Zero Trust — Definition und Bedeutung für die Cybersicherheit
Letzte Aktualisierung: 23. März 2026
Zero Trust ist ein Sicherheitsmodell, bei dem kein Nutzer, Gerät oder Dienst automatisch als vertrauenswürdig gilt und jeder Zugriff einzeln geprüft wird. Für NIS2-betroffene Unternehmen bedeutet Zero Trust, Zugänge, Identitäten und Kommunikationswege so zu steuern, dass Risiken gemäß Art. 21 Abs. 2 Buchst. j der Richtlinie (EU) 2022/2555 nachvollziehbar begrenzt werden.
Was ist Zero Trust?
Zero Trust bedeutet praktisch: never trust, always verify. Anders als klassische Perimeter-Sicherheit geht das Modell nicht davon aus, dass innerhalb des Firmennetzes bereits Vertrauen besteht. Stattdessen werden Identität, Gerätezustand, Rolle, Standort, Sitzungskontext und angeforderte Ressource vor jeder Freigabe bewertet. Das passt zur Definition aus NIST SP 800-207, wonach es keine implizite Vertrauensgewährung allein aufgrund von Netzwerkstandort oder Besitzverhältnissen gibt.
Zero Trust ist kein einzelnes Produkt, sondern eine Architektur- und Governance-Entscheidung. Typische Bausteine sind starke Identitäten, Multi-Faktor-Authentifizierung, rollenbasierte Rechte, Mikrosegmentierung, kontinuierliche Überprüfung von Sitzungen und eine strikte Begrenzung von Berechtigungen nach dem Least-Privilege-Prinzip. Eine Firewall bleibt dabei sinnvoll, ersetzt Zero Trust aber nicht, weil interne Bewegungen und Identitätsmissbrauch zusätzlich kontrolliert werden müssen.
Warum ist Zero Trust für NIS2 relevant?
Zero Trust ist für NIS2 relevant, weil Art. 21 Abs. 2 Buchst. j ausdrücklich den Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikation nennt. Diese Norm verlangt kein starres Produktset, aber sie verlangt belastbare Zugangskontrollkonzepte. Genau hier setzt Zero Trust an: Jeder Zugriff wird begründet, technisch durchgesetzt und dokumentierbar gemacht.
Für deutsche Unternehmen unter NIS2 ist das wichtig, weil sich Cyberangriffe häufig nicht nur über den ersten Einstieg, sondern über seitliche Bewegungen im Netzwerk ausbreiten. Wenn privilegierte Konten, Fernzugriffe, Administratorzugänge oder sensible Anwendungen ohne zusätzliche Prüfung erreichbar sind, steigt das Risiko eines größeren Vorfalls erheblich. Zero Trust reduziert dieses Risiko, indem sensible Ressourcen getrennt, Berechtigungen verkleinert und Sitzungen fortlaufend validiert werden.
Die Umsetzung muss verhältnismäßig erfolgen. Weder NIS2 noch ENISA verlangen, dass jedes mittelständische Unternehmen sofort seine gesamte IT vollständig neu baut. Erwartet wird aber ein nachweisbarer Weg zu stärkeren Identitäts- und Zugriffskontrollen. Deshalb ist Zero Trust oft kein Big-Bang-Projekt, sondern ein Phasenmodell mit Priorität für besonders kritische Konten, Systeme und Kommunikationskanäle.
Wie setzen Unternehmen Zero Trust in der Praxis um?
Zero Trust wird meist in vier Schritten eingeführt. Erstens identifizieren Unternehmen ihre besonders schützenswerten Anwendungen, Daten und Administratorzugänge. Zweitens härten sie Identitäten, etwa durch Multi-Faktor-Authentifizierung, saubere Rollenmodelle und den Abbau gemeinsamer Konten. Drittens segmentieren sie Netze und Anwendungen feiner, damit ein kompromittiertes Konto nicht automatisch auf weitere Systeme zugreifen kann. Viertens ergänzen sie Logging, Richtlinien und regelmäßige Reviews, damit Abweichungen schnell erkannt werden.
Ein VPN kann in diesem Modell weiterhin genutzt werden, ist aber nicht mehr der alleinige Vertrauensanker. Wer per VPN verbunden ist, erhält nicht automatisch breiten Zugriff auf das interne Netz. Stattdessen werden auch innerhalb bestehender Verbindungen einzelne Ressourcen separat freigegeben. Unternehmen mit einem ISMS können Zero Trust besonders gut umsetzen, weil Rollen, Schutzbedarfe, Richtlinien und Nachweise dort bereits strukturiert gepflegt werden.
Praxisbeispiel: Deutsches Produktionsunternehmen
Ein Maschinenbauunternehmen in Baden-Württemberg mit 180 Mitarbeitenden erlaubt externen Servicetechnikern, internen Administratoren und Führungskräften den Zugriff auf ERP, Konstruktionsdaten und Fernwartungssysteme. Vor der Umstellung reichte ein Passwort plus VPN-Zugang, um weite Teile des Netzes zu erreichen. Das war bequem, aber riskant: Ein kompromittiertes Konto hätte sich relativ frei im internen Netz bewegen können.
Nach dem Zero-Trust-Prinzip führt das Unternehmen zuerst Multi-Faktor-Authentifizierung für Administratoren, Geschäftsführung und externe Dienstleister ein. Danach trennt es ERP, Dateiserver und Produktionsumgebung logisch voneinander, sodass nicht jede Rolle auf jede Zone zugreifen kann. Zusätzlich werden Zugriffe auf besonders sensible Anwendungen kontextabhängig geprüft, etwa nach Gerätetyp, Uhrzeit oder Herkunft der Anmeldung. Das Ergebnis ist kein theoretisches Idealbild, sondern ein messbar robusteres Zugangskontrollkonzept im Sinne von Art. 21 Abs. 2 Buchst. j NIS2.
Verwandte Begriffe
Häufige Fragen zu Zero Trust
Was ist Zero Trust?
Zero Trust ist ein Sicherheitsmodell ohne implizite Vertrauenszone. Jeder Zugriff auf Anwendungen, Daten und Systeme wird anhand von Identität, Gerätezustand, Kontext und Berechtigung geprüft.
Warum ist Zero Trust für NIS2 wichtig?
Zero Trust unterstützt NIS2, weil Art. 21 Abs. 2 Buchst. j belastbare Zugangskontrollen, Multi-Faktor-Authentifizierung und abgesicherte Kommunikation verlangt. Das Modell reduziert zudem seitliche Bewegungen von Angreifern und stärkt die Nachweisfähigkeit.
Zero Trust ist für viele Unternehmen der pragmatische Weg von klassischer Perimeter-Sicherheit zu belastbaren Zugriffskontrollen. Wenn Sie NIS2-Anforderungen, Rollenlogik und Schulungsbedarf gemeinsam strukturieren wollen, bietet unsere NIS2-Schulung einen passenden Einstieg.