Kim Icon
Vertrauen Sie Ihren Mitarbeitenden? Ihrer IT-Infrastruktur? Ihren Partnern? Wenn die Antwort „ja“ lautet, dann ist das aus Sicherheitsperspektive ein Problem. Zero Trust bedeutet nicht Misstrauen gegenüber Menschen – es bedeutet, dass kein System, kein Gerät und kein Konto automatisch vertrauenswürdig ist. Und das ist heute keine Ideologie mehr, sondern schlichte Notwendigkeit.
Stellen Sie sich ein mittelalterliches Schloss vor. Außen hohe Mauern, ein schwerer Torweg, eine Zugbrücke. Wer einmal drin ist, bewegt sich frei. Das war das klassische Modell der IT-Sicherheit: starke Grenzen nach außen, Vertrauen nach innen. Wer ins Netzwerk kam – per VPN, im Büro, per Partneranbindung – war im Prinzip vertrauenswürdig.
Das Problem: Dieser Perimeter hat sich aufgelöst. Cloud-Dienste sind außerhalb des klassischen Netzwerks. Mitarbeitende arbeiten von Zuhause, aus Cafés, von unterwegs. Partnerunternehmen haben Zugänge. SaaS-Anwendungen verarbeiten sensible Daten in Rechenzentren, die niemand mehr physisch kontrolliert. Der Perimeter existiert nicht mehr – und dennoch wurde lange so getan, als ob.
Das Ergebnis: Wer den Perimeter überwand – durch einen gestohlenen VPN-Zugangsdaten, einen kompromittierten Lieferanten, eine Phishing-Mail – bewegte sich anschließend im Netzwerk wie zu Hause. Lateral, ungehindert, oft tagelang unbemerkt.
Zero Trust ist die Antwort auf diese Realität. Das Prinzip: Vertraue niemandem. Verifikation für jeden Zugriff, auf jede Ressource, zu jeder Zeit. Nicht einmal dem eigenen Administrator-Account. Nicht einmal dem Server im eigenen Rechenzentrum.
Das Team von digital-magazin.de hat sich intensiv mit Zero Trust beschäftigt – und mit der Frage, warum viele Unternehmen zwar darüber reden, aber kaum eines es wirklich konsequent umsetzt.
Zero Trust ist kein einzelnes Produkt und kein einzelnes Tool. Es ist ein Sicherheitsframework, das auf drei Grundprinzipien basiert:
1. Explizit verifizieren: Jeder Zugriff muss explizit authentifiziert und autorisiert werden – basierend auf allen verfügbaren Datenpunkten: Identität des Nutzenden, Gesundheitszustand des Geräts, Standort, Uhrzeit, Netzwerkzustand, Art der angefragten Ressource. Kein „einmal angemeldet, immer vertrauenswürdig“. Jede Sitzung, jede Anfrage wird neu bewertet.
2. Least Privilege: Jede Person, jedes System, jede Anwendung erhält nur die minimalen Rechte, die für die aktuelle Aufgabe nötig sind. Ein Vertriebsmitarbeitender braucht keinen Zugang zu Personalakten. Eine Anwendung, die nur Daten liest, braucht keine Schreibrechte. Privilegien werden nicht dauerhaft erteilt, sondern bei Bedarf temporär aktiviert.
3. Assume Breach: Gehe davon aus, dass ein Angreifer bereits im Netzwerk ist. Plane nicht nur für den Fall „wir werden angegriffen“, sondern für den Fall „wir wurden bereits angegriffen“. Das verändert die Verteidigungsstrategie fundamental: statt primär am Perimeter zu schützen, wird jede Interaktion im Inneren überwacht und bewertet.
Diese drei Prinzipien klingen theoretisch. Was bedeuten sie praktisch? Beispielsweise: Ein Mitarbeitender meldet sich per Laptop von einer unbekannten IP-Adresse an. Das System erkennt: unbekanntes Gerät, ungewöhnlicher Standort, zweiter Anmeldeversuch innerhalb einer Stunde. Die Risikobewertung steigt. Das System fordert eine zweite Verifikation, schränkt den Zugang auf bestimmte Anwendungen ein und benachrichtigt das Security-Team – alles automatisch, ohne manuellen Eingriff.
Wie KI-Systeme dabei helfen können, verdächtige Zugriffsmuster zu erkennen, ist ein wachsendes Forschungsfeld – und ein wichtiger Baustein moderner Zero-Trust-Implementierungen.
Niemand implementiert Zero Trust über Nacht. Das ist eine der wichtigsten Erkenntnisse aus realen Projekten. Der Übergang ist ein mehrjähriger Prozess, der schrittweise erfolgt und bei dem Prioritäten gesetzt werden müssen.
