Zero Trust: Wie Unternehmen ihre IT-Sicherheit neu aufstellen

Perimeter-Sicherheit bietet nur noch begrenzten Schutz. Zero-Trust-Modelle gelten als vielversprechender Ansatz, scheitern jedoch häufig an Legacy-Systemen und unklaren Compliance-Vorgaben. Während US-Anbieter wie Cisco oder Palo Alto Networks den Markt prägen, suchen europäische Unternehmen zunehmend nach Lösungen, die ihre digitale Souveränität stärken.

Die Firewall am Netzwerkrand schützte Unternehmensnetzwerke jahrzehntelang wie eine mittelalterliche Burgmauer. Wer diese digitale Grenze einmal passierte, erhielt automatisch Vertrauen und weitreichende Zugriffsrechte auf interne Ressourcen. Dieses simple Sicherheitsmodell funktioniert jedoch nur in einer statischen Arbeitswelt, in der Angestellte ausschließlich im Büro arbeiten und auf lokale Server zugreifen. In der modernen IT-Landschaft von heute versagt dieser Ansatz.

Remote Work, Cloud-Migration und mobile Endgeräte lösen die traditionellen Netzwerkgrenzen vollständig auf. Die klare Trennung zwischen „innen“ und „außen“ existiert nicht mehr, wenn Mitarbeiter von überall aus auf Unternehmensressourcen zugreifen. Angreifer finden nun leichter Einstiegspunkte. Befinden sie sich erst einmal im Netz, bewegen sie sich lateral durch die gesamte IT-Infrastruktur – oft monatelang unentdeckt, während sie wertvolle Daten abgreifen oder Ransomware vorbereiten.

Das NIST veröffentlichte 2020 sein Framework für Zero Trust. Der Kern: Jeder Zugriff auf Ressourcen muss kontinuierlich verifiziert werden – egal ob intern oder extern. Die Devise „Never trust, always verify“ ersetzt das alte „Vertrauen, aber verifizieren“-Motto. In der Praxis hapert es jedoch noch allzu oft an der Umsetzung.

Grundprinzipien: Zero Trust ersetzt blindes Vertrauen

Zero Trust basiert auf sieben fundamentalen Leitsätzen, die das NIST in der „Special Publication 800-207“ als Kernelemente definiert hat. Diese Prinzipien formen moderne Sicherheitskonzepte:

  1. Umfassender Ressourcenschutz: Jede Information gilt grundsätzlich als schützenswert.
  2. Durchgängige Kommunikationssicherheit: Lückenlose Verschlüsselung aller Datenübertragungen.
  3. Sitzungsbezogene Zugriffsrechte: Berechtigungen gelten nur für aktuelle Arbeitssitzungen.
  4. Dynamische Berechtigungssteuerung: Echtzeit-Risikobewertung bei jedem Zugriffsversuch.
  5. Minimale Berechtigungen: Strikte Begrenzung der Zugriffsrechte auf das Notwendige.
  6. Kontinuierliche Überwachung: Permanente Analyse aller Aktivitäten im Netzwerk.
  7. Datengetriebene Sicherheit: Automatische Anpassung durch kontinuierliche Telemetrieauswertung.

Zero Trust ist kein Produkt von der Stange, sondern ein Sicherheitskonzept, das den alten Grundsatz „Trust but verify“ durch „Never trust, always verify“ ersetzt. Statt pauschalem Vertrauen für interne Nutzer gibt es nur noch granulare, zeitlich begrenzte Zugriffsrechte für konkrete Arbeitsaufgaben.

Architektur: Moderne Netzwerke denken Sicherheit neu

Während die sieben Grundprinzipien die praktische Umsetzung von Zero Trust definieren, basieren die zugrundeliegenden Strukturen auf sechs Annahmen des NIST-Frameworks, die das Verständnis von Unternehmensnetzwerken grundlegend verändern:

  1. Insider-Bedrohungen sind real: Jede Verbindung muss kontinuierlich überprüft werden.
  2. BYOD gehört zum Alltag: Private Geräte erhalten nur temporäre Zugriffsrechte.
  3. Vertrauen benötigt Verifikation: Jeder Zugriff erfordert eine permanente Sicherheitsbewertung.
  4. Die Cloud dominiert die Infrastruktur: Ressourcen nutzen grundsätzlich unsichere Netzwerke.
  5. Externe Netzwerke bergen Risiken: Angreifer manipulieren potenziell jeden externen Datenverkehr.
  6. Sicherheit überwindet Grenzen: Schutzmaßnahmen gelten infrastrukturunabhängig für Assets.

Der Zero-Trust-Ansatz vereint diese Prinzipien zu einer widerstandsfähigen Sicherheitsarchitektur, die Angriffsflächen minimiert und Datenverluste selbst im Falle erfolgreicher Einbrüche wirksam begrenzt.

