Illustration Absmeier foto freepik ki

Zero Trust verspricht »nie vertrauen, immer überprüfen« – doch der Begriff verdeckt, worum es im Kern wirklich geht: nicht Vertrauen abschaffen, sondern implizites Vertrauen eliminieren. Der blinde Fleck vieler Programme liegt nicht in der Technik, sondern in einem Richtliniendschungel aus Altlasten, Ausnahmen und Regeln ohne klaren Zweck. Warum Policy-Governance zum entscheidenden Maßstab wird, ob Zero Trust mehr ist als ein Framework auf der Roadmap, zeigt dieser Beitrag – und stellt eine unbequeme Frage an jedes Sicherheitsregelwerk.

Zero Trust hat sich als Sicherheitsmodell längst etabliert. Kaum ein Konzept der vergangenen Jahre hat die Diskussion rund um Netzwerksicherheit so nachhaltig geprägt. Unternehmen investieren erhebliche Ressourcen in die Umsetzung, Anbieter haben ihre Portfolios konsequent darauf ausgerichtet, und Frameworks wie NIST SP 800-207 haben dem Ansatz institutionellen Rückhalt gegeben. Weniger Aufmerksamkeit bekommt eine Frage, die sich bei näherer Betrachtung aufdrängt: Was sagt der Begriff eigentlich aus – und stimmt die Aussage noch?

Es gibt durchaus einen naheliegenden Einwand gegen den Begriff »Zero Trust« (wörtlich: null Vertrauen), den Sicherheitsexperten kaum offen aussprechen, da das Modell etabliert ist und eine Kritik am Namen schnell spitzfindig wirken würde. Dennoch ist sie berechtigt.

Unternehmen, die Zero Trust implementieren, investieren erheblichen Aufwand in die Definition von Richtlinien, die genau festlegen, wann und wie Zugriff gewährt wird. Dieser basiert auf Identität, Gerätestatus, geschäftlichem Kontext und verifizierter Absicht. Und das ist kein Mangel an Vertrauen.

Die zugrunde liegenden Prinzipien sind stichhaltig und ihre konsequente Umsetzung führt nachweislich zu echten Verbesserungen hinsichtlich Zugriffskontrolle und Gefährdungssituation. Doch der Begriff wirft zwangsläufig eine berechtigte Frage auf: Wenn man zuallererst exakt festlegt, wem und was vertraut werden kann, was genau ist dann »Null«, also »Zero«? Die Antwort darauf liegt, wie so oft, in der Entstehungsgeschichte des Konzepts.

Die »Null« in »Zero« Trust neu überdenken

Als John Kindervag bei Forrester Research das Zero-Trust-Modell entwickelte, reagierte er damit auf einen grundlegenden Denkfehler in Bezug auf Zugriffsrechte: die Annahme, dass allem innerhalb des Netzwerkperimeters allein aufgrund seiner Lage vertraut werden könne. Das von ihm vorgeschlagene Modell »nie vertrauen, immer überprüfen« stellte diese Sichtweise direkt infrage. Die zugrunde liegende Logik war jedoch keineswegs neu.

Einige frühe Firewall-Architekturen modellierten Vertrauen teils als numerischen Wert. Jeder Schnittstelle konnte ein Vertrauensniveau auf einer Skala von 0 bis 100 zugewiesen werden: 0 stand für die externe, nicht vertrauenswürdige Außenwelt und 100 für das vollständig vertrauenswürdige interne Netzwerk. Das daraus resultierende Verhalten war präzise definiert: Der Datenverkehr floss ungehindert von Zonen mit hohem Vertrauensniveau in Zonen mit geringem Vertrauen. Anfragen von einer Zone mit geringem Vertrauensniveau hingegen erforderte stets eine explizite Autorisierung, um zugelassen zu werden. Fehlte diese Freigabe, wurde die Anfrage standardmäßig abgelehnt.

