Schon NIST Special Publication 800-207, das grundlegende Rahmenwerk für Zero-Trust-Architekturen, hat dieses Problem vorweggenommen. Das Dokument warnt davor, einem Subjekt nach Erreichen einer Basis-Authentifizierung pauschal Vertrauen zu unterstellen, und verlangt, dass Zugriffsentscheidungen auch den Sicherheitszustand des verwendeten Geräts berücksichtigen.

In der Praxis behandeln die meisten Organisationen die Authentifizierung jedoch weiterhin als einmalige Prüfung: Identität bestätigt, MFA bestanden, Sitzung gestartet — und das Vertrauen hält, bis das Token abläuft. Doch ein Sitzungs-Token im Browser eines Angreifers sieht genauso aus wie dasselbe Token im Browser des Nutzers. Herkömmliche Authentifizierungsprotokolle können beide nicht unterscheiden.

Laut dem Data Breach Investigations Report von Verizon sind gestohlene Zugangsdaten an 44,7 % der Sicherheitsvorfälle beteiligt.

Die meisten Zero-Trust-Umsetzungen sind stark identitätszentriert geblieben. Sie stärken die Authentifizierung, erzwingen MFA, verringern die Abhängigkeit von Passwörtern und führen risikobasierte Anmelderegeln ein. Die Geräteprüfung dagegen wird uneinheitlich angewendet: Oft endet sie am Anmeldepunkt oder greift nur bei browserbasierten Abläufen innerhalb moderner Frameworks für bedingten Zugriff. Ältere Protokolle, Fernzugriffswerkzeuge und API-Anbindungen erben das Vertrauen dagegen implizit, sobald die Identität feststeht.

Das Ergebnis ist ein fragmentiertes Modell. Private und Drittgeräte sind häufig nur lose oder gar nicht verwaltet. Das Sitzungsvertrauen bleibt bestehen, selbst wenn sich der Gerätezustand mitten in der Sitzung verschlechtert. Identitäts- und Endpunktsignale liegen in getrennten Werkzeugen mit geringer Verzahnung — die Identität wird beim Login intensiv geprüft, der Zugriff danach kaum noch neu bewertet.

Geräteprüfung beantwortet Fragen, die Identität nicht beantworten kann: Ist das Gerät verschlüsselt? Ist der Endpunktschutz aktiv und funktionsfähig? Ist das Betriebssystem gepatcht? Weicht die Konfiguration von der Richtlinie ab? Handelt es sich um zugelassene Hardware?

Entscheidend ist, dass diese Antworten über die erste Anmeldung hinaus und während der gesamten Sitzung aktuell bleiben. Ein Update kann sich verzögern, der Endpunktschutz lässt sich abschalten, nicht freigegebene Software kann installiert werden. Die Bedingungen beim Login sind nicht die Bedingungen in der dritten Stunde einer Sitzung. Kontinuierliche Geräteprüfung mindert den Wert gestohlener Zugangsdaten und abgefangener Tokens, weil der Zugriff nicht mehr nur an eine Identität, sondern an ein vertrauenswürdiges, intaktes Endgerät gebunden wird.

Ein robusterer Ansatz kombiniert Identität mit fortlaufender Geräteprüfung. Lösungen wie Specops Device Trust setzen dieses Modell um, indem sie Vertrauensentscheidungen über die Identität hinaus ausweiten und die Durchsetzung auch bei veränderten Bedingungen aufrechterhalten. Nutzer werden authentifiziert und ihre Geräte kontinuierlich über Windows, macOS, Linux und mobile Plattformen hinweg geprüft — nicht nur am Anmeldepunkt. Identität bleibt wichtig; sie kann das Gewicht einer Zugriffsentscheidung nur nicht mehr allein tragen.