Zero Trust
Kein implizites Vertrauen. Kein angenommener Perimeter. Jeder Zugriff wird explizit verifiziert.
Was ist Zero Trust?
Zero Trust ist kein Produkt, das man kaufen kann, sondern ein Sicherheitsmodell und eine strategische Architekturlogik. Das Konzept wurde 2010 von John Kindervag bei Forrester Research entwickelt und markiert eine grundlegende Abkehr vom klassischen Netzwerk-Perimeter-Ansatz: Kein Benutzer, kein Gerät und kein Netzwerkbereich gilt allein aufgrund seines Standorts als vertrauenswürdig – weder intern noch extern.
Jede Zugriffsanfrage auf eine Ressource – ob Daten, Anwendung oder Service – wird explizit verifiziert, auf minimale Berechtigungen beschränkt und kontinuierlich überwacht. Die zentrale Frage ist nicht mehr: „Ist jemand im Netzwerk?“ – sondern: „Hat diese Identität, dieses Gerät und dieser Kontext das Recht, auf diese Ressource zuzugreifen?“
Grundlage: Project Zero Trust: A Story About a Strategy for Aligning Security and the Business
George Finney · Vorwort: John Kindervag
Warum klassische Perimeter-Sicherheit nicht mehr ausreicht
Die traditionelle IT-Sicherheitsarchitektur trennte die Welt in „innen“ (vertrauenswürdig) und „außen“ (gefährlich). Dieses Modell ist heute nicht mehr tragfähig.
Dezentrale Arbeit & Cloud
Benutzer arbeiten von überall, Daten und Anwendungen liegen in der Cloud – ein klar definierter Netzwerkperimeter existiert nicht mehr.
Kompromittierte Identitäten
Gültige Zugangsdaten allein sind kein Vertrauensbeweis. Phishing, Credential Stuffing und gestohlene Passwörter machen Identitäten zur Angriffsfläche Nr. 1.
Laterale Bewegung
Hat ein Angreifer erst Zugang zum Netzwerk, kann er sich dort ungehindert bewegen – sofern keine Segmentierung und kontinuierliche Kontrolle stattfindet.
Erweiterte Angriffsfläche
Partner, Dienstleister und externe Systeme benötigen Zugriff auf interne Ressourcen – klassische Firewalls reichen zur Absicherung nicht mehr aus.
Die drei Kernprinzipien
Zero Trust basiert auf drei grundlegenden Prinzipien, definiert von John Kindervag und im Microsoft Zero Trust Framework weiterentwickelt.
Verify Explicitly
Jede Zugriffsanfrage wird umfassend verifiziert – anhand von Benutzeridentität, Gerätezustand, Standort, Dienst und Datenklassifizierung. Stillschweigende Vertrauensannahmen gibt es nicht.
Least Privilege Access
Benutzer, Dienste und Systeme erhalten nur die minimal notwendigen Berechtigungen für ihre konkrete Aufgabe – zeitlich begrenzt, rollenbasiert und regelmäßig überprüft (Just-in-Time, Just-Enough-Access).
Assume Breach
Systeme werden so designt und betrieben, als hätte ein Angreifer bereits Zugang. Ziel: Den Schadensradius (Blast Radius) durch Segmentierung, Sichtbarkeit und schnelle Reaktionsfähigkeit begrenzen.
Die fünf Dimensionen von Zero Trust
Zero Trust setzt nicht am Netzwerkrand an, sondern an fünf kontrollierbaren Dimensionen – von der Identität bis zur Datenschicht.
Identitäten
Benutzer, Dienste und Systemidentitäten als primärer Sicherheitsperimeter. Starke Authentifizierung, IAM und PAM sind Grundvoraussetzung.
Geräte
Nur konforme, verwaltete Geräte erhalten Zugriff. Gerätezustand und Compliance werden als Zugangskriterium geprüft.
Netzwerke
Netzwerke werden segmentiert, Datenverkehr kontinuierlich überwacht. Mikrosegmentierung begrenzt laterale Bewegung im Schadensfall.
