Warum Zero Trust – and warum gerade jetzt?

Immer mehr Unternehmen setzen auf Zero Trust – und das aus gutem Grund:

  • Die Bedrohungslage wächst rasant. Laut der State of Zero Trust & Encryption Study 2024 des Ponemon Institute und Entrust nennen 67 % der über befragten 4,000 Sicherheitsexpert:innen das steigende Risiko von Datenlecks und die zunehmende Angriffsfläche als Hauptgründe für den Einstieg in Zero Trust.
  • Zero Trust wird zum neuen Standard. Gartner prognostiziert, dass bis 2025 über 60 % der Unternehmen Zero Trust als grundlegende Sicherheitsstrategie einsetzen werden. Eine Expert Insights-Umfrage unter 2,200 Führungskräften zeigt, dass 43% Zero Trust bereits nutzen, weitere 46% sich in der Umsetzung befinden, und nur 11% noch nicht damit begonnen haben.
  • Regulierungen setzen Unternehmen unter Druck.
    NIS 2: Die EU-Richtlinie fordert Prinzipien wie Least Privilege, Multi-Faktor-Authentifizierung und Absicherung der Lieferkette.
    DORA: Der Digital Operational Resilience Act ist seit dem 17. Januar 2025 vollständig wirksam und verlangt u. a. granulare Zugriffskontrollen und kontinuierliche Überwachung.
    PCIDSS 4.0: Neue Vorgaben zur Segmentierung unterstützen die Anwendung von Zero-Trust-Modellen zur Reduktion des Prüfumfangs für Zahlungsdaten.
    • Laut der Deloitte Global Future of Cyber Survey von 2023 sehen 47 % der CISOs regulatorische Anforderungen als wichtigsten Treiber.

Kurz gesagt: „Never trust, always verify“ ist heute ein Thema für die Chefetage.

Was das für verschiedene Branchen bedeutet

Viele Branchen haben erkannt, dass eine Zero-Trust-Strategie notwendig ist. Frameworks wie das Zero Trust Maternity Model (ZTMM) der US-Behörde CISA bieten erste Orientierung. Der Hauptgrund: Infrastrukturen sind heute so stark vernetzt und komplex, dass klassische Sicherheitsmodelle an ihre Grenzen stossen. Daraus folgt das Grundprinzip von Zero Trust: „Assume breach“ – man muss jederzeit mit einem Sicherheitsvorfall rechnen.

Das ZTMM deckt alle Bereiche des Unternehmens ab – doch kaum eine Organisation wird jede Komponente davon umsetzen. Und das ist auch gar nicht nötig. Die Frameworks dienen als Wegweiser, nicht als Checkliste. Welche Bausteine sinnvoll sind, hängt vom individuellen Risiko, den branchenspezifischen Anforderungen und der vorhandenen IT-Landschaft ab.

Beispiele:

Branche Herausforderungen & Ziele Zero Trust Quick Wins
Industrie & Gesundheitswesen (IT/OT) Vernetzte Produktionslinien oder medizinische Geräte, veraltete Protokolle, hohe Verfügbarkeitsanforderungen. Kritische OT-Netzwerke isolieren; ZTNA für Lieferantenzugänge einführen; Least Privilege zwischen IT- und OT-Zonen erzwingen.
Banking & Finanzwesen Hybride Belegschaft, Hunderte von Apps/APIs, DORA- & PSD3-Fristen. ZTNA vor Web-/API-Gateways; Mikrosegmentierung von Handels- und Zahlungssystemen; MFA für privilegierte Nutzer.
Einzelhandel Viele dezentrale Filialen ohne IT-Personal, hohe Personalfluktuation, PCI-DSS-4.0-Konformität. Cloud-ZTNA-Client für Kassensysteme; gesicherte Kiosksitzungen; bedingter Zugriff je nach Gerätezustand.
NGOs / Non‑Profits Kleine Security-Teams, ehrenamtliche Mitarbeitende, stark verteilte Standorte. Verwaltete ZTNA-/SASE-Services; vorkonfigurierte Anwendungen mit Least Privilege; reiner MFA-Zugriff auf kritische Ressourcen.

Doch wie erstellt man einen Plan, der zu den eigenen Anforderungen passt – und dabei das Budget nicht sprengt?

