Mandat anfragen
Pierre Kromat  ·  IT-Strategie & Security
Longread · 04/2026 · DACH

Project Zero Trust.

01

Prinzipien & Identitätskontrolle

Zero Trust bricht mit dem Perimeter-Denken: Kein System, kein Nutzer, kein Gerät wird automatisch vertraut — egal ob innerhalb oder außerhalb des Netzwerks.
A
Verify Explicitly

Jeder Zugriff wird anhand aller verfügbaren Datenpunkte authentifiziert und autorisiert: Identität, Standort, Gerätezustand, Dienst, Workload, Datenklassifizierung. Kein impliziter Vertrauensvorschuss aufgrund der Netzwerkposition.

Prinzip: Jeder Zugriff ist ein neuer Zugriffsversuch. Kein Erbe aus der Vergangenheit.
B
Least Privilege Access

Jeder Benutzer, jede Anwendung, jeder Dienst erhält nur die Rechte, die für die jeweilige Aufgabe minimal notwendig sind — zeitlich begrenzt, kontextgebunden, explizit gewährt. Just-in-Time und Just-Enough-Access als Umsetzungsmuster.

Prinzip: Maximale Kontrolle durch minimale Berechtigung.
C
Assume Breach

Design-Grundlage: Der Angreifer ist bereits im System. Konsequenz: Alle Kommunikation wird Ende-zu-Ende verschlüsselt, Zugriffe minimal gehalten, Reichweite kompromittierter Konten strukturell begrenzt, Monitoring lückenlos.

Prinzip: Schadensminimierung als Architekturziel, nicht als Notfallplan.
IAM
Identity & Access Management. Rahmenwerk zur Verwaltung digitaler Identitäten und Zugriffsrechte. Stellt sicher, dass nur autorisierte Nutzer auf Ressourcen zugreifen können.
PAM
Privileged Access Management. Kontrolliert privilegierten Systemzugriff mit vollständiger Protokollierung. Im ZT-Kontext: Kein Admin-Zugriff ohne explizite Verifikation.
MFA
Multi-Faktor-Authentifizierung. Bestätigung der Identität durch mehrere unabhängige Faktoren: Wissen, Besitz, Biometrie. Basisanforderung jedes ZT-Modells.
2FA
Two-Factor Authentication. Spezialfall von MFA mit zwei Faktoren — z. B. Passwort + Einmalcode. Mindestanforderung für kritische Konten und privilegierten Zugriff.
ZTNA
Zero Trust Network Access. Gewährt Netzwerkzugriff nur nach expliziter Verifikation von Identität und Kontext — unabhängig vom Standort. Ersetzt klassische VPN-Architekturen.
NAC
Network Access Control. Steuert Netzwerkzugang basierend auf Benutzeridentität und Gerätesicherheitsstatus. Nicht konforme Geräte werden isoliert oder in Quarantäne verwiesen.
SDP
Software-Defined Perimeter. Steuert Zugriff auf Basis von Identität, Kontext und Richtlinien. Ressourcen bleiben für nicht autorisierte Parteien unsichtbar — minimale Angriffsfläche.
Just-in-Time
Privilegierter Zugriff wird nur für den Zeitraum gewährt, in dem er tatsächlich benötigt wird. Nach Ablauf automatischer Entzug — keine dauerhaften Admin-Rechte.
02

