Hybride Arbeitswelten und die zunehmende Nutzung von Cloud-Umgebungen erweitern die Angriffsfläche von Unternehmen massiv. Der Zero Trust Network Access (ZTNA) löst klassische VPNs ab und bietet granulare Zugriffskontrolle auf Ressourcen und Anwendungen – minimiert Cyberrisiken und stoppt Angreifer effektiv, selbst wenn Anmeldedaten kompromittiert wurden. Die Umsetzung gelingt allerdings nur schrittweise und kontrolliert.
Durch die konsequente Minimierung der Angriffsfläche erschwert Zero Trust Network Access Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der IT-Sicherheit moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht.
(Bild: Dall-E / KI-generiert)
Die Angriffsfläche moderner Unternehmen wird immer größer. Jeder Zugang zu Unternehmensressourcen – ob in der Cloud, in SaaS-Apps oder im eigenen Rechenzentrum – ist ein potenzielles Risiko und Einfallstor für Cyber-Kriminelle. Diese Zugänge werden nicht nur von den eigenen Mitarbeitern genutzt, sondern auch von Kunden, Partnern oder Dienstleistern, zum Teil mit privilegierten Zugriffsmöglichkeiten. Ob weltweit und mobil arbeitende Teams oder Service-Dienstleister innerhalb der Supply Chain mit Zugriffsrechten auf Unternehmensnetzwerke: Hier den Überblick zu behalten und zu kategorisieren, welche Zugriffe sowohl erforderlich als auch berechtigt sind und als unbedenklich eingestuft werden können, ist eine große Herausforderung. Um diese Zugriffe zu gewähren, fehlt es häufig an Wissen und Übersicht, welche Ressourcen und Assets im Unternehmensnetzwerk vorhanden sind und welchen Schutzbedarf sie haben.
Netzwerkzugänge über klassische VPN-Lösungen werden den heute erforderlichen differenzierten Sicherheitsanforderungen nicht gerecht. Es braucht Lösungen, die die granularen Schutzanforderungen des Netzwerkzugriffs erfüllen. Das Konzept des Zero Trust Network Access (ZTNA) bietet Unternehmen einen modernen, sicheren und flexiblen Ansatz für den kontrollierten Zugriff auf Unternehmensressourcen – das bedeutet Sicherheit, unabhängig davon, wo sich die Ressource befindet.
ZTNA ist ein Security-Ansatz, bei dem der Zugriff auf Unternehmensressourcen und das Internet nur nach strenger Authentifizierung und Autorisierung gewährt wird. Dabei setzt er den schon lange existierenden theoretischen Grundsatz eines strengen Need-to-know- und Need-to-use-Ansatzes technisch um. Das ZTNA-Konzept regelt konsequent, wer auf was zugreifen kann, indem es jede Anfrage einer Identitätsprüfung und Sicherheitsbewertung unterzieht. Im Gegensatz zu traditionellen VPNs gewährt ZTNA keinen pauschalen Netzwerkzugang, sondern nur den minimal notwendigen Zugriff auf einzelne Anwendungen oder Dienste – ganz nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“. Die restlichen Ressourcen sind auch dann nicht erreichbar, wenn es keinen explizit durch das Regelwerk erlaubten Zugriff gibt. Dadurch wird das Risiko von unbefugtem Zugriff und lateralen Bewegungen im Netzwerk reduziert, selbst wenn Angreifer Anmeldedaten kompromittieren. Gleichzeitig ermöglicht es die Architektur, auch den Zugriff auf das Internet zu schützen und zu reglementieren. Neben der Steuerung von SaaS-Anwendungen ist dies auch zunehmend bei der Nutzung von KI-Tools relevant.
Die ZTNA-Architektur
Technisch handelt es sich beim ZTNA um eine Kombination aus verschiedenen Lösungen. Im Zentrum befindet sich der Cloud-basierte Secure Service Edge (SSE), bestehend aus Komponenten wie einem Secure Web Gateway, Cloud Access Security Broker und einer Firewall-as-a-Service-Lösung. Damit wird sowohl der Zugang ins eigene Netzwerk als auch der Internetzugang abgesichert. Flankiert wird die SSE-Architektur beispielsweise durch eine MFA-Lösung zur Nutzerauthentifizierung auf der einen Seite und Konnektoren zum Aufbau von (Micro-)Tunneln in die Rechenzentren der Organisation auf der anderen Seite. ZTNA basiert auf etablierten Sicherheitsprinzipien und stellt eine konsequente Weiterentwicklung bestehender Konzepte dar. Entscheidend für den Erfolg ist ein klar definiertes Regelwerk, das die individuellen Anforderungen des Unternehmens berücksichtigt.
