In der sich ständig weiterentwickelnden Bedrohungslandschaft von heute hat sich die Zero-Trust-Architektur zu einem wichtigen Sicherheitsrahmen für Unternehmen und öffentliche Einrichtungen entwickelt. Ein einflussreiches Modell ist das Zero-Trust-Modell, das auf John Kindervag zurückgeht. Inspiriert von Kindervags Modell untersucht dieser Artikel, wie die Prinzipien von Zero Trust erfolgreich mit einer fortschrittlichen Software-Lösung in Einklang gebracht werden können.
Das Zero-Trust-Modell beruht auf dem Paradigma, Gefahren nicht erst zu bekämpfen, wenn der Schaden angerichtet ist, sondern sie präventiv bereits vor dem Durchbrechen der Sicherheitsmaßnahmen abzufangen.
Zero Trust ist ein Ansatz für die Cybersicherheit, der davon ausgeht, dass das grundlegende Problem ein potenziell fehlerhaftes Vertrauensmodell ist. Die nicht-vertrauenswürdige Seite des Netzwerks ist der Teil des Internets, von dem Gefahr durch Cyberkriminelle ausgeht. Die vertrauenswürdige Seite ist das organisationseigene Netzwerk, also der Bereich, der von IT-Sicherheitsteams kontrolliert werden kann.
Bei Zero Trust handelt es sich also um einen Ansatz zur Entwicklung und Umsetzung eines Sicherheitsprogramms, der auf der Vorstellung beruht, dass kein Benutzer, Gerät oder Agent implizites Vertrauen genießen sollte. Stattdessen muss jedes Gerät oder System, das Zugang zu internen Ressourcen haben möchte, beweisen, dass es vertrauenswürdig ist.
Das Hauptziel von Zero Trust besteht darin, Sicherheitsverletzungen zu verhindern – denn Prävention ist möglich. Tatsächlich ist es aus geschäftlicher Sicht sogar kosteneffizienter, eine Sicherheitsverletzung zu verhindern, als zu versuchen, sich von einer Sicherheitsverletzung zu erholen, Lösegeld zu zahlen und die Kosten für Ausfallzeiten oder verlorene Kunden zu tragen. Wie etabliert man Zero Trust also in der Praxis? Laut John Kindervag gibt es vier Zero-Trust-Design-Prinzipien und eine fünfstufige Zero-Trust-Design-Methodik.
Die vier Zero-Trust-Design-Prinzipien
Das erste und wichtigste Prinzip jeder Zero-Trust-Strategie besteht in der Frage: „Was wollen wir erreichen?“. Das zweite darin, mit den DAAS-Elementen (Data, Application, Asset and Services) zu beginnen und von dort ausgehend die schutzbedürftigen Oberflächen zu sichern. Drittens gilt es, zu bestimmen, wer Zugriff auf welche Ressource haben muss, um seine Arbeit zu erledigen. Dieses Prinzip ist auch als das „least privilege“ – das Prinzip der geringsten Privilegien – bekannt. Viertens muss der gesamte Datenverkehr, der zu schützenswerten Oberflächen hin- und wegfließt, auf bösartige Inhalte untersucht und protokolliert werden. Fassen wir die vier Zero-Trust-Design-Prinzipien also nochmal zusammen:
1. Definieren Sie im Voraus die zu erreichenden Ergebnisse.
2. Entwerfen Sie die Sicherheit schützenswerter Oberflächen von innen nach außen.
3. Bestimmen Sie, wer oder was Zugriff auf welche Ressourcen benötigt.
4. Untersuchen und protokollieren Sie den gesamten Datenverkehr.
Die fünfstufige Zero-Trust-Design-Methodik
Um Zero Trust zu erreichen, braucht es einen wiederholbaren Prozess, dem man routinemäßig folgen kann. Der erste Schritt auf dem Weg zu Zero Trust besteht darin, die Umgebung in kleinere Teile aufzuteilen, die geschützt werden müssen (Schutzflächen). Der zweite Schritt bei der Implementierung von Zero Trust in besagten Schutzflächen besteht darin, die Transaktionsströme so abzubilden, dass nur die benötigten Ports und Adressen zugelassen werden und nichts anderes.
Wer Zero Trust implementieren möchte, stellt meist zuerst die Frage, welche Produkte man kaufen muss, um Zero Trust zu implementieren oder um das automatische Vertrauen zwischen digitalen Systemen zu eliminieren. Die Wahrheit ist jedoch, dass man die Antwort nicht kennt, bis man den Prozess einmal durchlaufen hat.
Das bringt uns zum dritten Schritt der Methodik: die Architektur der Zero-Trust-Umgebung. Zero Trust muss zudem als Richtlinienanweisung auf der Anwendungsschicht eingeführt werden. Im vierten Schritt sollte anhand der Kipling-Methode, auch 5WH1-Methode genannt, eine Zero-Trust-Richtlinie erstellt werden: Legen Sie fest, wer wann und von wo aus auf welche Schutzflächen zu-greifen kann und gewährleisten Sie, dass es eine Begründung („warum“) für diese Richtlinie gibt.