Ein Vertrauensniveau von Null bedeutete nicht, dass dieser Datenverkehr verboten ist. Vielmehr bedeutete es: »Dieser Datenverkehr hat keine implizite Berechtigung und muss sich den Zugang explizit verdienen.« Die Beweislast lag dabei vollständig bei der Anfrage selbst und nicht bei der Regel, die sie möglicherweise blockieren könnte.

Zero Trust überträgt in seiner ursprünglichen Konzeption genau diese Logik auf sämtliche Zugriffsanfragen. Jede Zugriffsanfrage wird dabei so behandelt, als käme sie von einer Quelle mit geringem Vertrauensniveau; unabhängig davon, wo im Netzwerk sie ihren Ursprung hat. Der Standort im Netzwerk spielt keine Rolle. Ein System innerhalb des Unternehmensperimeters hat somit keinen Vorteil gegenüber einem System außerhalb. Der Zugriff wird ausschließlich auf Basis dessen gewährt, was eine Anfrage tatsächlich ausmacht: ihre Identität, ihr verifizierter Status und ihr legitimer geschäftlicher Zweck.

Zero Trust zielt also nicht darauf ab, Vertrauen gänzlich abzuschaffen. Vielmehr soll die implizite Form des Vertrauens beseitigt werden: jenes Vertrauen, das in der Vergangenheit standardmäßig allem entgegengebracht wurde, was sich zufällig auf der »richtigen« Seite einer Firewall befand. Das Modell fordert stattdessen, dass Vertrauen explizit definiert, dokumentiert und kontinuierlich überprüft wird.

Was »explizit« in diesem Kontext konkret bedeutet

Die praktischen Auswirkungen dieser neuen Sichtweise sind erheblich. Viele Zero-Trust-Programme haben sie jedoch noch nicht vollständig verinnerlicht. Zero Trust umfasst die Bereiche Identitätsprüfung, Gerätestatus, Anwendungszugriff und Datenschutz. Die Netzwerkrichtlinien bilden dabei die Durchsetzungsebene, die all dies untermauert und festlegt, welcher Datenfluss zwischen welchen Systemen tatsächlich zugelassen wird und unter welchen Bedingungen.

Wenn das zentrale Merkmal des Modells darin besteht, implizites Vertrauen abzuschaffen, dann bemisst sich sein Erfolg nicht an den Fähigkeiten der im gesamten System eingesetzten Durchsetzungstechnologien, sondern an der Qualität der Richtlinien, die diese Technologien wirklich durchsetzen.

Es gilt genau zu betrachten, was expliziter Zugriff in der Praxis erfordert. Jede zulässige Verbindung zwischen Systemen, jeder erlaubte Datenfluss zwischen einem Workload und einer Ressource, jeder freigegebene Pfad durch eine mikrosegmentierte Umgebung muss eine bewusste Entscheidung widerspiegeln. Das bedeutet: Nur diese eine Identität darf in diesem einem Zustand und zur Erfüllung dieses einen geschäftlichen Zwecks auf diese eine Ressource zugreifen. Es geht nicht um veraltete Regeln, die aus Trägheit fortbestehen. Auch geht es nicht um Ausnahmen, die während eines Vorfalls genehmigt und nie wieder überprüft wurden. Es muss eine wohlüberlegte, aktuelle und gezielte Autorisierung sein.

Die meisten großen Unternehmen verfügen über ein Regelwerk, das weit hinter diesem Standard zurückbleibt. Firewall-Regeln sammeln sich im Laufe der Jahre an. Oft wurden sie erstellt, um bestimmte Probleme schnell zu lösen, und wurden dann auf unbestimmte Zeit beibehalten. Zugriffsrichtlinien, die für eine Systemkonfiguration genehmigt wurden, bleiben in Kraft, nachdem sich diese Konfiguration längst geändert hat. Berechtigungen, die für ein Projekt erteilt wurden, bestehen über dessen Ende hinaus fort. Das Ergebnis ist ein Sammelsurium an Richtlinien, in dem das implizite Vertrauen, das Zero Trust eigentlich beseitigen soll, keineswegs entfernt wurde. Stattdessen wurde es in Richtlinien kodiert, die dem Programm vorausgingen und weiterhin parallel dazu funktionieren.

