Zero Trust: Wenn selbst der CEO sich ausweisen muss

Das alte Sicherheitsmodell war wie eine Burg. Dicke Mauern (Firewall) außen. Wer einmal drin war (VPN), dem wurde vertraut. Er konnte sich im internen Netzwerk frei bewegen ("Soft chewy center"). Das Problem: Wenn ein Hacker (oder Malware) einmal drin ist, kann er alles zerstören.

Zero Trust dreht das um. Das Motto: "Never Trust, Always Verify." Es gibt kein "Drinnen" und "Draußen" mehr. Für Zero Trust ist das interne Firmennetzwerk genauso feindlich wie das offene Internet (Starbucks WLAN). Jeder Zugriff, auf jede Ressource, wird jedes Mal neu geprüft.

Featured Snippet: Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, dass das Netzwerk bereits kompromittiert ist. Es verzichtet auf implizites Vertrauen basierend auf dem Standort ("Ich bin im Büro"). Stattdessen basiert jeder Zugriff auf Identität (Wer bist du?), Kontext (Ist dein Laptop sicher?) und Policy (Darfst du das?). Technologien wie MFA (Multi-Factor Auth) und Microsegmentation sind zentral.

---

The Cost of Inaction: Lateral Movement

Warum ist Ransomware so erfolgreich? Weil sie sich, wenn sie einen PC infiziert hat, lateral (seitwärts) durchs Netzwerk bewegt, bis sie den Backup-Server findet. In einem Zero-Trust-Netzwerk geht das nicht. Der infizierte PC darf nur mit dem Drucker reden. Nicht mit dem Backup-Server. Die Microsegmentierung stoppt die Ausbreitung.

---

Die 3 Prinzipien von Zero Trust (NIST)

Verify Explicitly

Verlassen Sie sich nicht auf "Username/Passwort". Prüfen Sie alles:

• Identität (MFA).
• Geräte-Status (Ist das Antivirus aktuell? Ist es ein Firmen-Laptop?).
• Ort (Kommt der Login aus Deutschland?). Wenn eine Variable nicht stimmt -> Zugriff verweigert.

Use Least Privilege Access

Geben Sie Nutzern nur so viel Rechte, wie sie jetzt gerade brauchen (JIT - Just-in-Time Access). Ein Admin sollte nicht 24/7 Admin sein. Er sollte Admin-Rechte nur für 1 Stunde "ausleihen", wenn er ein Ticket bearbeitet.

Assume Breach

Planen Sie so, als ob der Hacker schon im Netz wäre. Verschlüsseln Sie auch den internen Traffic (mTLS). Loggen Sie alles.

---

Technologische Umsetzung: Weg vom VPN

Das klassische VPN ist ein Zero-Trust-Killer (es gibt Zugang zum ganzen Netz). Modern ist der Identity Aware Proxy (IAP). Google hat das mit "BeyondCorp" vorgemacht.

1. Der Mitarbeiter ruft wiki.firma.intern auf.
2. Er landet nicht im WIkI, sondern am Proxy (im Internet).
3. Der Proxy fordert Login + MFA + Geräte-Check.
4. Erst wenn alles grün ist, leitet der Proxy den Request an das Wiki weiter.
5. Das Wiki selbst ist gar nicht öffentlich erreichbar.

Der Mitarbeiter merkt keinen Unterschied (außer dass er kein VPN starten muss). Aber die Sicherheit ist massiv höher.

---

Myth-Busting: "Zero Trust heißt, wir vertrauen Mitarbeitern nicht"

Falsch. Wir vertrauen den Menschen. Wir misstrauen den Geräten und Verbindungen. Ein kompromittiertes Gerät kann jedem gehören, auch dem treuesten Mitarbeiter. Zero Trust schützt den Mitarbeiter davor, versehentlich zur Gefahr zu werden (z.B. durch Phishing).

---

Unasked Question: "Wie starte ich?"

Man kann nicht "Zero Trust kaufen". Es ist eine Reise.

1. Identity: Führen Sie überall MFA ein (SSO / Okta). Das ist Schritt 1.
2. Device: Nutzen Sie ein MDM (Mobile Device Management), um den Gesundheitszustand der Geräte zu prüfen.
3. Network: Fangen Sie an, kritische Server (Kronjuwelen) zu segmentieren.

Versuchen Sie nicht, alles auf einmal umzustellen. Starten Sie mit dem Wichtigsten.

---

FAQ: Zero Trust