Die Problematik ist tief in der technischen Realität moderner Arbeitsumgebungen verwurzelt. SaaS-Anwendungen, Bring-Your-Own-Device-Richtlinien und hybride Arbeitsmodelle haben die Sicherheitslandschaft fundamental verschoben. Ein einzelner authentifizierter Benutzer garantiert nicht mehr die Sicherheit einer Verbindung – insbesondere dann nicht, wenn Angreifer ausgefeilte Proxy-Technologien einsetzen, um sich zwischen Nutzer und Login-Portal zu platzieren.
Das National Institute of Standards and Technology (NIST) hat dieses Problem in seiner Special Publication 800-207 zur Zero-Trust-Architektur bereits vorausgesehen. Das Framework warnt explizit davor, auf „stillschweigende Vertrauenswürdigkeit” zu setzen, sobald eine Basisauthentifizierung erfolgreich war. Stattdessen fordert NIST, dass Zugriffsentscheidungen auch berücksichtigen müssen, ob das verwendete Gerät die notwendige Sicherheitsposition erfüllt.
In der Praxis jedoch behandeln die meisten Organisationen Authentifizierung nach wie vor als einmaliges Ereignis. Der Benutzer wird verifiziert, MFA wird bestanden, eine Session beginnt, und das Vertrauen bleibt bis zum Token-Ablauf bestehen. Das Problem: Ein Session-Token in einem Angreifer-Browser ist identisch mit einem Token im Browser des tatsächlichen Benutzers. Traditionelle Authentifizierungslogs können beide nicht unterscheiden.
Die Lösung liegt in einer hybriden Sicherheitsstrategie, die Identität mit kontinuierlicher Geräteverifikation kombiniert. Dies umfasst mehrere Aspekte: Ist das Gerät verschlüsselt? Ist der Endpunktschutz aktiv und funktionsfähig? Ist das Betriebssystem aktuell gepatcht? Hat die Konfiguration von der Richtlinie abgewichen? Ist dieses Gerät genehmigt?
Entscheidend ist, dass diese Überprüfungen nicht nur beim Login erfolgen, sondern während der gesamten Session aktuell bleiben. Ein Update kann verzögert werden, Endpoint-Protection kann deaktiviert werden, unapproved Software kann installiert werden. Die Bedingungen beim Anmelden sind nicht identisch mit den Bedingungen drei Stunden später in derselben Session.
Continuous Device Verification reduziert den Wert gestohlener Anmeldedaten erheblich, weil Zugriff nicht nur an eine Identität, sondern an ein vertrauenswürdiges, intaktes Endgerät gebunden wird. Für deutsche Unternehmen bedeutet dies auch Compliance-Vorteile: Eine robuste Gerätekontrolle erfüllt BSI-Empfehlungen und trägt zur DSGVO-konformen Absicherung bei.
Identität bleibt wichtig – sie kann aber nicht mehr allein die volle Last einer Zugriffsentscheidung tragen. Eine moderne Sicherheitsarchitektur erfordert, dass beide Faktoren – Benutzer und Gerät – kontinuierlich in Einklang stehen.