Netzwerk, Infrastruktur & Endpunkte

Der klassische Perimeter ist tot. Zero Trust ersetzt “trusted inside, untrusted outside” durch granulare Segmentierung, verschlüsselte Kommunikation und identitätsbasierte Zugriffssteuerung.
Klassischer Perimeter
  • Vertrauen innerhalb des Netzwerks implizit
  • Firewall als zentrale Verteidigungslinie
  • VPN-basierter Fernzugriff
  • Flaches Netzwerk, laterale Bewegung möglich
  • Sicherheit endet an der Gattlinie
Zero Trust Network
  • Kein implizites Vertrauen — intern wie extern
  • Mikrosegmentierung als Architekturprinzip
  • ZTNA statt VPN — identitätsbasierter Zugriff
  • Ende-zu-Ende-Verschlüsselung jeder Verbindung
  • Schadensradius durch Isolation strukturell begrenzt
Architekturkonsequenz Jedes Segment, jede Verbindung, jeder Endpunkt ist eigenständige Sicherheitsgrenze — nicht die Netzwerkkante.
Mikrosegmentierung
Unterteilt Netzwerke in kleine, isolierte Segmente. Verhindert laterale Ausbreitung nach einem initialen Einbruch und begrenzt den Schadensradius strukturell.
Firewall
Netzwerksicherheitssystem zur Kontrolle ein- und ausgehenden Datenverkehrs. In ZT-Architekturen Teil einer mehrschichtigen Verteidigung — nicht mehr alleinige Grenze.
SWG
Secure Web Gateway. Filtert webbasierten Datenverkehr und schützt vor Malware, Phishing und Bedrohungen durch Richtliniendurchsetzung auf Anwendungsebene.
Endpunkt-Sicherheit
Schutz von PCs, Laptops und Mobilgeräten durch Richtliniendurchsetzung, Bedrohungserkennung und kontinuierliche Überwachung des Gerätezustands.
Verschlüsselung
Wandelt Daten in unlesbaren Code um — in transit und at rest. In Zero-Trust-Architekturen Pflicht für jede interne und externe Kommunikation.
SDN
Software-Defined Networking. Entkoppelt Steuerungs- von Datenebene. Ermöglicht flexible, softwarebasierte Netzwerkverwaltung — Grundlage dynamischer ZT-Netzwerke.
HCI
Hyper-Converged Infrastructure. IT-Framework, das Speicher-, Rechen- und Netzwerkfunktionen in einem softwaredefinierten System zusammenführt.
SDS
Software-Defined Storage. Entkoppelt Speicherdienste von physischer Hardware. Ermöglicht zentrale Verwaltung und Richtliniendurchsetzung per Software-Schnittstelle.
03

Sicherheitsbetrieb & Bedrohungserkennung

Assume Breach ist nur wirksam, wenn der Betrieb tatsächlich sieht, was passiert. SIEM, SOC, SOAR und Threat Intelligence bilden das operative Rückgrat jeder ZT-Umsetzung.
A
SIEM — Korrelation & Sichtbarkeit

Security Information & Event Management. Sammelt und analysiert Sicherheitsinformationen aus allen Quellen, korreliert Signale und erkennt Anomalien. Zentrales Sichtbarkeitsinstrument jeder Zero-Trust-Architektur.

Betriebsanforderung: Echtzeit-Ingestion aus allen Endpunkten, Identitätsquellen und Netzwerkebenen.
B
SOC — Operative Reaktionsfähigkeit

Security Operations Center. Zentrale Einheit zur Identifizierung, Untersuchung und Reaktion auf Sicherheitsvorfälle. Verbindet Technologie, Prozesse und spezialisiertes Sicherheitspersonal in einer 24/7-Fähigkeit.

Reifegrad: Kein Zero Trust ohne definierte Detection-Response-Kette im SOC.
C
SOAR — Automatisierung & Orchestrierung

Security Orchestration, Automation & Response. Automatisiert und orchestriert Sicherheitsprozesse, verkürzt Reaktionszeiten und verbindet SIEM-Daten mit automatisierten Gegenmaßnahmen — ohne manuelle Eskalation.

Ziel: MTTD und MTTR auf Minuten reduzieren — nicht Stunden.
D
Threat Intelligence — Proaktive Verteidigung

Organisierte, analysierte Informationen über aktuelle und potenzielle Angriffsvektoren. Speist SIEM-Regeln, Firewall-Policies und SOC-Playbooks. Unterschied zwischen reaktiver und proaktiver Sicherheitsarchitektur.

Quelle: Interne Logs + externe Feeds (ISACs, Vendor-Intelligence, Open Source).
IDS
Intrusion Detection System. Überwacht Netzwerk- und Systemaktivitäten auf bösartige Muster. Erkennt Angriffe und generiert Warnmeldungen — greift nicht aktiv ein.
IPS
Intrusion Prevention System. Erweitert IDS um aktive Gegenmaßnahmen: Blockiert erkannte Angriffe in Echtzeit und isoliert betroffene Systeme automatisch.
UEBA
User & Entity Behavior Analytics. Analysiert Verhaltensprofile mit maschinellem Lernen. Erkennt Abweichungen als Hinweis auf Kompromittierung oder Insider-Bedrohungen.
Continuous Monitoring
Kontinuierliche Überwachung von Netzwerken, Systemen und Identitäten auf Anzeichen von Sicherheitsverletzungen. Voraussetzung für Assume-Breach-Architektur.
Vulnerability Scan
Automatisierter Prozess zur Überprüfung auf bekannte Schwachstellen. Grundlage für priorisiertes Patch-Management und systematische Risikominimierung.
04

