15. Januar 2026 | Artikel drucken |

Zero Trust als Standortfaktor: Warum sichere Netze Investoren anziehen

8 Min. Lesezeit

Nur 19 Prozent der deutschen Unternehmen haben Zero Trust vollständig implementiert. Global liegt die Quote bei 63 Prozent. Deutschland hinkt hinterher. Aber die Aufholjagd hat begonnen: Siemens hat die erste Zero-Trust-Plattform für industrielle Netzwerke vorgestellt, SAP integriert Zero Trust nativ in RISE with SAP und die Deutsche Telekom baut ihr Netzwerksicherheitsangebot komplett auf Zero-Trust-Prinzipien um. Für den Wirtschaftsstandort wird sichere Infrastruktur zum Investitionsargument. Denn internationale Kapitalgeber bewerten Cybersecurity-Reife zunehmend als Qualitätsmerkmal bei der Standortwahl.

Das Wichtigste in Kürze

  • 19 Prozent vollständig implementiert: Deutsche Unternehmen liegen bei Zero Trust deutlich unter dem globalen Durchschnitt von 63 Prozent. 56 Prozent befinden sich aber in der Umsetzung (Mittelstand Heute / Gartner 2024).
  • Siemens SINEC Secure Connect: Erste dedizierte Zero-Trust-Plattform für OT-Netzwerke. Ersetzt VPNs durch identitätsbasierte Verbindungen. IEC-62443-konform. Vorgestellt auf der it-sa 2025.
  • 92 Prozent ROI innerhalb von 3 Jahren: Forrester-Studie belegt Payback in unter 6 Monaten und 50 Prozent geringeres Datenleck-Risiko bei Zero-Trust-Implementierung.
  • NIS2 fordert Zero-Trust-Prinzipien de facto: Access Control, Netzwerksegmentierung und kontinuierliche Authentifizierung sind NIS2-Pflichtanforderungen. Zero Trust ist der Architekturansatz der alle gleichzeitig erfüllt.
  • 72 Prozent der deutschen Firmen erhöhen Security-Budgets: Der Cybersecurity-Markt in Deutschland wächst auf 12,2 Milliarden Euro in 2026. Startup-Funding stieg um 878 Prozent (PwC / Tracxn).

Die Implementierungslücke: Wo Deutschland wirklich steht

Die Zahlen erzählen zwei Geschichten gleichzeitig. Geschichte eins: Deutschland hinkt hinterher. Laut einer branchenübergreifenden Erhebung haben nur 19 Prozent der deutschen Unternehmen Zero Trust vollständig implementiert. Im globalen Vergleich liegt die Quote laut Gartner bei 63 Prozent. Die Okta State of Zero Trust Studie verschärft das Bild: In Nordamerika hatten 60 Prozent der Organisationen bereits 2022/2023 Zero-Trust-Initiativen gestartet. In EMEA waren es unter 18 Prozent. Ein passender Anschluss dazu: Zero Trust in der Mediaplanung.

Geschichte zwei: Deutschland holt auf und zwar schneller als jedes andere europäische Land. 56 Prozent der deutschen Unternehmen befinden sich aktiv in der Umsetzung. Zwei Drittel erwarten Budgeterhöhungen für Zero Trust in den nächsten zwei Jahren. Und laut Forrester führen deutsche Unternehmen bei der Priorisierung von Zero Trust innerhalb Europas. Der Gap ist nicht Desinteresse, sondern Geschwindigkeit.

Der Grund für die Verzögerung ist strukturell: Deutschlands Unternehmenslandschaft ist mittelständisch geprägt. 53 Prozent der deutschen Firmen nennen fehlendes Budget als größte Herausforderung bei der Zero-Trust-Einführung. Im globalen Durchschnitt sind es 40 Prozent. Ein Mittelständler mit 200 Mitarbeitern und einem IT-Team von drei Personen kann nicht dieselbe Geschwindigkeit vorlegen wie ein US-Konzern, der Microsoft Entra ID mit Conditional Access in drei Monaten unternehmensweit ausrollt. Aber er kann die gleiche Architektur wählen und sie in Phasen umsetzen.

Gartner selbst liefert die ernüchternde Prognose: Bis 2026 werden nur 10 Prozent der Großunternehmen ein reifes und messbares Zero-Trust-Programm haben. Das zeigt, dass die Herausforderung nicht nur deutsch ist. Zero Trust ist überall schwer. Aber die Richtung stimmt und Deutschland investiert.

