Zero Trust - Modernes Sicherheitsarchitekturprinzip
Zero Trust ist ein Sicherheitsparadigma, das auf dem Grundsatz 'never trust, always verify' basiert: Kein Benutzer, Gerät oder Netzwerkbereich wird implizit vertraut - jeder Zugriff wird explizit verifiziert.
Inhaltsverzeichnis (6 Abschnitte)
Zero Trust (wörtlich: kein Vertrauen) ist ein Sicherheitsarchitekturparadigma, das 2010 von John Kindervag bei Forrester Research eingeführt wurde. Der Kern: Das traditionelle Modell, bei dem allem innerhalb des Unternehmensnetzwerks automatisch vertraut wird, ist in einer Welt von Cloud-Diensten, Remote Work und Advanced Persistent Threats (APT) grundlegend falsch.
Das Prinzip lautet: “Never trust, always verify.”
Das Problem mit dem traditionellen Perimeter-Modell
Klassische Netzwerksicherheit funktioniert wie eine Burg mit Burggraben: Außen stark gesichert (Firewall, IDS), aber einmal drin vertraut man sich untereinander. Dieses Castle-and-Moat-Modell hat drei kritische Schwächen:
- Insider Threats: Mitarbeiter, Auftragnehmer oder kompromittierte Accounts haben nach Überwindung des Perimeters weitgehend freie Hand
- Lateral Movement: Hat ein Angreifer initialen Zugang, kann er sich im flachen Netzwerk frei bewegen
- Cloud und Remote Work haben den Perimeter aufgelöst: Daten liegen in AWS, Nutzer arbeiten von zuhause, SaaS-Anwendungen laufen außerhalb des Unternehmensnetzwerks
Die fünf Säulen von Zero Trust (nach NIST SP 800-207)
1. Identität (Identity)
Identität ist der neue Perimeter. Jeder Zugriff auf Ressourcen erfordert eine starke Authentifizierung:
- Multi-Faktor-Authentifizierung (MFA) als Mindestanforderung
- Conditional Access: Zugriff abhängig von Gerätestatus, Standort, Uhrzeit und Risikoniveau
- Privileged Access Management (PAM): Administrative Zugänge werden zeitlich begrenzt und protokolliert
- Identity Governance: Regelmäßige Rezertifizierung von Zugriffsrechten
2. Geräte (Devices)
Nur bekannte, verwaltete und konforme Geräte erhalten Zugriff:
- Mobile Device Management (MDM) / Unified Endpoint Management (UEM)
- Device Compliance Checks vor Zugriffsgewährung (Patch-Stand, Antivirus, Festplattenverschlüsselung)
- Zertifikatbasierte Geräteauthentifizierung
- Isolierung nicht-konformer Geräte in Quarantäne-VLAN
3. Netzwerk (Network)
Mikrosegmentierung ersetzt das flache Netzwerk:
- Mikrosegmentierung: Workloads und Anwendungen werden in isolierte Segmente aufgeteilt. Ost-West-Traffic (intern) wird ebenso strikt gefiltert wie Nord-Süd-Traffic (extern)
- Software-Defined Perimeter (SDP): Ressourcen werden nur für berechtigte Nutzer sichtbar
- Verschlüsselung aller Verbindungen: TLS 1.3 für alle Datenübertragungen, auch intern
4. Anwendungen (Applications)
Anwendungen werden nicht mehr implizit vertraut, nur weil sie im Intranet liegen:
- Anwendungsbasierte Zugriffskontrolle statt netzwerkbasierter
- API-Gateways für alle Anwendungs-APIs mit Authentifizierung und Autorisierung
- Zero-Trust-Network-Access (ZTNA) als VPN-Ersatz: Nutzer erhalten direkten, verschlüsselten Zugang nur zu den spezifischen Anwendungen, die sie brauchen
- Continuous Application Security Testing (SAST, DAST)
5. Daten (Data)
Datenzentrierte Sicherheit:
- Datenklassifizierung: Wer braucht welche Daten wirklich?
