Zero Trust - Modernes Sicherheitsarchitekturprinzip
Zero Trust ist ein Sicherheitsparadigma, das auf dem Grundsatz 'never trust, always verify' basiert: Kein Benutzer, Gerät oder Netzwerkbereich wird implizit vertraut - jeder Zugriff wird explizit verifiziert.
Inhaltsverzeichnis (6 Abschnitte)
Kurzerklärung: Zero Trust ersetzt das veraltete Perimetermodell ('trusted inside, untrusted outside') durch kontinuierliche Verifikation: Identität (wer?), Gerät (Gesundheitsstatus?), Kontext (Ort, Zeit, Verhalten). Kernprinzipien: Verify Explicitly, Least Privilege Access, Assume Breach. NIST SP 800-207, Microsoft Zero Trust, Google BeyondCorp. Technische Bausteine: Identity Provider (Azure AD/Okta), MDM/EDR für Device Trust, Microsegmentierung, CASB, SASE.
Zero Trust (wörtlich: kein Vertrauen) ist ein Sicherheitsarchitekturparadigma, das 2010 von John Kindervag bei Forrester Research eingeführt wurde. Der Kern: Das traditionelle Modell, bei dem allem innerhalb des Unternehmensnetzwerks automatisch vertraut wird, ist in einer Welt von Cloud-Diensten, Remote Work und Advanced Persistent Threats (APT) grundlegend falsch.
Das Prinzip lautet: "Never trust, always verify."
Das Problem mit dem traditionellen Perimeter-Modell
Klassische Netzwerksicherheit funktioniert wie eine Burg mit Burggraben: Außen stark gesichert (Firewall, IDS), aber einmal drin vertraut man sich untereinander. Dieses Castle-and-Moat-Modell hat drei kritische Schwächen:
- Insider Threats: Mitarbeiter, Auftragnehmer oder kompromittierte Accounts haben nach Überwindung des Perimeters weitgehend freie Hand
- Lateral Movement: Hat ein Angreifer initialen Zugang, kann er sich im flachen Netzwerk frei bewegen
- Cloud und Remote Work haben den Perimeter aufgelöst: Daten liegen in AWS, Nutzer arbeiten von zuhause, SaaS-Anwendungen laufen außerhalb des Unternehmensnetzwerks
Die fünf Säulen von Zero Trust (nach NIST SP 800-207)
1. Identität (Identity)
Identität ist der neue Perimeter. Jeder Zugriff auf Ressourcen erfordert eine starke Authentifizierung:
- Multi-Faktor-Authentifizierung (MFA) als Mindestanforderung
- Conditional Access: Zugriff abhängig von Gerätestatus, Standort, Uhrzeit und Risikoniveau
- Privileged Access Management (PAM): Administrative Zugänge werden zeitlich begrenzt und protokolliert
- Identity Governance: Regelmäßige Rezertifizierung von Zugriffsrechten
2. Geräte (Devices)
Nur bekannte, verwaltete und konforme Geräte erhalten Zugriff:
- Mobile Device Management (MDM) / Unified Endpoint Management (UEM)
- Device Compliance Checks vor Zugriffsgewährung (Patch-Stand, Antivirus, Festplattenverschlüsselung)
- Zertifikatbasierte Geräteauthentifizierung
- Isolierung nicht-konformer Geräte in Quarantäne-VLAN
3. Netzwerk (Network)
Mikrosegmentierung ersetzt das flache Netzwerk:
- Mikrosegmentierung: Workloads und Anwendungen werden in isolierte Segmente aufgeteilt. Ost-West-Traffic (intern) wird ebenso strikt gefiltert wie Nord-Süd-Traffic (extern)
- Software-Defined Perimeter (SDP): Ressourcen werden nur für berechtigte Nutzer sichtbar
- Verschlüsselung aller Verbindungen: TLS 1.3 für alle Datenübertragungen, auch intern
4. Anwendungen (Applications)
Anwendungen werden nicht mehr implizit vertraut, nur weil sie im Intranet liegen:
- Anwendungsbasierte Zugriffskontrolle statt netzwerkbasierter
- API-Gateways für alle Anwendungs-APIs mit Authentifizierung und Autorisierung
- Zero-Trust-Network-Access (ZTNA) als VPN-Ersatz: Nutzer erhalten direkten, verschlüsselten Zugang nur zu den spezifischen Anwendungen, die sie brauchen
- Continuous Application Security Testing (SAST, DAST)
5. Daten (Data)
Datenzentrierte Sicherheit:
- Datenklassifizierung: Wer braucht welche Daten wirklich?
- Data Loss Prevention (DLP): Verhinderung unautoriserter Datentransfers
- Verschlüsselung at rest und in transit für alle sensitiven Daten
- Information Rights Management (IRM): Dokumente sind auch außerhalb des Unternehmens geschützt
Zero Trust Implementation nach CISA Maturity Model
Das CISA Zero Trust Maturity Model (2023) beschreibt drei Reifegrade:
| Reifegrad | Beschreibung |
|---|---|
| Traditional | Statische Sicherheitskontrollen, manuelle Prozesse, kaum Automatisierung |
| Advanced | Attributbasierte Zugriffskontrolle, Integration von Identitäts- und Netzwerklösungen, teilautomatisiert |
| Optimal | Dynamische Richtlinien, vollständige Automatisierung, KI-gestützte Anomalieerkennung |
Häufige Fehler bei der Zero-Trust-Einführung
"Zero Trust als Produkt kaufen"
Zero Trust ist keine einzelne Technologie, sondern eine Philosophie und Architekturprinzip. Kein Anbieter kann "Zero Trust" vollständig liefern - es erfordert eine strategische Transformation über Monate und Jahre.