72%
der Unternehmen planen Zero Trust
30.000
Unternehmen unter NIS2 in DE
67 Mrd.
Zero Trust Markt weltweit 2027

Quellen: Okta State of Zero Trust 2024, OpenKRITIS, MarketsandMarkets

19 % vs. 63 %
Zero-Trust-Implementierung: Deutschland vs. globaler Durchschnitt
Quellen: Mittelstand Heute / Gartner Survey, 2024

Wie Siemens Zero Trust in die Fabrik bringt

Der eindrucksvollste deutsche Zero-Trust-Case kommt nicht aus der IT, sondern aus der Operational Technology. Siemens hat auf der it-sa Expo 2025 in Nürnberg SINEC Secure Connect vorgestellt: die erste dedizierte Zero-Trust-Plattform für industrielle Netzwerke.

Das Besondere an SINEC Secure Connect: Die Plattform ersetzt die traditionellen VPN-Tunnel, die in der Industrie seit Jahrzehnten Standard sind, durch identitätsbasierte und verschlüsselte Verbindungen. Jede Maschine, jeder Sensor und jeder Wartungstechniker muss sich authentifizieren, bevor er Zugang zu einem spezifischen System erhält. Pauschale Netzwerkzugriffe via VPN, bei denen ein Techniker mit VPN-Verbindung theoretisch auf jedes System im Netzwerk zugreifen kann, gehören damit der Vergangenheit an.

Die Plattform ist IEC 62443-konform, dem internationalen Standard für industrielle Cybersicherheit, und läuft on-premises, in der Cloud oder hybrid. Für Fabrikbetreiber bedeutet das: Zero Trust wird auch in OT-Umgebungen implementierbar, die bisher als „zu komplex“ oder „zu legacy“ galten. Die deutsche Fertigungsindustrie, die mit Maschinenparks von 20 bis 30 Jahren Lebensdauer arbeitet, bekommt damit ein Werkzeug das ihre spezifische Herausforderung adressiert.

Natalia Oropeza, Global Chief Cybersecurity Officer bei Siemens, ordnet die Dringlichkeit ein: Wenn KI-Systeme kritische Infrastruktur steuern, verschiebt sich die Angriffsfläche fundamental. Ein CISO, der diese Bedrohungen nicht versteht, fliegt blind. Sinngemäß gilt das auch für Zero Trust: Wer Fabriken vernetzt ohne sie nach Zero-Trust-Prinzipien abzusichern, schafft Angriffsflächen in der physischen Welt, nicht nur in der digitalen.

SAP und die Telekom: Zero Trust wird Standardinfrastruktur

SAP hat Zero Trust in sein Kernangebot integriert. Seit Januar 2025 ist Zscaler Private Access nativ in RISE with SAP eingebunden. Für die tausenden Unternehmen, die ihre SAP-Landschaft in die Cloud migrieren, bedeutet das: Zero Trust ist kein separates Projekt mehr, sondern Standardarchitektur. VPN-basierte Zugriffe auf SAP-Systeme werden durch identitätsbasierte Policies ersetzt, die kontextabhängig entscheiden welcher Nutzer auf welche Daten zugreifen darf.

Die Deutsche Telekom geht noch einen Schritt weiter. Mit „Magenta Security on Net“ bietet T-Systems seit 2025 eine netzwerkbasierte SASE-Lösung (Secure Access Service Edge) mit integriertem Zero Trust Network Access an. Das ist bemerkenswert, weil es Zero Trust von der Anwendungsebene auf die Netzwerkebene hebt. Unternehmen, die T-Systems als Netzwerkprovider nutzen, bekommen Zero Trust quasi als Infrastruktur-Feature mitgeliefert, ohne eigenes Projekt und ohne eigenes Budget-Silo.

Bosch geht den Weg über die Identitäten: In einer Partnerschaft mit CyberArk konsolidiert Bosch sein Identity and Access Management über alle Cloud-Umgebungen hinweg. Die „Chip to Cloud“-Sicherheitsstrategie von Bosch verankert Zero Trust bereits auf der Hardwareebene in IoT-Geräten. Damit wird Sicherheit nicht nachträglich aufgesetzt, sondern von Anfang an eingebaut.