- Data Loss Prevention (DLP): Verhinderung unautoriserter Datentransfers
- Verschlüsselung at rest und in transit für alle sensitiven Daten
- Information Rights Management (IRM): Dokumente sind auch außerhalb des Unternehmens geschützt
Zero Trust Implementation nach CISA Maturity Model
Das CISA Zero Trust Maturity Model (2023) beschreibt drei Reifegrade:
| Reifegrad | Beschreibung |
|---|---|
| Traditional | Statische Sicherheitskontrollen, manuelle Prozesse, kaum Automatisierung |
| Advanced | Attributbasierte Zugriffskontrolle, Integration von Identitäts- und Netzwerklösungen, teilautomatisiert |
| Optimal | Dynamische Richtlinien, vollständige Automatisierung, KI-gestützte Anomalieerkennung |
Häufige Fehler bei der Zero-Trust-Einführung
”Zero Trust als Produkt kaufen”
Zero Trust ist keine einzelne Technologie, sondern eine Philosophie und Architekturprinzip. Kein Anbieter kann “Zero Trust” vollständig liefern - es erfordert eine strategische Transformation über Monate und Jahre.
Zu breiter Scope von Anfang an
Empfohlener Ansatz: Mit dem höchsten Risiko starten - typisch privilegierte Zugänge und kritische Anwendungen. Dann schrittweise ausweiten.
Fehlende Change-Management-Begleitung
Zero Trust ändert fundamental, wie Mitarbeiter arbeiten. Ohne Schulung und Kommunikation führt es zu Reibung und Umgehungsstrategien (Schatten-IT).
Legacy-Systeme ignorieren
Nicht alle Systeme sind Zero-Trust-fähig. Legacy-Anwendungen ohne API-Authentifizierung oder mit hart kodierten Netzwerkverbindungen erfordern Kompensationsmaßnahmen oder Ablösung.
Zero Trust in der Praxis: Technologiebausteine
| Bereich | Technologien |
|---|---|
| Identity & Access | Azure AD / Entra ID, Okta, Ping Identity, CyberArk |
| Endpoint | Microsoft Intune, VMware Workspace ONE, CrowdStrike |
| Network | Zscaler, Palo Alto Prisma, Cisco Umbrella |
| Workload | AWS IAM, Kubernetes NetworkPolicies, Service Mesh |
| Data | Microsoft Purview, Varonis, Forcepoint DLP |
| Visibility | SIEM, SOAR, UEBA (User Entity Behavior Analytics) |
Zero Trust und regulatorische Anforderungen
Zero Trust unterstützt direkt die Erfüllung von:
- NIS2: Netzwerksegmentierung, MFA, Zugriffsmanagement sind explizit gefordert
- ISO 27001: Annex A Controls für Access Control, Cryptography, Network Security
- DSGVO: Datenschutz by Design, Zugriffsprotokollierung, Data Minimization
- DORA (Finanzsektor): ICT Risk Management, Incident Reporting, Third-Party Risk
Weiterführende Informationen: AWARE7 Beratung zur Sicherheitsarchitektur
Quellen & Referenzen
- [1] NIST SP 800-207 - Zero Trust Architecture - National Institute of Standards and Technology
- [2] Forrester Research - The Definition of Modern Zero Trust - Forrester Research
- [3] BSI - Zero Trust Architekturen - Bundesamt für Sicherheit in der Informationstechnik
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
17 Publikationen
- Understanding the Privacy Implications of Browser Extensions (2025)
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Security Awareness Trainings - A Scientometric Analysis (2024)
- Understanding Dark Patterns in Chatbots (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Analyzing Cybersecurity Risk with a Phishing Simulation Website (2024)
- The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting (2023)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- Building a Cybersecurity Awareness Program for SMEs (2022)
- Rethinking Cookie Banners: How to Comply with the GDPR and Still not Annoy Users (2022)
- An Empirical Analysis on the Use and Reporting of National Security Letters (2022)
- Comparing Approaches for Secure Communication in E-Mail-Based Business Processes (2022)
- Phish and Chips: Experiences from an Automated Phishing System (2022)
- Digital Risk Management (DRM) (2020)
- Social Media Scraper im Einsatz (2021)
- People, Processes, Technology — The Cybersecurity Triad (2023)
- New Work — Die Herausforderungen eines modernen ISMS (2024)
