_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Zero Trust — Sicherheitsmodell für eine neue Ära

15. 06. 2020 4 Min. Lesezeit CORE SYSTEMSsecurity
Zero Trust — Sicherheitsmodell für eine neue Ära

Der klassische Sicherheitsperimeter — Firewall am Netzwerkrand, VPN nach innen, und allem drinnen vertrauen — ist tot. Zero-Trust-Architektur dreht das Paradigma um: Niemandem vertrauen, immer verifizieren, Berechtigungen minimieren. Und 2020 zeigte, warum das jetzt notwendig ist.

Warum der Perimeter nicht mehr funktioniert

Das traditionelle „Castle and Moat”-Modell ging von einer klaren Grenze aus. Innerhalb der Burg ist man sicher, draußen ist der Feind. Aber 2020 zerfiel die Burg — Mitarbeiter arbeiten von zu Hause, Anwendungen laufen in der Cloud, Daten befinden sich in SaaS-Plattformen. Wo ist jetzt der Perimeter?

Statistiken sprechen klar: 80% der Datenverletzungen 2020 beinhalteten kompromittierte Anmeldedaten. Ein Angreifer muss nicht durch die Firewall brechen — eine Phishing-E-Mail und ein Passwort reichen. Einmal „drinnen” gibt ihm das klassische Modell freie laterale Bewegung über das gesamte Netzwerk.

Drei Säulen von Zero Trust

Zero Trust ist kein Produkt, das man kaufen kann. Es ist ein architektonisches Framework auf drei Säulen:

  • Explizit verifizieren: Jeden Zugriff authentifizieren und autorisieren basierend auf allen verfügbaren Datenpunkten — Identität, Standort, Gerät, Dienst, Datenklassifizierung, Anomalien
  • Least Privilege Access: Minimale Berechtigungen für die jeweilige Aufgabe. Just-in-Time und Just-Enough-Zugang, risikobasierte adaptive Richtlinien
  • Assume Breach: System so entwerfen, als wäre es bereits kompromittiert. Blast Radius minimieren, Zugang segmentieren, Ende-zu-Ende verschlüsseln, Analytics zur Erkennung nutzen

Identität als neuer Perimeter

Wenn der Netzwerkperimeter verschwindet, wird Identität zum fundamentalen Kontrollpunkt. In der Praxis bedeutet das einen zentralen Identity Provider — typischerweise Azure Active Directory — als Single Source of Truth für Authentifizierung und Autorisierung.

Conditional Access Policies sind der Kern der Implementierung. Es geht nicht nur darum, ob der Benutzer ein gültiges Passwort hat, sondern um kontextbezogene Entscheidungsfindung:

  • Loggt er sich von einem Firmen- oder Privatgerät ein?
  • Ist das Gerät konform gemäß Intune-Richtlinien?
  • Von welchem geografischen Standort loggt er sich ein?
  • Was ist der aktuelle Risiko-Score des Benutzers (Azure AD Identity Protection)?
  • Greift er auf eine routinemäßige oder sensible Anwendung zu?

Basierend auf diesen Signalen entscheidet das System: erlauben, MFA fordern, Zugang einschränken (nur Browser, keine Downloads) oder komplett blockieren.

Netzwerk-Mikrosegmentierung

Ein flaches Netzwerk ist der Traum eines Angreifers. Sobald er auf einen Rechner kommt, sieht er alles. Mikrosegmentierung stoppt diese Bewegung — jeder Workload, jede Anwendung hat eine eigene Sicherheitszone.

In Azure lösen wir das mit einer Kombination aus Network Security Groups, Azure Firewall und Private Endpoints. Datenbanken haben keine öffentlichen IP-Adressen. Applikationsserver kommunizieren mit der Datenbank über private Links. Und zwischen den einzelnen Schichten stehen Regeln, die nur explizit definierte Datenflüsse erlauben.

Für einen Kunden im Bankensektor implementierten wir Mikrosegmentierung schrittweise — wir begannen mit der Identifizierung der Kommunikations- flüsse mittels NSG Flow Logs und Azure Traffic Analytics. Erst als wir eine Karte der realen Kommunikation hatten, begannen wir, Ports zu schließen. Ergebnis: Von 340 offenen Datenflüssen blieben 47 legitime übrig.