Für den Standort Deutschland bedeutet diese Entwicklung etwas Grundlegendes: Die drei größten deutschen Tech-Konzerne (Siemens für OT, SAP für Enterprise IT, Telekom für Netzwerk) haben Zero Trust zu einem Kernbestandteil ihrer Produkte gemacht. Deutsche Unternehmen, die bei diesen Anbietern kaufen, implementieren Zero Trust ob sie es planen oder nicht. Das ist die effektivste Form der Adoption: nicht durch Regulierung erzwungen, sondern durch Technologie voreingestellt.

„Wenn KI-Systeme kritische Infrastruktur steuern, verschiebt sich die Angriffsfläche fundamental. Ein CISO, der diese Bedrohungen nicht versteht, fliegt blind.“
Sinngemäß nach Natalia Oropeza, Global Chief Cybersecurity Officer, Siemens AG (Help Net Security, Dezember 2025)

Warum Investoren auf Cybersecurity-Reife achten

Die Verbindung zwischen Zero Trust und Investorenvertrauen ist real, auch wenn sie nicht so direkt ist wie manchmal behauptet. Es gibt keine Studie, die eine direkte Korrelation zwischen Zero-Trust-Maturity und Foreign Direct Investment herstellt. Was es gibt: wachsende Evidenz, dass Cybersecurity-Reife bei Due-Diligence-Prüfungen ein zentraler Faktor wird.

72 Prozent der deutschen Firmen planen laut PwC Digital Trust Insights Cybersecurity-Budgeterhöhungen. Der deutsche Cybersecurity-Markt wird für 2026 auf 12,2 Milliarden Euro projiziert und wächst jährlich um 10 Prozent. Und die Startup-Finanzierung im deutschen Cybersecurity-Sektor ist 2025 laut Tracxn um 878 Prozent gestiegen: von 13 auf 114 Millionen USD in 11 Finanzierungsrunden.

Das Signal an internationale Investoren ist klar: Deutschland investiert massiv in Security. Die Made-for-Germany-Initiative mit 735 Milliarden Euro Gesamtzusage untermauert das. Und die Kombination aus NIS2-Regulierung, starker industrieller Basis und wachsendem Security-Ökosystem macht den Standort für Tech-Investitionen attraktiv. Zero Trust ist dabei der architektonische Beweis, dass Deutschland Sicherheit nicht nur reguliert, sondern auch implementiert.

92 %
ROI innerhalb von 3 Jahren bei Zero-Trust-Implementierung
Quelle: Forrester Total Economic Impact Study / Microsoft, 2022

NIS2 und Zero Trust: Die regulatorische Verbindung

NIS2 schreibt „Zero Trust“ nicht wörtlich vor. Aber die geforderten Maßnahmen sind de facto Zero-Trust-Prinzipien: Access Control auf Basis des Least-Privilege-Prinzips, Netzwerksegmentierung, kontinuierliche Authentifizierung und Multi-Faktor-Verifizierung. Wer Zero Trust implementiert, erfüllt die NIS2-Anforderungen in diesen Bereichen fast automatisch.

Das BSI hat im Juli 2023 ein Positionspapier zu Zero Trust veröffentlicht, das drei Grundsätze definiert: Erstens jede Verbindung authentifizieren. Zweitens keinen Vertrauensvorschuss gewähren. Drittens feingranulare Segmentierung durchsetzen. Im Oktober 2025 folgte gemeinsam mit acht internationalen Sicherheitsbehörden der MDA-Leitfaden (Modern Defensible Architecture), der Zero Trust als Kernprinzip moderner Sicherheitsarchitektur positioniert. Im August 2025 kamen die Zero-Trust-Designprinzipien für LLMs, ein Leitfaden für den sicheren Einsatz von KI-Systemen.

Für die rund 30.000 Unternehmen, die unter NIS2 fallen, ist Zero Trust der effizienteste Weg zur Compliance. Statt einzelne Maßnahmen isoliert umzusetzen (MFA hier, Segmentierung dort, Monitoring irgendwo), liefert Zero Trust eine konsistente Architektur, die alle Anforderungen in einem Rahmenwerk abdeckt. Der Mehraufwand gegenüber einer Flickenteppich-Lösung ist kurzfristig höher, langfristig aber günstiger und nachhaltiger.

