Juli 2026
Autor des Beitrags
Florian
Team Lead Digital Workplace – Virtualization
Veröffentlicht am
13.07.2026 von Florian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter

Echtes Zero Trust im Citrix-Workspace:
Warum die einmalige Conditional-Access-Prüfung nicht reicht und wie deviceTRUST die Lücke schließt

 

Hybrides Arbeiten ist im Mittelstand längst Normalität: Mitarbeitende greifen von zuhause, aus der Bahn, dem Hotel oder vom Kundenstandort auf virtuelle Desktops, SaaS-Anwendungen und Unternehmensdaten zu. Viele Unternehmen haben in den letzten Jahren konsequent in VPN, MFA und Conditional Access investiert und sind überzeugt: „Wir sind doch schon bei Zero Trust.“

Schaut man genauer hin, bleibt aber eine entscheidende Lücke offen:

Der Sicherheitszustand des Endgerätes wird in vielen Umgebungen nur einmalig beim Login geprüft, danach gilt das Gerät für die Dauer der Session als „vertrauenswürdig“. Was in der Praxis passiert, wenn sich die Situation währenddessen ändert, wird oft nicht betrachtet.

Genau hier setzt Citrix mit der Integration von deviceTRUST an. Der Zukauf ist kein weiteres Nischentool, sondern ein Baustein, um Citrix-Workspaces endlich konsequent nach Zero-Trust-Prinzipien zu betreiben.

1. Ausgangslage: „Wir haben doch schon Conditional Access, passt doch, oder?“

 

In typischen Citrix-Umgebungen im gehobenen Mittelstand sehen wir heute ein ähnliches Bild:

  • Identity Provider mit MFA und Conditional Access
  • ein mehr oder weniger standardisiertes VPN für Legacy-Anwendungen
  • Citrix Virtual Apps and Desktops / DaaS als zentraler Zugriff auf Applikationen und Desktops
  • dazu Antivirus / EDR und teils Mobile- oder Endpoint-Management

Auf dem Papier klingt das nach einem soliden Sicherheitsfundament.

 

In der Praxis bleiben aber mehrere Fragen offen:

  • Was passiert, wenn sich der Zustand des Endgeräts nach der Anmeldung verändert?
  • Wie gehen wir mit privaten, nicht verwalteten Geräten (BYOD) um, die nur bedingt kontrollierbar sind?
  • Wie reagieren wir auf wechselnde Netzwerke (Hotel-WLAN, Kunde, Ausland), während die Citrix-Session weiterläuft?

Conditional Access beantwortet diese Fragen nur teilweise. Häufig gilt:

Wenn der Login einmal durch ist, ist die Session für die nächsten Stunden offen. Egal, was auf dem Gerät passiert.“

Für ein echtes Zero-Trust-Modell ist das zu wenig.

2. Wo klassische Ansätze im Citrix-Kontext
an Grenzen stoßen

 

Schauen wir uns die typischen Bausteine genauer an.

2.1 VPN

VPN-Verbindungen:

  • verlängern das interne Netzwerk faktisch bis auf das Endgerät
  • setzen voraus, dass das Endgerät dauerhaft vertrauenswürdig ist
  • lassen sich zwar mit Posture-Checks kombinieren, aber oft nur punktuell (z. B. beim Verbindungsaufbau)

Im Zusammenspiel mit Citrix führt das oft dazu, dass:

  • das Endgerät mit vollem VPN-Zugang im Netz hängt
  • die Citrix-Sitzung nur ein Teil der möglichen Angriffsfläche ist
  • bei kompromittierten oder schlecht gewarteten Geräten das Risiko im Unternehmensnetz liegt, nicht im Rechenzentrum

2.2 Conditional Access

Conditional Access löst einen Teil dieses Problems:

  • Einmalige Prüfung beim Login von Identität, Gerätetyp, IP-Range, Compliance-Status etc.
  • Steuerung, ob ein User auf eine Applikation oder einen Dienst zugreifen darf

Die Schwäche aus Citrix-Sicht:

  • Fokus auf den Login-Zeitpunkt
  • meist keine durchgehende Bewertung entlang der gesamten Citrix-Session
  • nur begrenzt tiefgehende Bewertung des tatsächlichen Gerätezustands (Patchstand, lokale Security-Tools, Konfiguration)

2.3 Nur verwaltete Endgeräte zulassen?

Die scheinbar einfache Alternative:

Wir erlauben nur noch verwaltete Firmenendgeräte, dann haben wir das Problem im Griff.“

In der Realität scheitert das häufig an:

  • Außenstellen und Partnern
  • Spezialdienstleistern, die mit eigenen Geräten arbeiten
  • flexiblen Arbeitsmodellen, in denen Mitarbeitende zeitweise privat arbeiten (BYOD)
  • Kosten- und Organisationsaufwand für eine weltweit einheitliche Endgeräteflotte

Gerade im Citrix-Umfeld ist BYOD oft ein wichtiger Grund, warum die Plattform überhaupt eingeführt wurde. Wenn der Konsens lautet „nur noch Firmen-Notebooks“, verliert Citrix einen Teil seines Mehrwerts.

