Wie können Unternehmen und Organisationen sich gegen immer raffiniertere Cyberangriffe wappnen? Ist Sicherheit im Umfeld immer komplexerer Software-Architekturen überhaupt noch realisierbar? Ja, denn eine Zero-Trust-Strategie und die richtigen Datenlösungen können das Risiko eines Insider-Angriffs begrenzen und lassen unlautere Akteure selbst dann alt aussehen, wenn sie „Insider“ sind.
Im Umfeld gestiegener Cyberrisiken, zunehmender Digitalisierung mit Implikationen wie Distanzarbeit und strenger Datenschutz- und Cybersicherheitsauflagen kommen Sicherheitskonzepte an ihre Grenzen.
(Bild: Alex - stock.adobe.com)
Für IT-Sicherheitsexperten war 2022 ein arbeitsreiches Jahr. Zu den vorhandenen Cyberrisiken durch Datenschutzverletzungen oder Ransomware-Attacken kamen vor dem Hintergrund der angespannten geopolitischen Situation neue. Zu den üblichen Cybercrime-Verdächtigen, denen es in der Regel um Geld geht, traten im Kontext einer „hybriden Kriegsführung“ verstärkt auch Geheimdienste und Staaten auf den Plan mit dem Ziel, Informationen zu erlangen, falsche zu streuen oder kritische Systeme lahmzulegen und Verunsicherung zu schüren.
Tech-Legende Dwight Merriman brachte die Herausforderung für CIOs, CISOs und Entwickler so auf den Punkt: „Die Komplexität moderner Software bietet immer mehr Angriffsvektoren. Gleichzeitig werden die Angreifer professioneller. Kurz gesagt: Als Sicherheitsverantwortliche können Sie gar nicht paranoid genug sein.“
Abwehr gestiegener Cyberrisiken durch Zero-Trust
Eine Möglichkeit, der veränderten Bedrohungslage zu begegnen, ist die Implementierung eines Zero-Trust-Ansatzes. Dahinter steckt der Abschied von der Annahme, dass jedes Gerät und jeder Benutzer innerhalb eines Netzwerks vertrauenswürdig ist. Kurz gesagt: Betrachten Sie alles und jeden bis auf Weiteres als potenzielles Sicherheitsrisiko.
In traditionellen Sicherheitskonzepten gilt der Grundsatz, dass Geräte und Benutzer innerhalb des eigenen Netzwerks vertrauenswürdig sind, außerhalb jedoch als mögliche Bedrohung eingestuft werden. Dieses Modell gerät allein durch den Trend zur Heim- und Distanzarbeit an seine Grenzen, weil immer mehr Mitarbeiter außerhalb der gezogenen „Vertrauenssphäre“ tätig sind.
Verdächtig bis zum Beweis des Gegenteils
Zero-Trust schafft die Vorstellung einer solchen Vertrauenssphäre ab. Jede Zugriffsanfrage auf ein Netzwerk oder eine Anwendung wird zunächst auf Basis vorliegender Risikoinformationen einer Überprüfung unterzogen und individuell bezüglich ihres Risikos eingestuft. Erst dann erfolgt die Validierung.
Die folgenden drei Prinzipien sind dabei von zentraler Bedeutung:
Never trust, always verify: Alle Akteure, die auf Unternehmensdaten zugreifen, werden beim Zugriff überprüft, egal ob intern oder extern.
Netzwerksegmentierung: Daten werden mit Hilfe von Clustern verteilt und isoliert, anstatt sie an einem zentralen Ort zu speichern.
Möglichst wenig Privilegien gewähren: Beschränkung der Zugriffsrechte auf Daten, die für die Ausführung einer bestimmten Aufgabe erforderlich sind (Principle of Least Privilege).
Netzwerksegmentierung und beschränkte Zugriffsrechte als zentrale Bausteine
Im Rahmen der Zero-Trust-Architektur werden Netzwerke segmentiert. Jedes einzelne dieser Segmente wird mit eigenen Sicherheitsmechanismen ausgestattet, um zu gewährleisten, dass innerhalb des Segments nur autorisierte Verbindungen zustande kommen. Eine wichtige Rolle spielt dabei das so genannte Identitäts- und Zugriffsmanagement (IAM) zur Verwaltung von Identitäten und Zugriffsberechtigungen und zur Authentifizierung.
Auch das so genannte Software Defined Perimeter (SDP)-Prinzip ist zentral für die Implementierung des Zero-Trust-Konzepts. Dabei werden Zugriffsrechte und Verbindungen nach dem Need-to-know-Prinzip aufgebaut: So viel wie nötig, so wenig wie möglich. Geräte-Authentifikation, identitätsbasierter Zugang auf Anwendungsebene, eine kontinuierliche Risikobewertung im Verlauf von Sessions und dynamisch bereitgestellte Konnektivität sind zentrale Säulen dieses Prinzips.
Wie steht es um die Implementierung?