Bedrohungslandschaft & Compliance

Zero Trust adressiert keine spezifische Bedrohung — es reduziert strukturell den Raum, in dem Bedrohungen wirken können. Das macht es zur richtigen Antwort auf eine Bedrohungslandschaft, die sich schneller ändert als einzelne Controls.
A
Social Engineering & Phishing

Angreifer erschleichen Zugangsdaten durch gefälschte Identitäten — per E-Mail, gefälschte Websites oder SMS (Smishing). Häufigster Einstiegsvektor für Ransomware und APT-Kampagnen. Zero-Trust-Antwort: MFA als strukturelle Barriere.

ZT-Abwehr: MFA + Verify Explicitly eliminiert kompromittierte Credentials als Einstiegsvektor.
B
Ransomware & Malware

Ransomware verschlüsselt Daten und verlangt Lösegeld. Malware ist der Oberbegriff für Viren, Würmer, Trojaner, Spyware. Beiden gemein: sie benötigen laterale Bewegungsfreiheit im Netzwerk — die Zero Trust durch Mikrosegmentierung entzieht.

ZT-Abwehr: Mikrosegmentierung + Assume Breach begrenzt Schadensradius strukturell.
C
Compliance: DSGVO & Datenschutz

Die DSGVO verlangt Zugriffsprotokollierung, Datensicherheit und Datenschutz by Design. Zero-Trust-Architekturen erfüllen diese Anforderungen strukturell: Least Privilege begrenzt Datenzugriff, Monitoring liefert Protokolle, Verschlüsselung sichert Daten in transit und at rest.

Compliance-Vorteil: ZT-Architektur ist DSGVO-Audit-ready by design.
D
Business Continuity & Resilienz

BCM, BCP und BIA definieren, wie das Unternehmen Krisen übersteht. Zero Trust unterstützt Resilienz direkt: Segmentierung begrenzt Ausfall-Propagation, Monitoring verkürzt Detektionszeit, Assume Breach erzwingt Recovery-Planung als Designanforderung.

RTO/RPO: ZT-Architektur reduziert Recovery-Zeitrahmen durch strukturelle Isolation.
DLP
Data Loss Prevention. Verhindert, dass kritische Daten das Unternehmen unautorisiert verlassen — durch Überwachung, Datenklassifizierung und Richtliniendurchsetzung.
CASB
Cloud Access Security Broker. Software zwischen Cloud-Diensten und Nutzern. Durchsetzt Sicherheitsrichtlinien, überwacht Datenverkehr und sichert Compliance.
CISO
Chief Information Security Officer. Führungsverantwortlicher für Informationssicherheit. Verantwortet Sicherheitsstrategie, ZT-Roadmap und Schutz der IT-Infrastruktur.
DSGVO
Datenschutz-Grundverordnung. EU-weite Datenschutzregelung. Stellt Anforderungen an Zugriffsprotokollierung und Datensicherheit, die ZT-Architekturen direkt unterstützen.
RTO
Recovery Time Objective. Definierter maximaler Zeitrahmen, innerhalb dessen Geschäftsprozesse nach einer Störung wiederhergestellt sein müssen.
BIA
Business Impact Analysis. Methode zur Identifizierung und Bewertung von Auswirkungen potenzieller Störungen. Grundlage für priorisierte Kontinuitätsmaßnahmen.
BCP
Business Continuity Plan. Vorab festgelegter Plan zur Aufrechterhaltung des Geschäftsbetriebs nach einer Störung oder Krise — mit konkreten Handlungsanweisungen.
BCM
Business Continuity Management. Ganzheitlicher Managementansatz zur Sicherstellung kritischer Geschäftsaktivitäten auch unter widrigen Umständen.
05

Cloud-Modelle, Services & Architektur

Cloud-Adoption und Zero Trust sind untrennbar: Wer in die Cloud geht, hat keinen Perimeter mehr — und braucht deshalb einen Sicherheitsansatz, der ohne ihn auskommt.
01
IaaS
Virtualisierte Infrastruktur (Server, Speicher, Netzwerk) über das Internet. Maximale Kontrolle — maximale Eigenverantwortung für OS, Laufzeit und Anwendungen.
02
PaaS
Vollständige Entwicklungs- und Laufzeitumgebung ohne Infrastrukturverwaltung. Fokus auf Anwendungsentwicklung — Plattform als Managed Service.
03
SaaS
Anwendungssoftware als abonnierter Service. Browser-Zugriff, keine lokale Installation. Anbieter verantwortet Infrastruktur, Plattform und Anwendung vollständig.
04
FaaS
Serverless-Modell. Einzelne Funktionen werden ereignisgesteuert ausgeführt. Maximale Granularität — Kosten und Sicherheitsperimeter nur bei Ausführung.
05
SECaaS
Security as a Service. Firewalls, Antivirus, IDS und Zugriffskontrollen als Cloud-Dienste. Skalierbare Sicherheit ohne eigene Security-Infrastruktur.
Public Cloud
Mehrere Unternehmen teilen Ressourcen eines Anbieters. Nutzungsbasierte Abrechnung. Beispiele: AWS, Google Cloud Platform, Microsoft Azure.
Private Cloud
Cloud-Infrastruktur ausschließlich für ein Unternehmen. Im eigenen Rechenzentrum oder durch Anbieter über privates Netzwerk. Höchste Datenkontrolle.
Hybrid Cloud
Kombination aus Public und Private Cloud. Daten und Anwendungen können zwischen Umgebungen verschoben werden. Zero Trust verbindet beide sicher.
DaaS
Desktop as a Service. Virtuelle Desktops (VDI) gehostet und per Internet bereitgestellt. Ortsunabhängiger Zugriff auf sichere Arbeitsumgebungen.
NaaS
Network as a Service. Netzwerkdienste wie Bandbreite, Routing und Virtualisierung als Cloud-Service — flexibel skalierbar ohne Netzwerkhardware.
DBaaS
Database as a Service. Datenbankfunktionalität als verwalteter Cloud-Service. Kunden nutzen Features ohne eigene Installation oder Skalierung.
Microservices
Anwendungen aus unabhängigen, separat deployten Services. Ermöglicht granulare Zugriffssteuerung und Isolierung auf Service-Ebene — ZT-konform.
Container
Anwendungen und Abhängigkeiten in isolierten Einheiten gebündelt. Konsistente, portable Ausführung über Umgebungen. Docker als Standard-Plattform.
IaC
Infrastructure as Code. Infrastruktur in maschinenlesbaren Dateien definiert. Automatisierte, versionierbare Deployments — Basis für reproduzierbare Sicherheitskonfigurationen.
API-Sicherheit
APIs verbinden Anwendungen und müssen explizit abgesichert werden. In ZT-Architekturen: Authentifizierung, Autorisierung und Rate-Limiting pro API-Endpunkt.
SDDC
Software-Defined Data Center. Alle Infrastrukturelemente vollständig virtualisiert und softwaregesteuert — einschließlich Sicherheitsrichtlinien.
CaaS
Communication as a Service. VoIP, Messaging und Collaboration-Tools als Cloud-Service — ohne eigene Telekommunikationsinfrastruktur.
Fazit

Zero Trust als Haltung, nicht als Produkt

»Zero Trust ist kein Sicherheitsprodukt und kein einmaliges Projekt. Es ist eine Designentscheidung darüber, wie viel implizites Vertrauen eine Organisation bereit ist zu akzeptieren.«

Die drei Prinzipien — Verify Explicitly, Least Privilege, Assume Breach — sind keine technischen Features, die ein Anbieter liefert. Sie sind Architekturentscheidungen, die eine Organisation trifft und dann konsequent in jedem Layer durchsetzt: in der Identitätskontrolle, in der Netzwerksegmentierung, im Sicherheitsbetrieb, in der Cloud-Strategie und in der Compliance-Architektur.

Für die Praxis bedeutet das: Zero Trust ist kein Zielbild, das man einmal erreicht, sondern ein Betriebsmodell, das man kontinuierlich aufrechterhalt. Jede neue Workload, jede neue Identität, jede neue Integration ist eine neue Entscheidung darüber, wie viel Vertrauen gerechtfertigt ist — und wie dieser Vertrauensraum kontrolliert wird.

Pierre Kromat  ·  IT-Strategie & Security  ·  2026