Zu breiter Scope von Anfang an
Empfohlener Ansatz: Mit dem höchsten Risiko starten - typisch privilegierte Zugänge und kritische Anwendungen. Dann schrittweise ausweiten.
Fehlende Change-Management-Begleitung
Zero Trust ändert fundamental, wie Mitarbeiter arbeiten. Ohne Schulung und Kommunikation führt es zu Reibung und Umgehungsstrategien (Schatten-IT).
Legacy-Systeme ignorieren
Nicht alle Systeme sind Zero-Trust-fähig. Legacy-Anwendungen ohne API-Authentifizierung oder mit hart kodierten Netzwerkverbindungen erfordern Kompensationsmaßnahmen oder Ablösung.
Zero Trust in der Praxis: Technologiebausteine
| Bereich | Technologien |
|---|---|
| Identity & Access | Azure AD / Entra ID, Okta, Ping Identity, CyberArk |
| Endpoint | Microsoft Intune, VMware Workspace ONE, CrowdStrike |
| Network | Zscaler, Palo Alto Prisma, Cisco Umbrella |
| Workload | AWS IAM, Kubernetes NetworkPolicies, Service Mesh |
| Data | Microsoft Purview, Varonis, Forcepoint DLP |
| Visibility | SIEM, SOAR, UEBA (User Entity Behavior Analytics) |
Zero Trust und regulatorische Anforderungen
Zero Trust unterstützt direkt die Erfüllung von:
- NIS2: Netzwerksegmentierung, MFA, Zugriffsmanagement sind explizit gefordert
- ISO 27001: Annex A Controls für Access Control, Cryptography, Network Security
- DSGVO: Datenschutz by Design, Zugriffsprotokollierung, Data Minimization
- DORA (Finanzsektor): ICT Risk Management, Incident Reporting, Third-Party Risk
Weiterführende Informationen: AWARE7 Beratung zur Sicherheitsarchitektur
-
Entdeckung: Von unabhängigen Forschern, staatlichen Akteuren oder Kriminellen
-
Schwachstellen-Broker: Zero-Days werden teils für hunderttausende bis Millionen Dollar gehandelt (Zerodium, staatliche Einkäufer)
-
Ausnutzung: Oft monatelang verdeckt genutzt, bevor Entdeckung droht
-
Disclosure: Responsible Disclosure (koordiniert mit Hersteller) oder Full Disclosure (öffentlich)
-
Patch: Hersteller veröffentlicht Fix
-
CVE-Zuweisung: Offizieller Eintrag im CVE-Verzeichnis
-
Peggy geht in die Höhle und wählt zufällig Eingang A oder B (Victor sieht nicht welchen)
-
Victor ruft von außen: "Komm aus Eingang A raus!" (zufällige Wahl)
-
Wenn Peggy das Passwort kennt: sie kann immer durch den richtigen Eingang kommen
-
Ohne Passwort: 50% Chance auf Erfolg (falscher Eingang → kein Durchkommen)
-
Nach 20 Wiederholungen: Wahrscheinlichkeit des Schummels = (1/2)^20 = 0,000095%
| Merkmal | Traditionelles VPN | ZTNA |
|---|---|---|
| Zugangsmodell | Netzwerk-Level (alles) | Anwendungs-Level (granular) |
| Lateral Movement | Möglich nach VPN-Zugang | Nicht möglich (kein Netzwerkzugang) |
| Gerätestatus | Nicht geprüft | Kontinuierlich geprüft |
| Standort/Kontext | Nicht bewertet | Risiko-adaptiv |
| Skalierung | Zentrale Gateways | Cloud-native, keine Hardware |
| User Experience | Split-Tunnel-Probleme | App-spezifisch, transparent |
| Zero-Day-VPN-CVE | Angriffsfläche groß | Kein öffentlich exponiertes VPN |
| Anbieter | Besonderheit |
|---|---|
| Zscaler Private Access (ZPA) | Marktführer, Cloud-native |
| Cloudflare Access | Günstig, einfach, hohe Performance |
| Microsoft Entra Private Access | Azure AD-Integration, M365-nativ |
| Palo Alto Prisma Access | NGFW-Integration, SASE-Plattform |
| Cisco Secure Access | Umbrella-Integration |
| Check Point Harmony Connect | SMB-freundlich |
- Identität (Woche 1-4): Alle User in MFA-fähiges IAM (Entra ID, Okta); Conditional Access: MFA für alle Anwendungszugriffe
- Geräteverwaltung (Woche 4-8): MDM (Intune/Jamf) für alle Geräte; Gerätecompliance-Policies definieren; ZTNA akzeptiert nur konforme Geräte
- Anwendungs-Discovery (Woche 8-12): Welche Anwendungen brauchen Remote-Zugang? ZTNA-Connectoren vor jede Anwendung
- VPN ersetzen (Woche 12-20): Parallel ZTNA und VPN aktiv; Migration Abteilung für Abteilung; VPN deaktivieren wenn 100% migriert
- Zero Trust fortführen: Mikrosegmentierung interne Netzwerke; UEBA, kontinuierliche Risikoanalyse
Quellen & Referenzen
- [1] NIST SP 800-207 - Zero Trust Architecture - National Institute of Standards and Technology
- [2] Forrester Research - The Definition of Modern Zero Trust - Forrester Research
- [3] BSI - Zero Trust Architekturen - Bundesamt für Sicherheit in der Informationstechnik
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
11 Publikationen
- Understanding Regional Filter Lists: Efficacy and Impact (2025)
- Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem (2025)
- A Platform for Physiological and Behavioral Security (2025)
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers (2024)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- People, Processes, Technology - The Cybersecurity Triad (2023)
- Social Media Scraper im Einsatz (2021)
- Digital Risk Management (DRM) (2020)
- New Work - Die Herausforderungen eines modernen ISMS (2024)
