Zero Trust ist ein beliebtes Thema in IT-Security-Kreisen, wenn es um die unternehmensinterne Sicherheitsstrategie geht. Doch welche Rolle spielt Zero Trust in Zeiten von Remote Work?
Die beiden Zero-Trust-Grundsätze, alles in Frage zu stellen und jeden als Außenseiter zu betrachten, bieten eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden.
Das Zero-Trust-Prinzip fordert Unternehmen dazu auf, ihre Security-Lösungen so auszuwählen und einzustellen, dass diese gewohnheitsmäßig hinterfragen, wer jemand ist und was er tun will. Der Ansatz eliminiert somit das blinde Vertrauen in jegliche Benutzer, die sich beispielsweise von einem bestimmten Gerät aus einloggen. Im Idealfall vergewissern sich Betriebe bei der Anwendung von Zero Trust kontinuierlich, dass ihre Benutzer die sind, für die sie sich ausgeben, und dass ihr Zugriff auf bestimmte Anwendungen und Systeme immer einwandfrei ist. Einfacher ausgedrückt ist die Idee hinter dem Konzept: „Trust no one“.
Das Grundprinzip spielt bereits im privaten Alltag von Mitarbeitern eine große Rolle – schließlich sind Türklingeln, hauseigene Sicherheitssysteme oder ein Wachhund Beispiele für Vorsichtsmaßnahmen, die uns darauf aufmerksam machen, dass sich jemand in der Nähe unseres Hauses aufhält, der sonst nicht da wäre – selbst wenn wir die Person kennen. Das gleiche Prinzip kann angewandt werden, wenn es darum geht, aus beruflichen oder privaten Gründen online zu gehen – Türklingeln funktionieren in dieser Umgebung nicht – doch dies ist der Punkt, an dem Zero Trust ins Spiel kommt. Im Zuge der Verschmelzung von Arbeits- und Familienleben im letzten Jahr muss dieses Konzept zu Hause bei den unzähligen Risiken angewandt werden, die sich hier ergeben. Der Großteil der Büroangestellten in Deutschland arbeitet seit fast einem Jahr remote und trotz oftmals bester Bemühungen seitens Unternehmen im Bereich Passworttraining und Security-Awareness stellt sich die Frage: Wie steht es wirklich um das Sicherheitsbewusstsein der Angestellten? Hier ist es leicht, nachlässig zu werden, doch es gibt Möglichkeiten, Zero-Trust effektiv zu Hause einzuführen, in Anlehnung an die Prinzipien des berühmten Security Frameworks – und somit auch für den Rest des Jahres 2021 sicher zu bleiben.
Es gilt, alles und jeden zu hinterfragen
Ein Medienbericht nach dem anderen zeigte in den vergangenen Monaten, dass die Phishing-Bedrohungen im Jahr 2020 erheblich zugenommen haben. Laut einer Anfang 2020 veröffentlichten bitkom-Studie lag die Zahl der Zahl der deutschen Unternehmen, die Schäden durch Phishing-Angriffe verzeichneten, 2019 bei 23 Prozent – 2017 waren es noch 15 Prozent. Angriffe auf Passwörter allgemein richteten bei 25 Prozent Schaden an, zwei Jahre zuvor lag die Zahl bei 18 Prozent. Hier ist wichtig zu betonen, dass dieser deutliche Abstieg also bereits vor der Pandemie zu beobachten war und durch die aktuelle Krise noch deutlich zugenommen haben dürfte. So gab fast die Hälfte der US-Arbeitnehmer an, in den ersten sechs Monaten gezielte Phishing-E-Mails, SMS und Telefonanrufe erhalten zu haben. Diese Zahlen machen deutlich: Cyberkriminelle machen Überstunden und nutzen eine globale Krise aus, indem sie bösartige Links in sorgfältig gestalteten E-Mails an berufliche oder private Adressen senden. Wenn Mitarbeiter (privat oder während der Arbeit) auf diese klicken, laden sie unwissentlich eine Keylogging-Software auf ihren PC herunter und geben ihre Anmeldedaten an böswillige Akteure weiter. Ein Hacker kann dann ungehindert auf wichtige Unternehmensressourcen und -daten zugreifen, indem er sich als legitimer Mitarbeiter ausgibt.
