Jeder spricht aktuell in der Security-Welt über Zero Trust. Doch leider scheint auch nahezu jeder Anbieter ein anderes Verständnis davon zu haben, was Zero Trust ist. Aber was genau zeichnet Zero Trust denn nun aus?
Zero Trust ist eine Security-Philosophie und -architektur, die die Herangehensweise an IT-Sicherheit in Unternehmen fundamental verändern wird.
Der Zero-Trust-Ansatz wurde 2010 von John Kindervag als Philosophie und entsprechende Architektur ins Leben gerufen. Es ist jedoch keinesfalls eine spezifische Technologie. Innerhalb eines Zero-Trust-Modells gibt es drei Hauptbestandteile:
1. Nutzer-/Anwendungsauthentifizierung: Sowohl Nutzer als auch Anwendung (in den Fällen, in denen die Anwendungen automatisiert Zugriff anfordern) müssen unzweifelhaft authentifiziert werden. Nur so kann die Identität der anfordernden Instanz sicher gewährleistet werden.
2. Geräteauthentifizierung: Es reicht nicht, Nutzer und Anwendung zu authentifizieren. Das anfordernde Gerät muss ebenfalls authentifiziert werden.
3. Vertrauen: Zugriff wird erst dann gewährt, wenn Nutzer/Anwendung UND Gerät zweifelsfrei authentifiziert wurden.
Dieses Gerüst definiert also, dass wir nichts und niemandem vertrauen können – weder inner- noch außerhalb der Sicherheitsmaßnahmen. Das Zero-Trust-Modell arbeitet nach dem Prinzip „Nie vertrauen, immer verifizieren“. Es nimmt also quasi an, dass die Sicherheitsmaßnahmen keinen Bestand mehr haben und man demnach auch nicht davon ausgehen sollte, dass innerhalb der Sicherheitsmaßnahmen ein niedrigeres Sicherheits-Level etabliert werden kann. Dies hat sich leider bereits im Rahmen zahlreicher Attacken bewahrheitet. So konnten Angreifer ganz einfach den Verteidigungsring überwinden, indem sie vertrauenswürdige Verbindungen ausnutzen – beispielsweise mit Hilfe von Phishing.
Authentifizierung und Zugriffskontrollen
Um Zero Trust entsprechend zuverlässig zu implementieren, ist eine dezentrale Richtliniendurchsetzung notwendig – und zwar so nahe ans Netzwerk-Edge wie möglich. Das bedeutet, dass eine granulare Authentifizierung und Autorisierung so weit wie möglich von den Daten entfernt stattfindet wie möglich, also in den meisten Fällen direkt an dem Gerät, mit dem der Anwender auf die Daten zugreifen möchte. Anwender und Gerät sind also so lange nicht vertrauenswürdig, bis beide authentifiziert sind. Danach werden extrem granulare, rollenbasierte Zugriffskontrollen durchgesetzt.
Um das durchzusetzen, muss eine Kontrollebene implementiert werden, die den Zugriff auf die Daten koordinieren und konfigurieren kann. Diese Ebene ist Technologie-agnostisch, muss also einfach nur die beschriebene Aufgabe erfüllen. Zugriffsanfragen auf geschützte Ressourcen werden dabei immer zuerst an diese Kontrollebene gestellt, dort werden Anwender und Gerät authentifiziert und autorisiert. Auf dieser Ebene kann eine relativ grobmaschige Policy eingesetzt werden, also beispielsweise basierend auf der Rolle im Unternehmen, der Tageszeit oder der Geräteart. Sobald der Zugriff auf stärker abgesicherte Ressourcen erfolgt, kann dann selbstverständlich eine stärkere Authentifizierung eingesetzt werden. Sobald die Kontrollebene entschieden hat, den Zugriff zu gestatten, konfiguriert sie die Datenebene dynamisch so, dass Traffic von diesem Client – und nur von diesem – zugelassen wird. Zusätzlich kann sie auch einen verschlüsselten Tunnel zwischen dem Anforderer und der Ressource aufbauen, um ein Abfangen des Traffics zu verhindern.
