Zero Trust Architektur in der Praxis — Von der Theorie zur Implementierung

Remote Work, Multi-Cloud-Umgebungen, Supply-Chain-Angriffe wie SolarWinds — traditionelle Perimetersicherheit basierend auf Firewalls und VPNs ist tot. „Im Netzwerk zu sein” bedeutet nicht mehr, vertrauenswürdig zu sein. Zero Trust Architecture (ZTA) kehrt diese Annahme um: Vertraue niemals, überprüfe immer. In diesem Artikel erläutern wir, was Zero Trust wirklich bedeutet, auf welchen Säulen es basiert und wie man es pragmatisch innerhalb von 6–12 Monaten implementiert.

Was Zero Trust ist und was NICHT¶

Zero Trust ist ein Sicherheitsarchitektur-Ansatz, kein Produkt, das man kaufen kann. Er basiert auf Prinzipien aus NIST SP 800-207:

• Kein implizites Vertrauen: Jede Zugriffsanfrage wird unabhängig vom Netzwerkstandort überprüft
• Least Privilege: Nutzer, Geräte und Anwendungen erhalten die minimal notwendigen Berechtigungen
• Assume Breach: Die Architektur geht davon aus, dass der Angreifer bereits drinnen ist
• Kontinuierliche Überprüfung: Vertrauen wird nicht einmalig beim Login gewährt — es wird kontinuierlich basierend auf Kontext überprüft

5 Säulen der Zero Trust Architektur¶

• Identity: Identität ist der neue Perimeter. Jeder Nutzer und Service Account muss stark authentifiziert und autorisiert werden.
• Device: Zugriff hängt vom Gerätezustand ab — gemanagt, aktuelle Patches, Festplattenverschlüsselung aktiviert.
• Network: Mikrosegmentierung ersetzt das flache Netzwerk. East-West-Traffic wird genauso streng gefiltert wie North-South.
• Application: Anwendungen überprüfen Identität und Autorisierung unabhängig vom Netzwerk. Jeder API-Aufruf trägt einen Token.
• Data: Daten werden auf Objektebene klassifiziert und geschützt — Verschlüsselung at Rest, in Transit und in Use.

Identity-First-Ansatz¶

In der Zero Trust Architektur ist Identität die fundamentale Control Plane: Conditional Access, Passwordless-Authentifizierung (FIDO2), MFA überall, Identity Governance, Workload Identity (SPIFFE/SPIRE).

Mikrosegmentierung — Das Ende des flachen Netzwerks¶

Implementierungsansätze: Kubernetes Network Policies, Service Mesh (Istio, Linkerd) mit mTLS, Cilium mit eBPF, Host-basierte Segmentierung für Legacy-VMs.

ZTNA vs VPN — Warum VPN nicht ausreicht¶

ZTNA funktioniert grundlegend anders als VPN: Anwendungslevel-Zugriff statt Netzwerkzugriff, Identity + Context basiert, keine eingehenden Verbindungen, kontinuierliche Evaluation.

Implementierungs-Roadmap¶

Phase 1: Foundations (Monate 1–3)¶

Identity-Konsolidierung, MFA für alle, Asset-Inventur, ZTNA für 3–5 Schlüsselanwendungen.

Phase 2: Segmentation (Monate 4–6)¶

Netzwerk-Visibilität, Kubernetes Network Policies, Passwordless Rollout, Datenklassifizierung.

Phase 3: Maturity (Monate 7–12)¶

Service Mesh mit mTLS, Workload Identity, VPN-Ablösung, SIEM-Integration, Governance.

Fazit¶

Zero Trust ist eine Reise, kein Ziel. Beginnen Sie mit Identität — MFA + Conditional Access + Device Compliance eliminiert 90 % der gängigen Angriffe innerhalb von 3 Monaten. Die meisten Enterprise-Organisationen nutzen bereits M365 und Entra ID. Die Grundlagen sind gelegt — sie müssen nur aktiviert werden.