Eine Methode der Cyberkriminellen, die sich auf dem Vormarsch befindet, stellt das sogenannte „Vishing“ dar, also „Voice Phishing“. Das FBI, die zentrale Sicherheitsbehörde der USA, gab im Januar eine Warnung hierzu heraus und auch das deutsche BSI erwähnte die Angriffsmethode im aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“. Dies bedeutet, dass Mitarbeiter im Home Office die Zero Trust-Methode nicht nur bei E-Mails und SMS, sondern auch bei Anrufen ihres Arbeitgebers oder unbekannten Absendern anwenden sollten. Hier gilt es, alles zu hinterfragen und die Person an der anderen Leitung gründlich zu prüfen – wichtig ist hier das Ausschauhalten nach verräterischen Zeichen. Ein Beispiel ist etwa, dass die Person sie auffordert, etwas Bestimmtes sofort zu unternehmen, oder wenn es um finanzielle Angelegenheiten, sensible Daten oder andere kritische Anfragen geht – denn: diese wichtigen Aktionen werden seitens des Arbeitgebers oder der Bank in der Regel nicht mithilfe eines übereilten Anrufs geklärt, in dem Angestellte zum sofortigen Handeln aufgefordert werden.
Jeder ist ein „Outsider“
Auch wenn es sich befremdlich anhören mag: Jeder ist ein Außenseiter oder „Outsider“ wenn er von zu Hause aus arbeitet. Unter dem persönlichen, beruflichen und finanziellen Druck der Pandemie wird die menschliche Komponente innerhalb der IT-Sicherheit durch die gemeinsame Nutzung von Passwörtern und Geräten überdeutlich. Die gemeinsame Nutzung von Passwörtern für berufliche und private Konten und die Weitergabe dieser Passwörter an die Familie oder an Freunde kann dazu führen, dass mehrere Systeme gleichzeitig kompromittiert werden – selbst das Spotify-Passwort ist gefährdet, wenn Mitarbeiter hier dasselbe Passwort zur Anmeldung wie für beispielsweise ihr Outlook-Konto verwenden. Sobald ein Hacker diese Anmeldedaten hat, kann er direkt in das Unternehmensnetzwerk eindringen. Doch Passwörter sind nicht die einzigen gemeinsam genutzten Elemente. Schließlich haben Menschen im Laufe des Tages mehr als eine Rolle inne – als Berufstätige, Lehrer, Eltern, Betreuer, etc. Infolgedessen ist die gemeinsame Nutzung von Geräten mit Ehepartnern, Kindern und anderen Familienmitgliedern ein typischer und verbreiteter Vorgang.
Wenn Mitarbeiter hier die Zero-Trust-Methode anwenden würden, müssten sie die gemeinsame Nutzung von Passwörtern und Geräten sofort beenden. Stattdessen sollten sie jeden als Außenseiter betrachten – sogar die eigene Familie, wenn es um die Arbeit und den Schutz kritischer Daten geht. Einige Möglichkeiten, dies umzusetzen, sind die Nutzung eines Passwortmanagers oder das Anlegen mehrerer Familienkonten für bestimmte Anwendungen (Spotify, Netflix usw.). Angestellte können ihren Arbeitgeber außerdem fragen, ob sie ihren alten Arbeitscomputer kaufen können, um einen gemeinsamen Familiencomputer für zu Hause zu haben. Dieser Service wird in vielen Firmen angeboten – oftmals können Mitarbeiter ihren Arbeitslaptop nach wenigen Jahren erwerben, nachdem alle arbeitsrelevanten Daten gelöscht wurden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zero Trust ist eine Lebenseinstellung
Wichtig ist hier: Zero Trust ist kein Trend, sondern vielmehr eine Lebenseinstellung. Die beiden bereits erwähnten Grundsätze kombiniert – alles in Frage zu stellen und jeden als Außenseiter zu betrachten – bietet eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden. Ein Punkt, der in diesem Zusammenhang allerdings auch entscheidend: Zero-Trust ist kein Allheilmittel. Es ist eine Denkweise, oder vielleicht noch besser gesagt, ein Ansatz. Das gesamte Konzept soll Mitarbeiter, privat und während der Arbeitszeit, sensibilisieren. Es dient dazu, Angestellte dazu aufzufordern, anders darüber nachzudenken, wie sie eine unbekannte E-Mail empfangen, wie sie darüber denken, ein Passwort oder ein Gerät freizugeben, und auch darüber, wie sie ihren Sicherheitsansatz zu Hause umsetzen. Wenn Angestellte diese "Lebensweise" auf ihre Arbeit zu Hause anwenden, wird ihr Unternehmen es ihnen danken, und auch der eigene Seelenfrieden beim Remote Work wird sichergestellt. In diesem Sinne – Willkommen zu Hause, Zero-Trust.
Über den Autor: Volker Sommer ist Area VP DACH bei SailPoint.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/7e/b37eda00b5f1b9844dc7c3981f2fb98a/0124976389v2.jpeg "Cyberkriminelle, die auf fortschrittliche Taktiken setzen, erscheinen besonders bedrohlich und einschüchternd. Warum trotzdem kein Grund zu übertriebener Sorge besteht, erklärt dieser Beitrag. (Bild: © Gorodenkoff - stock.adobe.com)")