Bei modernen Angriffen bedeutet die Übernahme eines Kontos nicht immer, das Passwort zu knacken. Der Benutzer kann die richtige Person sein und auch MFA erfolgreich bestehen; aber das Gerät, von dem er zugreift, kann veraltet sein, der Sicherheitsagent kann deaktiviert, die Festplattenverschlüsselung abgeschaltet, das Gerät mit Malware infiziert oder gerootet sein. In diesem Fall besteht das Zugriffsrisiko fort, selbst wenn die Authentifizierung erfolgreich ist.
Remote-Arbeit und das BYOD-Modell (Persönliche Geräte) verstärken dieses Problem. Ein Unternehmensgerät, ein persönliches Gerät, ein verwaltetes Mobilgerät, eine temporäre Browser-Sitzung und ein unbekannter Endpoint können versuchen, auf dieselben Anwendungen zuzugreifen. All diesen Geräten dasselbe Zugriffsvertrauen zu gewähren, widerspricht dem Zero-Trust-Ansatz.
Herkömmliche Load-Balancer- oder WAAP-Schichten sehen die Geräte-Posture meist nicht. Wenn Benutzerverkehr eintrifft, können sie IP, Header, TLS oder Sitzungsinformationen interpretieren; aber sie können nicht natürlich an die Zugriffsentscheidung binden, ob das Gerät verwaltet ist, den Festplattenverschlüsselungsstatus, die Aktivität des Sicherheitsagenten oder die Betriebssystem-Compliance.
Der richtige Ansatz besteht darin, Gerätevertrauen zu einem erstklassigen Signal der Zugriffsrichtlinie zu machen. Benutzeridentität, Geräte-Posture, Standort, Risikoniveau, Sitzungsverhalten und MFA-Status sollten in derselben Conditional-Access-Kette bewertet werden.
TR7 Endpoint Trust Manager bietet dieses Modell: Es bindet Vertrauenssignale aus der Geräte-Posture an die AAM-Zugriffsrichtlinien und trifft die Zugriffsentscheidung mit dem Tripel Benutzer + Gerät + Kontext.
TR7 ETM arbeitet mit Geräte-Posture, agentenlosen Signalen, kontinuierlicher Bewertung und Integration in die Zugriffsrichtlinie.
Auf verwalteten Geräten können Betriebssystemversion, Festplattenverschlüsselung, Sicherheitsagent-Status, Firewall, Geräteverwaltung und Compliance-Informationen erfasst werden. Diese reichhaltigen Signale liefern einen hochvertrauenswürdigen Kontext für die Zugriffsentscheidung.
Auf Geräten ohne installierten Agenten können Browser-Informationen, TLS-Fingerabdruck, Betriebssystem-Hinweise und Client-Kontext ausgewertet werden. Dieses Modell ist nicht so reichhaltig wie die vollständige Posture, lässt aber unbekannte Geräte nicht völlig im Dunkeln.
Das Gerät kann nicht nur zum Login-Zeitpunkt, sondern auch während der Sitzung bewertet werden. Verschlechtert sich die Posture, kann das Zugriffsniveau herabgestuft, MFA angefordert oder die Sitzung beendet werden.
Das Gerät kann in Klassen wie compliant, non-compliant oder at-risk eingeteilt werden. Diese Klassen werden direkt an AAM-Richtlinien wie allow, MFA, block oder eingeschränkten Zugriff gebunden.
Der Endpoint Trust Manager wandelt Gerätevertrauenssignale in eine durchsetzbare Entscheidungseingabe der AAM-Zugriffsrichtlinien um.
TR7 ETM ist so positioniert, dass Posture-Signale von Desktop-, Laptop- und Mobilgeräten in die Zugriffsentscheidung einbezogen werden. Unternehmensgerät, persönliches Gerät und verwaltetes Mobilgerät können in derselben Richtlinienkette bewertet werden. Dieser Ansatz reduziert die Bildung separater Sicherheitsinseln für verschiedene Endpoint-Typen. Die Zugriffsentscheidung wird nach Gerätetyp und Vertrauensniveau geformt.
Alte Betriebssystemversionen, ungepatchte Endpoints und Plattformen ohne Support erhöhen das Zugriffsrisiko. TR7 ETM kann Betriebssystemversion und Aktualitätsinformationen als Trust-Signal nutzen. Auf alte Geräte kann direkte Blockierung, zusätzliche MFA oder eine Zugriffsrichtlinie mit niedrigen Berechtigungen angewendet werden. So wird der Anwendungszugriff mit der Anforderung einer sicheren Plattform verknüpft.
