Zero Trust
Auch bekannt als: Zero-Trust-Architektur, Never trust, always verify
Zero Trust ist ein Sicherheitsmodell, das keinem Nutzer, Gerät oder Dienst automatisch vertraut - jeder Zugriff wird unabhängig vom Standort authentifiziert, autorisiert und geprüft. Das Leitprinzip lautet: Never trust, always verify.
Wie unterscheidet sich Zero Trust vom klassischen Sicherheitsmodell?
Das traditionelle Modell funktioniert wie eine Burg mit Graben: Außen die Firewall, innen wird vertraut. Sobald ein Angreifer den Perimeter überwindet - per Phishing, gestohlenem Passwort oder kompromittiertem VPN-Zugang -, bewegt er sich weitgehend frei durchs Netzwerk. Zero Trust kehrt die Logik um: Es gibt kein „innen” mehr, dem pauschal vertraut wird. Jede Anfrage wird geprüft - wer greift zu, von welchem Gerät, in welchem Zustand, auf welche Ressource, und ist dieser Zugriff für die Rolle plausibel?
Welche Bausteine gehören zu einer Zero-Trust-Architektur?
In der Praxis setzt sich Zero Trust aus bekannten Komponenten zusammen: starke Identitätsprüfung mit Multi-Faktor-Authentifizierung, das Least-Privilege-Prinzip (jeder bekommt nur die Rechte, die er wirklich braucht), Netzwerksegmentierung gegen ungehinderte Ausbreitung, Gerätekonformität als Zugriffsbedingung (Conditional Access) und kontinuierliches Monitoring statt einmaliger Anmeldung. Wichtig zu verstehen: Zero Trust ist kein Produkt, das man kauft, sondern eine Architektur-Entscheidung, die schrittweise umgesetzt wird.
Ist Zero Trust für KMU realistisch?
Ja - gerade weil viele Bausteine in vorhandenen Lizenzen stecken (etwa Conditional Access und MFA in Microsoft 365). Sinnvoll ist ein pragmatischer Einstieg: erst Identitäten absichern, dann Zugriffsrechte aufräumen, dann segmentieren. Auch Regulierung wie NIS2 honoriert diesen Ansatz, denn viele Anforderungen an Risikomanagement und Zugriffskontrolle decken sich mit Zero-Trust-Prinzipien. Eine ausführliche Einordnung bietet der Beitrag Zero Trust als integrale Sicherheitsstrategie.
Verwandte Begriffe
Fragen zu Zero Trust in Ihrem Unternehmen?
Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.
Zuletzt aktualisiert: 4. Juli 2026