← Blog/Cybersicherheit

Zero-Trust-Architektur: Warum 'Niemals vertrauen, immer verifizieren' der neue Unternehmensstandard ist

VOLTORS Forschungsteam13. März 20268 Min. Lesezeit

Das perimeterbasierte Sicherheitsmodell ist tot. Unternehmen, die an VPNs und Firewalls als primärer Verteidigung festhalten, arbeiten mit einer grundlegend falschen Annahme: dass alles innerhalb des Netzwerks vertrauenswürdig ist.

Das Perimetermodell ist tot

Zwanzig Jahre lang ging die Unternehmenssicherheit von einer harten Schale mit weichem Kern aus: eine Firewall und ein VPN am Rand, implizites Vertrauen für alles bereits Innere. Diese Annahme bricht in dem Moment zusammen, in dem der Laptop eines Mitarbeiters kompromittiert wird, die Zugangsdaten eines Anbieters durchsickern oder sich ein Auftragnehmer von einem nicht verwalteten Gerät aus verbindet — also ständig. Zero-Trust ersetzt die Annahme durch eine Regel: Jede Anfrage wird authentifiziert, autorisiert und verschlüsselt, unabhängig davon, woher sie stammt.

Was Zero-Trust tatsächlich erfordert

Zero-Trust ist kein Produkt, das man kauft. Es sind drei architektonische Verpflichtungen: identitätsbasierte Zugriffskontrolle, die jeden Benutzer und jedes Dienstkonto einzeln behandelt; Mikrosegmentierung, die laterale Bewegung zwischen Systemen stoppt, sodass eine Sicherheitsverletzung in einer Anwendung nicht zu einer Verletzung des gesamten Netzwerks wird; und kontinuierliche Verifizierung, bei der eine Sitzung anhand des Kontexts — Gerätezustand, Standort, Verhalten — erneut geprüft wird, statt ihr nach einer einzigen Anmeldung für ihre gesamte Dauer zu vertrauen.

Eine realistische Einführungsreihenfolge

Organisationen, die versuchen, alles auf einmal umzustellen, stagnieren ein Jahr lang. Die Reihenfolge, die funktioniert: jede Identität und ihren aktuellen Zugriff inventarisieren — die meisten Unternehmen sind überrascht, was sie dabei finden; Multi-Faktor-Authentifizierung überall durchsetzen, ohne Ausnahmen für Altsysteme; das Netzwerk zunächst um die wertvollsten Systeme herum segmentieren — Finanzdaten, Kundendatensätze, Produktionsinfrastruktur — nicht um die am einfachsten zu migrierenden Systeme; und erst dann das Modell nach außen erweitern.

Was zu messen ist

Messen Sie die mittlere Zeit bis zur Erkennung lateraler Bewegung, den Anteil rollenbasiert vergebener gegenüber manuell genehmigter Zugriffe, und die Anzahl dauerhaft aktiver privilegierter Konten — diese letzte Zahl sollte gegen null tendieren. Ein Zero-Trust-Programm, das dauerhafte Privilegien nicht reduziert, ist kein echtes Zero-Trust — es ist ein Marketing-Label auf demselben Perimetermodell.