi-Faktor-Authentifizierung (MFA) entwickelt wurde, um diese Lücke zu schließen, ermöglichen moderne Phishing-Kits Angreifern nun, Authentifizierungen in Echtzeit abzufangen und weiterzuleiten, wobei Sitzungstoken selbst nach erfolgreichem Abschluss der MFA gestohlen werden. Das Opfer durchläuft unwissentlich alle Sicherheitsprüfungen, während der Angreifer mit einem gültigen Sitzungs-Cookie Zugriff erhält. **NIST Special Publication 800-207**, die Grundlage für die Zero Trust-Architektur, hat diese Herausforderung vorhergesehen. Sie betont die Notwendigkeit, über implizites Vertrauen nach der anfänglichen Authentifizierung hinauszugehen und die Sicherheitshaltung des Geräts in Zugriffsentscheidungen einzubeziehen. In der Praxis behandeln viele Organisationen die Authentifizierung immer noch als einmaliges Ereignis. Die Identität wird überprüft, MFA wird bestanden und eine Sitzung beginnt, wobei das Vertrauen bis zum Ablauf des Tokens aufrechterhalten wird. Entscheidend ist, dass ein Sitzungstoken im Browser eines Angreifers identisch mit einem im Browser des Benutzers aussieht, was traditionelle Authentifizierungsprotokolle unfähig macht, zwischen ihnen zu unterscheiden. ## Wo Zero Trust versagt Viele Zero Trust-Implementierungen priorisieren die Identität und konzentrieren sich auf die Stärkung der Authentifizierung, die Durchsetzung von MFA, die Reduzierung der Abhängigkeit von Passwörtern und die Implementierung risikobasierter Anmelderichtlinien. Die Geräteverifizierung wird jedoch oft inkonsistent angewendet, stoppt häufig beim Login oder beschränkt sich auf browserbasierte Workflows innerhalb von Conditional Access-Frameworks. Legacy-Protokolle, Remote-Zugriffstools und API-Integrationen erben oft implizit Vertrauen, sobald die Identität hergestellt ist. Dies schafft ein fragmentiertes Sicherheitsmodell. Persönliche und fremde Geräte können lose kontrolliert oder gar nicht verwaltet werden. Sitzungsvertrauen besteht fort, auch wenn sich die Gerätehaltung während der Sitzung verschlechtert. Identitätssignale und Endpunktsignale befinden sich in separaten Tools mit begrenzter Integration. Die Identität wird beim Login stark geprüft, aber der Zugriff wird selten auf sinnvolle Weise neu bewertet. ## Das Gerät: Das fehlende Stück Ein gestohlenes Passwort, das von einem Angreifer-kontrollierten Laptop verwendet wird, sollte nicht gleich behandelt werden wie dasselbe Passwort, das von einem konformen, verschlüsselten Unternehmensendpunkt verwendet wird. Genau das passiert jedoch, wenn der Zugriff ausschließlich durch die Identität geregelt wird. Die Gerätehaltung liefert kritische Informationen, die die Identität allein nicht liefern kann. Ist das Gerät verschlüsselt? Ist der Endpunktschutz aktiv und aktuell? Ist das Betriebssystem gepatcht? Weicht die Konfiguration von der Richtlinie ab? Handelt es sich um zugelassene Hardware? Entscheidend ist, dass diese Antworten während der gesamten Sitzung aktuell bleiben müssen. Updates können verzögert werden, der Endpunktschutz kann deaktiviert werden und nicht autorisierte Software kann installiert werden. Die Bedingungen beim Login sind nicht unbedingt dieselben wie die Bedingungen später in der Sitzung. Eine kontinuierliche Geräteverifizierung reduziert den Wert gestohlener Anmeldeinformationen und abgefangener Token, indem der Zugriff nicht nur an die Identität, sondern auch an einen vertrauenswürdigen, gesunden Endpunkt gebunden wird. ## Vier Prinzipien für ein stärkeres Modell Ein robusterer Ansatz kombiniert Identität mit kontinuierlicher Geräteverifizierung. Dies schlägt sich in den folgenden Praktiken nieder: 1. **Kontinuierliche Verifizierung von Benutzer und Gerät:** Der Zugriff sollte von der Gerätegesundheit abhängen, nicht nur von der Identität. Echtzeit-Anpassungen der Vertrauensstufen sollten erfolgen, wenn der Endpunktschutz deaktiviert wird oder die Verschlüsselung während der Sitzung ausgeschaltet wird. Dies mildert effektiv die Risiken, die mit gestohlenen Anmeldeinformationen, Token-Wiederholung, MFA-Müdigkeit und Angreifer-kontrollierten Endpunkten verbunden sind. 2. **Bindung des Zugriffs an zugelassene Hardware:** Implementieren Sie gerätebasierte Kontrollen, um vertrauenswürdige Hardware zu registrieren und zwischen Unternehmens-, persönlichen und fremden Endpunkten zu unterscheiden. Gültige Anmeldeinformationen, die von einem nicht erkannten Gerät verwendet werden, sollten nicht einfach Zugriff gewähren, nur weil MFA erfolgreich war. 3. **Proportionale Durchsetzung:** Vermeiden Sie starre Kontrollen, die zu Umgehungen führen. Eine ausgereifte Haltungsstrategie kann bedingte Einschränkungen, reduzierte Berechtigungen oder zeitlich begrenzte Gnadenfristen anwenden, anstatt standardmäßig auf harte Sperren zurückzugreifen. Dieses Gleichgewicht ist entscheidend für hybride und Remote-Teams. 4. **Ermöglichung von Self-Service-Korrekturen:** Wenn das Vertrauen an die Gerätegesundheit gebunden ist, benötigen Benutzer eine Möglichkeit, dieses Vertrauen wiederherzustellen. Geführte Korrekturen für Verschlüsselung, Betriebssystem-Updates oder Endpunktschutz befähigen Mitarbeiter, Haltungsprobleme zu lösen, ohne dass eine IT-Intervention erforderlich ist oder unnötigerweise der Zugriff verloren geht. Lösungen wie **Specops Device Trust** operationalisieren dieses Modell, indem sie Vertrauensentscheidungen über die Identität hinaus erweitern und die Durchsetzung aufrechterhalten, wenn sich die Bedingungen ändern. Es authentifiziert kontinuierlich Benutzer und verifiziert ihre Geräte über Windows, macOS, Linux und mobile Plattformen hinweg, nicht nur beim Login.  Identität bleibt wichtig, aber sie kann nicht mehr allein das gesamte Gewicht von Zugriffsentscheidungen tragen.