Das Phänomen der “vergessenen Endpoints” ist weit verbreitet, wird aber von Organisationen systematisch unterschätzt. Besonders problematisch: Jedes dieser Geräte ist ein potenzieller Einstiegspunkt für Angreifer. Mit aktiven VPN-Verbindungen, gespeicherten Anmeldedaten und gültigen Zertifikaten bieten solche Laptops einen direkten Weg in die Unternehmensinfrastruktur.
Die Sicherheitsimplikationen sind erheblich. Erstens scheitern die meisten Organisationen kläglich bei grundlegenden Asset-Management-Aufgaben. In Zero-Trust-Maturity-Assessments fällt die mangelnde Endpoint-Sichtbarkeit sofort auf — dabei sollte dies eine der einfachsten Kontrollen sein. Zweitens multiplizieren sich die Risikofaktoren: Insider-Threats werden trivial, wenn Contractor-Geräte mit gültigen Anmeldedaten zu Hause herumliegen. Lateral Movement wird erleichtert, wenn Angreifer Zugriff auf authentifizierte Netzwerkzugriffe mit erhöhten Berechtigungen erhalten. Drittens wird die Third-Party-Risikoanalyse zur Farce: Private Heimnetzwerke mit IoT-Geräten und potenziellen Sicherheitslücken werden zur Angriffsfläche des Unternehmens.
Aus Compliance-Perspektive ist dies ein Desaster. HIPAA und NIST SP 800-53 CM-8 verlangen genaue Inventare aller Informationssystem-Komponenten. Wenn Auditors nachfragen, wo sich alle Endpoints befinden, und die Antwort lautet “Wir wissen es nicht”, ist dies ein erheblicher Befund.
Auch die finanzielle Verschwendung ist erheblich. Organisationen zahlen Softwarelizenzen und Management-Overhead für Geräte, die niemand nutzt. Gleichzeitig sind Vulnerability-Scans unvollständig — bekannte Geräte werden gepatcht, während vergessene Endpoints ungeschützt bleiben.
Lösungsansätze gibt es: Unternehmen sollten keine Laptops an Contractor vergeben und stattdessen Bring-Your-Own-Device-Policies mit Zugriff über Virtual Desktop Infrastructure oder Cloud-Lösungen wie Amazon WorkSpaces nutzen. Wer dennoch Geräte ausgeben muss, benötigt Automatisierung: PowerShell- oder Python-Scripts sollten regelmäßig Active Directory, Intune und Endpoint-Logs auf letzte Anmeldungen durchsuchen und Geräte mit über 45 Tagen Inaktivität flaggen.
Entscheidend ist eine Notfallmaßnahme für gestohlene Geräte mit klar definierten Prozessen, Benachrichtigungsketten und Remote-Wipe-Fähigkeiten. Besonders wichtig: Dies muss Teil der Contractor-Onboarding-Schulung sein.
Die Ironie ist offensichtlich: Organisationen investieren Millionen in Zero-Trust-Architekturen und verlieren gleichzeitig hunderte Endpoints aus den Augen. Zero Trust funktioniert nur, wenn man weiß, welche Geräte existieren, wo sie sich befinden und wer Zugriff hat. Ohne diese Grundlagen ist es nicht Zero-Trust, sondern Zero-Visibility.