Die Durchsetzung von Zero Trust samt begleitender Kontrollebene, um die Datenebene dazu zu instruieren, von einem authentifizierten Client Traffic zu akzeptieren, erfordert einige essenzielle Bestandteile. Der erste und wichtigste ist eine Mikrosegmentierung und granulare Perimeterabsicherung, basierend auf:
Anwendern
Deren Aufenthaltsort
Deren Geräten und Sicherheitsvorkehrungen
Ihrem Verhalten
Ihrem Kontext und anderen Daten
Diese Punkte werden dafür genutzt, um zu entscheiden, ob einem Anwender, einem Gerät oder einer Anwendung dahingehend vertraut wird, auf einen bestimmten Teil eines Unternehmensnetzwerks zuzugreifen.
In diesem Fall übernimmt also die Mikrosegmentierung quasi die Aufgaben der Kontrollebene. Da jedoch bereits erklärt wurde, dass Verschlüsselung ebenfalls ein essenzieller Bestandteil von Zero Trust ist, muss jede Mikrosegmentierung, die eine effektive Kontrollebene darstellen will:
Traffic-Verschlüsselung zwischen den Endpunkten durchsetzen
Anwender und Gerät basierend auf deren Identität authentifizieren, nicht auf dem Netzwerksegment, aus dem sie kommen.
Zero-Trust-Technologien
Wie bereits erwähnt, ist Zero Trust eine Architektur. Zusätzlich zur Mikrosegmentierung sind die folgenden Schlüsseltechnologien und -prozesse für eine Zero-Trust-Implementierung notwendig:
Multifaktor-Authentifizierung: Zur Sicherstellung einer starken Authentifizierung.
Identity and Access Management: Zur zweifelsfreien Authentifizierung von Nutzer/Anwendung und Gerät.
Anwender- und Netzwerkverhaltensanalysen: Zum Verständnis der relativen Verhalten der Anwender und der Netzwerke, aus denen sie kommen und um jedes untypische Verhalten herauszustellen, das im Vergleich mit vorher festgelegten Ausgangswerten auffällig ist und ein Indiz für eine kompromittierte Identität sein kann.
Endpunkt-Sicherheit: Um sicherzustellen, dass die Endpunkte als solche „sauber“ sind und nicht als Kanal für Angreifer dienen, um unautorisiert auf Daten zuzugreifen.
Verschlüsselung: Um zu vermeiden, dass Traffic im Rahmen der Übertragung abgefangen wird.
Scoring: Zur Erstellung eines Bewertungsmaßstabs basierend auf den vorigen Parametern, nach dessen Kriterien dann entschieden wird, ob Zugriff gewährt wird.
Des Weiteren sind die folgenden Kriterien ebenfalls notwendig:
Dateisystem-Berechtigungen: Notwendig, um rollenbasierte Zugriffskontrollen zu implementieren
Auditierung und Protokollierung: Um Monitoringfunktionen bereitzustellen für den Fall, dass ein unautorisierter Zugriff erfolgt
Granulare, rollenbasierte Zugriffskontrollen: Um sicherzustellen, dass der Zugriff auf „Need to know“-Basis erfolgt
Unterstützende Prozesse: Die vorigen Punkte müssen von entsprechenden Betriebsprozessen sowie einem zuträglichen Sicherheits-Framework unterstützt werden, um den Betrieb wie beabsichtigt zu gewährleisten
Denkweise und organisatorisches Change-Management: Nachdem Zero Trust eine Umwälzung bei der Sicherheitsdenkweise darstellt, muss ein entsprechendes Change-Management gewährleistet werden. Nur so kann die erfolgreiche unternehmensweite Implementierung garantiert werden.
Doch warum haben sich bislang erst vergleichsweise wenige Unternehmen für eine konsequente Zero-Trust-Implementierung entschieden?
Wie bei jeder neuen Technologie oder Philosophie gibt es auch bei Zero Trust Herausforderungen in der Umsetzung. Die wohl größten sind:
Widerstand gegen den Wandel: Zero Trust stellt eine fundamentale Umwälzung dar in Bezug auf die Implementierung von Sicherheitsmaßnahmen. Daher stellen sich vor allem diejenigen gegen Zero Trust, die den klassischen Verteidigungsring gewohnt sind.
Technologie- statt Strategiefokus: Nachdem Zero Trust ein Modell ist, das das gesamte Unternehmen betrifft, benötigt es eine sorgfältige Planung und vor allem eine durchdachte Implementierungsstrategie. Viele betrachten IT-Sicherheit nach wie vor vor dem Hintergrund, dass es reicht, einfach genügend Technologie hineinzustopfen. Dieser Ansatz ist jedoch im Bezug auf Zero Trust katastrophal.
