Hi,

Wir wollen jetzt erreichen, daß man das Script NICHT händig im Browser z.B. durch
  http://xyz.domain.de/script.php?param1=value1
aufrufen kann.

unmöglich. Ressourcen über HTTP sind frei bzw. nach Authentifizierung zugänglich - unabhängig von der verwendeten Methode.

Der REFERER taugt hierzu übrigens nicht,

Er taugt auch dann nicht, wenn der Aufwand für Dich minimal wäre. Bedenke, daß Du damit auch "korrekte" Zugriffe abblockst, weil der Header von vielen Systemen verfälscht wird; und andererseits der Aufwand, die Ressource trotzdem zu holen, nur minimal steigt.

Hat jemand eine Ahnung, wie man so etwas effizient und performant realisieren könnte?

Ich habe mehr als nur die Ahnung, daß man es _nicht_ realisieren kann. Warum willst Du sowas überhaupt?

Cheatah