Zero-Trust-Architektur

11. September 2025
verfasst von Julia Schreiber

Bild: © TheDigitalArtist auf Pixabay / Microsoft Copilot

Bislang galt in der IT-Sicherheit: Wer sich im Unternehmensnetzwerk befindet, ist aus technischer Sicht vertrauenswürdig. Firewalls sorgen dafür, dass der Datenverkehr von außen kontrolliert wird, zusätzliche Sicherheitslösungen überwachen das Netzwerk auf Auffälligkeiten, und für mobiles Arbeiten garantieren VPN-Verbindungen einen geschützten Zugang ins Firmennetz.

Zero Trust: Abkehr von bisherigen IT-Sicherheitskonzepten

Das Zero-Trust-Modell stellt diese Sicherheitsmechanismen grundlegend infrage. Der zentrale Gedanke: Es wird generell niemandem und nichts vertraut – auch wenn sich ein Gerät oder ein Nutzer im internen Netzwerk befindet.

Erste Zero-Trust-Ansätze gab es in den 1990er Jahren. Ab 2004 nahmen die Ideen konkretere Formen an, und rund zehn Jahre später gehörte Google zu den Pionieren, die das Modell im großen Stil bei der eigenen Infrastruktur einführten. Inzwischen gibt es auf dem Markt Lösungen, die speziell auf mittelständische Unternehmen zugeschnitten sind und Zero Trust praxistauglich machen.

Besonders in Zeiten flexibler Arbeitsmodelle spricht vieles für diesen Ansatz: Mitarbeitende arbeiten häufiger hybrid, greifen von verschiedenen Standorten – teilweise mit privaten Geräten – auf Unternehmensnetzwerke und Cloud-Dienste zu. Zero Trust bietet einen höheren Schutz, da Zugriffe unabhängig vom Standort oder Gerät konsequent überprüft und abgesichert werden.

Grundprinzipien des Sicherheitsmodells

In der Sicherheitsbranche gibt es keinen einheitlichen Standard für eine Zero-Trust-Architektur. Die international anerkannte Definition des US-amerikanischen National Institute of Standards and Technology (NIST) aus dem Jahr 2019 eignet sich aber sehr gut zur Orientierung. Darin wird der Begriff „Zero Trust“ für eine Reihe von Cybersicherheitsparadigmen verwendet:

• Kein implizites Vertrauen: Jeder Zugriff – egal ob er intern aus dem Unternehmensnetzwerk oder extern erfolgt – wird als potenzielles Sicherheitsrisiko betrachtet.
• Kontinuierliche Überprüfung: Jede Entität – also User, Geräte oder Systeme – muss sich bei jedem Zugriff authentisieren und autorisieren. Auch während einer Sitzung werden Identität und Status überwacht.
• Prinzip der minimalen Rechte: User erhalten nur die Zugriffsrechte, die sie zur Erfüllung ihrer Aufgaben brauchen, also beispielsweise Lesezugriff statt Schreibzugriff oder Löschzugriff.
• Mikrosegmentierung: Das Netzwerk wird in kleine, isolierte Bereiche unterteilt. Dies reduziert die Angriffsfläche und die Ausbreitung von Angriffen wird auf den kompromittierten Bereich begrenzt.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) greift diese Zero-Trust-Prinzipien ebenfalls auf – unter anderem in einem Positionspapier von 2023. Vorteile sieht das BSI in dem Modell beispielsweise darin, dass das „Schadensausmaß von Angriffen weiter reduziert werden“ kann. Gleichzeitig rät es zu sorgfältigen Vorarbeiten bei der Bestandsaufnahme sowie zu einer schrittweisen Umsetzung. Aspekte von Zero Trust finden sich zudem in den IT-Grundschutz-Anforderungen des BSI, darunter die Netzwerksegmentierung in NET.1.1, Protokollierung und Monitoring in OPS.1.1.5 und das Berechtigungskonzept in ORP.4.

Das Zero-Trust-Modell in der Praxis

Als Sicherheitskonzept eignet sich Zero Trust vor allem für Unternehmen mit einem hohen Anteil an Cloud-Technologien sowie mit zahlreichen mobilen Mitarbeitenden, da hier die Rollen der Benutzer granularer vergeben werden können und auch die Authentifizierung kontextbasiert erfolgt. Auch für den Endbenutzer wird es einfacher, da eine Einwahl über VPN entfällt. Zugleich gilt: Nicht alle Anwendungen lassen sich abbilden und nicht jede Architektur eignet sich für die derzeit auf dem Markt verfügbaren Zero-Trust-Lösungen, sowohl beim initialen Aufsetzen als auch beim späteren Verwaltungsaufwand. Doch mit der richtigen Strategie lässt sich Zero Trust schrittweise und zielgerichtet in viele Architekturen integrieren.

Sie möchten Ihre IT-Sicherheit verbessern? Oder interessieren sich für Zero-Trust-Lösungen? Wir unterstützen Sie dabei, herauszufinden, ob und wie sich Zero Trust in Ihre IT-Umgebung integrieren lässt. Sprechen Sie uns an – für eine fundierte Einschätzung und individuelle Beratung.