Einführung

Seit Jahren wird der Begriff „Zero Trust“ hochgehalten. SASE, ZTNA oder verstärkte IAM-Maßnahmen werden wie Zauberformeln einer neuen Ära verkauft. Viele Praktikerinnen und Praktiker schauen jedoch kühl und fragen sich: „Ist das nicht einfach nur stärkere Authentifizierung?“

Ist Zero Trust also wirklich ein neues Sicherheitsparadigma oder nur ein Buzzword? Dieser Beitrag untersucht die Substanz kritisch.

Das Paradigma der Perimetersicherheit

Zuerst lohnt der Blick auf das traditionelle Modell. Im IPv4-Zeitalter schützten private Adressräume und NAT das LAN; Zugriffe von außen waren selten. Firewalls blockierten Verbindungen „von außen nach innen“, und die Annahme „Solange der Perimeter steht, ist das Innere sicher“ funktionierte lange.

Dieses Modell war äußerst wirksam und trug von den 1990ern bis in die 2010er die Sicherheit der Internetnutzung. „Per VPN ins Firmennetz und du hast freie Fahrt“ – das war der Archetyp der Perimetersicherheit.

Warum Zero Trust in den Fokus rückte

Doch die Lage hat sich verändert.

Cloud- und Mobile-Nutzung

Mitarbeitende greifen von zuhause oder aus dem Café auf SaaS zu; der Perimeter verwischt.

Innentäter und laterale Malware-Ausbreitung

Gelingt ein Eindringen, bleibt das LAN als „Vertrauensoase“ schutzlos.

Der Einfluss von Google BeyondCorp

Googles BeyondCorp machte „den Perimeter aufbrechen“ als neues Sicherheitsnarrativ populär.

So entstand das Banner „Zero Trust“. Der Slogan „Vertraue niemandem“ traf vor allem das Management mit voller Wucht.

Missverständnisse rund um Zero Trust

Institutionen wie NIST oder CISA fordern nirgends „Schafft den Perimeter komplett ab“. Ihre Botschaft lautet vielmehr: Der Übergang ist schrittweise, und die meisten Organisationen werden auf absehbare Zeit hybride Modelle aus Perimeterschutz und Zero Trust fahren.

Warum hält sich dennoch die Idee eines Allheilmittels?

  • Anbieter wollen ihre Produktportfolios als „unverzichtbare Bausteine für Zero Trust“ verkaufen.
  • Googles Beispiel wird als „universelles Referenzmodell“ fehlgelesen.
  • Nach Vorfällen dient Zero Trust als rückblickende Erklärung: „Damit wäre es nicht passiert.“

Kurz: Als Denkmodell ist Zero Trust sauber, als Schlagwort wurde es überhöht.

Die Falle der „Perimeter-los“-These: Solange es Rich Clients gibt, bleibt der Perimeter nötig

Ein entscheidender Punkt: Würden alle nur Thin Clients nutzen und keine Daten lokal speichern, passte Zero Trust perfekt. Die Realität der Unternehmen heißt jedoch weiterhin Rich Client – vollwertige PCs.

Rich Clients halten Anwendungen und Daten lokal vor. Wird ein Gerät kompromittiert, überwindet der Angreifer legitime Authentifizierung und bewegt sich lateral im Netz. Diese Bewegung zu stoppen, verlangt weiterhin perimeterartige Kontrollen wie Firewalls oder Segmentierung.

„Zero Trust = kein Perimeter“ ist also falsch. Die eigentliche Architekturfrage lautet: Wie dick muss der Perimeter unter meinen Bedingungen sein?

Was ist Zero Trust also wirklich?

So verdichtet sich das Bild zu etwas sehr Einfachem.

  • Das missverstandene Bild „Magische neue Technologie“ „Revolution, die den Perimeter abschafft“ „Allheilmittel“

  • Der tatsächliche Kern Die bequeme Annahme „Im LAN ist es automatisch sicher“ hinter sich lassen Bestehende Techniken wie Authentifizierung, Autorisierung, Geräteprüfung und Log-Überwachung kombinieren und eine Sicherheitsbetriebsführung implementieren, die implizites Vertrauen eliminiert

Die Bausteine selbst sind nicht neu.

  • MFA (Mehrfaktor-Authentifizierung)
  • Föderierte Anmeldung via SAML oder OAuth
  • MDM (Mobile Device Management)
  • EDR (Endpoint Detection and Response)
  • CASB (Cloud Access Security Broker)
  • SASE (Secure Access Service Edge)

All das gibt es seit Jahren. Zero Trust bündelt sie und bietet ein gemeinsames Schlagwort.

Fazit: Der wirkliche Wert von Zero Trust

Ist Zero Trust Buzzword oder Technik? Die Antwort: „Ein in ein Schlagwort gegossenes Denkmodell – wertvoll, weil es die Grundannahmen hinterfragt.“

Fragt mich jemand „Was ist Zero Trust?“, antworte ich:

Hört auf, Perimetersicherheit (zum Beispiel das LAN) als automatisch sicher zu behandeln, und setzt eine Sicherheitsbetriebsführung um, die implizites Vertrauen mit Hilfe kombinierter Techniken eliminiert. Anders lässt sich die Realität nicht absichern.

Es ist weder Magie noch ein völlig neuer Produktstack. Aber der verbleibende Wert als Architekturgedanke ist real, sobald man die Übertreibung abstreift.

FAQ (Häufig gestellte Fragen)

Q: Was unterscheidet Zero Trust von VPN? A: VPN ist der Schlüssel zum Perimeter; ist man drinnen, gilt man als vertrauenswürdig. Zero Trust authentifiziert und überwacht weiter, auch nachdem der Zugriff gewährt wurde.

Q: Macht Zero Trust bestehende Firewalls überflüssig? A: Nein. Gerade um infizierte Rich Clients und laterale Bewegung zu bremsen, bleiben perimeterbasierte Kontrollen unverzichtbar.

Q: Können auch kleine und mittlere Unternehmen Zero Trust einführen? A: Schrittweise, ja. Man startet etwa mit MFA oder erweitertem Log-Monitoring und baut von dort aus.

Q: Ist Zero Trust eine neue Technologie? A: Die Technologien sind altbekannt. Zero Trust kombiniert sie und definiert die Betriebsphilosophie neu.