Zero Trust Network Access (ZTNA): Was es ist und warum es VPN ablöst

Laut dem „Kaseya State of the MSP Report 2026“ bieten 55 % der MSPs Identitäts- und Zugriffsmanagement als Dienstleistung an, wodurch ZTNA und seine Alternative zum VPN-basierten Fernzugriff im MSP-Dienstleistungsportfolio zunehmend an Bedeutung gewinnen. Laden Sie den vollständigen Bericht herunter.

VPN ist seit über zwei Jahrzehnten die Standardtechnologie für den Fernzugriff. Es schafft einen verschlüsselten Tunnel zwischen einem Remote-Gerät und dem Unternehmensnetzwerk, wodurch der Remote-Benutzer logisch gesehen „innerhalb“ des Netzwerks liegt. Im Netzwerkmodell der 1990er und 2000er Jahre war dies eine sinnvolle Methode, um Remote-Benutzern einen vertrauenswürdigen Zugriff zu ermöglichen.

Das Problem ist, dass sich dieses Modell nicht bewährt hat. Ein VPN gewährt Zugriff auf Netzwerkebene, nicht auf Anwendungsebene. Ein über VPN verbundener Nutzer verfügt im Prinzip über denselben Netzwerkzugriff wie jemand, der physisch im Büro sitzt. Das bedeutet, dass ein kompromittiertes Gerät mit einer aktiven VPN-Sitzung einem Angreifer auf Netzwerkebene Zugang zur Unternehmensumgebung verschafft. Von diesem Punkt aus ist eine laterale Bewegung ein Leichtes. Der Wirkungsradius eines einzigen gestohlenen Zugangsdatensatzes erstreckt sich auf das gesamte Netzwerk.

Zero Trust Network Access (ZTNA) löst dieses Problem direkt, indem es den Zugriff auf Netzwerkebene durch einen Zugriff auf Anwendungsebene ersetzt, der kontinuierlich auf der Grundlage einer verifizierten Identität und des Gerätezustands erfolgt. Wenn Sie mehr über das übergeordnete Rahmenwerk erfahren möchten, in dem dies angesiedelt ist, lesen Sie unseren Leitfaden zu [Zero-Trust-Sicherheit als Architektur.](/blog/zero-trust-security) Dieser Beitrag konzentriert sich auf die Netzwerkzugriffsebene: wie ZTNA funktioniert, wie es sich im Vergleich zu VPN verhält, in welchem Zusammenhang es mit SASE steht und wie MSPs es implementieren können.

Was ist ZTNA?

ZTNA ist ein Sicherheitsframework, das Benutzern auf der Grundlage einer kontinuierlichen Überprüfung ihrer Identität, des Gerätezustands und des Kontexts Zugriff auf bestimmte Anwendungen und Dienste gewährt, nicht jedoch auf das Netzwerk. Der Benutzer „verbindet sich“ nie im herkömmlichen VPN-Sinne mit dem Netzwerk. Er authentifiziert sich beim ZTNA-System, das seine Identität und den Konformitätsstatus seines Geräts überprüft und anschließend seine Verbindung zu der von ihm benötigten Anwendung weiterleitet – und zu nichts anderem.

Dieses Modell auf Anwendungsebene setzt das Zero-Trust-Prinzip der geringsten Berechtigungen auf der Ebene des Netzwerkzugangs um: Benutzer können nur auf die Anwendungen zugreifen, für die sie autorisiert sind, und diese Autorisierung wird auf der Grundlage des jeweiligen Kontexts kontinuierlich neu bewertet.

Das Konzept von ZTNA gibt es bereits seit etwa 2010, doch die ersten Implementierungen waren komplex und kostspielig. Moderne, cloudbasierte ZTNA-Plattformen haben dieses Modell nun auch für KMU und mittelständische Unternehmen zugänglich gemacht – nicht mehr nur für Großunternehmen mit umfangreichen Sicherheitsteams.

So funktioniert ZTNA

Eine typische ZTNA-Architektur besteht aus drei Komponenten, die nacheinander arbeiten.

Identitätsprüfung. Der Benutzer authentifiziert sich – in der Regel mittels MFA – beim ZTNA-Dienst, der seine Identität anhand des Identitätsanbieters des Unternehmens überprüft. In diesem Schritt wird festgestellt, wer den Zugriff anfordert.