Altsysteme und -umgebungen: Viele Altsysteme und -umgebungen, die nach wie vor in Unternehmen benötigt werden, sind noch um das klassische Verteidigungsring-System aufgebaut. Das bedeutet, dass Änderungen hier in vielen Fällen als problematisch vermutet und daher aufgeschoben oder gar nicht umgesetzt werden.
Zeit und Kosten: Zero Trust muss stets unternehmensweit implementiert werden. Das heißt, dass es definitiv einen nicht unerheblichen Zeit- und Kostenbedarf verursacht – beides Ressourcen, die in Unternehmen nicht unbedingt im Überfluss vorhanden sind.
Umsetzung von Zero Trust
Aber wie lässt sich nun Zero Trust erfolgreich im Unternehmen implementieren?
1. Planung über mehrere Jahre und Phasen: Zero Trust benötigt für eine Implementierung vor allem Zeit. Unternehmen sollten sich daher auch die Zeit nehmen und das Projekt über eine längere Zeitspanne und mehrere Phasen ausdehnen, um die Kosten auf mehrere Finanzjahre zu verteilen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
2. Festlegung einer übergreifenden Strategie: Zero Trust betrifft das gesamte Unternehmen. Daher ist eine gut durchdachte Strategie für eine erfolgreiche Implementierung essenziell. Hier ein Vorschlag für eine entsprechende Herangehensweise:
Cloud-Umgebungen, neue Systeme und Projekte im Bereich digitale Transformation sind gute Ausgangspunkte: Entsprechende Projekte beginnen meist mit einem sprichwörtlichen weißen Blatt Papier und eignen sich daher gut für ein neues Sicherheitsmodell.
Sichergehen, dass Zero Trust von Beginn an in neue Systeme, Upgrades und Änderungen eingepasst wird: Zero Trust sollte immer von Anfang an mit eingebaut werden, nicht erst nachträglich. Gerade wenn Altsysteme ausgewechselt oder eingemottet werden, sollte ein Zero-Trust-Modell Teil der neuen Einführungsstrategie sein.
Ein zuverlässiges Change-Management-Programm einführen: Mittels eines entsprechenden Change-Managements kann das Denken im Unternehmen für Zero Trust angepasst werden.
3. Fokus auf Risiken und Business: So können Unternehmen sich auf den Schutz kritischer Informationen konzentrieren und die Investitionen in Zero Trust basierend auf ROI und Risikominimierung rechtfertigen.
4. Sicherstellen, dass die neue Umgebung entsprechend gewartet und verwaltet wird: Unternehmen müssen, wie bei allem, sicherstellen, dass ihr Zero-Trust-Modell stets gewartet und verwaltet wird und nicht im Laufe der Zeit erodiert.
Zusammengefasst lässt sich sagen, dass Zero Trust eine Sicherheitsphilosophie und -architektur ist, die die Herangehensweise an IT-Sicherheit in Unternehmen fundamental verändern wird. Ein Hauptbestandteil ist die Kontrollebene, die die Datenebene zur Bereitstellung der Daten anweist. Zero Trust legt dabei fest, dass der Zugang erst gewährt werden kann, wenn Nutzer/Anwendung zweifelsfrei authentifiziert sind – und selbst dann wird der Zugang lediglich auf „Need to know“-Basis gewährt.
Über den Autor: Dr. Uwe Heckert ist Vice President Client Management Public Sector für EMEA und Geschäftsführer der Unisys Deutschland GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1539400/1539412/original.jpg "Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen. (anyaberkut - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628400/original.jpg "Ein dauerhaftes Vertrauen gibt es in der IT-Sicherheit nicht mehr. An seine Stelle tritt ein risikobasiertes und vor allem temporäres Vertrauen. (davstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/82/13820e4aae220a31b634479882c189ed/0125189366v2.jpeg "Mikrosegmentierung ist eine Sicherheitsmethode zur präzisen Steuerung und Kontrolle des Netzwerksverkehrs, durch Unterteilung von Netzwerken in kleine, isolierte Bereiche.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f4/46/f446eddda02725a24488842d22320f96/0126743949v2.jpeg "Zero Trust verlangt kontinuierliche Prüfung aller Zugriffe – ein Balanceakt zwischen maximaler Sicherheit und praktikabler Usability. (Bild: © Bartek - stock.adobe.com)")