Device Trust und Endpoint Management

Zero Trust ohne Gerätekontrolle macht keinen Sinn. Microsoft Intune (jetzt Endpoint Manager) ermöglicht die Definition von Compliance- Richtlinien — Geräte müssen aktuelles OS haben, BitLocker aktiviert, aktiven Antimalware-Schutz und aktuelle Definitionen.

Nicht-konforme Geräte erhalten keinen Zugang zu Unternehmensdaten. Oder genauer — sie erhalten eingeschränkten Zugang. Sie können E-Mail im Browser öffnen, aber keine Anhänge herunterladen oder offline synchronisieren. Granulare Kontrolle statt binärem Allow/Deny.

Application Proxy statt VPN

Einer der praktischsten Schritte Richtung Zero Trust: Azure AD Application Proxy. Statt einem Benutzer VPN-Zugang zum gesamten Netzwerk zu geben für eine einzige interne Webanwendung, veröffentlichen Sie diese Anwendung über Proxy.

Der Benutzer authentifiziert sich über Azure AD, durchläuft Conditional Access Policies und erhält Zugang nur zu dieser einen Anwendung. Kein Netzwerk- zugang zu anderen Systemen. Kein VPN-Client. Funktioniert von jedem Gerät mit Browser.

Für einen Kunden in der öffentlichen Verwaltung veröffentlichten wir 12 interne Anwendungen auf diese Weise. Ergebnis: Vollständige VPN-Eliminierung für 80% der Benutzer und dramatische Vereinfachung des Onboardings externer Mitarbeiter.

Monitoring und Bedrohungserkennung

„Assume Breach” bedeutet, dass Erkennung genauso wichtig ist wie Prävention. In der Zero-Trust-Architektur protokollieren Sie alles und korrelieren:

  • Azure Sentinel als Cloud-natives SIEM — Log-Aggregation aus Azure AD, Office 365, Firewall, Endpoint Protection
  • UEBA (User and Entity Behavior Analytics): Anomalieerkennung im Benutzerverhalten — ungewöhnliche Anmeldemuster, massive Datendownloads, Zugriffe zu ungewöhnlichen Zeiten
  • Automatisierte Reaktion: Playbooks in Azure Sentinel, die automatisch reagieren — Konto sperren, Passwort-Reset fordern, Gerät isolieren

Schrittweise Implementierung — Kein Big Bang

Häufigster Fehler: Versuchen, Zero Trust komplett auf einmal zu implementieren. In der Praxis empfehlen wir einen phasenweisen Ansatz:

  1. Phase 1 — Identität: MFA für alle, Conditional Access, SSO für Schlüsselanwendungen (4–6 Wochen)
  2. Phase 2 — Geräte: Intune-Enrollment, Compliance-Richtlinien, Conditional Access auf Device Compliance (6–8 Wochen)
  3. Phase 3 — Anwendungen: Application Proxy für interne Seiten, Eliminierung unnötiger VPN-Zugriffe (8–12 Wochen)
  4. Phase 4 — Netzwerk: Mikrosegmentierung, Private Endpoints, NSG-Hardening (fortlaufend)
  5. Phase 5 — Daten: Datenklassifizierung, Azure Information Protection, DLP-Richtlinien (fortlaufend)

Zero Trust ist kein Ziel, es ist eine Reise

Keine Organisation ist mit Zero Trust „fertig”. Es ist ein kontinuierlicher Prozess der Verbesserung der Sicherheitslage. Aber jeder Schritt — von MFA über Conditional Access bis zur Mikrosegmentierung — reduziert das Risiko erheblich. Und 2020 zeigte, dass der erste Schritt nicht warten kann.

zero trustsecurityidentityazure ad
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

Zero Trust — das Ende der Perimeter-Sicherheit

VPN und Firewalls reichen nicht aus. Das Zero-Trust-Modell geht davon aus, dass der Angreifer bereits im Netzwerk...

Zero Trust Architektur in der Praxis — Von der Theorie zur Implementierung

Zero Trust Architektur 2026: 5 Säulen der ZTA, ZTNA vs VPN, Mikrosegmentierung, Identity-First-Ansatz und eine...

Zero Trust nach zwei Jahren — Was funktioniert und was nicht

Eine Retrospektive über eine zweijährige Zero-Trust-Reise. Was wir implementiert haben, was uns überrascht hat und...