Hi,

Wir wollen jetzt erreichen, daß man das Script NICHT händig im Browser z.B. durch
  http://xyz.domain.de/script.php?param1=value1
aufrufen kann.

unmöglich. Ressourcen über HTTP sind frei bzw. nach Authentifizierung zugänglich - unabhängig von der verwendeten Methode.

Hat jemand eine Ahnung, wie man so etwas effizient und performant realisieren könnte?

Ich habe mehr als nur die Ahnung, daß man es _nicht_ realisieren kann.

Sowas habe ich halt auch schon vermutet bzw. mir gedacht.

Warum willst Du sowas überhaupt?

Aus Sicherheitsgründen, der generierte Quellcode des entsprechenden Skriptes soll dem User möglichst verborgen bleiben.