Zero Trust: Das neue Sicherheitsverständnis für moderne IT-Architekturen

Klassische IT-Sicherheitsmodelle stoßen heute an ihre Grenzen. Mitarbeitende arbeiten von überall, Daten liegen in der Cloud und Anwendungen werden dezentral betrieben. Bisher war IT-Security recht klar abgegrenzt: Eine Firewall schützte das Unternehmensnetzwerk wie eine Burgmauer. Wer sich innerhalb dieser Mauern befindet, gilt als vertrauenswürdig. Dieses klassische Prinzip verliert zunehmend seine Gültigkeit. Genau hier setzt Zero Trust an.

Was bedeutet Zero Trust konkret? 

Zero Trust ist kein Produkt, sondern ein ganzheitliches Sicherheitskonzept. Die Grundidee ist radikal, aber sehr einfach: „Never trust, always verify“. Statt davon auszugehen, dass sich innerhalb des Netzwerks nur vertrauenswürdige Akteure befinden, behandelt Zero Trust jeden Zugriff als potenziell riskant. Im Kern steht die Annahme: Der Angreifer befindet sich bereits im Netzwerk.

Bevor eine Verbindung zugelassen wird, werden die Identität und die Berechtigung des Nutzers auf den Zugriff der Datei bzw. die Applikation geprüft. So wird das Risiko von Datenmissbrauch und Lateral Movement deutlich reduziert.

Die zentralen Prinzipien des Konzepts:

• Least Privilege: Jede Person erhält nur so viele Berechtigungen, wie sie für die Erfüllung ihrer Aufgabe tatsächlich benötigt.
• Risikobasierte Zugriffskontrolle: Der Zugriff hängt vom Kontext ab, z. B. von Gerätetyp, Standort, Uhrzeit oder Sicherheitszustand des Endgeräts.
• Dynamische Zugangskontrolle: Jeder Datenpunkt hat sozusagen seinen eigenen „Bodyguard“.

So wird aus einem statischen Sicherheitsmodell ein dynamisches System, das flexibel auf neue Bedrohungen reagieren kann und den Schutz dahin verlagert, wo er heute gebraucht wird: an den Zugriffspunkt selbst.

Vom Perimeter zur Identität - ein Paradigmenwechsel

Traditionelle IT-Sicherheitsarchitekturen basieren auf einem festen Perimeter: Eine klare Grenze trennt das Unternehmensnetzwerk von der Außenwelt. Mitarbeitende aus dem mobilen Office melden sich über ein VPN an. Oft reicht ein Computerzertifikat auf dem Gerät bereits aus, um Zugang zum gesamten internen Netzwerk zu erhalten.

Zero Trust denkt diesen Ansatz neu. Der Fokus liegt nicht mehr auf der Netzwerkgrenze, sondern auf Identitäten und kontextbezogenen Entscheidungen: Wer möchte worauf zugreifen? Von welchem Gerät aus? In welchem Sicherheitszustand befindet sich dieses Gerät?

Ein Beispiel: Ein Mitarbeiter aus dem Marketing meldet sich an, die Sicherheitsplattform prüft seine Identität, den Gerätestatus und entscheidet, dass er Zugriff auf Marketing-Systeme, aber nicht auf HR-Daten erhält. Jeder Zugriff ist überprüfbar und nachvollziehbar. Unabhängig davon, ob er aus dem Büro oder aus dem Homeoffice erfolgt. So entsteht ein Sicherheitskonzept, das sehr flexibel ist und sich nahtlos in hybride Arbeitsumgebungen einfügt.

Herausforderungen und Erfolgsfaktoren in der Praxis

Zero Trust erfordert eine klare konzeptionelle Grundlage und ein Verständnis dafür, wie Daten, Identitäten und IT-Systeme im Unternehmen zusammenwirken. Es geht darum, Vertrauen neu zu definieren, Zugriffsrechte präzise zu modellieren und Sicherheitsprozesse in den Arbeitsalltag zu integrieren.

Wie gelingt der Einstieg in Zero Trust?

Die Einführung gelingt am besten, wenn Unternehmen das Konzept ganzheitlich denken – als langfristige Weiterentwicklung ihrer Sicherheitsstrategie. Wer frühzeitig auf eine klare Architektur setzt, reduziert Komplexität und sorgt für eine bessere Nutzererfahrung.

Wesentliche Bausteine von Zero Trust sind:

• Multi-Faktor-Authentifizierung (MFA): Stärkt die Identitätssicherheit.
• Mikrosegmentierung: Teilt Netzwerke in kleinere, kontrollierbare Bereiche.
• Risikobasierte Richtlinien: Treffen Zugriffsentscheidungen dynamisch, je nach Kontext.
• Zero Trust Gateway: Kontrolliert und sichert externe Zugriffe, ohne dass klassische VPN-Strukturen nötig sind.

Ein Beispiel aus der Praxis:
Mitarbeitende, die im Homeoffice arbeiten, greifen über Cisco Secure Access auf zentrale Anwendungen zu. Für jede Anwendung wird eine separate und verschlüsselte Verbindung zum Unternehmensnetzwerk aufgebaut. Der Gesundheitszustand der Geräte wird dabei kontinuierlich überprüft und dennoch bleibt die Benutzererfahrung so reibungslos wie im Büro.

Sicherheit und Flexibilität schließen sich also nicht aus, wenn das Konzept sauber geplant und umgesetzt ist.

Ein Blick nach vorn – Universal ZTNA

IT-Sicherheit entwickelt sich stetig weiter, ebenso die Bedrohungen auf der anderen Seite. Moderne Lösungen wie Universal ZTNA (Zero Trust Network Access) bringen das Prinzip auf die nächste Ebene: Sie kombinieren Identitätsprüfung, Richtliniensteuerung sowie Netzwerksegmentierung und lassen sich bis auf lokale Firewalls herunterbrechen. In Kombination mit Lösungen wie Secure Access und Secure Firewall entsteht so eine durchgängige Sicherheitsarchitektur – vom Endgerät bis zum Rechenzentrum. Das Ergebnis: ein einheitliches, skalierbares Sicherheitsmodell für die hybride Arbeitswelt.

Fazit und Ausblick

Zero Trust hat sich in den vergangenen Jahren zu einem festen Konzept in der IT-Sicherheit entwickelt. Sicherlich haben die Zero-Trust-Strategie des Pentagons aus dem Jahr 2022 und die Erneuerung der Strategie im September 2025 auf die Version 2.0 einen maßgeblichen Einfluss drauf.

So kam das Zero-Trust-Konzept aus seiner Nische mit vielen kleinen Lösungsansätzen auf die große Bühne. Durch das Zusammenführen verschiedener Sicherheitsfunktionen – wie reverse Proxies mit MFA und Kontrolle der Patchstände des Clients – in einer Plattform wie Cisco Secure Access, lassen sich Zugriffe einfach und zentral steuern.

Frühere Zero-Trust-Strategien, aus vielen kleinteiligen Bausteinen von unterschiedlichen Anbietern, scheiterten oft an einer zu hohen Komplexität und den resultierenden hohen Kosten. Heute muss man diesen Weg nicht mehr gehen. Stattdessen kann man die Vorteile der Plattform für sich nutzen und das Zusammenführen der einzelnen Sicherheitsfunktionen einem erfahrenen Anbieter überlassen.