Geräte ohne Festplattenverschlüsselung bergen in Szenarien mit verlorenen oder gestohlenen Endpoints ein hohes Risiko. TR7 ETM kann den Festplattenverschlüsselungsstatus als eines der Kernsignale des Gerätevertrauens bewerten. Zugriff auf kritische Anwendungen kann nur Geräten mit verschlüsselter Festplatte gewährt werden. Dieses Modell ist besonders in Umgebungen wichtig, die Finanz-, Gesundheits- und behördliche Daten verarbeiten.
Ob der Sicherheitsagent auf dem Endpoint aktiv ist, ist ein wichtiger Posture-Indikator. Ist der Sicherheitsagent deaktiviert, abgeschaltet oder nicht aktuell, kann das Gerät in die Klasse at-risk eingestuft werden. In diesem Fall kann die AAM-Richtlinie zusätzliche MFA anfordern, den Zugriff einschränken oder vollständig blockieren. Die Zugriffsentscheidung wird mit dem Verteidigungsstatus des Endpoints abgestimmt.
Der Verwaltungsstatus aus modernen MDM/EMM-Integrationen kann zeigen, ob das Gerät unter Unternehmenskontrolle steht. Verwalteten Geräten kann ein höheres Vertrauensniveau, unverwalteten persönlichen Geräten hingegen ein eingeschränkterer Zugriff gewährt werden. Dieser Ansatz ermöglicht ein risikobasiertes Management der BYOD-Nutzung (Persönliche Geräte), ohne sie vollständig zu verbieten. Zwischen Benutzererlebnis und Sicherheitsrichtlinie wird eine praktischere Balance hergestellt.
Gerootete oder per Jailbreak modifizierte Geräte sind hinsichtlich Anwendungsisolation, Zertifikatssicherheit und Datenschutz hochriskant. TR7 ETM kann diese Geräte in die Klasse non-compliant oder at-risk einstufen. Beim Zugriff auf Mobile Banking, Gesundheitsportale oder Unternehmensverwaltung kann dieses Signal direkt ein Blockierungsgrund sein. Mobiles Endpoint-Vertrauen wird Teil der Zugriffsrichtlinie.
Nicht auf jedem Gerät ist ein Agent installiert. In diesem Fall können agentenlose Signale wie Browserversion, TLS-Fingerabdruck, Betriebssystem-Hinweis und Header-Kontext genutzt werden. Diese Signale liefern keine vollständige Geräte-Posture, helfen aber bei der Unterscheidung zwischen unbekanntem und vertrauenswürdigem Gerät. AAM kann in diesen Fällen zusätzliche MFA oder ein niedriges Vertrauensniveau anwenden.
Die Geräte-Posture allein reicht nicht aus; Standort und Netzwerkkontext sind ebenfalls wichtig. Zugriffe aus einem riskanten Land, von einem ungewöhnlichen Standort oder aus einem unerwarteten Netzwerk können zusammen mit dem Gerätevertrauenssignal bewertet werden. Treffen ein altes Betriebssystem und ein Standort mit hohem Risiko zusammen, kann eine stärkere Aktion ergriffen werden. Dieses Modell macht die Zugriffsentscheidung mehrdimensional.
Eine Vielzahl von Posture-Signalen kann für das Betriebsteam komplex sein. TR7 ETM kann diese Signale in einen Trust-Score von 0–100 oder ein ähnliches Klassifizierungsverhalten umwandeln. Das Team, das die Richtlinie schreibt, kann statt jedes einzelne Signal zu interpretieren, mit den Vertrauensstufen low, medium, high entscheiden. Das wandelt Vertrauenssignale in eine durchsetzbare Zugriffsrichtlinie um.
Das Gerätevertrauensniveau kann direkt innerhalb der AAM-Conditional-Access-Policy verwendet werden. Konformen Geräten kann allow, at-risk-Geräten MFA, nicht-konformen Geräten block als Richtlinie angewendet werden. So wird die Geräte-Posture nicht nur eine berichtete Information, sondern die Eingabe der Live-Zugriffsentscheidung. Der Anwendungszugriff arbeitet näher an der Zero-Trust-Logik.