Anwendungen & Workloads
Anwendungen, APIs und Cloud-Workloads werden einzeln abgesichert. Zugriff wird pro Sitzung und Kontext gewährt – nicht pauschal.
Daten
Daten werden klassifiziert, verschlüsselt und mit gezielten Zugriffsrichtlinien geschützt. DLP und CASB helfen, Datenabfluss zu kontrollieren.
Management-Relevanz
Zero Trust ist keine reine IT-Architekturentscheidung, sondern eine strategische Positionierung gegenüber Cyberrisiken.
- Reduktion des Risikos durch kompromittierte Konten und Insider-Bedrohungen
- Bessere Kontrolle und Sichtbarkeit über Zugriffe auf kritische Ressourcen und Daten
- Compliance-Vorteile durch lückenlose Zugriffsprotokollierung und Nachvollziehbarkeit
- Voraussetzung für sichere Cloud-Migration und hybride Arbeitsmodelle
- Begrenzung des Schadensradius im Angriffsfall durch Segmentierung und schnelle Isolation
„Zero Trust is not a product. It is a strategy.“
Identität & Zugriffssteuerung
Identitätsbasierte Kontrolle ist der Kern von Zero Trust. Diese Technologien bilden die erste Verteidigungslinie.
Identity and Access Management (IAM)
Rahmenwerk zur Verwaltung digitaler Identitäten und Zugriffsrechte. Stellt sicher, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können und alle Aktivitäten protokolliert werden.
Privileged Access Management (PAM)
Kontrolliert und überwacht den Zugriff privilegierter Benutzer auf kritische Systeme. Im Zero-Trust-Kontext: Kein privilegierter Zugriff ohne explizite Verifikation und vollständige Protokollierung.
Multi-Faktor-Authentifizierung (MFA)
Bestätigung der Benutzeridentität durch mehrere unabhängige Faktoren: Wissen (Passwort), Besitz (Token, Smartphone) und Biometrie (Fingerabdruck, Gesichtserkennung).
Two-Factor Authentication (2FA)
Spezialfall von MFA mit zwei Authentifizierungsfaktoren, z. B. Passwort und Einmalcode per Smartphone. Gilt als Mindestanforderung für den Schutz kritischer Konten.
Zero Trust Network Access (ZTNA)
Gewährt Netzwerkzugriff nur nach expliziter Verifikation von Identität und Kontext – unabhängig vom Standort des Benutzers. Ersetzt klassische VPN-Architekturen in Zero-Trust-Umgebungen.
Network Access Control (NAC)
Steuert den Netzwerkzugang basierend auf Benutzeridentität und Gerätesicherheitsstatus. Nicht konforme Geräte werden isoliert oder in ein Quarantäne-Segment verwiesen.
Software-Defined Perimeter (SDP)
Sicherheitsrahmenwerk, das Netzwerkzugriff auf Basis von Identität, Kontext und Richtlinien steuert. Ressourcen bleiben für nicht autorisierte Parteien unsichtbar – minimale Angriffsfläche.
Least Privilege
Jeder Benutzer und jedes System erhält nur die minimalen Berechtigungen, die für die jeweilige Aufgabe notwendig sind. Reduziert das Schadenspotenzial kompromittierter Konten erheblich.
Netzwerk, Infrastruktur & Endpunkte
Technologien zur Absicherung von Netzwerken, physischen und virtuellen Infrastrukturen sowie Endgeräten.
Mikrosegmentierung
Unterteilt Netzwerke in kleine, isolierte Segmente. Verhindert die laterale Ausbreitung von Angreifern nach einem initialen Einbruch und begrenzt den Schadensradius gezielt.
Firewall
Netzwerksicherheitssystem, das ein- und ausgehenden Netzwerkverkehr anhand definierter Regeln überwacht und kontrolliert. In Zero-Trust-Architekturen Teil einer mehrschichtigen Verteidigung.
Secure Web Gateway (SWG)
Filtert webbasierten Datenverkehr und schützt Benutzer und Unternehmen vor Malware, Phishing und anderen Internetbedrohungen durch Richtliniendurchsetzung auf Anwendungsebene.
