Was ist Zero Trust? Komplett erklärt

Karlsruhe, March 26, 2026

Was ist Zero Trust? Einfach erklärt und warum Identität das Fundament ist

Tim Lipphardt
Head of Consulting

Das Wichtigste in Kürze

Vertrauen ist gut, Kontrolle ist besser

Zero Trust ist ein Architekturansatz, der jeden Zugriff überprüft, egal ob er von innerhalb oder außerhalb des Netzwerks kommt. Implizites Vertrauen gibt es nicht mehr.

Identität statt Netzwerkgrenze

Wo früher die Firewall entschieden hat, entscheidet heute die Identität. IAM Bausteine wie SSO, MFA, PAM und IGA werden zum neuen Perimeter.

Kein Produkt, sondern ein Weg

Zero Trust lässt sich schrittweise einführen. Wer bereits in IAM investiert, hat die wichtigste Grundlage schon gelegt.

Die Kernbotschaft

Zero Trust: Vertrauen ist gut, Kontrolle ist besser

Das alte Sprichwort bringt es eigentlich ganz gut auf den Punkt. Zero Trust ist ein Architekturansatz, der genau dieses Prinzip konsequent auf die IT Sicherheit überträgt: Kein Benutzer, kein Gerät und keine Anwendung bekommt automatisch Vertrauen geschenkt, egal wo die Anfrage herkommt.

Klingt erstmal nach mehr Aufwand? Ja. Aber wer sich anschaut, wie moderne IT Landschaften heute aussehen, merkt schnell: Der alte Ansatz funktioniert schlicht nicht mehr.

Und genau darum geht es in diesem Beitrag. Wir erklären, woher Zero Trust kommt, warum Identität dabei die Hauptrolle spielt und wie die verschiedenen IAM Bausteine als Gesamtbild zusammenwirken.

Woher kommt Zero Trust?

Von der Burgmauer zum Architekturansatz

Lange Zeit war IT Sicherheit im Grunde ein Burggraben: Eine dicke Firewall drumherum, ein VPN als Zugbrücke, und wer einmal drin war, konnte sich mehr oder weniger frei bewegen.

Dieses sogenannte Perimeter Modell hat jahrelang funktioniert, solange die meisten Systeme im eigenen Rechenzentrum standen und Mitarbeitende vor Ort waren.

Dann kam die Cloud. Und mit ihr eine Welt, in der Dutzende Services miteinander kommunizieren, APIs Daten austauschen und Anwendungen über verschiedene Provider verteilt laufen. Plötzlich gab es keinen klaren “Innen” und “Außen” mehr.

Genau in dieser Welt ist Zero Trust entstanden: ursprünglich im Cloud und Networking Bereich, wo man gemerkt hat, dass das Burgmauer Denken nicht mehr trägt, wenn Systeme ständig untereinander reden müssen. Das Konzept wurde 2010 von Forrester Research erstmals formalisiert.

Denn bei jedem Wechsel zwischen Systemen, bei jeder Kommunikation zwischen Services wird es spannend: Wer fragt hier eigentlich an? Darf dieser Service auf jene Daten zugreifen?

Und genau diesen Contextwechsel betrachten wir mit der Identitätsbrille jetzt nicht mehr nur auf Netzwerkebene, sondern auf dem Application Layer. Die Frage ist nicht mehr “Bist du im richtigen Netzwerk?” sondern “Wer bist du, und darfst du das?”

Dazu kommen regulatorische Anforderungen wie NIS2 und DORA, die von Unternehmen ein deutlich höheres Schutzniveau fordern. Auch das BSI hat ein Positionspapier zu Zero Trust veröffentlicht, das die konzeptionellen Grundlagen aus deutscher Perspektive beschreibt. Der Bastion Ansatz reicht schlicht nicht mehr aus.

Die Grundprinzipien

Was macht den Zero Trust Architekturansatz aus?

Zero Trust ist kein Produkt, das man kauft und installiert. Man kann es sich eher als Denkrahmen vorstellen, nach dem man seine Sicherheitsarchitektur ausrichtet. Im Kern dreht sich alles um zwei Prinzipien:

Verify explicitly: Jeden Zugriff verifizieren

Jede Anfrage wird anhand aller verfügbaren Datenpunkte geprüft: Wer fragt an? Von welchem Gerät? In welchem Zustand? Auf welche Ressource? Implizites Vertrauen auf Basis des Netzwerkstandorts gehört der Vergangenheit an.

