Die Einschätzung der Cyber Academy
Zero Trust ist das Sicherheitsmodell, bei dem Sie aufhören, dem Netzwerkperimeter zu vertrauen. Jede Zugriffsentscheidung wird jedes Mal authentifiziert, autorisiert und kontextuell bewertet. Die Identität wird zum Perimeter. Entstanden bei Forrester, popularisiert durch Googles BeyondCorp, kodifiziert durch NIST SP 800-207. Lesen Sie sich durch die Vendoren-Präsentationen hindurch: Es handelt sich um eine Architektur, nicht um ein Produkt.
Vom Perimetervertrauen zur Verifizierung jeder Anfrage
Das traditionelle Modell behandelte das Unternehmensnetzwerk als vertrauenswürdige Zone. War man erst einmal hinter der Firewall, durch das VPN, hinter dem Perimeter, galt man implizit als vertrauenswürdig, um sich lateral zu bewegen. Zero Trust verwirft diese Annahme. Es gibt kein vertrauenswürdiges Inneres. Eine Anfrage von einem Laptop im Büro-LAN wird mit demselben Misstrauen behandelt wie eine Anfrage aus einem Café, denn der Standort verdient kein Vertrauen mehr. Jede Zugriffsentscheidung wird neu getroffen: wer fragt an, von welchem Gerät, mit welcher Sicherheitslage, für welche Ressource, in welchem Kontext, und ist diese Kombination genau jetzt autorisiert.
Das ist wichtig, weil sich der Perimeter in der Praxis schon vor Jahren aufgelöst hat. Mitarbeitende arbeiten von zu Hause, Anwendungen liegen im SaaS eines Dritten, und ein einziger per Phishing erbeuteter Zugang bedeutete früher freie Bewegung über den gesamten Bestand. Zero Trust verkleinert diesen Wirkungsradius. Der Angreifer, der ein Passwort stiehlt, stößt weiterhin auf Geräteprüfungen, kontinuierliche Autorisierung und Segmentierung bei jedem Schritt, sodass eine einzelne Kompromittierung nicht mehr zu einer vollständigen Sicherheitsverletzung eskaliert.
Was Praktiker tatsächlich aufbauen
Schau über die Verkaufspräsentationen der Anbieter hinaus. Zero Trust ist eine Architektur und ein Betriebsmodell, keine Box, die man kauft. NIST SP 800-207 beschreibt es anhand einer Policy-Engine, die Entscheidungen trifft, eines Policy-Administrators, der sie durchsetzt, und Policy-Durchsetzungspunkten, die den Ressourcen vorgelagert sind. Die praktische Arbeit besteht darin, Identität zur Steuerungsebene zu machen und jede Anfrage gegen die Richtlinie zu prüfen. Die wiederkehrenden Bausteine sind:
- Starke Identität und Authentifizierung, mit MFA als Grundlage statt als Zusatz, damit die Identität hinter einer Anfrage wirklich verifiziert ist.
- Gerätestatus und Gesundheitszustand, denn ein verifizierter Nutzer auf einem kompromittierten oder nicht verwalteten Gerät bleibt ein Risiko, das es zu bewerten gilt.
- Geringste Rechte und Just-in-Time-Zugriff, indem nur die engsten erforderlichen Rechte gewährt und ständige Zugänge entfernt werden, die Angreifer gern erben.
- Mikrosegmentierung, damit ein Standfuß in einer Arbeitslast keinen flachen Pfad zu allem anderen öffnet.
- Kontinuierliche Bewertung und Protokollierung, denn Vertrauen wird neu bewertet, sobald sich der Kontext ändert, und nicht einmal bei der Anmeldung gewährt und dann vergessen.
Wie es sich von benachbarten Konzepten unterscheidet
Zero Trust lässt sich leicht mit den Prinzipien verwechseln, auf denen es aufbaut. Geringste Rechte sind eine Zutat: Sie begrenzen, was eine Identität erreichen kann, gehen für sich genommen aber weiterhin davon aus, dass das Netzwerk vertrauenswürdig ist. Defense in Depth ist der ältere, breitere Instinkt, unabhängige Kontrollen zu schichten; Zero Trust ist eine spezifische Art, das weiche, vertrauenswürdige Innere zu entfernen, das klassische geschichtete Verteidigungen oft bestehen ließen.
Identitäts- und Zugriffsmanagement liefert die Mechanik, die Verzeichnisse, die Authentifizierung und die Autorisierung, die Zero Trust als Fundament nutzt. Kurz gesagt: IAM, MFA und geringste Rechte sind Komponenten, während Zero Trust die Entwurfsphilosophie ist, die sie zu einer kontinuierlichen, kontextbezogenen Verifizierung orchestriert.
In der Standard- und Politiklandschaft ist die Idee inzwischen Mainstream. NIST SP 800-207 ist die Referenzdefinition, und das NIST hat begleitende Umsetzungsleitfäden veröffentlicht. In den Vereinigten Staaten haben staatliche Vorgaben die Behörden zu Zero-Trust-Architekturen gedrängt, und europäische Stellen wie die ENISA verweisen darauf als Stoßrichtung für eine widerstandsfähige, identitätszentrierte Sicherheit. Prüfer erwarten zunehmend, die Prinzipien im Zugriffsdesign widergespiegelt zu sehen, selbst wenn ein Rahmenwerk Zero Trust nicht ausdrücklich benennt.
Frequently asked questions
01Ist Zero Trust ein Produkt, das ich kaufen kann?
Nein. Zero Trust ist eine Architektur und ein Betriebsmodell, kein einzelnes Produkt. Anbieter verkaufen Durchsetzungspunkte und Werkzeuge, die helfen, aber im Modell geht es darum, jede Zugriffsentscheidung identitätsgesteuert, kontextbezogen und kontinuierlich verifiziert über den gesamten Bestand zu treffen.
02Was ist der Unterschied zwischen Zero Trust und geringsten Rechten?
Geringste Rechte begrenzen, was eine Identität erreichen darf, und sind eine Zutat von Zero Trust. Zero Trust ist umfassender: Es beseitigt implizites Netzwerkvertrauen vollständig und verifiziert jede Anfrage kontinuierlich, indem es geringste Rechte, starke Identität und Gerätestatus zusammen einsetzt.
03Wo fange ich mit Zero Trust an?
Die meisten Programme beginnen mit der Identität: starke Authentifizierung und MFA als Grundlage. Von dort aus verschärfst du die Rechte, fügst Just-in-Time-Zugriff hinzu, segmentierst das Netzwerk und baust eine kontinuierliche Überwachung auf. Es ist eine schrittweise Reise, kein einzelner Schalter.
04Welcher Standard definiert Zero Trust?
NIST SP 800-207 ist die am häufigsten zitierte Referenz. Sie definiert die Kernkomponenten, eine Policy-Engine, einen Policy-Administrator und Policy-Durchsetzungspunkte, und fasst Zero Trust als Architektur statt als spezifische Technologie auf.
05Ersetzt Zero Trust VPNs und Firewalls?
Nicht ganz. Es ändert ihre Rolle. Der Netzwerkstandort gewährt kein Vertrauen mehr, sodass ein VPN-Tunnel allein nie ausreicht. Firewalls und Segmentierung bleiben nützliche Durchsetzungspunkte, aber sie sitzen innerhalb eines Modells, in dem jede Anfrage weiterhin authentifiziert und autorisiert wird.