Endpunkt-Sicherheit
Schutz von Endgeräten (PCs, Laptops, Mobilgeräte) durch Durchsetzung von Sicherheitsrichtlinien, Bedrohungserkennung und kontinuierliche Überwachung des Gerätezustands.
Verschlüsselung
Wandelt Daten in unlesbaren Code um, um sie vor unbefugtem Zugriff zu schützen – sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest).
Software-Defined Networking (SDN)
Entkoppelt die Netzwerksteuerungsebene von der Datenebene und ermöglicht flexible, softwarebasierte Verwaltung von Netzwerkdiensten – Grundlage für dynamische Zero-Trust-Netzwerke.
Hyper-Converged Infrastructure (HCI)
IT-Framework, das Speicher-, Rechen- und Netzwerkfunktionen in einem softwaredefinierten System zusammenführt. Bietet Skalierbarkeit und vereinfachtes Management für moderne Rechenzentren.
Software-Defined Storage (SDS)
Entkoppelt Speicherdienste von der physischen Hardware und ermöglicht zentrale Verwaltung und Richtliniendurchsetzung über eine Software-Schnittstelle.
Sicherheitsbetrieb & Bedrohungserkennung
Kontinuierliche Sichtbarkeit und schnelle Reaktionsfähigkeit sind zentrale Elemente jeder Zero-Trust-Strategie.
Security Information and Event Management (SIEM)
Sammelt und analysiert Sicherheitsinformationen und Ereignisse aus verschiedenen Quellen. Erkennt Anomalien und korreliert Signale für eine fundierte Reaktion auf Sicherheitsvorfälle. Verbindet Technologie, Prozesse und spezialisiertes Sicherheitspersonal.
Security Operations Center (SOC)
Zentrale Organisationseinheit zur Identifizierung, Untersuchung und Reaktion auf Sicherheitsvorfälle. Verbindet Technologie, Prozesse und spezialisiertes Sicherheitspersonal.
Intrusion Detection System (IDS)
Überwacht Netzwerk- und Systemaktivitäten auf bösartige Aktivitäten und Richtliniverstöße. Erkennt Angriffsmuster und generiert Warnmeldungen für das Sicherheitsteam.
Intrusion Prevention System (IPS)
Erweitert das IDS um aktive Gegenmaßnahmen: Blockiert erkannte Angriffe in Echtzeit, isoliert betroffene Systeme und leitet weitere Schutzmaßnahmen ein.
Security Orchestration, Automation and Response (SOAR)
Automatisiert und orchestriert Sicherheitsprozesse, um Reaktionszeiten auf Vorfälle zu verkürzen. Verbindet SIEM-Daten mit automatisierten Gegenmaßnahmen und Workflow-Steuerung.
User and Entity Behavior Analytics (UEBA)
Analysiert Verhaltensprofile von Benutzern und Systemen mit maschinellem Lernen. Erkennt Abweichungen vom Normalverhalten als Hinweis auf Kompromittierung oder Insider-Bedrohungen.
Continuous Monitoring
Kontinuierliche Überwachung von Netzwerken, Systemen und Identitäten auf Anzeichen von Sicherheitsverletzungen oder Schwachstellen. Ermöglicht schnelle Reaktion auf potenzielle Bedrohungen.
Threat Intelligence
Organisierte, analysierte Informationen über aktuelle und potenzielle Angriffe. Ermöglicht proaktive Verteidigung durch Kenntnis aktueller Bedrohungslagen und Angriffsmuster.
Vulnerability Scan
Automatisierter Prozess zur Überprüfung von Systemen und Netzwerken auf bekannte Sicherheitsschwachstellen. Grundlage für priorisiertes Patch-Management und Risikominimierung.
Bedrohungen, Datenschutz & Compliance
Angriffsvektoren, Datenschutzmaßnahmen und regulatorische Anforderungen im Kontext der Informationssicherheit.
