Eine Zero-Trust-Architektur spart laut IBM Cost of a Data Breach 2025 im Durchschnitt 1,76 Millionen Dollar pro Sicherheitsvorfall – und dennoch prognostiziert Gartner, dass bis 2026 nur 10 % der großen Unternehmen ein ausgereiftes, messbares Zero-Trust-Programm besitzen werden. Diese Lücke zwischen dem nachgewiesenen Wert des Modells und seiner tatsächlichen Verbreitung ist vermutlich die größte ungenutzte Cybersicherheitschance, die Unternehmen heute haben. Die gute Nachricht: Zero Trust ist weder ein Produkt, das man kauft, noch ein Schalter, den man umlegt – es ist eine Strategie, die schrittweise umgesetzt wird, und jede Organisation kann bereits nächste Woche mit den vorhandenen Ressourcen beginnen.
In diesem Praxisleitfaden erklären wir, was Zero Trust wirklich bedeutet (jenseits des Herstellermarketings), worin es sich von der klassischen VPN unterscheidet, was die NIST- und CISA-Prinzipien beinhalten, welche Rolle ZTNA beim modernen Zugang spielt und – vor allem – wie das Modell produktiv eingeführt werden kann, ohne den Betrieb zu unterbrechen oder die gesamte Infrastruktur neu aufzubauen.
Was ist Zero Trust und wie unterscheidet es sich von der klassischen VPN?
Zero Trust ist ein Sicherheitsmodell, das von einer unbequemen, aber realistischen Prämisse ausgeht: Keinem Benutzer, keinem Gerät und keiner Verbindung darf implizit vertraut werden – unabhängig davon, ob sie sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden. Statt davon auszugehen, dass alles „im internen Netz" sicher ist, wird jede Zugriffsanfrage explizit verifiziert, für eine konkrete Ressource autorisiert und kontinuierlich neu bewertet.
Der Kontrast zur klassischen VPN ist fundamental. Die VPN wurde entwickelt, um ein anderes Problem zu lösen: ein Remote-Gerät so mit dem Unternehmensnetz zu verbinden, als befände es sich physisch im Büro. Genau das ist das Problem: Sobald der Tunnel aufgebaut ist, erhält das Gerät weitreichenden Zugang zu einem gesamten Netzwerksegment. Werden die Zugangsdaten kompromittiert oder ist das Notebook infiziert, erbt der Angreifer exakt dasselbe Vertrauen und kann sich relativ ungehindert lateral im Netz bewegen.
Zero Trust kehrt diese Logik um. Das Konzept „im Inneren sein" existiert nicht. Zugang wird ressourcenweise, sitzungsweise erteilt – auf Basis der verifizierten Identität, des Gerätezustands und des Anfragekontexts.
| Dimension | Klassische VPN | Zero Trust / ZTNA |
|---|---|---|
| Vertrauensmodell | Implizit nach initialer Authentifizierung | Never trust, always verify |
| Zugriffsumfang | Netzwerksegment oder gesamtes Netz | Eine einzelne Anwendung oder Ressource |
| Granularität | Netzwerkbasiert | Sitzungs- und ressourcenbasiert |
| Laterale Bewegung | Möglich nach Tunnelaufbau | Durch Design blockiert |
| Bewerteter Kontext | Zugangsdaten beim Login | Identität, Gerät und Kontext – kontinuierlich |
| App-Sichtbarkeit | Ressourcen im internen Netz exponiert | Anwendungen bis zur Autorisierung unsichtbar |
Der praktische Unterschied ist enorm – besonders für mittelständische Unternehmen: Bei Zero Trust ist ein gestohlener Zugangsdatensatz kein Generalschlüssel mehr. Er öffnet, wenn überhaupt, nur eine einzige Tür – und nur solange der Kontext legitim bleibt.