Typische Reiseroute:
Phase 1: Identitäten absichern. Multi-Faktor-Authentifizierung für alle Konten – nicht nur für privilegierte Accounts. Single Sign-On (SSO) mit zentraler Identitätsverwaltung. Überwachung von Anmeldeverhalten auf Anomalien. Das ist die Grundlage, ohne die Zero Trust nicht funktioniert.
Phase 2: Geräte einbinden. Nur verwaltete, gesundheitlich überprüfte Geräte erhalten Zugang zu kritischen Ressourcen. Mobile Device Management (MDM) und Endpoint Detection and Response (EDR) sind dabei essenziell. Wer sich mit einem kompromittierten Laptop anmeldet, soll keinen Zugang bekommen – auch wenn die Zugangsdaten stimmen.
Phase 3: Netzwerk segmentieren. Statt eines großen, flachen Netzwerks: Mikrosegmentierung. Jeder Bereich des Netzwerks wird separat gesichert. Ein kompromittiertes System kann sich nicht frei lateral bewegen, weil es an jeder Zonengrenze erneut verifiziert werden müsste.
Phase 4: Anwendungen absichern. Jede Anwendung – intern und extern – wird einzeln gesichert. Zugang über einen Identity-Aware Proxy, der jede Anfrage überprüft. VPN wird schrittweise durch ZTNA (Zero Trust Network Access) ersetzt.
Phase 5: Daten schützen. Klassifizierung von Daten nach Sensitivität. Verschlüsselung, Zugriffskontrollen auf Dateiebene, Data Loss Prevention. Wer Daten exfiltrieren will, stößt auch auf dieser Ebene auf Widerstand.
Microsoft, Google und andere Technologiegiganten haben Zero Trust als verbindlichen Standard für ihre eigene Infrastruktur eingeführt und dokumentieren ihre Erfahrungen transparent. Das Microsoft Zero Trust Framework bietet dabei eine der umfangreichsten öffentlich verfügbaren Anleitungen für Unternehmen jeder Größe.
Mal ehrlich: Die meisten Zero-Trust-Projekte scheitern nicht an der Technologie. Sie scheitern an Menschen und Prozessen.
Das häufigste Problem: Widerstand der Belegschaft. Zero Trust bedeutet für Nutzende mehr Verifikationsschritte, mehr Reibung bei der täglichen Arbeit. Wer bisher einfach seinen Laptop aufgeklappt und gearbeitet hat, wird plötzlich gebeten, sich zusätzlich zu authentifizieren, kann bestimmte Ressourcen nicht mehr direkt erreichen oder wird im Zugriff eingeschränkt. Das ist unbequem. Und unbequeme Sicherheitsmaßnahmen werden umgangen, sobald sich eine Möglichkeit bietet.
Die Lösung liegt in der Gestaltung: Friction muss minimal und proportional sein. Wer risikoarme, alltägliche Aktionen ausführt, sollte kaum Mehraufwand spüren. Wer auf hochsensible Systeme zugreift oder verdächtiges Verhalten zeigt, soll mehr Hürden überwinden. Adaptive Authentifizierung – die das Risiko einer Anfrage bewertet und die Anforderungen entsprechend anpasst – ist der Schlüssel.
Ein weiteres Problem: Unvollständige Implementierung. Zero Trust ist ein Gesamtkonzept. Wer nur ein Teilstück umsetzt – etwa MFA ohne Geräteverwaltung – hat eine halbe Lösung, die ein trügerisches Sicherheitsgefühl erzeugt. Angreifer finden die Lücken, die man offen gelassen hat.
Und schließlich: Fehlende Governance. Zero Trust braucht klare Ownership. Wer entscheidet über Zugriffsrechte? Wer bewertet Anomalien? Wer aktualisiert Richtlinien, wenn Mitarbeitende die Abteilung wechseln oder ausscheiden? Ohne klare Prozesse verkommt die beste Technologie zum nutzlosen Aufwand.
Das BSI hat in seinen Empfehlungen zur Netzwerksicherheit Zero-Trust-Prinzipien als einen der wichtigsten Trends identifiziert und empfiehlt deutschen Unternehmen explizit, eine Zero-Trust-Strategie zu entwickeln – beginnend mit einer ehrlichen Bestandsaufnahme des Status quo.
Zero Trust ist kein Ersatz für bestehende Sicherheitsmaßnahmen – es ist ein Rahmen, der sie ordnet und stärkt. Firewalls bleiben relevant. Antivirenprogramme bleiben sinnvoll. SIEM und SOC bleiben wichtig. Zero Trust gibt all diesen Maßnahmen aber einen konzeptionellen Zusammenhang und schließt die strukturellen Lücken, die im alten Perimeter-Modell entstehen.
Besonders interessant ist die Verbindung zu Identity and Access Management (IAM). Zero Trust ohne robustes IAM ist wie ein Schloss ohne Schlüsselverwaltung. Wer weiß, welche Identitäten existieren, welche Rechte sie haben und welches Verhalten normal für sie ist, kann Anomalien erkennen. Wer das nicht weiß, hat kein Fundament.