Das Gerät kann zum Login-Zeitpunkt sicher sein, aber während der Sitzung kann der Sicherheitsagent abgeschaltet werden oder sich der Posture-Status ändern. TR7 ETM kann diese Änderung durch regelmäßige Bewertung erkennen. Fällt die Posture ab, kann die Sitzung ausgesetzt, erneut MFA angefordert oder der Zugriff geschlossen werden. Dieser Ansatz beseitigt die Annahme "eingeloggt, also vertrauenswürdig".
Geräte-Posture, Trust-Score-Änderungen, Non-Compliance, MFA-Auslösung und Blockierungsereignisse können an ein SIEM gesendet werden. SOC-Teams können Endpoint-Risiken zusammen mit Anwendungszugriffsereignissen korrelieren. Diese Sichtbarkeit stärkt die Analyse von Kontoübernahme, Geräte-Non-Compliance und anomalem Zugriff. Das Endpoint-Trust-Signal wird Teil des Sicherheitsbetriebs.
Der Endpoint Trust Manager wird zusammen mit Posture-Daten, Trust-Signal-Protokoll, Policy-Integration, kontinuierlicher Bewertung, Audit und SIEM-Stream betrieben.
Die Geräte-Posture kann mit dem AAM-Sitzungskontext verknüpft werden. Dadurch wird die Zugriffsentscheidung nicht nur über das Login-Ergebnis, sondern auch über den Gerätevertrauensstatus der Sitzung getroffen. Die Übertragung der Posture-Daten zusammen mit der Sitzung macht Policy-Entscheidungen konsistenter.
In Szenarien mit Agent können die Posture-Signale vom Gerät über einen sicheren Kanal an die TR7-ETM-Schicht übermittelt werden. Im agentenlosen Modus werden aus Browser- und TLS-Kontext gewonnene Signale verwendet. Beide Modelle werden mit unterschiedlichen Vertrauensniveaus in die Policy gespeist.
ETM-Signale arbeiten zusammen mit der Conditional-Access-Policy, den MFA-Methoden und der Continuous-Trust-Evaluation-Engine. Diese Integration ermöglicht allow-, challenge-, block- oder session-suspend-Entscheidungen. Gerätevertrauen ist nicht allein ein Bericht, sondern eine Zugriffsaktion.
Die Geräte-Posture kann in bestimmten Intervallen neu bewertet werden. Der Standardzyklus kann gemäß Unternehmensrichtlinie eingestellt werden. Bei kritischen Anwendungen kann eine häufigere, bei Anwendungen mit niedrigem Risiko eine seltenere Bewertung bevorzugt werden.
Jedes Posture-Event, jede Trust-Score-Änderung und jede Zugriffsentscheidung kann ins Audit-Log geschrieben werden. Die Frage, wer von welchem Gerät, mit welcher Posture, auf welche Anwendung zugegriffen hat, wird beantwortbar. Diese Aufzeichnungen unterstützen Audit- und Incident-Untersuchungsprozesse.
ETM-Ereignisse können in die SIEM-Log-Streaming-Pipeline übertragen werden. Ereignisse wie Endpoint-Non-Compliance, MFA-Auslösung, Zugriffsverweigerung oder Sitzungsaussetzung können im zentralen Sicherheitsüberwachungssystem korreliert werden. Dadurch wird Endpoint-Trust an die Sichtbarkeit der Anwendungssicherheit gebunden.
Banking-Teams können gerootete oder per Jailbreak modifizierte Mobilgeräte als non-compliant klassifizieren. Zugriffe von diesen Geräten werden blockiert oder können zusätzliche Verifizierung erfordern.
Behörden können den Zugriff auf klassifizierte Anwendungen nur von verwalteten Geräten mit aktiver Festplattenverschlüsselung und aktivem Sicherheitsagenten gewähren. Nicht-konforme Geräte werden auf Policy-Ebene abgewiesen.
Wenn medizinisches Personal von einem persönlichen Gerät zugreift und der Geräte-Trust-Score niedrig ist, kann zusätzliche MFA oder eingeschränkter Zugriff angewendet werden. Wird der Sicherheitsagent abgeschaltet, kann die Sitzung ausgesetzt werden.
Statt einem Benutzer mit altem Betriebssystem und von einem Standort mit hohem Risiko direkten Zugriff zu gewähren, kann Step-up-MFA angewendet werden. Steigt das Risikoniveau, kann der Zugriff vollständig blockiert werden.
Lassen Sie Benutzeridentität, Geräte-Posture und Kontext gemeinsam bewerten. Planen wir eine Live-Setup-Tour in Ihrer eigenen Umgebung.