Assume Breach: Vom Ernstfall ausgehen

Die Architektur wird so aufgebaut, als wäre ein Angreifer bereits im Netzwerk. Mikrosegmentierung und Verschlüsselung sorgen dafür, dass selbst bei einem erfolgreichen Angriff der Schaden begrenzt bleibt.

Unser Expertenrat: Least Privilege und Monitoring dazudenken

Zero Trust selbst definiert primär, wie Zugriffe verifiziert werden. In der Praxis empfehlen wir bei amiconsult aber dringend, zwei weitere Prinzipien von Anfang an mitzudenken:

Least Privilege: Minimale Rechte vergeben

Benutzer und Anwendungen sollten nur die Berechtigungen bekommen, die sie für ihre aktuelle Aufgabe wirklich brauchen. Klingt simpel, ist in der Praxis aber einer der wirksamsten Hebel gegen die Ausbreitung von Angriffen.

Logging und Monitoring: Sichtbarkeit schaffen

Wer nicht sieht, was passiert, kann auch nicht reagieren. Lückenlose Protokollierung und Echtzeitüberwachung machen Anomalien sichtbar, bevor sie zum Vorfall werden.

Identität im Mittelpunkt

Warum Identität das Fundament von Zero Trust ist

Wenn das Netzwerk nicht mehr der Vertrauensanker ist, was dann? Die Antwort: Identität. In einer Zero Trust Architektur ist die digitale Identität, ob von einem Menschen oder einem Service, der zentrale Kontrollpunkt für jeden Zugriff.

Und hier wird es richtig spannend. Denn in modernen Architekturen reden nicht nur Menschen mit Anwendungen, sondern Services reden mit Services. Ein Microservice ruft eine API auf, die wiederum Daten aus einem anderen System holt.

Bei jedem dieser Schritte findet ein Contextwechsel statt, und bei jedem Contextwechsel muss klar sein: Wer fragt an, im Auftrag von wem, und mit welchen Rechten? Auch Microsoft beschreibt Identität als erste Säule einer Zero Trust Architektur.

Genau für diese Herausforderung gibt es erprobte IAM Bausteine. Einzeln sind sie schon wertvoll, aber ihre wahre Stärke entfalten sie erst im Zusammenspiel:

Single Sign On (SSO)

SSO sorgt dafür, dass Benutzer sich einmal sicher authentifizieren und dann nahtlos auf alle freigegebenen Anwendungen zugreifen können. Weniger Passwörter, weniger Risiko, bessere User Experience. → Mehr zu SSO

Multi Faktor Authentifizierung (MFA)

MFA ergänzt die Anmeldung um zusätzliche Faktoren. Moderne Verfahren wie FIDO2 und Passkeys sind dabei phishingresistent und machen es Angreifern extrem schwer, gestohlene Zugangsdaten auszunutzen.

Privileged Access Management (PAM)

Admins, Service Konten, Root Zugänge: Diese Accounts haben die weitreichendsten Rechte und sind damit das Lieblingsziel von Angreifern. PAM sorgt dafür, dass genau diese Identitäten besonders geschützt sind. → Mehr zu PAM

Identity Governance und Administration (IGA)

IGA überprüft regelmäßig, wer welche Rechte hat, und entzieht überflüssige Berechtigungen automatisch. Damit wird das Least Privilege Prinzip nicht nur einmalig umgesetzt, sondern dauerhaft gelebt. → Mehr zu IGA

Identity Fabric: Das Gesamtbild

Jetzt kommt der entscheidende Punkt: Alle diese Bausteine einzeln zu betreiben, reicht nicht. SSO allein löst nicht das Problem der Service zu Service Kommunikation. PAM allein sagt nichts darüber aus, ob ein externer Kunde sich gerade korrekt authentifiziert hat.

Und IGA bringt wenig, wenn die verschiedenen Systeme nicht miteinander sprechen. Genau hier kommt Identity Fabric ins Spiel.

Identity Fabric ist der architektonische Rahmen, der all diese IAM Services zu einem integrierten Ganzen verbindet: über Cloud, Hybrid und On Premise Umgebungen hinweg. Stell dir Identity Fabric als die Schicht vor, die dafür sorgt, dass bei jedem Contextwechsel zwischen Services die Identitätsinformation konsistent, sicher und verfügbar ist.

