Das Muster wiederholt sich nach Darstellung des Autors quer durch die von ihm geprüften Organisationen. Als Prüfer für Salesforce-Audits und Zero-Trust-Reifegradbewertungen nennt er als gemeinsamen Nenner eine durchweg schlechte Asset-Verwaltung. Besonders deutlich werde das Problem beim Onboarding von Kunden für Managed-Detection-and-Response-Dienste: Die Zahl der vom Kunden angegebenen Endpoints weiche selten von der tatsächlich angebundenen ab. Manche Geräte seien über längere Zeit offline und ließen sich gar nicht erst einbinden – bei näherer Prüfung stellten sie sich als Geräte von externen Dienstleistern oder ehemaligen Mitarbeitern heraus, die längst hätten zurückgeholt werden müssen.
Jedes vergessene Gerät steht laut dem Autor für mehrere Risikovektoren zugleich. Wer nicht weiß, dass ein Gerät existiert, kann es nicht schützen. Insider-Bedrohungen werden trivial, wenn Dienstleister Firmengeräte mit gültigen Zugangsdaten zu Hause haben. Laterale Bewegung fällt Angreifern leichter, wenn sie Geräte mit authentifiziertem Netzzugang und erhöhten Rechten kompromittieren. Hinzu komme das Drittanbieter-Risiko, wenn das Heimnetz eines Dienstleisters – samt kompromittierter IoT-Geräte – zur Angriffsfläche des Unternehmens wird.
Auch im Hinblick auf Compliance sei die Lage kritisch: HIPAA und NIST SP 800-53 CM-8 verlangen genaue Bestandsverzeichnisse der Systemkomponenten. Wer Auditoren auf die Frage nach dem Verbleib aller Endpoints keine Antwort geben kann, handelt sich einen ernsten Prüfbefund ein. Dazu komme finanzielle Verschwendung: Statt Geräte für neue Mitarbeiter wiederzuverwenden oder auszumustern, zahlen Organisationen Softwarelizenzen und Verwaltungsaufwand für ungenutzte Hardware. Zudem bleiben Schwachstellen-Scans unvollständig, solange vergessene Geräte ungeschützt im Hintergrund verharren.
Als Ursachen führt der Autor verteilte Belegschaften durch Remote-Arbeit an sowie Projekte, die “pausiert” statt formell beendet werden. Die IT gehe davon aus, dass Dienstleister Geräte zurückgeben, die Fachabteilungen wiederum, dass die IT ihre Hardware nachverfolgt. Ohne physischen Kontrollpunkt wie die Rückgabe eines Ausweises am letzten Arbeitstag verschwinde das Gerät schlicht aus dem Blick.
Als Gegenmaßnahmen empfiehlt er, externen Dienstleistern keine Firmen-Laptops mehr auszugeben, sondern auf Bring-your-own-device-Richtlinien zu setzen und Zugriff über virtuelle Desktops oder Cloud-Arbeitsplätze wie Amazon WorkSpaces bereitzustellen. Wo Geräte ausgegeben werden müssen, sei Automatisierung entscheidend: Skripte in Python oder PowerShell, die Active Directory, Intune oder Endpoint-Logs nach dem letzten Anmeldedatum abfragen und Geräte markieren, die länger als 45 Tage inaktiv sind. Werkzeuge wie Microsoft Intune oder EDR-Lösungen wie SentinelOne bringen diese Funktion bereits mit. Berichte allein reichten jedoch nicht – jedes auffällige Gerät müsse aktiv zurückgefordert werden.
Jede Organisation sollte zudem einen Notfallplan für gestohlene Geräte besitzen und ihn in die Schulung externer Mitarbeiter aufnehmen: Wer wird benachrichtigt, in welchem Zeitfenster erfolgt die Fernlöschung? Der Plan müsse auch betrügerische Dienstleister abdecken. Der Autor verweist auf untersuchte Fälle von Proxy-Beschäftigten, die in Laptop-Farm-Schemata verwickelt waren und Firmengeräte verkauften, sobald sie aufflogen – besonders in Ländern ohne rechtliche Handhabe. Das Security Operations Center brauche dafür ein Vorgehensmodell, und auf jedem Gerät müsse die Fernlöschung aktiviert sein.
Darin liege die eigentliche Ironie: Organisationen investieren Millionen in Zero-Trust-Architekturen und verlieren zugleich Hunderte Endpoints aus dem Blick. Das Prinzip “niemals vertrauen, immer überprüfen” laufe ins Leere, wenn unklar ist, welche Geräte überhaupt existieren und wer sie besitzt. Das sei kein ausgefeilter Lieferketten-Angriff, sondern handwerkliche Grundlagenarbeit, an der die meisten scheitern – behebbar durch einen vierteljährlichen Audit, ein automatisiertes Skript oder eine Richtlinienänderung.