Die Prinzipien von NIST 800-207 und die 5 CISA-Säulen
Wer Zero Trust ernsthaft angeht, sollte sich auf anerkannte Referenzrahmen stützen, nicht auf Marketingbroschüren. Die beiden kanonischen Dokumente sind NIST SP 800-207 (Zero Trust Architecture) und das Zero Trust Maturity Model 2.0 der CISA.
Die sieben Prinzipien von NIST SP 800-207
Das Zero-Trust-Modell basiert auf sieben Grundprinzipien aus NIST SP 800-207. Besonders hervorgehoben wird, dass jede Kommunikation unabhängig vom Netzwerkstandort abgesichert wird, dass Ressourcenzugang sitzungsweise erteilt wird und dass Authentifizierung und Autorisierung dynamisch sind und strikt vor jedem Zugriff erzwungen werden. In der Praxis leiten sich daraus folgende operative Regeln ab:
- Alle Datenquellen und Rechendienste gelten als zu schützende Ressourcen.
- Jede Kommunikation wird unabhängig vom Netzwerkstandort (innerhalb oder außerhalb des Perimeters) abgesichert.
- Zugang zu einzelnen Ressourcen wird sitzungsweise erteilt, nicht dauerhaft.
- Zugangsentscheidungen basieren auf dynamischen Richtlinien, die den beobachtbaren Zustand der Identität, der Anwendung und des anfragenden Systems berücksichtigen.
- Die Organisation überwacht und misst kontinuierlich die Integrität und den Sicherheitsstatus aller Ressourcen.
- Authentifizierung und Autorisierung sind dynamisch und werden strikt vor jedem Zugriff erzwungen.
- Die Organisation erfasst möglichst umfangreiche Informationen über den Netzwerkzustand und nutzt diese zur Verbesserung ihrer Sicherheitslage.
Wichtig: NIST 800-207 schreibt keine konkrete Technologie vor. Es beschreibt Prinzipien und logische Komponenten (Policy Engine, Policy Administrator und Policy Enforcement Point), die jede Organisation mit den vorhandenen oder neu angeschafften Werkzeugen umsetzt.
Die fünf Säulen des CISA-Reifegradmodells
Wo NIST die Prinzipien liefert, liefert CISA die Roadmap. Das Zero Trust Maturity Model 2.0 der CISA gliedert das Modell in fünf Säulen sowie drei übergreifende Fähigkeiten, die alle Säulen durchziehen:
- Identität — robuste Verifizierung des Zugreifenden (Phishing-resistente MFA, Lifecycle-Management von Identitäten).
- Geräte — Sicherheitsstatus jedes Endpunkts kennen und bewerten, bevor Zugang gewährt wird.
- Netzwerke — Segmentierung, Verkehrsverschlüsselung und Reduzierung der exponierten Angriffsfläche.
- Anwendungen und Workloads — Anwendungen und Workloads schützen, einschließlich der Software-Lieferkette.
- Daten — Daten klassifizieren, kennzeichnen, verschlüsseln und den Zugang kontrollieren, da die Daten das letztlich zu schützende Gut sind.
Die drei übergreifenden Fähigkeiten sind Sichtbarkeit und Analytik, Automatisierung und Orchestrierung sowie Governance. CISA definiert zudem vier Reifegrade je Säule – Traditional, Initial, Advanced und Optimal –, sodass Unternehmen sich ehrlich selbst bewerten und Investitionen dort priorisieren können, wo sie am dringendsten benötigt werden, statt das aktuell angesagteste Tool zu kaufen.
Dieser säulen- und stufenbasierte Ansatz macht Zero Trust zu einem handhabbaren Projekt: Es ist nicht erforderlich, in allen fünf Säulen gleichzeitig „Optimal" zu erreichen. Bereits eine Stufe höher bei Identität und Geräten reduziert das Risiko drastisch.
ZTNA: Anwendungszugang ohne Netzwerkperimeter
Wenn Zero Trust die Strategie ist, ist ZTNA (Zero Trust Network Access) die Technologie, die das Prinzip für den häufigsten und kritischsten Anwendungsfall umsetzt: den Fernzugang zu Anwendungen.