Eine erfolgreiche ZTNA-Implementierung muss geplant werden und schrittweise erfolgen. Dafür sind zunächst strategische und organisatorische Vorarbeiten erforderlich. Dazu gehört es, die im Unternehmen bestehende IT-Landschaft umfassend zu analysieren, alle vorhandenen Ressourcen, Applikationen und Daten zu erfassen und nach ihrem Wert für die Organisationsprozesse zu klassifizieren. Die Organisation ermittelt den Schutzbedarf der einzelnen Elemente und legt fest, welche Nutzer unter welchen Bedingungen Zugriff erhalten. Dazu werden zunächst alle Geräte, Benutzer, Anwendungen und Daten im Netzwerk identifiziert und inventarisiert. So ist sichergestellt, dass alle legitimen Kombinationen aus Nutzern und Ressourcen zur Erbringung der Geschäftsprozesse berücksichtigt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bewährt hat sich, den ZTNA zunächst durch erste Use Cases mit einzelnen Personengruppen und Ressourcen zu testen. So empfiehlt es sich, mit spezifischen Nutzergruppen wie zum Beispiel der IT-Abteilung zu starten, iterativ vorzugehen, den Prozess gemäß „Lessons learned“ zu optimieren und im Laufe der Zeit auf weitere Nutzergruppen auszurollen. Damit erfolgt die Umsetzung des ZTNA-Ansatzes schrittweise und kontrolliert. Externe Partner unterstützen dabei, die Lösung stetig zu verbessern und flexibel an neue Use Cases anzupassen.
Kontinuierliche Pflege und Weiterentwicklung
Zero Trust Network Access ist ein durchdachtes Konzept – doch auch dieses benötigt den kontinuierlichen Prozess der Verbesserung. Es gilt, die Sicherheitsrichtlinien, Rollen und Rechte sowie die Assets regelmäßig zu überprüfen und Zugriffsmuster zu analysieren. Denn: Die Technologie kann ihr Potenzial nur entfalten, wenn sie in erweiterte Services eingefasst ist.
Bei korrekter Implementierung ist ZTNA ein wirkungsvolles Instrument. Durch die konsequente Minimierung der Angriffsfläche erschwert dieser Security-Ansatz potenziellen Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der Sicherheitsarchitektur moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht. Dazu ist keine technische Maßnahme in der Lage.
Im Rahmen einer ganzheitlichen Security-Strategie lässt sich der ZTNA-Ansatz weiterentwickeln und beispielsweise in andere Sicherheitslösungen integrieren. Eingebunden in Lösungen wie etwa für die Netzwerkzugriffskontrolle (Network Access Control, NAC), AAA-Systeme (Authentication, Authorization, Accounting) oder Endpoint-Detection- und Response-Lösungen lassen sich die Use Cases erweitern und kombinieren. Durch diese intelligente Vernetzung wird ZTNA zu einer Schlüsseltechnologie für sichere und flexible Unternehmensnetzwerke.
Über den Autor: Adrian Kraus ist Cybersecurity-Experte bei Damovo.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/24/79/247924515f2bed7d82c6daa013797e40/0112150345v1.jpeg "In dieser Folge des Security-Insider Podcast sprechen wir mit Storage-Insider-Chefredakteur Dr. Jürgen Ehneß darüber, warum es heute nicht mehr reicht, einfach nur ein Backup zu haben. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e2/82/e2825d66380b2ae62a7ef919afa4f2a7/0122783927v1.jpeg "Es liegt in der Verantwortung jeder Organisation, die KI-basierte Dienste besitzt, nutzt oder bereitstellt, sicherzustellen, dass die zugrunde liegenden Trainingsmodelle geschützt sind. (Bild: IM Imagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1a/0a1a480aeff60b73e18894e5782dcc0a/0117538460.jpeg "0117538460 (Bild: gankevstock - stock.adobe.com / VIT)")
:quality(80)/p7i.vogel.de/wcms/47/f5/47f55589c93fb379073fb34bfb8e9690/0120898899v2.jpeg "Der Schutz der IT-Systeme ist wichtig. Gleichzeitig muss ein gutes Zero-Trust-Framework immer eine sinnvolle Balance zwischen effektiven Vorsichtsmaßnahmen und einer praktikablen Nutzung herstellen. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/fa/44fa43e7bc83d074f5f004e348c622fe/0126745744v2.jpeg "ZTNA-Lösungen bieten identitäts- und kontextbasierte Zugriffe und machen so den unsicheren VPN-Fernzugriff überflüssig. (Bild: © Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/0f/9f0fc586b1460553a5f6f542474deffc/0124368337v2.jpeg "Das Sicherheitsmodell „Zero Trust“ ist die modernste und sinnvollste Herangehensweise, wenn es um den Schutz des Unternehmensnetzwerks bis an den Edge geht. (Bild: Alexander - stock.adobe.com)")