Organisationales Sicherheitsprinzip jenseits von IT-Buzzwords: „Never trust, always verify" als Rahmen für Compliance, Auditierbarkeit und regulatorische Widerstandskraft.
Zero Trust entstand 2010 aus einer klugen Frage des Forrester-Analysten John Kindervag: Warum vertrauen wir Geräten automatisch, nur weil sie sich im Unternehmensnetzwerk befinden? Das war das Ende der Perimeter-Ära. Über zehn Jahre gingen NIST SP 800-207 (2020) und nationale Standards folgten – nicht als IT-Mode, sondern als Antwort auf reale Threats und regulatorische Anforderungen.
Der Schritt vom Buzzword zur Governance-Architektur war konsequent: Wenn Vertrauen die Wurzel der Sicherheit ist, dann muss Vertrauen überall überprüft werden. Das gilt für Nutzerzugriffe, Geräte, Netzwerkpfade, Anwendungen und Daten.
Zero Trust baut auf fünf Verifikationssäulen auf, die zusammen ein ganzheitliches Governance-Modell ergeben:
Identity. Wer bist du wirklich? Multi-Factor Authentication, Conditional Access, und kontinuierliches Risiko-Scoring. Jede Identität – Mensch oder Service – wird einzeln verifiziert.
Device. Ist dein Gerät sicher? Hardware-Verifikation, Patch-Status, Endpoint Detection & Response (EDR). Kein Gerät genießt automatisch Vertrauen nur weil es firmeneigen ist.
Network. Über welche Route kommunizierst du? Mikrosegmentierung, Zero-Trust Network Access (ZTNA, aka BeyondCorp-Architektur). Standardmäßig verweigert, nur explizit autorisierte Verkehre passieren.
Application & Workload. Welche Anwendung oder welcher Service läuft? Workload-Identität, mTLS, API-Autorisierung. Services vertrauen einander nicht automatisch; jeden Request prüft eine Richtlinie.
Data. Wer darf auf welche Daten zugreifen, wann, wie? Attribute-based Access Control (ABAC), Encryption at rest und in transit, Data Loss Prevention (DLP). Datenzugriff ist nicht ein Ja/Nein, sondern ein kontinuierlicher Autorisierungs-Fluss.
„Trust but verify" klingt verständig, bedeutet aber: Erst vertrauen, dann nachschauen. In regulierten Branchen ist das zu spät."
Der klassische Ansatz „Vertraue deinen Mitarbeitern und Systemen, überprüfe sie gelegentlich" funktioniert in Compliance-Szenarien nicht:
Audit-Nachweise entstehen zu spät; wenn ein Sicherheitsvorfall passiert, fehlen granulare Logs.
Lateral Movement wird erst nach Tagen oder Wochen erkannt – zu spät für Notfall-Incident-Response.
Segregation of Duties (SoD) ist schwer durchzusetzen, wenn mehrere Systeme implizites Vertrauen gewähren.
Zero Trust dreht das um: Standardmäßig verweigern, kontinuierlich verifizieren, Audit-Trail von Anfang an.
NIS2 verlangt für Operatoren wesentlicher Dienste und kritischer Infrastrukturen „angemessene Sicherheitsmassnahmen“. Zero Trust ist konkrete Umsetzung: kontinuierliche Zugriffskontrolle, Netzwerk-Segmentation, Identity-Governance.
DORA Art. 17–23 (Incident Reporting), Art. 26 (Threat-Led Penetration Testing, TLPT), Art. 11 (Audit Trails). Zero Trust stellt sicher, dass:
Jeder Zugriff granular geloggt wird (Audit Trail).
Penetration-Tester Lateral Movement schnell entdecken (TLPT wird effektiver).
Incident-Response-Zeit sinkt, weil Echtzeit-Visibility über alle Überprüfungen besteht.
AI-Modelle gelten als hochriskant, wenn sie kritische Entscheidungen treffen. Zero Trust governance umfasst: Wer kann Modelle trainieren, deployen, modifizieren? Workload Identity und API-basierte Kontrolle garantieren, dass nur autorisierte Operationen stattfinden.
Mikrosegmentierung: Netzwerk in vertrauenslose Zonen teilen; Micro-VLANs, Software-defined Perimeter.
Multi-Factor Authentication (MFA): Mindestens zwei Faktoren (Was du kennst, was du hast, wer du bist).
Least Privilege: Standardmäßig minimale Berechtigungen; explizite Erhöhung dokumentiert.
Continuous Monitoring: EDR, SIEM, Behavioral Analytics auf allen Endpunkten.
Role-Based Access Governance (RBAC): Rollen basierend auf Job Function; reguläre Review Cycles.
Segregation of Duties (SoD): Keine Person sollte kritische Funktionen allein ausführen können (z.B. Genehmigung und Ausführung einer Zahlung).
Identity Governance Workflows: Access Requests, Approvals, Attestations (Best Practice: jährliche Verifikation).
