Über Jahrzehnte war IT-Sicherheit einfach zu beschreiben: Innerhalb des Firmennetzwerks war alles vertrauenswürdig, ausserhalb wurde alles hinterfragt. Die klassische Perimeter-Security funktionierte wie ein digitaler Burggraben. Doch diese Zeiten sind vorbei. Cloud-Anwendungen, hybride Infrastrukturen, mobile Endgeräte und die flächendeckende Remote-Arbeit haben das klassische Modell abgelöst. In modernen Unternehmen sind Daten über verschiedene Clouds verteilt, Teams arbeiten ortsunabhängig, und Anwendungen laufen längst nicht mehr nur im Rechenzentrum. Die alte Mauer ist gefallen: Eine neue Form der Absicherung muss her.
Zero Trust als Sicherheitsprinzip
Die Antwort auf diese Entwicklung lautet Zero Trust (ZT). Was auf den ersten Blick wie ein weiteres Schlagwort wirkt, ist bei genauerem Hinsehen ein Sicherheitsansatz, der sich pragmatisch umsetzen lässt. Im Kern basiert Zero Trust auf drei Grundprinzipien. Erstens gilt: Jeder Zugriff muss kontinuierlich verifiziert werden, auch innerhalb des eigenen Netzwerks. Zweitens: Anwender erhalten nur so viele Rechte wie unbedingt nötig und nur so lange, wie sie diese tatsächlich benötigen. Drittens: Unternehmen müssen jederzeit davon ausgehen, dass Angreifer bereits im System sind. Wer diesen Gedanken ernst nimmt, strukturiert seine Zugriffsrechte und Netzwerkarchitektur ganz anders.
Die Umsetzung beginnt meist mit Identitäten. Denn wo keine klaren Netzwerkgrenzen mehr existieren, wird die Identität des Nutzers oder der Maschine zur zentralen Entscheidungsgrösse. Moderne Identity-Management-Systeme prüfen heute nicht nur, wer sich anmeldet, sondern auch wann, von wo, mit welchem Gerät und unter welchen Umständen. Eine Anmeldung um zehn Uhr vormittags aus dem Firmennetz auf einem bekannten Laptop wird anders bewertet als ein Login-Versuch um drei Uhr nachts aus einem fremden Land mit einem unbekannten Gerät. Zero Trust bedeutet in diesem Zusammenhang nicht Misstrauen, sondern Vorsicht. Jeder Zugriff wird in seinem Kontext betrachtet und erst dann freigegeben.
Besonders wichtig ist dabei die Multi-Faktor-Authentifizierung. Sie schützt nicht nur vor vielfach unterschätzten Passwortdiebstählen, sondern auch vor gezielten Angriffen mit gestohlenen Zugangsdaten. Die Kombination verschiedener Faktoren, wie Wissen und Besitz, stellt sicher, dass die anmeldende Person tatsächlich die ist, für die sie sich ausgibt. Moderne Systeme prüfen zusätzlich, ob das Gerät auf dem neuesten Stand, Sicherheitssoftware installiert ist und ob sich das Verhalten des Nutzers im Rahmen des Üblichen bewegt.
Schrittweise Einführung für kleine Unternehmen machbar
Zero Trust ist kein reines Konzept für Konzerne mit grosser Security-Abteilung. Auch mittelständische Unternehmen können (und sollten) sich diesem Ansatz nähern. Wichtig ist nicht, alles auf einmal umzusetzen, sondern mit konkreten, greifbaren Massnahmen zu starten. Eine gute Einstiegsmöglichkeit ist die Einführung der angesprochenen Multi-Faktor-Authentifizierung auf allen zentralen Systemen, insbesondere für administrative Zugänge und externe Verbindungen. Parallel dazu lohnt es sich, privilegierte Nutzerkonten zu überprüfen und überflüssige Rechte konsequent zu entziehen.
Ein zweiter Schritt ist die Einführung eines einfachen, aber durchgängigen Monitorings. Wer nachvollziehen kann, welcher Nutzer wann worauf zugegriffen hat, gewinnt nicht nur im Ernstfall wertvolle Zeit, sondern schafft auch Transparenz für interne Prozesse. Für viele Unternehmen reicht zu Beginn ein zentrales Log-Management-System mit Benachrichtigungsfunktion, beispielsweise für ungewöhnliche Anmeldezeiten oder fehlgeschlagene Zugriffsversuche.
Noch praxisnäher wird es beim Thema Netzwerksegmentierung. Die klassische Idee eines grossen, flachen Netzwerks, in dem jeder mit jedem kommuniziert, ist in der Cloud-Welt nicht mehr zeitgemäss. Wer Zero Trust ernst nimmt, trennt sensible Systeme voneinander, zum Beispiel in virtuelle Netzwerke, Mikrosegmentierung oder definierte API-Gateways. Das lässt sich mit Bordmitteln vieler Cloud-Plattformen umsetzen. Ein typisches Beispiel: Eine Abrechnungssoftware darf mit dem ERP-System sprechen, aber nicht mit dem Entwicklungssystem oder der externen Marketing-Plattform.
Auch die Rechtevergabe profitiert vom Zero-Trust-Prinzip. Moderne Tools ermöglichen es, Rollen dynamisch zu vergeben. Ein Beispiel: Ein Techniker bekommt Adminrechte nur für den Zeitraum einer konkreten Aufgabe, danach entzieht das System sie automatisch. Das reduziert die Angriffsfläche erheblich, besonders bei Remote-Arbeit oder externen Dienstleistern.
