Begriff
Zero Trust
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Das alte Sicherheitsmodell war wie eine Burg: Dicke Mauern außen (Firewall). Wer einmal drin ist (Mitarbeiter), dem wird vertraut. Er kann in jeden Raum gehen. Problem: Wenn ein Hacker über die Mauer kommt (Phishing), gehört ihm die ganze Burg.
Zero Trust sagt: "Vertraue niemandem, überprüfe jeden." Es gibt keine Burgmauer mehr. Selbst wenn du im Büro sitzt, musst du vor jeder Tür (Datenbank, App) neu den Ausweis zeigen. "Ich kenne dich nicht, auch wenn du schon drinnen bist."
Merksatz: Ein Sicherheitskonzept, das davon ausgeht, dass das Netzwerk immer feindlich ist und jede Anfrage geprüft werden muss.
Zero Trust bedeutet für dich im Alltag:
- Du musst dich öfter einloggen (MFA).
- Du kommst mit deinem Privathandy nicht mehr ins Firmennetz (Device Check).
- Du siehst nur die Daten, die du wirklich brauchst (Least Privilege). Die Buchhaltung sieht keine IT-Server, die IT sieht keine Gehälter.
Große Förderer sind Google ("BeyondCorp") und Cloudflare. Sie haben keine "Intranets" mehr. Alles ist im Internet, aber extrem streng gesichert.
1. Identity is the new Perimeter
Früher war der Schutzwall das Netzwerk (LAN). Heute ist der Schutzwall die Identität (User). Es ist egal, ob du im Café oder im Büro sitzt (= Netzwerk ist egal). Wichtig ist: Bist du User X? Ist dein Gerät Y sauber? Hast du das Recht Z?
2. Micro-Segmentation
Statt einem großen flachen Netzwerk teilt man alles in winzige Zellen. Server A darf nur mit Server B reden, wenn es explizit erlaubt ist. Wenn Server A gehackt wird, kommt der Hacker nicht zu Server C, D und E. Die Infektion bleibt isoliert.
1. PDP und PEP (Die Architektur)
Wie wird eine Zero Trust Entscheidung technisch getroffen? Man nutzt zwei Komponenten:
- PEP (Policy Enforcement Point): Das ist der Türsteher (z. B. ein Proxy oder eine Firewall). Er blockiert erst mal alles.
- PDP (Policy Decision Point): Das Gehirn. Der PEP fragt den PDP: "User Max will auf DB 1 zugreifen. Darf er das?" Der PDP prüft: Passwort okay? MFA okay? Standort Deutschland? Uhrzeit 09:00? Virenscanner auf dem Laptop an? Nur wenn ALLES passt, sagt der PDP: "Lass ihn durch." Diese Prüfung passiert bei jedem einzelnen Request neu, nicht nur beim ersten Login.
2. Continuous Authentication (Signale)
Zero Trust hört nicht nach dem Login auf. Stell dir vor, du loggst dich ein und gehst Kaffee holen. Ein Kollege setzt sich an deinen PC. Moderne Zero Trust Systeme nutzen Adaptive Signale: Wenn sich plötzlich das Tipp-Verhalten ändert, die Maus sich anders bewegt oder der Laptop plötzlich eine IP aus einem anderen Land nutzt, wird die Session sofort gesperrt. Das Vertrauen ist "ephemeral" (flüchtig) und muss jede Sekunde neu verdient werden.
3. ZTNA vs. VPN
Ein VPN gibt dir eine IP-Adresse im internen Netz. Du bist "drinnen" und kannst oft den ganzen IP-Bereich scannen. ZTNA (Zero Trust Network Access) erstellt keinen Tunnel ins Netzwerk. Es erstellt einen Tunnel zu einer einzelnen App. Wenn du die "Urlaubs-App" aufrufst, sieht dein Computer nur diesen einen Port dieser einen App. Der Rest des Firmennetzes bleibt für dich (und einen eventuellen Virus auf deinem PC) komplett unsichtbar. Man kann nicht angreifen, was man nicht sieht (Dark Cloud Strategy).
Quick-Check
Ist Zero Trust ein Produkt, das ich kaufen kann?
Nein, es ist eine Strategie oder Philosophie. Man kann Tools kaufen, die helfen (z. B. Zscaler), aber man muss seine Prozesse ändern.Warum macht man das erst jetzt?
Weil Arbeit mobil geworden ist (Cloud, Home Office). Die "Burg" existiert nicht mehr, wenn Mitarbeiter von überall arbeiten. Sicherheit muss dort sein, wo die Daten sind, nicht wo das Bürogebäude steht.Heißt das, mein Chef vertraut mir nicht?
Persönlich schon. Aber technisch nicht deinem Computer. Dein Computer könnte einen Virus haben, ohne dass du es weißt. Zero Trust schützt die Firma vor deinem Gerät, nicht vor dir.