Board-Level Accountability: Zero Trust ist kein IT-Projekt, sondern eine Governance-Aussage. Der Audit Committee überwacht; der CFO/CEO verantwortet.
Audit Trail als Compliance-Beweis: Jeder Access ist verifizierbar und dokumentiert. Das ist der Unterschied zwischen „Wir haben MFA“ und „Wir können beweisen, dass nur autorisierte Nutzer auf Schema-X zugegriffen haben“.
| Dimension | Traditionelle Perimeter-Sicherheit | Zero Trust |
|---|---|---|
| Vertrauensmodell | Implizit: Intranet = sicher; außen = unsicher | Nein: Jeder Access, jedes Gerät, jeden Moment verifizierbar |
| Zugriffskontrolle | Firewall + einfache ACLs; breite Berechtigungen nach Login | Granular + Continuous: MFA, Conditional Access, Micro-Policies |
| Lateral Movement | Schwer zu erkennen; Netzwerk-Segmentation minimal | Blockiert von Anfang an durch Mikrosegmentierung |
| Monitoring | Perimeter-Logs; wenig East-West-Sichtbarkeit | Echtzeit-Visibility auf alle Verifikations-Events |
| Incident Response | Langwierig: Erst nach Erkennung, vieles ist unklar | Schnell: Granulare Logs, klarer Audit Trail, schneller Kontext |
| Compliance-Beweis | Schwierig; Aussage „Wir schreiben Logs“ | Einfach; „Hier ist jeder autorisierte Access“ |
| Regelwerk-Alignment | Fragmentarisch; erfüllt einzelne Anforderungen | Holistisch; NIS2, DORA, AI Act gleichzeitig |
FINMA fordert für Banken und Versicherer unter ihrer Finanzmarktaufsicht funktionierende Sicherheits-Architekturen. Zero Trust ist damit nicht optional – es ist die Antwort auf FINMA-Audits zur „ICT Risk Governance“.
NCSC (Nationales Zentrum für Cybersicherheit, MELANI) empfiehlt explizit Zero-Trust-Prinzipien in seinen Ransomware-Defense-Richtlinien und Threat-Intelligence-Publikationen.
Der Schweizer Finanzsektor adoptiert Zero Trust verstärkt nach Ransomware-Vorfällen (z.B. UBS-News, Cantonalbanken-Vorfälle). Große Versicherungen und Vermögensverwaltungen bauen ZTNA-Infrastrukturen auf; für kleinere und mittlere Unternehmen bleibt es ein WIP.
M&A-Acquirer prüfen zunehmend die Zero-Trust-Reife von Targets als Proxy für operationale Resilience und Integrations-Compliance:
Incident-Response-Readiness: Hat das Target überhaupt die Infrastruktur, um schnell auf einen Vorfall zu reagieren?
Audit-Trail-Qualität: Kann das Target nachweisen, wer Zugriff hatte, wann, auf was?
Segregation of Duties: Sind finanzielle oder Daten-Controls technisch durchgesetzt?
Regulatory Alignment: Ist das Target für NIS2, DORA, AI Act vorbereitet?
Ein Zielunternehmen, das Zero Trust bereits implementiert hat, ist eine geringere Integration Risk – und wird deshalb höher bewertet.
Szenario: Mittelgroßes Schweizer Versicherungsunternehmen, 2000 Mitarbeiter, wird von Ransomware-Bande attackiert. Attacke ist erfolgreich; Daten werden exfiltriert.
Die Fehler (Vor-Zero-Trust):
• 40% der privilegierten Konten (Admin-Accounts) hatten keine MFA aktiviert.
• Lateral Movement von einem gefährdeten Desktop zu mehreren kritischen Servern dauerte 3 Wochen, bevor erkannt.
• Access Logs waren fragmentarisch; schwer zu sagen, wer auf was zugegriffen hatte.
• Incident Response Team brauchte Tage für Forensics.
Implementierung von Zero Trust (12 Monate):
• MFA für alle Privileged Access (Sofort-Priorität).
• Mikrosegmentierung des Netzwerks; nur autorisierte Services dürfen kommunizieren.
• Workload Identity für alle kritischen Applikationen (Versicherungs-Kernplattformen).
• Kontinuierliches Access Governance; vierteljährliche Reviews statt jährlich.
• SIEM + EDR Integration; Real-time-Alerts bei anomalen Aktivitäten.
Ergebnis (Post-ZT):
• Alle privilegierten Access jetzt MFA-geschützt.
• Lateral Movement wird in Minuten erkannt (nicht Wochen).
• Access Logs sind granular; jeden Access kann das Unternehmen nachweisen.
• NIS2-Compliance: Incident Response Plan ist NIST-aligned; Regulätoren bestätigen Erfüllung Art. 21.
• DORA-vorbereitet: Audit Trails erfüllen DORA Art. 17–23; kein Compliance-Auffänger mehr für regulatorische Inspektionen.
• M&A-Faktor: Nachfolgende Erwerbungen durch größere Versicherer verlaufen flüssiger; Due-Diligence-Prozess verkürzt sich um 2-3 Monate.