Was Zero Trust den Mittelstand kostet und was es bringt

Konkrete Euro-Beträge für die Zero-Trust-Implementierung im Mittelstand sind schwer zu beziffern, weil jede Ausgangslage anders ist. Was verifizierbar ist: Die Forrester Total Economic Impact Studie für Microsoft zeigt 92 Prozent ROI innerhalb von drei Jahren und einen Payback in unter sechs Monaten. Das Datenleck-Risiko sinkt um 50 Prozent. Diese Zahlen beziehen sich auf Microsoft-Kunden, aber die Größenordnung ist branchenübergreifend plausibel.

Für ein mittelständisches Unternehmen mit 50 bis 500 Mitarbeitern empfiehlt sich ein Phasenansatz. Phase eins: Multi-Faktor-Authentifizierung auf allen Systemen. Cloud-basiert, wenige tausend Euro pro Jahr und in Wochen implementierbar. Phase zwei: Identity and Access Management konsolidieren. Entra ID, Okta oder ein europäischer Anbieter wie Bare.ID. Phase drei: Netzwerksegmentierung und Micro-Segmentation, die den größten Schutzeffekt bringt aber auch den größten Aufwand erfordert. Phase vier: Continuous Monitoring und Security Operations, idealerweise als Managed Service.

Die wichtigste Erkenntnis: Zero Trust ist kein Produkt das man kauft, sondern eine Architekturentscheidung die man trifft. Jede Phase bringt eigenständigen Sicherheitsgewinn. Wer bei Phase eins anfängt und nie zu Phase vier kommt, ist trotzdem deutlich besser geschützt als vorher. Perfektion ist nicht nötig, Fortschritt schon.

Die ehrliche Gegenposition

Zero Trust ist kein Allheilmittel und die Implementierung ist schwieriger als die Marketing-Versprechen suggerieren. 53 Prozent der deutschen Firmen nennen fehlendes Budget als größte Herausforderung. Aber Budget ist oft nur ein Stellvertreter für ein tieferes Problem: fehlendes Verständnis auf Managementebene. Wenn der Vorstand Zero Trust als „IT-Projekt“ betrachtet statt als architektonische Grundsatzentscheidung, wird es unterfinanziert und halbherzig umgesetzt.

Dazu kommt die Legacy-Herausforderung: Deutsche Industrieunternehmen haben Maschinenparks mit 20 bis 30 Jahren Lebensdauer. Diese Maschinen sprechen proprietäre Protokolle, haben keine Update-Mechanismen und waren nie für eine vernetzte Welt gebaut. Zero Trust in einer solchen Brownfield-Umgebung zu implementieren ist fundamental schwieriger als in einem Greenfield-Cloud-Setup. Siemens‘ SINEC Secure Connect adressiert genau dieses Problem, aber die breite Adoption in der Fläche wird Jahre dauern.

Und es gibt ein konzeptionelles Risiko: Ein halbherziges Zero Trust ist potenziell schlimmer als kein Zero Trust. Wenn MFA eingeführt wird aber die Netzwerksegmentierung fehlt, wenn Identitäten gemanagt werden aber das Monitoring nicht funktioniert, entsteht eine gefährliche Illusion von Sicherheit. Die Organisation glaubt geschützt zu sein, ist es aber nicht. Konsequenz: Entweder richtig machen oder bewusst entscheiden, wo man aufhört und welche Restrisiken man akzeptiert.

Vier Schritte zum Zero-Trust-Einstieg

1. Identitäten konsolidieren. Bevor Zero Trust funktioniert, muss klar sein wer auf was Zugriff hat. Ein Identity and Access Management System, das alle Systeme (Cloud, On-Premises, OT) abdeckt, ist die Grundlage. Ohne saubere Identitäten kein Zero Trust. Erster Schritt: alle Konten inventarisieren und verwaiste Accounts löschen.

2. MFA überall erzwingen. Multi-Faktor-Authentifizierung ist der schnellste und günstigste Schritt mit dem größten Soforteffekt. Phishing-resistente Methoden (FIDO2, Passkeys) bevorzugen. SMS-basierte MFA nur als Übergangslösung akzeptieren. Die meisten Cloud-Plattformen bieten MFA ohne Zusatzkosten.

3. Netzwerk segmentieren. Flache Netzwerke sind das größte Geschenk an Angreifer. Micro-Segmentation isoliert Systeme voneinander, sodass ein kompromittierter Arbeitsplatz nicht automatisch Zugriff auf den Produktionsserver oder die Finanzbuchhaltung hat. Für OT-Umgebungen: Purdue-Modell als Ausgangspunkt, ergänzt durch Siemens SINEC oder vergleichbare Lösungen.