Dies ist ein strukturelles Problem, das sich nicht allein durch Durchsetzungstechnologien lösen lässt. Die Mikrosegmentierung setzt Grenzen präzise und zielgerichtet durch und liefert bei richtiger Umsetzung genau das, was Zero Trust auf Workload-Ebene erfordert. Policy Governance sorgt dafür, dass die gesamte Umgebung im Einklang mit denselben Zielen bleibt. Sie identifiziert Bereiche, in denen sich über die Zeit angesammelte Regeln mit der aktuellen Absicht widersprechen, und stellt die Kohärenz sicher, die keine einzelne Durchsetzungstechnologie allein über das gesamte Regelwerk hinweg aufrechterhalten kann.

Die Durchsetzung ist nur so gut wie die zugrunde liegende Richtlinie

In diesem Zusammenhang ist es aufschlussreich, auf die ursprüngliche Firewall-Analogie zurückzukommen. Das Modell mit den Vertrauensstufen funktionierte, weil die Regeln für den Zugriff aus Quellen mit geringem Vertrauensniveau eindeutig und nachvollziehbar waren. Jemand musste festlegen, was erlaubt war. Diese Festlegung wurde dokumentiert und konnte überprüft werden. War sie falsch, konnte man sie korrigieren.

Was Zero-Trust-Implementierungen untergräbt, ist, dass niemand mehr verlässlich sagen kann, warum eine Regel existiert, ob sie noch gilt und wer dafür verantwortlich ist. Die »Policy-Oberfläche« – also die Gesamtheit aller Regeln, Berechtigungen und Zugriffsfreigaben, die zusammen bestimmen, was ein Unternehmen tatsächlich zulässt – wächst auf eine Weise, die von keiner einzelnen Perspektive aus wirklich überblickt werden kann. Einzelne Richtlinien mögen korrekt sein, doch ihre aggregierte Wirkung kann dennoch eine ganz andere sein.

Richtlinienverwaltung als kontinuierliche Disziplin statt als einmaligen Projektmeilenstein zu betrachten, ist das entscheidende Merkmal von Unternehmen, die das Versprechen des Modells tatsächlich verwirklichen. Im Gegensatz dazu stehen jene, die lediglich das Framework implementieren, ohne dessen Ziele zu erreichen. Dazu gehört ein genaues und konsolidiertes Verständnis über den Zugriffsstatus in der gesamten Legacy-Infrastruktur, in Cloud-Umgebungen sowie bei mikrosegmentierten Workloads und dies als Ganzes und nicht isoliert voneinander. Wesentlich ist auch, die Fähigkeit zu entwickeln, Abweichungen zwischen dem geplanten Zugriffsmodell und den tatsächlich geltenden Richtlinien zu erkennen. Schließlich muss kontinuierlich und glaubwürdig validiert werden, dass das, was jede Durchsetzungsebene zulässt, tatsächlich dem zugrunde liegenden Zugriffsmodell entspricht, das das Unternehmen umsetzen möchte.

Für diese Governance-Aufgaben benötigen Unternehmen geeignete Werkzeuge zur Verwaltung von Netzwerksicherheitsrichtlinien. Sie verschaffen einen konsolidierten Überblick über ihre gesamte Richtlinienlandschaft – von der Firewall-Infrastruktur über Cloud-native Kontrollen bis hin zu Mikrosegmentierungsgrenzen. Dadurch kann die Richtlinienabsicht auf jeder Durchsetzungsebene einheitlich gesteuert werden. Wo das tatsächlich Erlaubte vom Zugriffsmodell abweicht, schaffen solche Werkzeuge die Grundlage für Korrekturen. Durchsetzungstechnologie und Policy Governance sind keine getrennten Investitionen, denn sie bilden zusammen die Grundlage einer effektiven Zero-Trust-Strategie.