Das fünfte Gestaltungsprinzip von Zero Trust besteht schließlich darin, den gesamten Datenverkehr zu inspizieren und zu protokollieren. Zur Überwachung und Wartung müssen alle Telemetriedaten – sei es von einem Netzwerkerkennungs- und -reaktionstool oder von Firewall- oder Serveranwendungsprotokollen – erfasst werden, um daraus zu lernen. Mit diesen Erkenntnissen kann man die Sicherheit mit der Zeit immer weiter verbessern.
Hier noch einmal die fünf Schritte der Zero-Trust-Design-Methodik im Überblick:
1. Definition der Schutzfläche.
2. Abbildung der Transaktionsströme.
3. Aufbau einer Zero-Trust-Umgebung.
4. Erstellung von Zero-Trust-Richtlinien.
5. Überwachung und Pflege des Datenverkehrs.
Fazit
Das Zero-Trust-Modell hat sich zum Gold-Standard für Sicherheitsrahmen entwickelt, um Bedrohungen in der heutigen Landschaft zu kontern. Es beruht auf dem Paradigma, Gefahren nicht erst zu bekämpfen, wenn der Schaden angerichtet ist, sondern sie präventiv bereits vor dem Durchbrechen der Sicherheitsmaßnahmen abzufangen. Um den Maximalnutzen aus Zero Trust herauszuholen, gilt es, das Design im Vorhinein mit Bedacht anzugehen und auf die Bedürfnisse der eigenen Organisation maßzuschneidern. Dabei helfen die oben genannten vier Design-Prinzipien vor der Implementierung, gefolgt von der fünfstufigen Methodik in der Anwendung. Durch die konsequente Umsetzung und kontinuierliche Anpassung ihrer Zero-Trust-Richtlinie bringen öffentliche Einrichtungen und Unternehmen sich langfristig in die Lage, Sicherheitsverletzungen zu umgehen und Sicherheitsmaßnahmen stetig zu verbessern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nitin Rajput SE Lead - APAC & Middle East bei AlgoSec
:quality(80)/p7i.vogel.de/wcms/55/71/5571c89dec0e3b3c74e93511353d5261/0129983008v1.jpeg "KI-gestützte biometrische Systeme wie Gesichtserkennung zählen im EU AI Act zu den Hochrisiko-Anwendungen und müssen künftig strenge Konformitätsprüfungen durchlaufen. (Bild: DEKRA)")
:quality(80)/p7i.vogel.de/wcms/40/58/40585a99cd05e28eec8e4b5b5831519e/0130041550v4.jpeg "Carola Heilemann-Jeschke, CIO von Bremen, Thomas Strobl, Minister des Inneren, für Digitalisierung und Kommunen von Baden-Württemberg und Ina Scharrenbach, Ministerin für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen. (Bild: © Canva / Andreas Caspari / Laurence Chaperon / MHKBD, NRW)")
:quality(80)/p7i.vogel.de/wcms/4b/74/4b74d224a065cf8cfca1129a5330b1d1/0130039444v2.jpeg "Dr. Daniela Dylakiewicz, Amtschefin der Sächsischen Staatskanzlei und CIO, Dirk Schrödter, Minister und Chef der Staatskanzlei des Landes Schleswig-Holstein, und Martina Klement, Staatssekretärin für Digitalisierung und Verwaltungsmodernisierung. (Bild: © Canva / Pawel Sosnowski / Frank Peter / Stefanie Herbst)")
:quality(80)/p7i.vogel.de/wcms/a1/7c/a17c2e3c9da9d350fc480fb5cd6cad58/0130008307v1.jpeg "Agentische KI könnte im Verwaltaltungskontext für signifikante Entlastung sorgen. (Antony Weerut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/f2/87f29bf623ee9f97ccaec8d6d0343082/0129883585v1.jpeg "Gastautor David Hammen ist sicher: Die Zukunft digitaler Bildung entscheidet sich nicht im App-Store, sondern im durchdacht geplanten Lernraum. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5a/0b/5a0b6cae3a92f5e1b20c26026eebb8f1/0129979358v1.jpeg "Das CUS-Projekt liefert digitale Werkzeuge zur Bewertung von Wind- und Verkehrslärm bei raumbezogenen Planungen. (Bild: CUT-Projekt / Senatskanzlei Hamburg)")
:quality(80)/p7i.vogel.de/wcms/1b/80/1b8062cd6c319ce97108535842cef301/0129203995v1.jpeg "Der drohende Verlust des Arbeitsplatzes geht landläufig mit Existenzängsten einher. Gemäß einer aktuellen Studie haben Menschen, die ihre Lebensgrundlage durch KI bedroht sehen, wenig Vertrauen in demokratische Strukturen. (Krakenimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/d0/f6d05e3e7070b464940ad765e38dd6b7/0129840778v2.jpeg "Hans-Christian Witthauer ist seit 2024 Vorstand der Bayerischen Verwaltungsschule und hat mehrere Lehraufträge, unter anderem an der Hochschule der Bundeswehr in München, inne. (Bild: BVS)")
:quality(80)/p7i.vogel.de/wcms/0a/06/0a068eaa8abb7a7033202019478dc96c/0129802655v2.jpeg "Die ÖFIT-Vorstudie nimmt sieben bestehende GenKI-Systeme für die Verwaltung unter die Lupe. (Bild: © Artlana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/37/913718808a561724cad78b0e552f26f4/0129804269v2.jpeg "Wo Schatten ist, da ist auch Licht: Die Verwaltung muss klare Strukturen für die KI-Nutzung aufbauen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/40/fc4081a53e73da6fbc555d4c1e02af87/0129834364v2.jpeg "Auf dem eIDAS Summit im Juni 2025 hielt Prof. Dr. Luise Hölscher, Staatssekretärin im Bundesdigitalministerium, die Eröffnungskeynote. (Bild: bitkom e.V.)")