Für eine funktionierende Zero Trust Architektur ist das die eigentliche Grundlage: Nicht die einzelnen Tools, sondern ihr Zusammenspiel als kohärente Identitätsinfrastruktur.

Auch für Kunden

Zero Trust im CIAM Kontext

Zero Trust hört nicht bei den eigenen Mitarbeitenden auf. Auch im Customer Identity und Access Management (CIAM) greifen die gleichen Prinzipien.

Kundenportale, Self Service Anwendungen und APIs müssen sicherstellen, dass nur berechtigte Nutzer auf ihre Daten zugreifen, und zwar ohne dass die User Experience darunter leidet.

Risikobasierte Authentifizierung und adaptive Zugriffssteuerung machen genau das möglich: Sie prüfen im Hintergrund, ob alles seine Richtigkeit hat, während der Kunde davon möglichst wenig mitbekommt.

Unterstützung gefällig?

Du willst wissen, wie eine Zero Trust Architektur für dein Unternehmen aussehen kann? Schreib uns gerne ganz unverbindlich und lass dich beraten!

Kontakt aufnehmen

Der Weg

So startest du mit Zero Trust: 5 Schritte aus der Praxis

Zero Trust entsteht nicht über Nacht. Ehrlich gesagt: Es ist eine Reise, die nie wirklich aufhört. Aber man muss irgendwo anfangen.

Hier ist ein Einstieg, der sich in der Praxis bewährt hat:

1. Identitäten konsolidieren: Einen zentralen Identity Provider einführen und Single Sign On für alle geschäftskritischen Anwendungen ausrollen.
2. MFA flächendeckend einführen: Phishingresistente Authentifizierung für alle Benutzer, priorisiert nach Risiko. Privilegierte Accounts zuerst.
3. Berechtigungen aufräumen: Bestehende Rechte prüfen, Überberechtigungen abbauen, rollenbasierte Zugriffsmodelle einführen.
4. Sichtbarkeit herstellen: Logging und Monitoring einrichten, um Anomalien frühzeitig zu erkennen.
5. Schrittweise segmentieren: Kritische Systeme isolieren und den Zugriff granular steuern.

Regulatorik

Was NIS2, DORA und DSGVO mit Zero Trust zu tun haben

Wer jetzt denkt “Klingt gut, aber brauchen wir das wirklich?”: Ein Blick auf die regulatorische Landschaft hilft.

Die NIS2 Richtlinie fordert systematisches Risikomanagement und verstärkte Zugriffskontrollen. DORA bringt ähnliche Anforderungen für den Finanzsektor. Und die DSGVO verlangt schon lange angemessene technische und organisatorische Maßnahmen.

Eine Zero Trust Architektur mit solidem IAM Fundament adressiert diese Anforderungen fast schon nebenbei: identitätsbasierte Zugriffskontrolle, kontinuierliche Überprüfung, lückenlose Protokollierung. Das sind genau die Maßnahmen, die Regulierer sehen wollen.

Fazit

Zero Trust beginnt mit Identität

Zero Trust ist ein Architekturansatz, nicht ein Produkt: Wer Identität in den Mittelpunkt seiner Sicherheitsarchitektur stellt, hat den wichtigsten Schritt schon gemacht.
Identity Fabric bringt die Bausteine zusammen: SSO, MFA, PAM und IGA entfalten ihre volle Wirkung erst als integrierte Identitätsinfrastruktur.
Der Weg ist das Ziel: Zero Trust lässt sich schrittweise einführen. Wer bereits in IAM investiert, baut auf einem soliden Fundament auf.
Compliance kommt fast von selbst: Eine Zero Trust Architektur mit starkem IAM adressiert die Anforderungen von NIS2, DORA und DSGVO direkt.

Du willst wissen, wo dein Unternehmen auf dem Weg zu Zero Trust steht? Wir bei amiconsult kennen die Lösungen, Anbieter und Best Practices rund um Identity und Access Management und unterstützen dich dabei, eine Architektur zu entwickeln, die zu deinem Unternehmen passt. Wir freuen uns auf deine Nachricht!

Customer IAM

Workforce IAM

Über uns

Jobs