ZTNA schafft eine Eins-zu-eins-Verbindung zwischen einem verifizierten Benutzer und einer konkreten Anwendung, ohne den Benutzer jemals „ins Netz" zu lassen. Anwendungen bleiben für alle unsichtbar, die nicht explizit autorisiert sind: kein IP-Bereich zum Scannen, kein Port zum Sondieren, keine Netzwerkoberfläche zum Angreifen. Der ZTNA-Broker bewertet Identität, Gerätezustand und Kontext, bevor jede Verbindung aufgebaut wird, und bewertet diese erneut während der laufenden Sitzung.
Das ist der Grund, warum ZTNA die VPN zunehmend verdrängt. Gartner prognostiziert, dass bis zu 70 % aller neuen Fernzugangsprojekte im Jahr 2025 auf ZTNA statt auf VPN-Technologie setzen werden – gegenüber weniger als 10 % Ende 2021. Der Markt spiegelt diesen Trend wider: Laut MarketsandMarkets wird der ZTNA-Markt von 1,34 Milliarden Dollar im Jahr 2025 auf 4,18 Milliarden Dollar im Jahr 2030 wachsen, mit einer jährlichen Wachstumsrate von 25,5 %.
Wann ZTNA sinnvoller ist als eine VPN
- Hybrides und mobiles Arbeiten im großen Maßstab — wenn ein erheblicher Teil der Belegschaft von außerhalb des Büros auf Geschäftsanwendungen zugreift.
- Drittanbieter-Zugang — Lieferanten, Auftragnehmer oder Partner, die Zugang zu einer bestimmten Anwendung benötigen, nicht zum gesamten Netz.
- Kritische oder regulierte Anwendungen — wo das Least-Privilege-Prinzip keine Option, sondern eine normative Anforderung ist.
- Reduzierung der Angriffsfläche — wenn keine Server und Dienste mehr gegenüber dem Internet exponiert sein sollen.
Ein ehrlicher Hinweis ist angebracht: ZTNA ist nicht für sich allein Zero Trust. Es ist ein Baustein – in der Regel der erste und rentabelste – einer umfassenderen Architektur, die alle fünf CISA-Säulen umfasst. Eine ZTNA-Lösung zu kaufen und dann „Zero Trust haben wir schon" zu erklären, ist einer der häufigsten Fehler. Deshalb sollte ZTNA in eine ganzheitliche Strategie für Cybersicherheitsdienstleistungen eingebettet werden, die auch Identität, Geräte, Daten und Monitoring abdeckt.
Zero Trust phasenweise im Unternehmen einführen
Die entscheidende Frage ist nicht „Was ist Zero Trust?", sondern „Wo fange ich an, ohne etwas zu beschädigen?". Die Antwort ist eine schrittweise Einführung, ausgerichtet an den CISA-Reifegraden, die in jeder Phase einen messbaren Mehrwert liefert. Im Folgenden schlagen wir einen fünfphasigen Weg vor, der auf mittelständische und große Unternehmen zugeschnitten ist.
Phase 0 — Bestandsaufnahme und Basislinie
Man kann nur schützen, was man kennt. Die erste Phase umfasst eine gründliche Inventarisierung von Identitäten, Geräten, Anwendungen, Datenflüssen und Abhängigkeiten. Ziel ist es, drei Fragen zu beantworten: Wer greift auf was zu, von wo und warum? Diese Phase offenbart typischerweise veraltete Zugänge, verwaiste Konten und Anwendungen, an die niemand mehr gedacht hat. Es ist auch der richtige Moment, sich anhand der vier CISA-Reifegrade je Säule ehrlich selbst zu bewerten.
Phase 1 — Identität als neuer Perimeter
Die Identitätssäule bietet das beste Verhältnis zwischen Aufwand und Risikoreduzierung. Die Kernmaßnahmen sind:
- Phishing-resistente MFA für alle Zugänge einführen (idealerweise Passkeys oder FIDO2-Schlüssel).