Maßstäbe setzen

Richtig verstanden, definiert Zero Trust einen anspruchsvollen Standard: Es gibt keinen Zugriff ohne explizite Rechtfertigung, keine Berechtigung, die nicht nachvollziehbar ist, und kein Vertrauen, das nicht eindeutig begründet wurde.

Dieser Standard entstand nicht erst mit einem modernen Sicherheits-Framework. Er war bereits vor Jahrzehnten am »Zero«-Ende einer Vertrauensskala auf einer Firewall-Schnittstelle vorhanden. An jenem Punkt, an dem nichts vorausgesetzt wurde und jede Erlaubnis geprüft werden musste. Kindervags entscheidende Erkenntnis bestand darin, zu erkennen, dass dieselbe Disziplin überall gelten muss, nicht nur innerhalb des Netzwerkperimeters.

Fazit

Sicherheitsverantwortliche müssen sich heute eine klare Frage stellen: Entspricht das Regelwerk eines Unternehmens tatsächlich dem Anspruch von Zero Trust – also expliziten, nachvollziehbaren und kontinuierlich validierten Zugriffsrechten? Entscheidend ist dabei nicht, ob Zero-Trust-Prinzipien auf der Roadmap stehen oder die passenden Durchsetzungstechnologien im Einsatz sind. Maßgeblich ist vielmehr, ob die Richtlinien, die diese Technologien umsetzen, diesem Standard wirklich gerecht werden. Dieser Maßstab prägt Zero Trust seit jeher – und er ist in erster Linie eine Frage der Richtlinien-Governance.

Peter Koehncke, Country Manager DACH & Central Europe bei FireMon

Peter Köhncke verfügt über eine fast 30-jährige Erfahrung in der Network-Security-Industrie und verantwortete in dieser Zeit unter anderem den Aufbau und die Skalierung von Vertriebs- und Partnerstrukturen sowie die erfolgreiche Markteinführung innovativer Security-Plattformen im europäischen Enterprise-Umfeld.

Der Fokus seiner Tätigkeit bei Firemon liegt darauf, den US-Marktführer und Begründer der Network-Security-Management-Branche gemeinsam mit führenden Partnern in der Region DACH und Zentraleuropa deutlich stärker zu etablieren. Dabei treibt er insbesondere den Ausbau eines leistungsfähigen Channel-Ökosystems, die Positionierung von FireMon als zentrale Management-Plattform in komplexen Multi-Vendor-Netzwerkumgebungen sowie einen klaren, skalierbaren Go-to-Market-Ansatz voran. Ein weiterer Schwerpunkt seiner Arbeit ist die enge Begleitung von Großkunden bei der Einführung automatisierter Security-, Compliance- und Change-Prozesse sowie die Rolle als Brücke zwischen einem US-amerikanischen Technologieanbieter und den spezifischen regulatorischen und operativen Anforderungen des europäischen Marktes.

1327 Artikel zu „Zero Trust“

Ausgabe 1-2-2026 | Security Spezial 1-2-2026 | News | Favoriten der Redaktion | IT-Security | Strategien

IT-Security-Strategie: Warum Zero Trust und One Identity jetzt unverzichtbar sind

16. März 2026

Die meisten Cyberangriffen in der EU finden in Deutschland statt, und die Schwachstellen in den IT-Infrastrukturen nehmen täglich zu. Viele Unternehmen stehen daher vor der Frage, wie sie ihre IT-Sicherheit strategisch neu ausrichten können. Im Interview stellen Stefan Rothmeier und Sebastian Fuchs von T.CON das Konzept »Zero Trust« vor und erläutern, wie die Umsetzung gelingt.

Jetzt 25 % Ticketrabatt für »manage it« Leser

1327 Artikel zu „Zero Trust“