3. Wie ein echter Zero-Trust-Workspace mit Citrix aussieht

 

Zero Trust bedeutet im Kern:

Keinem Nutzer, keinem Gerät und keiner Verbindung wird per se vertraut. Jeder Zugriff wird kontextbasiert und fortlaufend geprüft.

Für eine Citrix-Architektur kann man das grob in vier Ebenen aufteilen:

  1. Identität und Zugriff (IdP, MFA, Conditional Access)
  • Wer ist der Benutzer?
  • Hat er die richtige Rolle und Berechtigung?
  • Aus welchem groben Kontext (Land, IP-Range, Gerätetyp) kommt der Zugriff?
  1. Applikations- und Desktop-Ebene (Citrix DaaS / CVAD)
  • Bereitstellung von Applikationen und Desktops im Rechenzentrum oder in der Cloud
  • Isolierung vom Endgerät: Daten und Anwendungen laufen zentral, nicht auf dem Client
  1. Endgeräte- und Kontext-Ebene (deviceTRUST)
  • Bewertung des tatsächlichen Zustands des Endgeräts (Patchstand, AV, Firewall, Verschlüsselung etc.)
  • Erkennung von Netzwerk- und Standortkontext
  • Kontinuierliche Neubewertung während der Session, nicht nur beim Login
  1. Zugriff auf Web- und SaaS-Anwendungen (Secure Private Access, Secure Browser, Chrome Enterprise)
  • VPN-freier Zugriff auf private Anwendungen
  • Kontrolle von Browser-basierten Workloads und SaaS-Applikationen
  • Durchsetzung von DLP- und Sicherheitsrichtlinien im Webzugriff

In dieser Architektur ist deviceTRUST die Komponente, die dafür sorgt, dass der Kontext rund um das Endgerät dauerhaft bekannt und durchsetzbar ist – genau die Lücke, die viele heutige Setups offenlassen.

4. deviceTRUST als kontinuierliche Kontrollinstanz

 

deviceTRUST bringt im Citrix-Kontext im Wesentlichen drei Dinge zusammen:

  1. Erfassung eines sehr detaillierten Gerätekontextes

Beispiele:

  • Betriebssystem-Version und Patchstand
  • Zustand von Antivirus / EDR / Firewall
  • Verschlüsselungsstatus der Festplatte
  • eingesetztes Netzwerk (Name, Verschlüsselung, Kategorie)
  • Standort / Geoinformation
  • Domänenzugehörigkeit, AD-Attribute, Compliance-Informationen aus MDM
  1. Laufende Neubewertung während der Session

Statt nur beim Verbindungsaufbau zu prüfen, beobachtet deviceTRUST Veränderungen:

  • WLAN-Wechsel von Firmennetz auf Hotel-WLAN
  • Deaktivierung des Virenschutzes
  • Wechsel von verwaltetem auf unverwaltetes Netz
  • Anschließen neuer Peripherie oder Änderung von Systemeinstellungen
  1. Durchsetzung von Richtlinien direkt in der Citrix-Session

deviceTRUST kann nicht nur „Zugang ja/nein“, sondern vor allem feingranulare Reaktionen auslösen, zum Beispiel:

  • Session blockieren oder abmelden
  • Zugriff auf bestimmte Anwendungen verweigern
  • Zwischenablage, Laufwerksmapping, Druckerzugriff, Dateidownload einschränken
  • nur noch Read-only-Zugriff auf definierte Ressourcen erlauben
  • Benutzer auffordern, definierte Maßnahmen zu ergreifen (z. B. VPN aktivieren, WLAN wechseln, AV einschalten)

Der entscheidende Unterschied zu klassischen Modellen:

Der Sicherheitsstatus ist damit kein statischer Zustand, der beim Login einmal festgestellt wird, sondern eine lebende Größe, die jederzeit neu bewertet wird.

5. Konkrete Szenarien aus der Praxis

 

Ein paar typische Szenarien zeigen, wie sich das im Alltag auswirkt.