Bewertung des Gerätestatus. Der ZTNA-Agent auf dem Gerät überprüft, ob der Endpunkt die Sicherheitsrichtlinien erfüllt: Betriebssystem innerhalb eines definierten Zeitraums gepatcht, EDR-Agent läuft, Festplatte verschlüsselt, Bildschirmsperre aktiv. Geräten, die die Statusprüfung nicht bestehen, wird je nach Richtlinienkonfiguration der Zugriff verweigert oder nur eingeschränkter Zugriff gewährt. Datto Secure Edge dies über SafeCheck Secure Edge , eine kontinuierliche Überprüfung des Gerätestatus, die in Datto RMM integriert ist. Wenn sowohl Datto RMM als auch Secure Edge eingesetzt Secure Edge , überprüft SafeCheck, ob Endgeräte die Anforderungen an den Patch-Status und den Virenschutz erfüllen, bevor ihnen die Verbindung gewährt wird. Geräten, die die Überprüfung nicht bestehen, wird der Zugriff verweigert, bis sie die Richtlinien erfüllen, wobei eine konfigurierbare Karenzzeit für den Patch-Status vorgesehen ist, um Szenarien wie beispielsweise ein Gerät abzudecken, das über das Wochenende offline war.

Anwendungsproxy. Sobald die Identität und der Gerätestatus überprüft wurden, leitet der ZTNA-Dienst die Verbindung des Benutzers an die jeweilige Anwendung weiter, für die er Zugriffsberechtigung besitzt. Der Benutzer hat zu keinem Zeitpunkt einen direkten Netzwerkzugang zu Anwendungen, für die er nicht autorisiert ist, und erhält auch keinen Zugriff auf Netzwerkebene auf die übergeordnete Umgebung.

Diese Architektur schränkt die laterale Bewegung konkret ein. Ein Angreifer, der ein Gerät mit einer aktiven ZTNA-Sitzung kompromittiert, kann nur auf die spezifischen Anwendungen zugreifen, für die der Benutzer berechtigt war, nicht jedoch auf das gesamte Netzwerk hinter dem VPN-Tunnel.

—

ZTNA vs. VPN: Die wichtigsten Unterschiede

Die folgende Tabelle fasst die betrieblichen Unterschiede zusammen, die für MSPs bei der Bewertung des Wechsels von Bedeutung sind.

Die Verbesserung der Benutzererfahrung verdient mehr Aufmerksamkeit, als ihr normalerweise zuteilwird. VPNs sind eine ständige Quelle für Beschwerden von Endbenutzern: langsame Verbindungen, unterbrochene Sitzungen und die Notwendigkeit, sich vor dem Zugriff auf Anwendungen manuell zu verbinden. ZTNA-Architekturen, die als „Always-On“-Lösungen konfiguriert sind, bieten eine bessere Leistung und beseitigen die Verbindungsprobleme, die Benutzer dazu veranlassen, auf Schatten-IT-Workarounds zurückzugreifen.

Ein MSP, der wiederholt Helpdesk-Anfragen zur VPN-Leistung erhalten hat, erkennt sofort, dass es sich hierbei um ein Argument der Servicequalität und nicht nur um ein Sicherheitsargument handelt. Durch den Ersatz des VPN durch Datto Secure Edge eine immer wiederkehrende Kategorie von Helpdesk-Anfragen Secure Edge und gleichzeitig die Sicherheitslage des Kunden verbessert.

SASE und ZTNA: Wie sie zusammenhängen

SASE (Secure Access Service Edge) ist eine umfassende Architektur, die Netzwerksicherheitsfunktionen in einem einzigen, cloudbasierten Dienst bündelt. Ein vollständiger SASE-Stack umfasst ZTNA, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) und SD-WAN.

ZTNA ist ein Bestandteil von SASE, jedoch kein Synonym dafür. Ein Unternehmen kann ZTNA als Ersatz für ein VPN implementieren und dabei die bestehenden Netzwerksicherheitsmaßnahmen beibehalten. Eine vollständige SASE-Implementierung bündelt all diese Funktionen in einem einzigen Cloud-Dienst und beseitigt so die Komplexität, die durch die Zusammenführung separater Punktlösungen verschiedener Anbieter entsteht.