4. Continuous Monitoring aufbauen. Zero Trust heißt „Never trust, always verify“ und das erfordert kontinuierliche Überwachung aller Zugriffsversuche. Ein SIEM oder XDR-System das Anomalien in Echtzeit erkennt ist der letzte Baustein. Für Unternehmen ohne eigenes Security-Team: Managed SOC-Services von deutschen Anbietern wie DCSO, Telekom Security oder G DATA machen professionelles Monitoring auch für KMU zugänglich. Kosten: 500 bis 2.000 Euro monatlich.

Fazit

Zero Trust ist in Deutschland nicht nur ein Security-Konzept, sondern wird zum Standortfaktor. Siemens, SAP und die Deutsche Telekom machen Zero Trust zur Standardarchitektur ihrer Produkte. NIS2 fordert die Kernprinzipien regulatorisch ein. Und internationale Investoren bewerten Cybersecurity-Reife zunehmend als Qualitätsmerkmal bei der Standortwahl. Deutschland liegt bei der Implementierung noch zurück (19 Prozent vs. 63 Prozent global), aber die Priorisierung ist europaweit die höchste und die Investitionen fließen. Wer jetzt in Zero Trust investiert, baut nicht nur Sicherheit auf, sondern Standort-Attraktivität. In einer Welt eskalierender Cyberangriffe ist „Secured in Germany“ das neue „Made in Germany“.

Häufige Fragen

Was bedeutet Zero Trust konkret für den Arbeitsalltag?

Statt einmal morgens per VPN einzuloggen und dann auf alles zugreifen zu können, wird jeder einzelne Zugriff geprüft. Der Laptop verbindet sich nicht mehr „ins Firmennetz“, sondern direkt mit der jeweiligen Anwendung. Jeder Zugriff wird individuell authentifiziert und autorisiert. Das ist zu Beginn ungewohnt, bietet aber deutlich mehr Sicherheit und funktioniert ortsunabhängig.

Ist Zero Trust für den Mittelstand realistisch umsetzbar?

Ja, aber als Phasenansatz. MFA und Identity Management als Einstieg kosten wenige tausend Euro pro Jahr und sind in Wochen implementierbar. Cloud-basierte Lösungen machen Zero Trust auch ohne eigene IT-Sicherheitsabteilung möglich. Wichtig: nicht alles auf einmal wollen, sondern bewusst priorisieren.

Schreibt NIS2 Zero Trust vor?

Nicht wörtlich. Aber die geforderten Maßnahmen (Access Control, Segmentierung, MFA, Incident Response) sind de facto Zero-Trust-Prinzipien. Wer Zero Trust implementiert, erfüllt die NIS2-Anforderungen in diesen Bereichen nahezu automatisch. Das BSI empfiehlt Zero Trust explizit in seinen Positionspapieren.

Wie lange dauert eine vollständige Zero-Trust-Implementierung?

MFA und Basis-IAM: 2 bis 4 Wochen. Netzwerksegmentierung: 3 bis 6 Monate. Vollständige Architektur mit Continuous Monitoring: 12 bis 24 Monate. Gartner schätzt, dass bis 2026 nur 10 Prozent der Großunternehmen ein reifes Programm haben. Aber jede Phase bringt eigenständigen Sicherheitsgewinn.

Was kostet Zero Trust im Vergleich zu einem klassischen VPN?

Kurzfristig mehr, langfristig weniger. VPN: 5 bis 15 Euro pro Nutzer und Monat ohne granulare Zugriffskontrolle. Zero Trust Network Access: 8 bis 25 Euro mit identitätsbasierten Policies und Compliance-Nachweisen. Die Forrester-Studie belegt 92 Prozent ROI innerhalb von drei Jahren. Und die reduzierten Incident-Kosten sind in der Rechnung noch nicht enthalten.

Weiterführende Lektüre

NIS2 in Deutschland: Was Unternehmen jetzt umsetzen müssen (SecurityToday)

NIS2 als Standortvorteil: Warum Regulierung den Standort stärkt (SecurityToday)

Reboot Germany: 735 Milliarden Investitionen (MyBusinessFuture)

Board Governance: Digitale Kompetenz im Aufsichtsrat (Digital Chiefs)

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380642)

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH