Zero Trust Network Access: VPN-Nachfolger oder Hype?

1 Min. Lesezeit

VPNs waren 20 Jahre lang der Standard für sicheren Remote-Zugriff. Doch VPNs vertrauen dem gesamten Netzwerk, sobald die Verbindung steht – ein Paradigma, das in einer Cloud-first-Welt nicht mehr funktioniert. Zero Trust Network Access (ZTNA) ersetzt „Netzwerkzugang“ durch „Applikationszugang“ und verifiziert jeden Request einzeln.

Das Wichtigste in Kürze

Gartner: Bis 2025 ersetzen 70 Prozent der Unternehmen VPN durch ZTNA
VPN-Schwachstellen: 56 Prozent Anstieg gemeldeter CVEs in VPN-Produkten (2022)
ZTNA-Prinzip: Nie dem Netzwerk vertrauen – immer Identität, Gerät und Kontext prüfen
Marktführer: Zscaler, Cloudflare, Palo Alto Prisma Access, Netskope

Das VPN-Problem

Ein VPN stellt einen verschlüsselten Tunnel her und gibt dem Nutzer dann Zugang zum gesamten Unternehmensnetzwerk. Das ist, als würde man jedem Besucher, der sich am Empfang ausweist, den Generalschlüssel für alle Büros geben. Einmal drin, drin – Lateral Movement ist trivial.

Dazu kommen operative Probleme: VPN-Konzentratoren als Single Point of Failure, Performance-Engpässe bei Remote-Work-Spitzen und eine wachsende Angriffsfläche durch VPN-Schwachstellen. Fortinet, Pulse Secure und Citrix VPNs waren 2022-2023 Ziel zahlreicher Zero-Day-Angriffe.

Wie ZTNA funktioniert

ZTNA dreht das Modell um: Statt Netzwerkzugang gewährt es Zugang zu einzelnen Applikationen – nach Prüfung von Identität (wer?), Gerätestatus (gepatcht? gemanagt?), Kontext (Standort? Uhrzeit?) und Risikobewertung (Anomalien?).

Technisch setzt ZTNA auf einen Broker zwischen Nutzer und Applikation. Der Nutzer verbindet sich nie direkt mit dem Netzwerk. Applikationen sind aus dem Internet unsichtbar – kein offener Port, kein DNS-Eintrag. Nur authentifizierte, autorisierte Requests werden durchgelassen.

Migration: Vom VPN zu ZTNA

Die Migration muss nicht Big Bang sein. Empfohlener Fahrplan: Phase 1: ZTNA für neue Cloud-Applikationen (kein VPN-Tunnel zu SaaS nötig). Phase 2: Web-basierte interne Applikationen über ZTNA-Broker zugänglich machen. Phase 3: Legacy-Applikationen, die Netzwerkzugang erfordern, schrittweise migrieren oder per App-Connector anbinden.

VPN und ZTNA können monatelang parallel laufen. Das reduziert Risiko und gibt dem Team Zeit, Erfahrung mit dem neuen Modell zu sammeln.

ZTNA ist kein Allheilmittel

Kritische Einschränkungen: ZTNA schützt den Applikationszugang, nicht die Applikation selbst. Eine SQL-Injection funktioniert auch durch einen ZTNA-Broker. ZTNA ersetzt keine Web Application Firewall, keine Input-Validierung und kein Patch-Management.

Außerdem: ZTNA-Lösungen sind selbst Angriffsziele. Ein kompromittierter ZTNA-Broker hat Zugriff auf alles, was er vermittelt. Vendor-Security ist kritisch – Audit-Berichte (SOC 2), Penetration-Test-Ergebnisse und Incident-Historie des Anbieters prüfen.

Key Facts

Adoption: Gartner: 70 Prozent ZTNA-Adoption bis 2025 (von unter 10 Prozent in 2021)

VPN-CVEs: 56 Prozent mehr gemeldete Schwachstellen in VPN-Produkten in 2022

Latenz: ZTNA typischerweise 20-40 Prozent weniger Latenz als VPN (kein Backhauling)

Häufige Fragen

Kann ZTNA alle VPN-Anwendungsfälle ersetzen?

Fast alle. Die Ausnahme: Anwendungen, die echten Layer-3-Netzwerkzugang benötigen (bestimmte Legacy-Protokolle, Netzwerk-Laufwerke über SMB). Für diese Fälle bieten ZTNA-Anbieter App-Connectors oder einen privaten Netzwerk-Modus an.

Wie teuer ist der Umstieg?

ZTNA-Lizenzen kosten typischerweise 5-15 EUR/User/Monat. Dem gegenüber stehen: eingesparte VPN-Konzentrator-Hardware, reduzierter Wartungsaufwand und geringere Bandbreitenkosten (kein Backhauling). Die TCO sind in den meisten Fällen niedriger als bei VPN.

Brauche ich ZTNA, wenn ich Zero Trust bereits implementiere?

ZTNA ist eine Komponente von Zero Trust – nicht das Ganze. Zero Trust umfasst auch Identity Governance, Mikrosegmentierung, Endpoint Security und Data Protection. ZTNA löst spezifisch das Problem des sicheren Applikationszugangs.