Das Thema Zero-Trust ist mittlerweile in Chefetagen angekommen. Laut dem jährlichen globalen State of Zero-Trust Security Report von Okta steigen die Budgets für die Einrichtung entsprechender Sicherheitsarchitekturen in 85 Prozent der Unternehmen. 97 Prozent gaben an, dass sie Zero-Trust-Konzepte eingeführt haben oder dies in den nächsten 12 bis 18 Monaten vorhaben. Das entspricht einem Anstieg von mehr als 500 Prozent seit 2018.
Unternehmen im EMEA-Raum sind zögerlicher: Nur 36 Prozent geben hier an, bereits über eine Strategie für eine Zero-Trust-Initiative zu verfügen. Doch die Region holt auf und liegt bei der Steigerung der Budgets für Zero-Trust-Strategien ganz vorne. 90 Prozent der Unternehmen im EMEA-Raum geben an, in Zero-Trust investieren zu wollen.
Das sollten Unternehmen beachten: Schritte zu Zero-Trust
Damit ein Zero-Trust-Modell funktioniert, muss zunächst eine entsprechende Netzwerkarchitektur bereitgestellt werden. SDP gewährleistet dabei den sicheren Zugriff. SDP kann auch Teil einer größeren Secure Access Service Edge-Plattform (SASE) sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Als nächstes folgt die Netzwerksegmentierung, die eine sorgfältige Planung und enge Abstimmung zwischen den Bereichen erfordert.
Danach ist festzulegen, wer Zugriff auf welche Segmente haben muss. Bei der Vergabe der Berechtigungen wird nach dem Least-Privilege-Ansatz vorgegangen – es wird das Mindestmaß an Rechten eingeräumt, das es Nutzern ermöglicht, ihre Aufgabe zu erledigen. Die Implementierung strenger, mehrstufiger Authentifizierungsverfahren und die Verifizierung von Geräten runden das Konzept ab.
Die Vorteile
Die Vorteile einer erfolgreich abgeschlossenen Zero-Trust-Initiative liegen in Zeiten hoher Cyberrisiken klar auf der Hand:
1. Sicherheit: Der Ansatz reduziert das Risiko von Datenverletzungen und anderen Cyberattacken deutlich. Unternehmen, die Zero-Trust implementieren, verzeichnen signifikant weniger Datenschutzverletzungen.
2. Datenhoheit: Unternehmen können besser kontrollieren, wer Zugang zu ihren Systemen und Daten hat (oder sich zu verschaffen versucht).
3. Schadensbegrenzung: Die Segmentierung wirkt wie ein Kollisionsschott bei einem Wassereinbruch. Selbst wenn ein Gerät oder Benutzer kompromittiert wird, kann dieses Gerät oder dieser Benutzer nur auf einen Teil des Netzwerks zugreifen.
4. Flexibilität: Die Segmentierung ist es auch, die für Agilität und Skalierbarkeit sorgt, denn die Segmente erlauben es Unternehmen, ihre Netzwerke bei Bedarf um weitere Segmente zu erweitern oder sie zu reduzieren, ohne dass die Sicherheit leidet.
5. Compliance: Die strengere Kontrolle über den Datenzugang macht es deutlich einfacher, die Anforderungen der zahlreichen komplexen Datenschutzgesetze zu erfüllen und regulatorische Auflagen umzusetzen. Mit der Integration einer Verschlüsselungstechnologie wie Queryable Encryption in ihre Zero-Trust-Strategie können Unternehmen in dieser Hinsicht sogar noch mehr profitieren.
Fazit
Im Umfeld gestiegener Cyberrisiken, zunehmender Digitalisierung mit Implikationen wie Distanzarbeit und strenger Datenschutz- und Cybersicherheitsauflagen kommen Sicherheitskonzepte an ihre Grenzen. Zero-Trust-Architekturen geben Unternehmen die Möglichkeit, einige dieser Herausforderungen zu adressieren und dabei zusätzlich eine einfach skalierbare Netzwerkarchitektur zu schaffen. Nötige Investitionen amortisieren sich dabei schnell, denn die Kosten eines Datenlecks oder einer Datenschutzverletzung sind immens: Laut der letzten Bitkom-Studie zum Thema entsteht allein der deutschen Wirtschaft ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Zum Vergleich: 2018/2019 waren es noch 103 Milliarden Euro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/13/82/13820e4aae220a31b634479882c189ed/0125189366v2.jpeg "Mikrosegmentierung ist eine Sicherheitsmethode zur präzisen Steuerung und Kontrolle des Netzwerksverkehrs, durch Unterteilung von Netzwerken in kleine, isolierte Bereiche.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/0e/d2/0ed29d17a762cb690a41956daf7acaee/0124568503v1.jpeg "Durch die konsequente Minimierung der Angriffsfläche erschwert Zero Trust Network Access Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der IT-Sicherheit moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht. (Bild: Dall-E / KI-generiert)")