 5.1 BYOD mit sensiblem Zugriff

  • Mitarbeitende nutzen private Laptops, um über Citrix auf Fachanwendungen zuzugreifen.
  • Anforderungen:
  • Kein dauerhaftes VPN auf private Geräte
  • trotzdem Schutz sensibler Daten (Kunden- oder Gesundheitsdaten, Finanzsysteme)

Mit deviceTRUST kannst du u. a. festlegen:

  • Zugriff auf kritische Apps nur, wenn:
  • aktuelle Patches vorhanden sind
  • eine definierte AV-Lösung aktiv ist
  • das Gerät keine offensichtlichen Sicherheitsmängel hat
  • Wird eine Bedingung nicht mehr erfüllt, können:
  • bestimmte Apps automatisch gesperrt
  • Downloads unterbunden
  • die Session kontrolliert beendet werden

 5.2 Risikoreiche Netze und Länder

  • User meldet sich zunächst über ein vertrauenswürdiges Firmen-WLAN an
  • wechselt später ins Hotel-WLAN oder in ein Land, das als risikoreich eingestuft ist

Mögliche Policies:

  • bei bestimmten Ländern:
  • Zugriff auf besonders kritische Systeme komplett sperren
  • nur noch Zugriff auf definierte, low-risk Anwendungen zulassen
  • bei unsicheren WLANs:
  • Dateiübertragung, Druck und Zwischenablage deaktivieren
  • reine View-only-Sessions erlauben

5.3 Compliance-Anforderungen (NIS2, DORA, ISO 27001)

Viele Regulierungen verlangen, dass:

  • nur vertrauenswürdige Endgeräte Zugriff auf sensible Systeme erhalten
  • der Zugriff nachvollziehbar und kontrollierbar ist
  • Risiken durch Remote Work aktiv adressiert werden

Mit deviceTRUST kannst du nachweisbar zeigen:

  • welche Bedingungen ein Endgerät erfüllen muss
  • wie diese Bedingungen während der Nutzung geprüft werden
  • welche Reaktionen bei Verstößen automatisch greifen

Damit wird dein Citrix-Workspace von „wir vertrauen dem Endpoint nach Login“ zu einem steuerbaren, auditierbaren Sicherheitsraum.

6. Was sich für Betrieb und Organisation ändert

 

Ein Zero-Trust-Ansatz mit deviceTRUST ist keine rein technische Übung. Drei Punkte solltest du früh adressieren:

6.1 Zusammenarbeit von Citrix- und Security-Team

  • Policies müssen gemeinsam definiert werden:
  • Welche Anwendungen sind wie kritisch?
  • Welche Gerätestati gelten als akzeptabel?
  • Was passiert im Störfall (Block vs. Degradierung)?
  • Citrix-Team bringt:
  • Wissen über Applikationen, Arbeitsweisen, technische Grenzen
  • Security / GRC bringt:
  • Compliance-Anforderungen
  • Risikobewertung und Governance

6.2 Kommunikation mit Fachbereichen und Endanwendern

Zero Trust verändert sichtbar das Verhalten der Umgebung:

  • Plötzlich ist ein Zugriff möglicherweise blockiert,
  • Funktionen wie Zwischenablage oder Drucker sind nicht immer verfügbar,
  • Meldungen „Ihr Gerät erfüllt aktuell nicht alle Sicherheitsanforderungen“ tauchen auf.

Ohne begleitende Kommunikation entsteht schnell der Eindruck: „IT blockiert wieder alles.“

Wichtig sind daher:

  • klare, verständliche Erklärungen („Warum passiert das?“)
  • Self-Service-orientierte Hinweise („Was kann ich tun, um wieder vollen Zugriff zu bekommen?“)
  • Pilotphasen mit ausgewählten Bereichen, bevor du Policies global drehst

6.3 Iteratives Vorgehen statt Big Bang

Statt sofort das komplette Unternehmen mit harten Policies zu überziehen, hat sich in Projekten ein stufenweises Vorgehen bewährt:

  1. Transparenzphase
  • deviceTRUST einführen, aber zunächst nur **beobachten und loggen**
  • analysieren, welche Endgeräte- und Netzwerksituationen tatsächlich vorkommen
  1. Soft-Policy-Phase
  • Policies definieren, aber zunächst nur **Warnungen** anzeigen
  • Auswirkungen messen, Feedback einholen
  1. Härtungsphase
  • schrittweise Verschärfung: zuerst für besonders kritische Anwendungen und Daten
  • kontinuierliche Anpassung der Regeln anhand von Erfahrungen

So erreichst du echten Sicherheitsgewinn, ohne den produktiven Betrieb zu überfahren.


Fazit:

 

deviceTRUST ist kein Add-on, sondern der fehlende Baustein für Zero Trust mit Citrix

Viele Citrix-Umgebungen haben in den letzten Jahren Identity, VPN und Endpoint Security modernisiert, aber den Zugriff über virtuelle Desktops und Apps weiterhin nach einem vertrauten Modell betrieben: Einmaliger Login, dann „läuft die Session“.