Phishing
Cyberangriff, bei dem Angreifer sensible Informationen wie Zugangsdaten erschleichen, indem sie sich als vertrauenswürdige Absender ausgeben – per E-Mail, gefälschten Websites oder SMS.
Ransomware
Schadsoftware, die Daten eines Opfers verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt. Eine der wirtschaftlich folgenschwersten Bedrohungsformen für Unternehmen.
Malware
Oberbegriff für schädliche Software (Viren, Würmer, Trojaner, Ransomware, Spyware), die unerwünschte Aktionen auf Systemen ausführt oder Daten kompromittiert.
Data Loss Prevention (DLP)
Strategie und Technologie zur Verhinderung, dass kritische oder sensible Daten das Unternehmen unautorisiert verlassen – durch Überwachung, Klassifizierung und Durchsetzung von Datenrichtlinien.
Cloud Access Security Broker (CASB)
Software zwischen Cloud-Dienstanbietern und -Benutzern, die Sicherheitsrichtlinien durchsetzt, den Datenverkehr überwacht und Compliance-Anforderungen für Cloud-Nutzung sicherstellt.
CISO (Chief Information Security Officer)
Führungsverantwortlicher für die Informationssicherheit einer Organisation. Entwickelt Sicherheitsstrategien und verantwortet den Schutz von IT-Infrastruktur und Daten.
Datenschutz (Data Privacy)
Schutz personenbezogener Informationen vor unbefugtem Zugriff, Weitergabe oder Missbrauch. Rechtlich verankert u. a. in der DSGVO.
Datensicherheit (Data Security)
Technische und organisatorische Maßnahmen zum Schutz aller Daten vor Verlust, Diebstahl, unbefugtem Zugriff oder Manipulation – unabhängig von ihrer Personenbezogenheit.
Datenschutz-Grundverordnung (DSGVO)
EU-weite Datenschutzregelung, die den Schutz personenbezogener Daten einheitlich regelt. Stellt u. a. Anforderungen an Zugriffsprotokollierung und Datensicherheit, die Zero-Trust-Architekturen direkt unterstützen.
Recovery Time Objective (RTO)
Definierter maximaler Zeitrahmen, innerhalb dessen Geschäftsprozesse nach einer Störung oder einem Ausfall wiederhergestellt sein müssen.
Business Impact Analysis (BIA)
Methode zur Identifizierung und Bewertung der Auswirkungen potenzieller Störungen auf den Geschäftsbetrieb. Grundlage für priorisierte Kontinuitätsmaßnahmen.
Business Continuity Plan (BCP)
Vorab festgelegter Plan mit Maßnahmen und Verfahren, um den Geschäftsbetrieb nach einer Störung oder Krise aufrechtzuerhalten und schnell wiederherzustellen.
Business Continuity Management (BCM)
Ganzheitlicher Managementansatz zur Sicherstellung, dass kritische Geschäftsaktivitäten auch unter widrigen Umständen aufrechterhalten und nach Störungen schnell wiederhergestellt werden können.
Cloud-Modelle, Services & Entwicklung
Cloud-Bereitstellungsmodelle, Service-Typen und Infrastrukturkonzepte im Kontext moderner IT-Architekturen.
Infrastructure as a Service (IaaS)
Cloud-Angebot, bei dem virtualisierte Infrastruktur (Server, Speicher, Netzwerk) über das Internet bereitgestellt wird. Nutzung nach Bedarf ohne eigene Hardware-Investition.
Platform as a Service (PaaS)
Cloud-Modell mit vollständiger Entwicklungs- und Laufzeitumgebung (Betriebssystem, Datenbank, Entwicklungstools) – ohne Verwaltung der zugrundeliegenden Infrastruktur.
Software as a Service (SaaS)
Anwendungssoftware wird über das Internet als abonnierter Service bereitgestellt. Benutzer greifen per Browser zu – ohne lokale Installation oder Wartung.
Desktop as a Service (DaaS)
Virtuelle Desktop-Infrastrukturen (VDI) werden von einem Anbieter gehostet und über das Internet bereitgestellt. Ermöglicht ortsunabhängigen Zugriff auf Desktop-Umgebungen.