Auch Endpoint Security spielt eine zentrale Rolle: Ein Zero-Trust-System, das Gerätezustand nicht überprüft, vertraut einem Laptop, der mit Malware infiziert ist, genauso wie einem sauberen Gerät. Gerätegesundheit – Betriebssystemversion, Patch-Stand, Vorhandensein von Sicherheitssoftware – muss Teil der Zugangsbewertung sein.
Schließlich sollte man Zero Trust und Cloud Security zusammen denken. Cloud-first-Unternehmen profitieren oft am meisten von Zero Trust, weil ihre Ressourcen ohnehin nicht hinter einem klassischen Perimeter liegen. Cloud-native Identity-Aware Proxies, Software-Defined Perimeter und CASB (Cloud Access Security Broker) sind dabei die relevanten Technologien.
Wer die tiefere Verbindung zwischen digitaler Transformation und strukturellen Sicherheitsanforderungen verstehen will, erkennt: Zero Trust ist kein optionales Feature – es ist das Sicherheitsparadigma des digitalen Zeitalters.
Hier liegt eine berechtigte Frage: Zero Trust klingt nach großem Konzern mit eigenem Security-Team und Millionenbudget. Was ist mit mittelständischen Unternehmen ohne Sicherheitsspezialisten?
Die gute Nachricht: Die Grundprinzipien lassen sich auch mit begrenzten Ressourcen umsetzen. Die meisten modernen Cloud-Dienste – Microsoft 365, Google Workspace – haben Zero-Trust-Funktionen bereits eingebaut. MFA ist in wenigen Stunden aktiviert. Conditional Access, der Zugriff basierend auf Gerät und Standort reguliert, ist oft im Rahmen bestehender Lizenzen verfügbar.
Der Schlüssel für kleine und mittlere Unternehmen ist Priorisierung: Welche Ressourcen sind am kritischsten? Wo läge der größte Schaden, wenn ein Angreifer Zugang bekäme? Diese Ressourcen zuerst mit Zero-Trust-Prinzipien absichern – und dann schrittweise ausweiten.
Wer verstehen möchte, wie KI dabei helfen kann, Zero-Trust-Systeme zu unterstützen und Anomalien frühzeitig zu erkennen, findet dazu konkrete Ansätze in der wachsenden Literatur zu KI-gestützter Sicherheit.
Managed Security Service Provider (MSSPs) bieten Zero-Trust-Dienste als managed Service an – für Unternehmen, die weder die internen Ressourcen noch das Know-how haben, es selbst aufzubauen. Das ist oft teurer als eine selbst verwaltete Lösung, aber deutlich günstiger als ein erfolgreicher Cyberangriff.
Zero Trust ist kein Ziel, das man erreicht und dann abhaken kann. Es ist ein kontinuierlicher Prozess. Die Bedrohungslandschaft verändert sich, Technologien entwickeln sich weiter, die eigene Organisation wächst und wandelt sich. Zero Trust muss mitgewachsen werden.
Der erste Schritt ist nicht der Kauf eines neuen Tools. Der erste Schritt ist die ehrliche Frage: Wer hat in unserem Unternehmen Zugang zu was – und warum? Wenn die Antwort auf diese Frage nicht klar ist, ist das der Ausgangspunkt. Alles andere folgt daraus.
„Vertraue niemandem“ klingt paranoid. Es ist aber die einzig rationale Antwort auf eine Welt, in der Angreifer sich in Minuten durch Netzwerke bewegen und in der die alten Perimeter-Grenzen längst gefallen sind. Wer das akzeptiert, hat den wichtigsten Schritt in Richtung moderner Cybersicherheit getan.
Ein weiterer Aspekt, der oft übersehen wird: Zero Trust schützt nicht nur gegen externe Angreifer, sondern auch gegen interne Bedrohungen. Mitarbeitende, die ihre Zugriffsrechte missbrauchen – ob absichtlich oder unabsichtlich – können in einem Zero-Trust-System deutlich weniger Schaden anrichten. Least Privilege und kontinuierliche Überwachung schränken den Handlungsspielraum ein, bevor ein Schaden entstehen kann.
Das Argument „Wir vertrauen unseren Mitarbeitenden“ ist dabei kein gültiger Einwand. Zero Trust bedeutet nicht, Mitarbeitenden zu misstrauen – es bedeutet, die Systeme so zu bauen, dass menschliche Fehler, Kompromittierungen oder Missbrauch automatisch in ihrem Schadensradius begrenzt werden. Das schützt das Unternehmen, aber auch die Mitarbeitenden selbst: Wenn ein Konto kompromittiert wird, sind die Folgen durch Least Privilege deutlich geringer als in einem flachen Netzwerk. Das ist kein Misstrauen – das ist intelligentes Design.
