Zero Trust

[ˈzɪərəʊ trʌst] · auch: Zero-Trust-Architektur, Zero-Trust-Modell, ZTA

Zero Trust ist ein Sicherheitsarchitekturprinzip, das auf dem Grundsatz „never trust, always verify“ basiert – jeder Zugriff auf Ressourcen wird unabhängig vom Netzwerkstandort explizit authentifiziert, autorisiert und kontinuierlich validiert, anstatt implizitem Vertrauen aufgrund des Netzwerkstandorts zu gewähren.

Warum Zero Trust das Ende des Perimeter-Sicherheitsmodells markiert

Das klassische Perimeter-Modell – innen vertrauenswuerdig, aussen gefährlich – ist mit Cloud, Remote Work und mobilen Geräten obsolet. Es gibt keinen definierten Perimeter mehr. Zero Trust ersetzt die Netzwerkposition als Vertrauenssignal durch explizite Verifikation: Wer bist du? Welches Gerät nutzt du? Was möchtest du zugreifen? Ist der Kontext dieser Anfrage normal? Erst wenn alle Fragen positiv beantwortet sind, wird Zugriff gewährt – und kontinuierlich neu bewertet.

Wo Zero Trust gefordert wird

Framework	Referenz	Anforderung
NIST SP 800-207	vollständig	Zero Trust Architecture: Grundlegender Standard fuer Zero-Trust-Implementierungen mit sieben Kernprinzipien.
NIS-2 / BSIG	§ 30 Abs. 2b	Zugangskontrolle und Authentifizierung als Mindestmassnahmen – Zero Trust als Best-Practice-Umsetzung.
DORA	Art. 9	IKT-Sicherheitsmassnahmen: Zero Trust als empfohlene Architektur fuer starken Zugriffsschutz.
ISO 27001:2022	A.5.15 / A.8.2	Zugangskontrolle und privilegierter Zugriff: Zero-Trust-Prinzipien als Umsetzungsrahmen.
BSI IT-Grundschutz	NET.1.1 / ORP.4	Netzarchitektur und Berechtigungsmanagement: Zero Trust als moderner Architekturansatz.

BAM-Objektreferenz

BAM-Objekt TECH-ZT-01

BeschreibungZero-Trust-Architektur-Programm mit Identity-Verification, Device-Trust und Micro-Segmentierung

GitHubBAM Core →

Häufige Audit-Fehler

Zero-Trust-Konzept deklariert, aber Implementierung bleibt beim Perimeter-Modell
Identity als einzige Zero-Trust-Dimension – Device Trust und Kontext fehlen
Micro-Segmentierung geplant, aber nicht umgesetzt
Kein kontinuierliches Session-Monitoring nach Zugriffsgewaehrung

Die sieben Prinzipien von Zero Trust nach NIST SP 800-207

Alle Datenquellen und Computerdienste werden als Ressourcen betrachtet. Die gesamte Kommunikation wird gesichert, unabhaengig vom Netzwerkstandort. Zugriff auf Unternehmensressourcen wird pro Sitzung gewährt. Zugriffsrechte werden durch dynamische Richtlinien bestimmt. Die Integrität und Sicherheit aller eigenen und assoziierten Geräte wird überwacht. Alle Ressourcen-Authentifizierungen und Autorisierungen sind dynamisch. Das Unternehmen sammelt möglichst viele Informationen über den aktuellen Zustand der Assets. Diese Prinzipien übersetzen sich in konkrete Technologien: starke Identität (MFA, Passkeys), Gerätevertrauen (MDM, Compliance-Checks), Micro-Segmentierung, kontinuierliches Monitoring und Policy-Engine für Zugriffskontext-Entscheidungen.

Zero Trust in der Praxis: Reifegrade

Zero Trust ist keine binäre Entscheidung, sondern ein Reifegrad-Kontinuum. CISA definiert drei Reifegrade: Traditional (explizites Perimeter-Modell, manuell), Advanced (cloud-basierte Identitäts- und Geräteverifizierung) und Optimal (vollständig automatisierte, kontextbasierte Entscheidungen in Echtzeit). Die meisten Organisationen befinden sich zwischen Traditional und Advanced. Für NIS-2 und DORA ist der Advanced-Reifegrad die Zielorientierung für wesentliche Einrichtungen.

Nächste Ebene

Zero Trust in der Praxis: Implementierung, Reifegrad und Evidence

Wie Zero Trust schrittweise implementiert und im Audit nachgewiesen wird.

Ebene 2 lesen → Stresstest starten →