Datacenter as a Service (DCaaS)
Cloud-Modell, bei dem ein Anbieter Rechenzentrumfläche, -infrastruktur und -services bereitstellt. Unternehmen lagern IT-Betrieb aus, ohne eigene physische Rechenzentren zu unterhalten.
Network as a Service (NaaS)
Netzwerkdienste wie Bandbreite, Routing und Netzwerkvirtualisierung werden als Cloud-Service bereitgestellt – flexibel skalierbar ohne eigene Netzwerkhardware.
Storage as a Service (STaaS)
Speicherkapazität auf Cloud-Servern als Service. Unternehmen speichern und rufen Daten über das Internet ab, ohne eigene Storage-Infrastruktur zu betreiben.
Security as a Service (SECaaS)
Sicherheitsdienste (Firewalls, Antivirus, IDS, Zugriffskontrolle) als Cloud-Service. Ermöglicht skalierbare Sicherheit ohne eigene Infrastruktur.
Database as a Service (DBaaS)
Datenbankfunktionalität als verwalteter Cloud-Service. Kunden nutzen Datenbank-Features ohne eigene Installation, Verwaltung oder Skalierung.
Function as a Service (FaaS)
Serverlose Architektur, bei der einzelne Funktionen nur bei Bedarf ausgeführt werden (z. B. AWS Lambda). Kosten entstehen ausschließlich bei tatsächlicher Nutzung.
Communication as a Service (CaaS)
Kommunikationsfähigkeiten (VoIP, Instant Messaging, Collaboration-Tools) als Cloud-Service – ohne eigene Telekommunikationsinfrastruktur.
Public Cloud
Mehrere Unternehmen teilen sich Ressourcen eines Cloud-Anbieters. Zugriff über das Internet, nutzungsbasierte Abrechnung. Beispiele: AWS, Google Cloud Platform, Microsoft Azure.
Private Cloud
Cloud-Infrastruktur ausschließlich für ein einzelnes Unternehmen. Ressourcen werden im eigenen Rechenzentrum oder durch einen Anbieter über ein privates Netzwerk bereitgestellt.
Hybrid Cloud
Kombination aus Public Cloud und Private Cloud. Daten und Anwendungen können zwischen beiden Umgebungen verschoben werden – maximale Flexibilität bei gleichzeitiger Datenkontrolle.
Software Defined Data Center (SDDC)
Rechenzentrum, in dem alle Infrastrukturelemente (Netzwerk, Speicher, CPU, Sicherheit) vollständig virtualisiert und über eine Software-Schnittstelle gesteuert werden.
APIs (Application Programming Interfaces)
Schnittstellen, die es Anwendungen ermöglichen, miteinander zu kommunizieren und Daten sowie Funktionen auszutauschen. In Zero-Trust-Architekturen müssen APIs explizit abgesichert werden.
Microservices
Architekturansatz, bei dem Anwendungen aus unabhängigen, separat deployten Services bestehen. Ermöglicht granulare Zugriffssteuerung und Isolierung auf Service-Ebene.
Containerisierung
Virtualisierungsmethode, bei der Anwendungen und ihre Abhängigkeiten in isolierten Containern gebündelt werden. Ermöglicht konsistente, portable Ausführung über verschiedene Umgebungen.
Docker
Plattform zur Entwicklung, Bereitstellung und Ausführung von Anwendungen in standardisierten Containern. Gewährleistet Konsistenz zwischen Entwicklungs-, Test- und Produktionsumgebungen.
Infrastructure as Code (IaC)
IT-Verwaltungsansatz, bei dem Infrastruktur-Konfigurationen in maschinenlesbaren Dateien definiert werden. Ermöglicht automatisierte, reproduzierbare und versionierbare Infrastruktur-Deployments.
Project Zero Trust: A Story About a Strategy for Aligning Security and the Business
George Finney · Vorwort: John Kindervag · Ascent Audio (Verlag)
Pierre Kromat 