Mit der Integration von deviceTRUST in die Citrix-Welt lässt sich dieses Modell sauber in Richtung Zero Trust weiterentwickeln:

  • kontinuierliche Bewertung des Endgeräte- und Kontextzustands
  • feingranulare Kontrolle innerhalb der Citrix-Sitzung
  • nachweisbare Erfüllung von Sicherheits- und Compliance-Anforderungen im Remote-Work-Szenario

 

Für den gehobenen Mittelstand heißt das:

Du musst weder auf flexibles Arbeiten noch auf BYOD verzichten, kannst aber trotzdem belegen, dass sensible Anwendungen nur von Geräten und in Situationen genutzt werden, die deinen Sicherheitsanforderungen entsprechen.

 


 

Sie möchten mehr Infos?

Wir sind für Sie da.

Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen?
Wir sind gerne für Sie da.

 

HEIKO WESSELS

+49 89 71040920

heiko@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Blogbeitrag

Echtes Zero Trust im Citrix-Workspace mit deviceTRUST

Conditional Access prüft beim Login, deviceTRUST während der gesamten Citrix-Session: kontinuierlich und kontextbasiert. Wie du deine Citrix-Umgebung zu einem Zero-Trust-Workspace weiterentwickelst, der Security-Anforderungen und Alltag der Fachbereiche zusammenbringt.
Weiterlesen
Blogbeitrag

Secure Boot 2026: Warum Unternehmen jetzt handeln sollten

2026 laufen wichtige Secure-Boot-Zertifikate ab – erfahren Sie, warum Unternehmen ihre Systeme schon heute prüfen und vorbereiten sollten.
Weiterlesen
Blogbeitrag

KI wirtschaftlich einsetzen: Warum der richtige Workflow wichtiger ist als der Prompt

Mit der verbrauchsabhängigen Abrechnung von Microsoft Copilot Cowork wird Wirtschaftlichkeit im KI-Einsatz zur operativen Frage. Der Artikel zeigt, warum nicht der Prompt, sondern vor allem der passende Workflow über Aufwand, Transparenz und Nutzen entscheidet.
Weiterlesen
Blogbeitrag

US-Urteil zur FTC: Handlungsbedarf für Microsoft-Kunden?

Das Urteil des US Supreme Court zur FTC sorgt für neue Fragen rund um das EU-US Data Privacy Framework. Wir ordnen ein, was das für Microsoft 365, Azure und die nächsten Schritte in der Praxis bedeutet.
Weiterlesen
Blogbeitrag

Die neue Infrastrukturkostenkrise

Hardwarepreise steigen, Virtualisierungslizenzen werden teurer, Energiekosten unberechenbarer. Wer jetzt einfach verlängert, trifft eine Entscheidung, ohne neu gerechnet zu haben. Was sich gerade verändert und warum es sich lohnt, die eigene Infrastruktur neu zu bewerten.
Weiterlesen
Provectus Team
Blogbeitrag

25 Jahre Provectus: Eine Reise, die im Biergarten begann 

Christian Jupe und Josef Lang blicken auf 25 Jahre Provectus zurück: von den ersten Ideen im Biergarten über prägende Kundenprojekte bis zur heutigen Vision als Smart-Work- und Business-Partner. Im Interview sprechen sie über Unternehmenskultur, Werte, Wandel und die Zukunft mit KI.
Weiterlesen
Blogbeitrag

Vom Trainee-Programm ins Kundenprojekt: Unser Rückblick auf acht intensive Monate

Unsere Trainees berichten von den ersten Monaten im Provectus-Traineeprogramm, geben Einblicke in Workshops, Lernphasen und den täglichen Einsatz von KI-Tools und zeigen, wie sie auf ihre Rolle als Junior Professionals vorbereitet werden.
Weiterlesen
Webinar

Moderne Apps brauchen moderne Plattformen: Warum der Betrieb über Ihren Erfolg entscheidet

Für alle, die verstehen wollen, warum Cloud-Projekte nicht an der Migration scheitern, sondern im Betrieb. Unternehmen kämpfen mit steigenden Kosten, fehlender Transparenz und neuen Risiken. Der Grund: Cloud ist kein Infrastrukturthema, sondern ein Betriebsmodell mit klaren Anforderungen.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution 2026

Wir sind dabei und freuen uns auf einen spannenden Austausch zur Transformation von IT Workplaces. Besuchen Sie unseren Vortrag von Danny Kopper, Principal Consultant & Michael Mahlbacher, Leiter Arbeitsplatz bei MLP Finanzberatung SE zum Thema: Microsoft-Lizenzen optimal nutzen
Weiterlesen
Webinar

DORA-konformer Cloud-Betrieb: So setzen Sie Anforderungen praxisnah um

WEBINAR, 18.06: DORA-konformer Cloud-Betrieb praxisnah erklärt: Erfahren Sie im Webinar, wie Finanzunternehmen regulatorische Anforderungen wirksam, prüfbar und dauerhaft im IT-Betrieb umsetzen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter