Compliance-Lexikon · Praxis
Zero Trust – Praxis
Zero Trust ist im Audit häufig ein Begriff, der deklariert, aber nicht implementiert ist. Was Auditoren konkret pruefen und was echte Zero-Trust-Evidence ausmacht, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Prüfung von Zero Trust prüft der Auditor das Architektur-Dokument gegen die tatsächliche Implementierung. Das BAM-Objekt TECH-ZT-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Zero-Trust-Architektur-Dokument vorhanden, aber VPN als primärer Zugangsweg noch aktiv
- MFA implementiert, aber keine Geräte-Compliance-Prüfung
- Keine Policy-Engine für kontextbasierte Zugriffsentscheidungen
- Micro-Segmentierung nur fuer neue Systeme, Legacy-Umgebungen ausgenommen
Praxis-Tipp
Für Zero Trust gilt: Der Auditor prueft, ob die NIST-SP-800-207-Prinzipien tatsächlich umgesetzt sind – nicht ob ein Zero-Trust-Konzept-Dokument existiert. Technische Konfigurationsnachweise (IAM-Richtlinien, MDM-Compliance-Einstellungen, Segmentierungstests) sind stärker als Architektur-Diagramme.
Umsetzung Schritt für Schritt
Erster Schritt: Reifegrad-Assessment nach CISA-Zero-Trust-Maturity-Model. Zweiter Schritt: Identität als erste Dimension – starke MFA, einheitliches IAM, Least Privilege. Dritter Schritt: Gerätevertrauen – MDM, Compliance-Checks, Geräte-Registrierung als Zugangsvoraussetzung. Vierter Schritt: Netzwerk – Micro-Segmentierung, Software-Defined Perimeter. Fünfter Schritt: Anwendungen – Applikations-Level-Zugriffskontrolle statt Netzwerkzugriff.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datiertes Zero-Trust-Architektur-Dokument mit NIST-Prinzipien-Mapping, IAM-Konfigurationsnachweis (MFA, Conditional Access), MDM-Compliance-Konfiguration, Micro-Segmentierungstest-Ergebnis und Reifegradeinschätzung nach CISA-Maturity-Model.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und DORA Sicherheitsarchitektur.
Die strategische Einordnung findet sich auf Ebene 3.