Schutz vor Perfektion – lieber früher starten

Wenn man solange wartet, bis alle Assets inventoriert und jedes Kästchen im Framework abgehakt ist, bleiben wichtige Systeme womöglich monatelang ungeschützt. Besser ist es, mit ZTNA loszulegen: Identifizieren Sie die fünf bis zehn wichtigsten Assets – jene, bei deren Kompromittierung Ihr Geschäft ins Stocken gerät. Beginnen Sie dort mit Zero-Trust-Kontrollen. Erfahren Sie mehr auf unserem Blog, wie die Umsetzung von ZTNA für OT-Umgebungen gelingt.

Sofort Informationen sammeln
Die Datenerhebung dient zwei Zielen: Sie liefert Entscheidungsgrundlagen und zeigt, wie groß die Herausforderung wirklich ist. Aber Achtung: Vermeiden Sie Maßnahmen, die später hinderlich sind. Etwa das aufwendige Tagging von Daten, bevor klar ist, ob das überhaupt nötig ist – das verbraucht unnötig Ressourcen.

Ein sinnvoller Einstiegspunkt ist die Asset-Erfassung. Häufige Kategorien sind:

  • Mitarbeiter
  • Endgeräte
  • Anwendungen
  • User-Accounts
  • Zugangsdaten

Der Prozess lässt sich durch Softwarelösungen oder als Nebenprodukt alltäglicher Arbeiten beschleunigen. Starten Sie in kritischen Geschäftsbereichen – so erkennen Sie frühzeitig mögliche Engpässe.

Ein Konzept mit Flexibilität erarbeiten

Parallel zur Datensammlung sollte ein übersichtliches Zero-Trust-Konzept entstehen– kein ausführliches Whitepaper, sondern eine verständliche Übersicht, welche ZTMM-Komponenten Sie einsetzen wollen und wie Sie das umsetzen.

Drei wichtige Einflussfaktoren:

  • Ressourcen: Zeit, Budget, Fachkräfte, Unterstützung durch Führung oder Partner.
  • Ziele: Welche ZTMM-Komponenten sind erforderlich – z.  IAM, ZTNA, Makro-Segmentierung.
  • Zeit: Deadlines z.  durch Compliance-Vorgaben, Schulungsaufwand etc.

Zwischen diesen Faktoren besteht Wechselwirkung: Wer mehr Ressourcen hat, kann Ziele schneller erreichen. Bei engen Zeitvorgaben müssen ggf. andere Ziele gestrichen oder mehr Ressourcen investiert werden.

Tipp: Drei alternative Szenarien mit unterschiedlicher Gewichtung von Zeit, Zielen und Ressourcen erarbeiten – als Diskussionsbasis mit der Führungsebene.

Hilfreiche Fragen zur Konzepterstellung:

  • Warum wollen wir mit Zero-Trust erreichen – welchen Mehrwert liefert es?
  • An welchen KPIs messen wir den Erfolg?
  • In welchen Unternehmensbereichen bringt eine bessere Sicherheit am meisten?
  • Welche externen Zwänge gibt es (Compliance, Budget, Recht)?
  • Wo haben wir Gestaltungsfreiheit?
  • Welche Fähigkeiten sind bereits vorhanden, welche fehlen?
  • Was ist schnell umsetzbar, was eher aufwendig?
  • Welche Massnahmen sparen auf lange Sicht Kosten?
  • Gibt es Tools, die mehrere Themen abdecken?
  • Können wir externe Partner einbinden?

Man startet selten bei null

Die meisten Organisationen stellen fest: Gibt es z. B. bereits ein zentrales Identity-Management und wurden kritische Assets erfasst, lassen sich schnell erste Ergebnisse erzielen. ZTNA allein deckt viele Funktionen in den Bereichen User, Device, Application & Workload, Netzwerk sowie Sichtbarkeit & Analytik ab.

Beispiel: Viele Firmen haben bereits ein zentrales Gerätemanagement – in Kombination mit ZTNA lässt sich z. B. die Gerätezustandserkennung unkompliziert einführen.

Auch bei ZTNA starten viele Unternehmen mit dem Schutz besonders kritischer Anwendungen. Die Vorteile liegen auf der Hand: Schnell umsetzbar, direkte Risikominimierung, Vertrauen in den Prozess steigt.

Lernen durch Austausch
Und das Beste zum Schluss: Sie müssen diesen Weg nicht allein gehen. Bei Open Systems begleiten wir unsere Kunden auf der Zero-Trust-Reise mit fundierter Erfahrung. Wir entwickeln und betreiben die Lösungen selbst und lernen gemeinsam mit unseren Kunden. In einer aktiven Community profitiert jeder vom Know-how der anderen – so kommen wir gemeinsam schneller ans Ziel.