Tooling – die richtige Komponentenwahl
Zero Trust ist keine Einproduktlösung, sondern ein Ökosystem. Entscheidend sind offene Standards und Interoperabilität. Eine Multi-Vendor-Strategie eignet sich für langfristige Flexibilität.
Identity & Access Management (IAM) bildet das Herzstück jeder Zero-Trust-Architektur. Lösungen wie Microsoft Entra ID (früher Azure AD), Okta oder Open-Source-Alternativen wie Keycloak bieten die Basis für Single Sign-On, MFA und Conditional Access.
SIEM und SOAR sind für die Überwachung zentral. Security Information and Event Management sammelt und korreliert Logs. Security Orchestration, Automation and Response (SOAR) automatisiert Reaktionen. Splunk, Elastic Security oder Open-Source-Lösungen wie Wazuh sind gängige Optionen.
Endpoint Detection & Response (EDR) geht weit über klassische Virenscanner hinaus. EDR-Lösungen überwachen Endpunkte kontinuierlich, erkennen verdächtiges Verhalten und können automatisch reagieren. Wer sich das selbst nicht leisten kann oder möchte, kann mit Managed Detection and Response (MDR) diese Aufgaben in die Hände externer Experten legen.
Cloud Access Security Broker (CASB) fungieren als Schaltstelle zwischen Nutzern und Cloud-Services. CASBs überwachen und kontrollieren den Zugriff auf SaaS-Anwendungen, setzen Data Loss Prevention (DLP) durch und bieten Transparenz über Schatten-IT.
Network Detection & Response (NDR) analysiert Netzwerk-Traffic, erkennt Anomalien und stoppt lateral Movement. Tools wie Darktrace oder Vectra AI nutzen Machine Learning, um verdächtigen Traffic zu identifizieren.
Alte Systeme, neue Herausforderungen
In der Realität haben viele Unternehmen mit Altlasten zu kämpfen. Legacy-Systeme lassen sich nicht einfach in moderne Sicherheitskonzepte einbinden, und oft fehlt die Dokumentation. Gerade hier zeigt sich, wie wichtig pragmatisches Vorgehen ist. Statt auf die perfekte Lösung zu warten, gilt: Was sich segmentieren oder kontrollieren lässt, sollte sofort abgesichert werden. Was sich nicht absichern lässt, sollte zumindest überwacht werden. Und wenn ein altes System keine sinnvolle Authentifizierung bietet, kann man über vorgelagerte Zugriffskontrollen oder sogenannte Jump-Hosts (ein speziell abgesicherter Server, der als zentraler Zugangspunkt dient) nachdenken.
Noch ein Beispiel aus der Praxis: Ein Unternehmen betreibt noch ein altes Zeiterfassungssystem ohne Zugriffsbeschränkung. Der Zugriff erfolgt jetzt nur noch über ein internes Terminal mit dedizierten Login-Rechten. So entsteht ein einfacher Kontrollpunkt, ohne das System selbst ändern zu müssen.
Cloud-Verantwortung mit kontinuierlicher Verbesserung
Selbstverständlich muss sich Zero Trust auch mit der Frage der IT-Governance auseinandersetzen. Wer darf worauf zugreifen? Wer überprüft die Rechte regelmässig? Wie werden temporäre Rollen vergeben und dokumentiert? Diese Fragen sollten Teil eines strukturierten Berechtigungskonzepts sein. Besonders in regulierten Branchen wie dem Gesundheitswesen oder der Finanzwirtschaft wird dieser Punkt zunehmend relevant.
Auch in der Cloud braucht es klare Verantwortlichkeiten. Cloud-Provider (AWS, Azure, Google Cloud etc.) stellen Infrastruktur und Tools, aber Konfiguration, Identitäten, Rechte und Datenhoheit bleiben Aufgabe des Unternehmens. Wer hier schludert, etwa durch schlecht konfigurierte Speicher oder offene Schnittstellen, macht sich angreifbar. Da hilft auch die moderne Architektur wenig.
Diese Aufteilung, das sogenannte Shared Responsibility Model, führt regelmässig zu bösen Überraschungen. «Ich dachte, Anbieter XY kümmert sich um die Sicherheit» ist ein teurer Trugschluss in der Praxis. Fehlkonfigurierte S3-Buckets, öffentlich zugängliche Datenbanken oder schwache IAM-Policies führen zu hausgemachten Cloud-Pannen. Das sogenannte Cloud Security Posture Management (CSPM) hilft, solche Fehlkonfigurationen automatisiert zu finden. Diese Tools scannen Cloud-Umgebungen kontinuierlich, vergleichen sie mit Best Practices (CIS Benchmarks, Herstellerempfehlungen) und schlagen Alarm bei Abweichungen. Besser man findet die offene Hintertür selbst, bevor es jemand anderes tut.
Der grösste Fehler wäre jedoch, auf den perfekten Moment zu warten. Zero Trust ist ein kontinuierlicher Prozess. Wer jetzt beginnt – mit dem, was möglich ist – wird Schritt für Schritt widerstandsfähiger. Nicht alles muss automatisiert oder KI-gestützt sein. Oft reicht es, bekannte Risiken sichtbar zu machen und vorhandene Schutzmassnahmen konsequent umzusetzen. Und genau darin liegt die eigentliche Stärke von Zero Trust: weniger blindes Vertrauen, mehr Kontrolle. Und das in einem Mass, das zur Realität des Unternehmens passt.
Der Autor
Michael Klatte arbeitet seit 2008 als IT-Journalist und PR-Manager für
Eset Deutschland. Er betreut dort die B2B-Kommunikation für Deutschland, Österreich und die Schweiz (DACH).