:quality(80)/p7i.vogel.de/wcms/cb/f3/cbf3e39eb71f9a42331cb109bb15dfef/0129945995v2.jpeg "Thomas Händl, Vice President Product Initiatives & Business Development bei FTAPI (v. l. ), Dr. Alexander Schellong, Managing Director Cybersecurity bei der Schwarz Digits, Dr. Constanze Kurz, Expertin für Datenschutz und Sprecherin des Chaos Computer Clubs, Dr. Fabian Mehring, Bayerischer Digitalminister, BSI-Präsidentin Claudia Plattner, Marc-Julian Siewert, CEO von secunet (Security Networks), und Ari Albertini, FTAPI-CEO. (Bild: © Serina Sonsalla)")
:quality(80)/p7i.vogel.de/wcms/38/c2/38c27398b95b852407c504fe1f965ecf/0129899263v2.jpeg "Crowdstrike und Schwarz Digits gehen eine strategische Partnerschaft ein:
(v. l.) Christian Müller, Co-CEO von Schwarz Digits; Daniel Bernard, Chief Business Officer bei CrowdStrike; Rolf Schumann, Co-CEO von Schwarz Digits (Bild: Crowdstrike)")
:quality(80)/p7i.vogel.de/wcms/33/12/33120a59549ca6e07caedd12bcfc3032/0129921760v2.jpeg "Frischer Wind für Niedersachsens Verwaltungsdigitalisierung. Seit 5. März hat das Bundesland mit Dr. Alexander Georgiadis einen neuen Chief Information Officer. (Bild: © Martina Berg - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/07/a707fc6e5404af8069a0517a64a23599/0129649753v4.jpeg "(Bild: Red Hat )")
:quality(80)/p7i.vogel.de/wcms/24/36/2436a75f672fce3439288d8ba9094abc/0129650639v2.jpeg "Johannes Rosenboom ist SVP Sales, Marketing und BDM Public und KRITIS Sector bei Materna. (Bild: www.henning-photographie.de)")
:quality(80)/p7i.vogel.de/wcms/2b/c9/2bc9ef9c616409e79d2b7c1b384d1728/0129387587v1.jpeg "Matthias Wodniok, Mitglied des Vorstandes der Fabasoft-Gruppe. (Bild: Julia Spicker photography)")
:quality(80)/p7i.vogel.de/wcms/ef/94/ef940de6fe53e19b51370db14ab1f2fc/0129387584v1.jpeg "Michael Erdmann, Vorstandsmitglied der IBYKUS AG. (Bild: IBYKUS AG © Paul Träger)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/9c/679c90e925450/materna-square-logo-rgb.jpeg "materna-square-logo-rgb (www.materna.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/b2/69b2637db5faf/ncp-logo-rgb-mittel-150dpi-ohne-3d.png "ncp-logo-rgb-mittel-150dpi-ohne-3d (NCP engineering GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/49/be/49bece5be9ab23d2562a68946cbf2829/0129124933v2.jpeg "KI-Systeme gelten gemäß NIS-2-Richtlinie oft als kritische Infrastruktur. Secure-by-Design hilft, diese Anforderungen praktisch umzusetzen. (© Maxim - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/95/9a9525c15d5f49a0935f6e13a0356c48/0125998215v2.jpeg "Unser Gastautor ist überzeugt: Hybrides Arbeiten ist bei IT-Spezialisten eine Chance, sie für die öffentliche Verwaltung zu gewinnen. (Bild: ©agcreativelab - stock-adobe.com)")