Identitäten sind der neue Perimeter vom Netzwerkzaun zu Zero Trust

Management Summary

Die Ära der Netzwerkränder ist vorbei. Angriffe starten über E-Mail, Browser, Remote-Zugänge, Identitäten und Dienste, die nie euer LAN sehen. Wer weiterhin Paketfilter romantisiert, verliert bei Geschwindigkeit und Sichtbarkeit. Der Weg nach vorn ist unglamourös: Zero Trust als Betriebsprinzip („prüfen statt vertrauen“), starke MFA, konsequentes Least Privilege, kurzlebige Berechtigungen ( JIT-Access ) und Telemetrie, die Anomalien an der Identität festmacht. Ergebnis: schnellere Erkennung, weniger laterale Bewegung, geringere Stillstandskosten.

Warum der klassische Perimeter versagt

• Hybrid-Realität: SaaS, Remote, Partnerzugänge – das „Innen“ gibt es faktisch nicht mehr.
• Session-Diebstahl statt Passwort-Rate: Moderne Phishing-Ketten zielen auf Token und Cookies, nicht nur auf Passwörter.
• Maschinelle Konten explodieren: Service-IDs, CI/CD-Tokens, IoT – oft mit Dauerrechten, selten überwacht.
• Change-Tempo: Neue Apps und Integrationen entstehen schneller als Firewall-Regeln nachziehen können.

Fazit: Kontrolle muss an die Identität wandern – menschlich und maschinell.

Zero Trust in fünf Säulen

1. Identität – Wer will was? Menschen, Dienste, Geräte. Starke MFA, robuste Wiederherstellungsprozesse, harte Session-Policies (Re-Challenge, Device-Bindung).
2. Gerät – Wovon wird zugegriffen? Compliance-Status, Patch-Level, Risikosignale. Nicht-konforme Geräte: eingeschränkter Modus.
3. Netzwerk – Nur Transportschicht und Mikro-Segmente; keine impliziten Vertrauenszonen.
4. Workload/Anwendung – Gate vor jedem sensiblen Flow (AuthN/Z, Rate-Limits, Secrets-Hygiene).
5. Daten – Klassifizierung, minimale Berechtigungen, kontextabhängige Freigaben, Protokollierung.

Prinzipien: explizite Verifikation, Least Privilege, Annahme von Kompromittierung, Telemetrie-first.

90-Tage-Plan: Vom Wunsch zur gelebten Kontrolle

Tag 0–15 – Lagebild & harte Entscheidungen

• Rollenlandkarte: Admin-, Finanz-, Entwickler-, Drittkonten. Was ist geschäftskritisch?
• Auth-Bestandsaufnahme: Wo fehlt phishingsichere MFA? Welche Legacy-Flows sind noch aktiv (z. B. IMAP/POP, Basic/NTLM)?
• Policy-Skizze: Zugriffsentscheidungen basieren künftig auf Identität plus Gerätezustand plus Kontext.

Tag 16–45 – Härtung & Abschaltungen

• MFA für alle kritischen Rollen; Legacy-Protokolle deaktivieren; Session-Re-Challenge bei Risiko.
• JIT-Access pilotieren: Temporäre Adminrechte mit Ticket-/Vier-Augen-Freigabe; maximale Dauer in Minuten/Stunden.
• Secrets-Rotation: Service-Konten auf kurzlebige Token umstellen; fest verdrahtete Passwörter eliminieren.

Tag 46–75 – Automatisieren & Sichtbarkeit

• Zugriffsentscheidungen in Richtlinien gießen (Policy-Engine): Identität × Gerät × Standort × Sensibilität.
• Anomalie-Erkennung an der Identität: Ungewöhnliche Reise, unmögliche Logins, Abweichung vom Rollenprofil → Auto-Containment (Session kill, Step-up Auth).
• Break-Glass-Prozess testen: Notfall-Konten, protokollierte Nutzung, sofortige Rotation.

Tag 76–90 – Verankern & Messen

• Rollenbereinigung (RBAC/ABAC): Verwaiste Konten schließen, überprivilegierte Gruppen abbauen.
• Entwickler-Pfad: Secrets im Code verbieten, Signaturen erzwingen, kurzlebige CI/CD-Token.
• Quartalsweises Steering: Ziele festzurren (z. B. 100 % MFA für kritische Rollen, 90 % JIT-Access für Admin-Aktionen).

KPIs, die wirklich steuern

• MFA-Abdeckung (phishing-resistent): Anteil kritischer Rollen mit starken Faktoren.
• JIT-Quote: % privilegierter Aktionen, die zeitbasiert freigegeben werden.
• Excess-Privilege-Rate: Konten mit Rechten über dem Rollenprofil.
• Mean Time to Revoke: Zeit von Offboarding/Positionswechsel bis Rechte-Entzug.
• Session-Anomalien: Erkannt, automatisch eingedämmt, manuell bestätigt – je Kritikalität.
• Maschinen-Identitäten: Anteil kurzlebiger Tokens, Rotationsintervalle, Secrets-Funde pro Monat.

Anti-Pattern

• „Wir haben doch MFA“ – aber zulassen von Push-Spamming und Legacy-Fallbacks. Ergebnis: Scheinschutz.
• „Einmal Admin, immer Admin“ – Dauerrechte laden zur Lateralen Bewegung ein. Least Privilege ist kein Poster, sondern Entzug.
• „Service-Konten vergessen“ – statische Passwörter, nie rotiert, allmächtig. Das ist eine stille Backdoor.
• „Netzwerk ist sicher genug“ – bis der Browser-Tab mit gestohlenem Cookie Proof-of-Admin ist.
• „Backups = Beruhigung“ – ohne Identitäts-Härtung kehren Angreifer nach Restore einfach zurück.

Praxis-Checkliste (sofort umsetzbar)

• Phishingresistente MFA (Passkeys/FIDO2) für Admin-, Finance-, HR-, Dev-Rollen.
• Least Privilege: Rollenreview, Entzug nicht benötigter Rechte, Peer-Approvals.
• JIT-Access: Zeitlimit, Ticket-Bindung, volle Protokollierung, Auto-Revoke.
• Maschinen-Konten: mTLS, kurzlebige Tokens, Secrets-Scanning im CI, Rotation ≤ 30 Tage.
• Session-Sicherheit: Token-Bindung an Gerät/Browser, Re-Challenge bei Risiko, Forced Logout nach Anomalie.
• Offboarding in Stunden, nicht Tagen; automatische Rechte-Kaskade bis Sub-Systeme.

Fazit: Identität zuerst – alles andere danach

Wer IT-Sicherheit ernsthaft betreibt, baut Kontrolle um Identitäten und deren Kontexte. Zero Trust ist kein Projekt, sondern Betriebsstandard: starke MFA, strenges Least Privilege, durchgesetzter JIT-Access, harte Telemetrie. Das ist weniger schick als neue Tools – aber es senkt Risiko, MTTR und Kosten spürbar. Wer heute anfängt und die 90-Tage-Schritte konsequent durchzieht, holt in wenigen Quartalen mehr Wirkung als mit jedem weiteren „Best-of-Breed“-Kauf.