- Identitätsmanagement zentralisieren und das Least-Privilege-Prinzip durchsetzen.
- Risikobasierten bedingten Zugang einrichten (Standort, Gerät, Verhalten).
- Unnötige dauerhafte Zugänge prüfen und entfernen.
Phase 2 — Geräte und Anwendungszugang (ZTNA)
Mit der Identität unter Kontrolle wird der Gerätezustand in die Zugangsentscheidung einbezogen und ZTNA eingeführt, um die VPN schrittweise abzulösen. Hier erlebt die Mehrheit der Organisationen den ersten sichtbaren „Zero-Trust-Moment": Fernzugang ist kein Netzwerktunnel mehr, sondern eine Eins-zu-eins-Verbindung zu einer bestimmten Anwendung. Empfehlenswert ist ein Piloten mit einer kleinen Gruppe und ein oder zwei Anwendungen – nicht die sofortige Umstellung der gesamten Organisation.
Phase 3 — Mikrosegmentierung und Datenschutz
Nachdem der Zugang gesichert ist, wird nach innen gearbeitet: Netzwerksegmentierung zur Verhinderung lateraler Bewegungen, Verschlüsselung des Ost-West-Verkehrs und – auf der Datensäule – Klassifizierung und Kennzeichnung von Informationen, um verhältnismäßige Zugriffskontrollen entsprechend ihrer Sensibilität anzuwenden. Diese Phase ist am stärksten mit Governance-Rahmenwerken wie ISO 27001 verknüpft, in denen Zugangskontrolle und Informationsklassifizierung formale Anforderungen sind; die Abstimmung des Zero-Trust-Projekts mit einer ISO-27001-Zertifizierung vermeidet doppelten Aufwand.
Phase 4 — Sichtbarkeit, Automatisierung und kontinuierliche Verbesserung
Zero Trust ist kein abschließbares Projekt, sondern eine dauerhaft gepflegte Sicherheitshaltung. Die drei übergreifenden CISA-Fähigkeiten rücken in den Vordergrund: zentralisierte Telemetrie, Erkennung und Reaktion sowie Automatisierung von Richtlinienentscheidungen. Viele Unternehmen können diese Phase intern nicht rund um die Uhr aufrechterhalten – hier bietet ein verwalteter SOC- und MDR-Dienst die kontinuierliche Überwachung und Incident-Response, die das Modell erfordert, ohne ein eigenes Sicherheitsteam aufbauen zu müssen.
Praxisregel: Jede Phase muss für sich allein eine messbare Risikoreduzierung liefern. Wenn eine Phase nicht eigenständig gerechtfertigt werden kann, ist sie falsch dimensioniert.
Überblick über das Phasenmodell
| Phase | Fokus | Dominante CISA-Säule | Erwartetes Ergebnis |
|---|---|---|---|
| 0. Bestandsaufnahme | Inventar und Basislinie | Sichtbarkeit | Zugangskarte und Reifegradbewertung |
| 1. Identität | MFA und Least Privilege | Identität | Gestohlene Zugangsdaten sind kein Generalschlüssel mehr |
| 2. Geräte und ZTNA | Gerätezustand + App-Zugang | Geräte / Anwendungen | Schrittweise VPN-Ablösung |
| 3. Segmentierung und Daten | Mikrosegmentierung und Verschlüsselung | Netzwerke / Daten | Laterale Bewegungen blockiert |
| 4. Kontinuierlicher Betrieb | Telemetrie und Reaktion | Automatisierung / Governance | Nachhaltige, messbare Sicherheitslage |
Zero Trust und regulatorische Compliance in Deutschland: NIS2, DSGVO und DORA
Für Unternehmen in Deutschland ist Zero Trust nicht nur eine technische Best Practice: Es wird zunehmend zum direkten Enabler regulatorischer Compliance. Granulare Zugangskontrolle, Least Privilege und kontinuierliche Verifizierung sind genau das, was die geltenden und kommenden Regulierungsrahmen fordern.
