Identitäten sind der neue Perimeter vom Netzwerkzaun zu Zero Trust

Management Summary

Die Ära der Netzwerkränder ist vorbei. Angriffe starten über E-Mail, Browser, Remote-Zugänge, Identitäten und Dienste, die nie euer LAN sehen. Wer weiterhin Paketfilter romantisiert, verliert bei Geschwindigkeit und Sichtbarkeit. Der Weg nach vorn ist unglamourös: Zero Trust als Betriebsprinzip („prüfen statt vertrauen“), starke MFA , konsequentes Least Privilege , kurzlebige Berechtigungen ( JIT-Access ) und Telemetrie, die Anomalien an der Identität festmacht. Ergebnis: schnellere Erkennung, weniger laterale Bewegung, geringere Stillstandskosten.

Warum der klassische Perimeter versagt

• Hybrid-Realität: SaaS, Remote, Partnerzugänge – das „Innen“ gibt es faktisch nicht mehr.

• Session-Diebstahl statt Passwort-Rate: Moderne Phishing-Ketten zielen auf Token und Cookies, nicht nur auf Passwörter.

• Maschinelle Konten explodieren: Service-IDs, CI/CD-Tokens, IoT – oft mit Dauerrechten, selten überwacht.

• Change-Tempo: Neue Apps und Integrationen entstehen schneller als Firewall-Regeln nachziehen können.

Fazit: Kontrolle muss an die Identität wandern – menschlich und maschinell.

Zero Trust in fünf Säulen

1. Identität – Wer will was? Menschen, Dienste, Geräte. Starke MFA , robuste Wiederherstellungsprozesse, harte Session-Policies (Re-Challenge, Device-Bindung).

2. Gerät – Wovon wird zugegriffen? Compliance-Status, Patch-Level, Risikosignale. Nicht-konforme Geräte: eingeschränkter Modus.

3. Netzwerk – Nur Transportschicht und Mikro-Segmente; keine impliziten Vertrauenszonen.

4. Workload/Anwendung – Gate vor jedem sensiblen Flow (AuthN/Z, Rate-Limits, Secrets-Hygiene).

5. Daten – Klassifizierung, minimale Berechtigungen, kontextabhängige Freigaben, Protokollierung.

Prinzipien: explizite Verifikation, Least Privilege , Annahme von Kompromittierung, Telemetrie-first.

90-Tage-Plan: Vom Wunsch zur gelebten Kontrolle

Tag 0–15 – Lagebild & harte Entscheidungen

• Rollenlandkarte: Admin-, Finanz-, Entwickler-, Drittkonten. Was ist geschäftskritisch?

• Auth-Bestandsaufnahme: Wo fehlt phishingsichere MFA? Welche Legacy-Flows sind noch aktiv (z. B. IMAP/POP, Basic/NTLM)?

• Policy-Skizze: Zugriffsentscheidungen basieren künftig auf Identität plus Gerätezustand plus Kontext.

Tag 16–45 – Härtung & Abschaltungen

• MFA für alle kritischen Rollen; Legacy-Protokolle deaktivieren; Session-Re-Challenge bei Risiko.

• JIT-Access pilotieren: Temporäre Adminrechte mit Ticket-/Vier-Augen-Freigabe; maximale Dauer in Minuten/Stunden.

• Secrets-Rotation: Service-Konten auf kurzlebige Token umstellen; fest verdrahtete Passwörter eliminieren.

Tag 46–75 – Automatisieren & Sichtbarkeit

• Zugriffsentscheidungen in Richtlinien gießen (Policy-Engine): Identität × Gerät × Standort × Sensibilität.

• Anomalie-Erkennung an der Identität: Ungewöhnliche Reise, unmögliche Logins, Abweichung vom Rollenprofil → Auto-Containment (Session kill, Step-up Auth).

• Break-Glass-Prozess testen: Notfall-Konten, protokollierte Nutzung, sofortige Rotation.

Tag 76–90 – Verankern & Messen

• Rollenbereinigung (RBAC/ABAC): Verwaiste Konten schließen, überprivilegierte Gruppen abbauen.

• Entwickler-Pfad: Secrets im Code verbieten, Signaturen erzwingen, kurzlebige CI/CD-Token.

• Quartalsweises Steering: Ziele festzurren (z. B. 100 % MFA für kritische Rollen, 90 % JIT-Access für Admin-Aktionen).

KPIs, die wirklich steuern

• MFA-Abdeckung (phishing-resistent) : Anteil kritischer Rollen mit starken Faktoren.

• JIT-Quote : % privilegierter Aktionen, die zeitbasiert freigegeben werden.

• Excess-Privilege-Rate : Konten mit Rechten über dem Rollenprofil.

• Mean Time to Revoke : Zeit von Offboarding/Positionswechsel bis Rechte-Entzug.

• Session-Anomalien : Erkannt, automatisch eingedämmt, manuell bestätigt – je Kritikalität.

• Maschinen-Identitäten : Anteil kurzlebiger Tokens, Rotationsintervalle, Secrets-Funde pro Monat.

Anti-Pattern

• „Wir haben doch MFA“ – aber zulassen von Push-Spamming und Legacy-Fallbacks. Ergebnis: Scheinschutz.

• „Einmal Admin, immer Admin“ – Dauerrechte laden zur Lateralen Bewegung ein. Least Privilege ist kein Poster, sondern Entzug.

• „Service-Konten vergessen“ – statische Passwörter, nie rotiert, allmächtig. Das ist eine stille Backdoor.

• „Netzwerk ist sicher genug“ – bis der Browser-Tab mit gestohlenem Cookie Proof-of-Admin ist.

• „Backups = Beruhigung“ – ohne Identitäts-Härtung kehren Angreifer nach Restore einfach zurück.

Praxis-Checkliste (sofort umsetzbar)

• Phishingresistente MFA (Passkeys/FIDO2) für Admin-, Finance-, HR-, Dev-Rollen.

• Least Privilege : Rollenreview, Entzug nicht benötigter Rechte, Peer-Approvals.

• JIT-Access : Zeitlimit, Ticket-Bindung, volle Protokollierung, Auto-Revoke.

• Maschinen-Konten: mTLS, kurzlebige Tokens, Secrets-Scanning im CI, Rotation ≤ 30 Tage.

• Session-Sicherheit: Token-Bindung an Gerät/Browser, Re-Challenge bei Risiko, Forced Logout nach Anomalie.

• Offboarding in Stunden, nicht Tagen; automatische Rechte-Kaskade bis Sub-Systeme.

Fazit: Identität zuerst – alles andere danach

Wer IT-Sicherheit ernsthaft betreibt, baut Kontrolle um Identitäten und deren Kontexte. Zero Trust ist kein Projekt, sondern Betriebsstandard: starke MFA , strenges Least Privilege , durchgesetzter JIT-Access , harte Telemetrie. Das ist weniger schick als neue Tools – aber es senkt Risiko, MTTR und Kosten spürbar. Wer heute anfängt und die 90-Tage-Schritte konsequent durchzieht, holt in wenigen Quartalen mehr Wirkung als mit jedem weiteren „Best-of-Breed“-Kauf.