Das klassische Netzwerksicherheitsmodell funktionierte nach einer einfachen Logik: alles innerhalb des Firmenperimeters ist vertrauenswürdig, alles außerhalb nicht. Diese Logik ist durch Cloud, Homeoffice und mobile Geräte obsolet geworden. Zero Trust ist das Architekturprinzip, das diesen Paradigmenwechsel vollzieht.

Was Zero Trust bedeutet

Der Begriff geht auf John Kindervag (Forrester Research, 2010) zurück. Das Grundprinzip lautet:

„Never trust, always verify."

Konkret bedeutet das: Kein Benutzer, kein Gerät und keine Anwendung erhält automatisch Vertrauen — unabhängig davon, ob sie sich im Unternehmensnetzwerk befinden oder nicht. Jeder Zugriff wird kontinuierlich überprüft, auf das Minimum beschränkt und protokolliert.

Warum das Perimeter-Modell gescheitert ist

  • Cloud-Workloads befinden sich außerhalb des klassischen Perimeters — ein interner Firewall-Schutz schützt sie nicht
  • Homeoffice und BYOD bringen Geräte in das Netzwerk, die nicht unter vollständiger IT-Kontrolle stehen
  • Lateral Movement: Wenn ein Angreifer den Perimeter einmal überwunden hat, kann er sich im flachen internen Netzwerk frei bewegen — oft monatelang unentdeckt
  • Insider-Bedrohungen: Kompromittierte oder böswillige interne Accounts haben im Perimeter-Modell oft übermäßig weite Zugriffsrechte

Die sieben Prinzipien von Zero Trust (NIST SP 800-207)

Das US-amerikanische NIST hat mit Special Publication 800-207 (2020) den maßgeblichen Referenzrahmen für Zero-Trust-Architekturen definiert:

  1. Alle Datenquellen und Dienste werden als Ressourcen betrachtet — unabhängig vom Standort
  2. Die gesamte Kommunikation wird gesichert — unabhängig vom Netzwerkstandort
  3. Zugriff auf Ressourcen wird pro Sitzung gewährt — nicht dauerhaft
  4. Zugriff auf Ressourcen richtet sich nach dynamischen Richtlinien — basierend auf Identität, Gerätestatus, Standort, Uhrzeit
  5. Die Integrität und Sicherheit aller verwalteten Assets wird überwacht und gemessen
  6. Alle Authentifizierungs- und Autorisierungsentscheidungen sind dynamisch und werden vor dem Zugriff strikt durchgesetzt
  7. Es werden umfangreiche Daten über den Sicherheitsstatus von Assets, Netzwerkverkehr und Zugriffsanfragen gesammelt

Zero Trust in der Praxis: Kernkomponenten

Identity as the New Perimeter

Identitäten ersetzen Netzwerkgrenzen als primäre Kontrollinstanz. Das bedeutet: starke Authentifizierung (MFA für alle Zugänge), Privileged Access Management (PAM) für administrative Konten, und regelmäßige Überprüfung von Berechtigungen (Access Reviews).

Micro-Segmentation

Netzwerke werden in kleine Segmente aufgeteilt — Workloads können nur mit explizit erlaubten anderen Workloads kommunizieren. Lateral Movement wird dadurch drastisch erschwert. Software-defined Networking (SDN) und Containertechnologien erleichtern die Umsetzung erheblich.

Gerätevertrauen und Endpoint Security

Geräte müssen vor Zugriff auf Unternehmensressourcen ihren Compliance-Status nachweisen: aktuelle Patches, Endpoint-Schutz aktiv, keine kompromittierenden Indikatoren. Technisch umgesetzt über Mobile Device Management (MDM) und Conditional Access.

Kontinuierliche Überwachung

Zero Trust erfordert Sichtbarkeit: Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) und Network Detection & Response (NDR) ermöglichen die Erkennung anomaler Zugriffsversuche in Echtzeit.

Zero Trust ist kein Produkt: Zero Trust ist ein Architekturprinzip und eine Reise — kein Produkt, das man kaufen kann. Viele Anbieter vermarkten Produkte als "Zero Trust" — prüfen Sie anhand der NIST-800-207-Prinzipien, ob die Lösung tatsächlich zum Modell passt.

Zero Trust und ISO 27001: Kontroll-Mapping

Zero-Trust-Kontrollen decken sich weitgehend mit ISO-27001-Annex-A-Anforderungen:

  • Identität und MFA → Annex A 5.15 (Access Control), 8.5 (Secure Authentication)
  • Least Privilege / PAM → Annex A 5.18 (Access Rights), 8.2 (Privileged Access Rights)
  • Netzwerksegmentierung → Annex A 8.20 (Networks Security), 8.22 (Segregation of Networks)
  • Gerätecompliance → Annex A 8.1 (User Endpoint Devices), 8.7 (Protection from Malware)
  • Kontinuierliches Monitoring → Annex A 8.15 (Logging), 8.16 (Monitoring Activities)

Einstieg für mittelständische Unternehmen

Zero Trust muss nicht auf einmal umgesetzt werden. Ein pragmatischer Einstieg:

  1. MFA für alle Accounts — insbesondere privilegierte Accounts und externe Zugänge (VPN, Remote Desktop, Cloud)
  2. Berechtigungsaudit: Übermäßige Zugriffsrechte reduzieren — Least Privilege konsequent umsetzen
  3. Netzwerksegmentierung zwischen kritischen Systemen und dem Rest des Netzwerks einführen
  4. Conditional Access für Cloud-Dienste (M365, Azure AD) aktivieren — Gerätecompliance als Zugangsbedingung
  5. SIEM oder zentrales Log-Management einführen — Sichtbarkeit als Voraussetzung für Zero Trust