Die Regulierungslandschaft ist in Bewegung. Die NIS2-Richtlinie wurde in Deutschland durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht überführt. Der Anwendungsbereich wurde gegenüber der Vorgängerrichtlinie deutlich ausgeweitet – Unternehmen aus wesentlichen und wichtigen Sektoren sind nun verpflichtet, angemessene technische und organisatorische Maßnahmen zur Risikosteuerung umzusetzen. Der Handlungsdruck ist real: Verstöße können mit erheblichen Bußgeldern geahndet werden.
Zero Trust fügt sich natürlich in dieses Umfeld ein. Gestützt auf NIST und ENISA (die europäische Cybersicherheitsbehörde) positioniert sich das Modell als Standard, um Zugangskontrolle und Least Privilege mit den Anforderungen von NIS2, der DSGVO und DORA im Finanzsektor in Einklang zu bringen – ausgehend von dem Grundsatz, keinem Benutzer oder Gerät unabhängig von dessen Netzwerkstandort zu vertrauen.
Wie Zero Trust jeden Rahmen unterstützt
- NIS2 / NIS2UmsuCG — fordert Risikomanagementmaßnahmen, Zugangskontrolle und Sicherheits-Governance; die CISA-Säulen Identität, Geräte und Governance antworten darauf direkt.
- BSI IT-Grundschutz / kritische Infrastrukturen — für Betreiber kritischer Infrastrukturen und ihre Dienstleister sind Least Privilege und Segmentierung zentrale Kontrollen, die Zero Trust by Design implementiert.
- DSGVO — der Schutz personenbezogener Daten (Klassifizierung, Verschlüsselung und Need-to-know-Zugang) reduziert den Umfang und die Schwere einer etwaigen Datenschutzverletzung.
- DORA — im Bank-, Versicherungs- und Kapitalmarktsektor basiert die digitale operationale Resilienz auf der kontinuierlichen Verifizierung und dem Monitoring, das Zero Trust formalisiert.
Die Kernbotschaft: Investitionen in Zero Trust sind kein separater „Compliance-Aufwand" – sie schaffen einmalig eine Architektur, die gleichzeitig mehrere Rahmenwerke erfüllt. Diese Effizienz unterscheidet Organisationen, die Sicherheit strategisch angehen, von jenen, die von Audit zu Audit reagieren.
Fazit: Klein anfangen, messen, weiterentwickeln
Zero Trust ist weder ein Produkt noch ein Endzustand, sondern eine disziplinierte Art, Zugänge zu erteilen: niemals per Default, immer verifiziert, Ressource für Ressource. Die Zahlen belegen die Entscheidung – 1,76 Millionen Dollar Einsparung im Durchschnitt pro Vorfall laut IBM –, und der regulatorische Druck durch NIS2 und DSGVO macht das Modell zur unausweichlichen Priorität. Der Schlüssel liegt darin, nicht alles auf einmal anzugehen: mit der Identität beginnen, VPN durch ZTNA ersetzen, segmentieren, Daten schützen und den Betrieb mit kontinuierlicher Sichtbarkeit aufrechterhalten. Jede Phase reduziert das Risiko messbar und baut auf der vorherigen auf.
Wenn Ihr Unternehmen den ersten strukturierten Schritt machen möchte, entwickeln wir bei Technova Partners Zero-Trust-Roadmaps, die auf den tatsächlichen Reifegrad jedes Unternehmens abgestimmt sind. Sie können mit dem Download unserer ISO-27001-Bereitschafts-Checkliste beginnen – ein guter Ausgangspunkt für die Überprüfung Ihrer Zugangskontrollen und Governance-Maßnahmen – oder direkt mit unserem Cybersicherheitsteam sprechen, um Ihre Ausgangssituation zu bewerten und die Phasen zu priorisieren, die in Ihrem konkreten Fall das meiste Risiko eliminieren.