Holografische 3D-Darstellung eines Zero-Trust-Sicherheitskonzepts: Transparenter Würfel mit mehrschichtigen Authentifizierungsebenen, blaue Datenströme durchfließen die Struktur, rote Sicherheitsknoten markieren Verifikationspunkte. (Bild: Google Gemini/stk)
Zero Trust in der Praxis: Mehrschichtige Authentifizierung und kontinuierliche Überprüfung aller Zugriffe – visualisiert als holografisches 3D-Modell
(Bild: Google Gemini/stk)

Identity-Management: Identitäten bilden das neue Fundament

Im Zero-Trust-Modell verschiebt sich die Sicherheitsgrenze fundamental: Nicht mehr das Netzwerk, sondern die Identität bildet das zentrale Schutzkonzept. Identitätsmanagement bildet somit das Herzstück jeder Zero-Trust-Architektur. Moderne Implementierungen setzen auf die kontextbewusste Multi-Faktor-Authentifizierung, die verschiedene Identifikationsmethoden kombiniert und gestohlene Zugangsdaten wirkungslos macht. Diese Sicherheitslösung bewertet Risikofaktoren in Echtzeit und fordert bei verdächtigen Mustern automatisch eine zusätzliche Verifikation.

Besonders zertifikatsbasierte Verfahren für Benutzer und IT-Komponenten bieten eine deutlich höhere Sicherheit als klassische Passwörter. Sie ergänzen Endpoint-Policy-Checks, die den Sicherheitsstatus der Endgeräte kontinuierlich überwachen: Läuft der Virenscanner? Sind alle kritischen Updates installiert? Entspricht die Gerätekonfiguration den Unternehmensrichtlinien? Nur bei einer positiven Bewertung gewährt die Zero-Trust-Umgebung Zugriff auf geschützte Ressourcen.

Eine zentrale Berechtigungsverwaltung bildet das Rückgrat jeder Zero-Trust-Architektur. Jeder Nutzer bekommt nur noch die Zugriffsrechte, die er für seine aktuelle Aufgabe braucht – nicht mehr. Administratoren vergeben diese Berechtigungen zentral und extrem granular nach dem Least-Privilege-Prinzip. Konsequente Netzwerksegmentierung stoppt zusätzlich Angreifer, die bereits in die Infrastruktur eingedrungen sind, bevor sie sich weiter ausbreiten können.

Souveränität: Europäische Ansätze stärken digitale Unabhängigkeit

Zero Trust unterliegt in Europa den Anforderungen der Datenschutzgrundverordnung. Während US-Anbieter wie Cisco oder Palo Alto Networks den Markt prägen, gewinnen europäische Hersteller an Bedeutung. Diese bieten regulatorische Vorteile: Sie arbeiten unter europäischem Recht, gewährleisten DSGVO-Konformität und fallen nicht unter den amerikanischen CLOUD Act. Zu den relevanten europäischen Anbietern zählen Macmon Secure, Secunet, NCP engineering und Nextcloud.

Granulare Zugriffskontrollen bilden den Kern DSGVO-konformer Zero-Trust-Modelle. Sie limitieren den Datenzugriff auf das nachweislich Notwendige – wer mehr will, bekommt nichts. Die Protokollierung jeder Aktion hinterlässt lückenlose Audit-Trails für Compliance-Nachweise und forensische Analysen nach Sicherheitsvorfällen. Bei jedem Zugriffsversuch durchleuchtet das System fünf kritische Aspekte:

  1. Wer greift zu?
  2. Auf welche Ressource?
  3. Von welchem System?
  4. Wann und von wo?
  5. Entspricht dies bekannten Verhaltensmustern?

Diese kontinuierliche Kontextanalyse bildet das Herzstück jeder Zero-Trust-Entscheidung und ermöglicht eine dynamische Risikobewertung in Echtzeit.

Europäische Software plus Open Source plus EU-Rechenzentren – diese Kombination schafft DSGVO-Compliance ohne CLOUD-Act-Probleme  und minimiert Lieferkettenrisiken . Digitale Souveränität entwickelt sich dabei vom Schlagwort zum konkreten Anforderungsprofil. Allerdings erfordern verhaltensbasierte Risikoanalysen eine Datenschutz-Folgenabschätzung nach Artikel 35. Entscheider sollten kritisch prüfen, ob Zero-Trust-Lösungen tatsächlich die Anforderungen des NIST-Frameworks und der DSGVO erfüllen.

Migration: Schrittweise Umstellung minimiert Risiken

Wer Zero Trust einführt, braucht einen strukturierten Plan. Obwohl die IT-Landschaft jedes Unternehmens anders aussieht, hat sich ein vierstufiges Vorgehen in der Praxis bewährt:

  1. Bestandsaufnahme: IT-Systeme inventarisieren und wertvolle Assets identifizieren. Daraus entstehen Sicherheitsziele mit messbaren Meilensteinen.
  2. Pilotprojekte: Ausgewählte Bereiche als Testfeld nutzen. Probleme werden frühzeitig erkannt, bevor sie kritische Systeme gefährden.
  3. Roll-out: Kritische Systeme mit hohem Schutzbedarf priorisieren. Der Prozess mehrere Monate – je nach Unternehmensgröße.
  4. Evolution: Kontinuierliche Anpassung an neue Bedrohungen und Integration aktueller Technologien. Zero Trust bleibt stets dynamisch.

