LAGEBRIEFING · 10.07.2026 DEENFRES

Sicherheitslexikon

Was ist Zero Trust? Definition, Prinzip und Bausteine

Von Alec Chizhik · 7. Juli 2026 · 4 Minuten Lesezeit

Was ist Zero Trust? Zero Trust ist ein Sicherheitsmodell, das keinem Nutzer, Gerät oder Netzwerkstandort implizit vertraut. Jede Zugriffsanfrage wird einzeln authentifiziert, autorisiert und geprüft, nach dem Prinzip never trust, always verify. Zero Trust ist ein Sicherheitsarchitektur-Modell und keine Produktkategorie. Die zentrale Referenz ist die NIST-Publikation SP 800-207.

Das Wichtigste in Kürze

  • Prinzip: Kein implizites Vertrauen. Jede Anfrage wird verifiziert, unabhängig davon, ob sie aus dem Firmennetz oder von außen kommt.
  • Bausteine: Starke Identitäten, geprüfter Gerätezustand, Mikrosegmentierung, minimale Rechte und laufende Verifikation.
  • Einordnung: Zero Trust ist eine Architektur. Einzelne Produkte setzen Teile davon um, kein Kauf ersetzt die Architekturentscheidungen.

Was Zero Trust konkret bedeutet

Das klassische Sicherheitsmodell zieht eine Grenze um das Firmennetz und vertraut allem, was sich innerhalb bewegt. Genau dieses implizite Vertrauen nutzt jeder Angreifer aus, der es einmal hinter den Perimeter schafft. Zero Trust bricht mit dieser Annahme: Jede Zugriffsanfrage wird ohne implizites Vertrauen geprüft, anhand von Identität, Gerät und Kontext.

SP 800-207

Die NIST-Referenzarchitektur für Zero Trust, veröffentlicht im August 2020

Quelle: NIST

Die NIST-Referenz formuliert dafür klare Grundsätze. Alle Datenquellen und Dienste gelten als Ressourcen. Jede Kommunikation wird unabhängig vom Netzwerkstandort abgesichert. Zugriff gibt es pro Sitzung, nie dauerhaft. Entscheidungen trifft eine dynamische Richtlinie aus mehreren Attributen, etwa Identität, Gerätezustand und Verhalten. Der Zustand aller Systeme wird kontinuierlich überwacht.

Die realen Bausteine

In der Praxis steht am Anfang die Identität. Ein zentrales Identitäts- und Zugriffsmanagement mit durchgängiger MFA bildet das Fundament, denn ohne verlässliche Identitäten kann keine Richtlinie greifen. Direkt daneben steht der Gerätezustand: Patch-Level, Endpoint-Schutz und Konformität fließen in jede Zugriffsentscheidung ein.

Dazu kommt die Mikrosegmentierung, die Anwendungen und Netzbereiche feingranular isoliert. Least Privilege ergänzt sie um minimale Rechte pro Sitzung und Ressource. Der fünfte Baustein ist die kontinuierliche Verifikation: Identität und Kontext werden während der gesamten Sitzung geprüft statt nur einmal beim Login. Diese fünf Elemente bilden den Kern jeder Zero-Trust-Architektur.

Was Unternehmen jetzt prüfen müssen

Der Einstieg beginnt mit einem Inventar. Wer nicht weiß, welche Identitäten, Geräte und Anwendungen existieren, kann keinen Zugriff regeln. Danach folgen die Bausteine mit dem größten Hebel: Identitäten absichern und die kritischsten Ressourcen zuerst schützen.

Jetzt prüfen

  • Inventar aller Identitäten, Geräte, Anwendungen und Datenressourcen anlegen
  • Zentrales Identitätsmanagement mit durchgängiger MFA für alle Zugriffe einführen
  • Geräte-Posture-Checks vor und während des Zugriffs etablieren
  • Kritische Anwendungen und Datenflüsse per Mikrosegmentierung isolieren
  • Logging und Policy-Engine für sitzungs- und attributbasierte Entscheidungen aufbauen

Abgrenzung zu verwandten Begriffen

Der wichtigste Unterschied betrifft das VPN. Ein VPN verlängert den Perimeter: Wer verbunden ist, erhält häufig breiten Zugriff auf ganze Netzsegmente. Zero Trust dreht die Logik um und gewährt Zugriff nur auf die konkrete Ressource, nur für die aktuelle Sitzung und nur nach Prüfung. ZTNA-Lösungen setzen genau diesen Anwendungszugriff um, sie sind ein Umsetzungsbaustein und noch keine vollständige Zero-Trust-Architektur.

Ebenso klar ist die Abgrenzung zum Produktversprechen. Kein einzelnes Werkzeug stellt Zero Trust her, auch wenn das Marketing vieler Anbieter diesen Eindruck erweckt. Die Architektur entsteht aus Entscheidungen über Identitäten, Rechte, Segmente und Richtlinien. Werkzeuge folgen diesen Entscheidungen.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Ist Zero Trust ein Produkt?

Nein. Zero Trust ist ein Architekturmodell. Identity Provider, Endpoint-Schutz, Mikrosegmentierung und ZTNA helfen bei der Umsetzung, die Architekturentscheidungen nimmt einem kein Produkt ab.

Ersetzt Zero Trust das VPN?

Nicht zwingend und nicht sofort. Ziel ist, breite Netzwerkzugriffe abzubauen und durch verifizierte Verbindungen zu einzelnen Ressourcen zu ersetzen. Ein VPN kann in Teilbereichen übergangsweise weiterlaufen.

Was ist ZTNA?

Zero Trust Network Access ist ein konkreter Umsetzungsansatz für den Anwendungszugriff. Der Zugriff kommt erst nach Verifikation von Identität, Gerät und Kontext zustande, ohne dass der Client im selben Netz sein muss.

Wo fängt man am besten an?

Mit dem Inventar und den Identitäten: zentrales IAM, durchgängige MFA und Schutz der privilegierten Konten. Danach folgen die kritischsten Anwendungen. Die vollständige Migration läuft schrittweise über Jahre.

Was sagt NIST zu Zero Trust?

NIST beschreibt in SP 800-207 die Referenzarchitektur mit ihren Grundsätzen: kein implizites Vertrauen, sitzungsbasierter Zugriff, dynamische Richtlinien und kontinuierliche Überwachung.

Lesetipps der Redaktion

LesetippMicrosegmentierung: Warum Netzwerksegmentierung allein nicht mehr reichtLesetippSecure Access Service Edge: Wenn Netzwerk und Security verschmelzenLesetippPasskeys im Unternehmen: Das Ende des Passworts

Mehr aus dem MBF Media Netzwerk

cloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-SicherheitMyBusinessFutureWerkzeughygiene im Mittelstand: 5 harte LehrenDigital ChiefsManaged Security Services: CISO haftet nicht allein

Weiterführende Lektüre

Ein Magazin der Evernine Media GmbH