IT-Lexikon
Cybersecurity

Zero Trust

Sicherheitsstrategie nach dem Prinzip 'Never trust, always verify' — jeder Zugriff wird unabhängig vom Standort authentifiziert und autorisiert.

Zero Trust ist ein Sicherheitsmodell, das auf dem Grundsatz basiert, keinem Nutzer, Gerät oder Netzwerkbereich automatisch zu vertrauen. Jeder Zugriff — ob intern oder extern — wird kontinuierlich verifiziert. Das NIST SP 800-207 Framework definiert die Referenzarchitektur, an der sich die meisten Implementierungen orientieren.

Warum der Perimeter-Ansatz nicht mehr reicht

Das klassische Sicherheitsmodell trennt zwischen 'innen' (vertrauenswürdig) und 'außen' (nicht vertrauenswürdig). In einer Welt mit Cloud-Diensten, Remote-Arbeit und hybriden Infrastrukturen gibt es diesen klaren Perimeter nicht mehr. Mitarbeitende greifen von privaten Geräten auf Microsoft 365 zu, Anwendungen laufen verteilt über mehrere Cloud-Plattformen und Zulieferer benötigen Zugang zu internen Systemen. Ein Angreifer, der den Perimeter einmal überwindet — etwa durch Phishing — hat im klassischen Modell freie Bewegung im internen Netzwerk. Zero Trust eliminiert dieses Grundproblem, indem es jedem einzelnen Zugriff die gleiche Prüfung unterzieht.

Die fünf Säulen

Zero Trust ruht auf fünf Säulen: Identity Verification (MFA, Conditional Access), Device Trust (Gerätecompliance, EDR-Integration), Network Segmentation (Mikrosegmentierung, SDP), Application Security (API-Absicherung, Service Mesh) und Data Protection (DLP, Verschlüsselung, Classification).

Diese Säulen sind keine isolierten Projekte, sondern greifen ineinander. Conditional-Access-Richtlinien können beispielsweise den Zugriff nicht nur an die Identität, sondern auch an den Gerätestatus knüpfen: Ein Nutzer mit gültigem MFA-Token erhält nur dann Zugriff, wenn sein Gerät aktuell gepatcht ist und eine aktive EDR-Lösung läuft. Diese Kombination aus Identitäts- und Geräteprüfung bildet das Fundament jeder Zero-Trust-Architektur.

Umsetzung in der Praxis

Zero Trust wird schrittweise eingeführt. Typischerweise beginnt man mit Identity (MFA für alle Nutzer, Conditional Access) und Device Trust (EDR, Gerätecompliance), da diese den größten sofortigen Sicherheitsgewinn bieten. Netzwerksegmentierung und Application Security folgen in späteren Phasen.

Ein pragmatischer Fahrplan für den Mittelstand sieht in der Praxis so aus: In der ersten Phase wird MFA für alle Nutzer aktiviert und Conditional Access in Microsoft Entra ID konfiguriert. In der zweiten Phase folgt die Gerätecompliance — nur verwaltete und aktuell gepatchte Geräte erhalten Zugriff auf Unternehmensressourcen. Die dritte Phase umfasst Mikrosegmentierung des Netzwerks, um Lateral Movement einzuschränken. Und die vierte Phase adressiert die Absicherung privilegierter Konten über PAM und das Tiering-Modell.

Zero Trust und Compliance

Zero Trust ist nicht nur eine technische Strategie, sondern unterstützt auch regulatorische Anforderungen. Die NIS2-Richtlinie fordert explizit Zugangskontrollen und Netzwerksegmentierung. ISO 27001 verlangt eine systematische Zugriffssteuerung. Und der BSI IT-Grundschutz empfiehlt Maßnahmen, die sich direkt auf die Zero-Trust-Säulen abbilden lassen. Wer Zero Trust konsequent umsetzt, erfüllt damit gleichzeitig zentrale Compliance-Anforderungen.

Relevanz für KMUs

Zero Trust klingt nach Enterprise-Architektur, ist aber auch für den Mittelstand umsetzbar. Die meisten KMUs nutzen bereits Microsoft 365 und Entra ID — die Grundbausteine für Conditional Access und MFA sind also vorhanden. Der häufigste Fehler in der Praxis ist, MFA nur für Administratoren zu aktivieren statt für alle Nutzer. Schon dieser eine Schritt schließt den häufigsten Angriffsvektor — kompromittierte Zugangsdaten — erheblich.

Häufige Fragen

Ist Zero Trust ein Produkt oder ein Konzept?+
Zero Trust ist ein Sicherheitskonzept bzw. eine Architekturstrategie, kein einzelnes Produkt. Verschiedene Technologien wie MFA, Conditional Access, Mikrosegmentierung und EDR setzen die Zero-Trust-Prinzipien um — es gibt keinen einzigen Schalter, den man umlegen kann.
Was sind die Grundprinzipien von Zero Trust?+
Die drei Kernprinzipien lauten: Explizit verifizieren (jeder Zugriff wird authentifiziert und autorisiert, unabhängig vom Standort), minimale Rechtevergabe (Nutzer erhalten nur die Berechtigungen, die sie tatsächlich benötigen) und von einem Angriff ausgehen (das Netzwerk wird als potenziell kompromittiert behandelt). Das NIST SP 800-207 Framework definiert diese Grundsätze verbindlich.
Brauchen kleine Unternehmen Zero Trust?+
Ja, denn die meisten KMUs nutzen bereits Microsoft 365 und Entra ID, die die Grundbausteine für Zero Trust liefern. MFA für alle Nutzer und Conditional Access zu aktivieren ist der wichtigste erste Schritt und schließt den häufigsten Angriffsvektor — kompromittierte Zugangsdaten — erheblich.
Was ist der Unterschied zwischen Zero Trust und VPN?+
Ein VPN gewährt nach erfolgreicher Verbindung oft breiten Zugriff auf das interne Netzwerk — das widerspricht dem Zero-Trust-Prinzip. Zero Trust erteilt stattdessen granularen Zugriff auf einzelne Anwendungen oder Ressourcen, kontinuierlich überprüft anhand von Identität, Gerätezustand und Kontext.
Wie lange dauert die Einführung von Zero Trust?+
Eine vollständige Zero-Trust-Architektur entsteht schrittweise über mehrere Phasen. Identity und MFA lassen sich oft in wenigen Wochen einführen; Netzwerksegmentierung und privilegierter Zugriff erfordern je nach Umfang der bestehenden Infrastruktur deutlich mehr Zeit und Planung.
Unser Angebot
Netzwerksicherheit

Weiterführende Artikel

Zero Trust Architektur: Der vollständige Leitfaden für 2026

Verwandte Begriffe

Mikrosegmentierung
PAM
Privileged Access Management
SIEM
Security Information and Event Management
SASE
Secure Access Service Edge
NAC
Network Access Control