Während kleine und mittlere Unternehmen den Umstieg typischerweise in sechs bis zwölf Monaten bewältigen können, sollten größere Organisationen mit komplexen IT-Landschaften realistisch mit einem mehrjährigen Transformationsprozess rechnen.

Integration: Legacy-Systeme fordern Zero-Trust-Architekturen

Legacy-Systeme blockieren Zero-Trust-Vorhaben häufig. Fast alle Unternehmen verschätzen sich beim Aufwand: Alte Anwendungen brauchen massive Umbauten oder kompletten Ersatz, sonst scheitern die strengen Authentifizierungs- und Autorisierungsanforderungen.

Der Knackpunkt: Alte Systeme kennen weder moderne Authentifizierung noch feinkörnige Zugriffsrechte, müssen aber dennoch mit den neuen Systemen kommunizieren. Schrittweise Migration verhindert zwar Ausfälle, zieht aber alles in die Länge – bei Großunternehmen oft um Jahre.

Wer bereits in der Cloud arbeitet, hat die Nase vorn. Cloud-Umgebungen schlucken Zero-Trust-Anforderungen deutlich leichter als veraltete Infrastrukturen. Trotzdem braucht jede Integration akribische Planung und oft Spezialschnittstellen zwischen Alt und Neu – ein Kostenfaktor, den die meisten Budgetverantwortlichen schlicht ignorieren.

Herausforderungen: Unterschätzte Aspekte der Zero-Trust-Umsetzung

Zero Trust scheitert in der Praxis oft an unterschätzten Hürden. Besonders die Auswirkungen auf den Arbeitsalltag übersehen viele Verantwortliche: Ohne moderne Single-Sign-On-Lösungen authentifizieren sich Anwender ständig neu. Dies senkt die Produktivität und erzeugt Unmut in der Belegschaft. Nur die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit minimiert diese Reibungspunkte.

Die technische Infrastruktur leidet ebenfalls – permanente Verifikation und kontinuierliche Sicherheitschecks überlasten vor allem ältere Systeme. Anwender erleben Performance-Einbußen sowie längere Reaktionszeiten, weshalb sie oft nach Umgehungslösungen suchen. Legacy-Anwendungen stellen dabei die größte Herausforderung dar.

Eine Marktanalyse von Techconsult zeigt, warum Zero-Trust-Projekte in der Praxis häufig ins Stocken geraten: 36 Prozent der Unternehmen finden das Konzept zu komplex, 33 Prozent mangelt es an Know-how, 26 Prozent schrecken die Kosten ab. Diese Zahlen verdeutlichen, dass technische Hürden nur einen Teil des Problems darstellen.

Fazit: Strategische Vorteile durch europäische Zero-Trust-Ansätze

Drei Trends dominieren die Zero-Trust-Landschaft: KI-gestützte Systeme erkennen und blockieren Anomalien automatisiert, SASE- und SSE-Konzepte verlagern Sicherheitsfunktionen in die Cloud, und die Benutzeridentität ersetzt das Netzwerk als zentrale Sicherheitskomponente. Besonders der letzte Trend markiert einen Bruch mit traditionellen Sicherheitskonzepten. Statt Netzwerkgrenzen zu kontrollieren, steht nun die kontinuierliche Überprüfung jeder Benutzeridentität im Mittelpunkt – unabhängig vom genutzten Netzwerk.

Europäische Ansätze unterscheiden sich durch ihren regulatorischen Rahmen. Die DSGVO und Bestrebungen zur digitalen Souveränität beeinflussen die Gestaltung von Zero-Trust-Architekturen in Europa. Lokale Lösungen bieten andere rechtliche Rahmenbedingungen als US-amerikanische Alternativen, insbesondere hinsichtlich des CLOUD Acts.

Zero Trust erfordert langfristiges strategisches Denken statt kurzfristiger, rein technischer Lösungen. Unternehmen müssen Sicherheit, Compliance-Anforderungen und Benutzerfreundlichkeit in Einklang bringen. Trotz umfassender Schutzmaßnahmen bleiben finanzielle Restrisiken  bestehen, die Firmen zusätzlich absichern sollten. Die Fähigkeit, diesen Balanceakt zu meistern, spielt angesichts zunehmender digitaler Fragmentierung und geopolitischer Unsicherheiten eine immer wichtigere Rolle.

Autor: Stefan Kuhn

Sponsoren

A1 Digital
huawei

Diese Microsite „IT-Summit by heise“ wird betrieben von heise Medien GmbH & Co. KG in Zusammenarbeit mit MBmedien Group GmbH
mit freundlicher Unterstützung durch Sponsoren.

Impressum | Datenschutz