Datto Secure Edge eine umfassende SASE-Lösung, die speziell für den Einsatz bei MSPs entwickelt wurde. Ihr Sicherheitsstack umfasst ZTNA, SWG für Webfilterung und Bedrohungserkennung, FWaaS für die Durchsetzung von Firewall-Richtlinien aus der Cloud sowie SD-WAN zur Verkehrsoptimierung. Durch die Integration mit Datto RMM und Autotask können Secure Edge automatisch Service-Tickets generieren, und Software-Updates für Secure Edge über die Kataloge von VSA 10 und Datto RMM verteilt, sodass Endgeräte ohne manuellen Eingriff auf dem neuesten Stand bleiben.

Für die meisten KMU und mittelständischen Unternehmen ist ZTNA als VPN-Ersatz der praktische Ausgangspunkt. Ein vollständiges SASE-Modell ist die logische Weiterentwicklung für Unternehmen mit komplexeren Anforderungen an die Konnektivität über mehrere Standorte und Clouds hinweg sowie für MSPs, die ein umfassendes Angebot an verwalteten Netzwerksicherheitslösungen aufbauen.

Einführung von ZTNA: ein schrittweiser Ansatz

Die Einführung von ZTNA erfolgt schrittweise. Es ist selten praktikabel, alle Benutzer und den gesamten Zugriff am ersten Tag umzustellen. Ein stufenweiser Ansatz hilft, die Komplexität zu bewältigen und den Nutzen in jeder Phase aufzuzeigen.

Phase 1: Ersatz des VPN für den Fernzugriff. Implementieren Sie ZTNA für Remote-Benutzer, um das bestehende VPN zu ersetzen oder zu ergänzen. Konzentrieren Sie sich zunächst auf die Zugangsmuster mit dem höchsten Risiko: Zugriff privilegierter Benutzer auf Verwaltungssysteme, Zugriff auf sensible Datenspeicher sowie Zugriff über nicht verwaltete Geräte oder BYOD-Geräte. Dies sind die Szenarien, in denen das Risiko einer lateralen Bewegung über das VPN die schwerwiegendsten Folgen hat.

Phase 2: Ausweitung auf den gesamten Anwendungszugriff. Erweitern Sie die ZTNA-Abdeckung über Remote-Benutzer hinaus auf den gesamten Anwendungszugriff, einschließlich lokaler Benutzer, die über dasselbe Modell für verifizierten Zugriff eine Verbindung zu internen Anwendungen herstellen. In dieser Phase ist das Zugriffsmodell einheitlich, unabhängig davon, wo sich der Benutzer physisch befindet.

Phase 3: Verschärfung der Richtlinien zur Gerätesicherheit. Integrieren Sie die Einhaltung der Sicherheitsrichtlinien für Geräte stärker, indem Sie den EDR-Status als Echtzeit-Indikator für den Sicherheitsstatus nutzen. Implementieren Sie adaptive Richtlinien, die den Zugriffsbereich einschränken oder Sitzungen beenden, wenn sich der Sicherheitsstatus eines Geräts während einer aktiven Sitzung verschlechtert – und nicht nur zum Zeitpunkt der Verbindungsherstellung. SafeCheck in Datto Secure Edge über die Datto-RMM-Integration Secure Edge diese kontinuierliche Durchsetzung.

Phase 4: Verhaltensüberwachung und adaptiver Zugriff. Implementieren Sie eine Überwachung, die den Zugriff in Echtzeit einschränken oder beenden kann, wenn während einer authentifizierten Sitzung ungewöhnliches Verhalten festgestellt wird: Massen-Dateidownloads, Zugriff auf ungewöhnliche Anwendungen, Anomalien bei der Authentifizierung oder Versuche der lateralen Bewegung.

Ein nützlicher Anhaltspunkt: Ein MSP aus dem Datto-Partnerprogramm stellte fest, dass Datto Secure Edge seinen Kunden Secure Edge , mehr als zehn verschiedene Kontrollanforderungen gemäß NIST 800-171 zu erfüllen, obwohl „Zero Trust“ in dem Rahmenwerk nicht ausdrücklich genannt wird. Die Zugriffskontrollen, die Protokollierung von Prüfungen und die Überprüfung des Gerätestatus lassen sich nahtlos auf mehrere Kontrollgruppen abbilden.

ZTNA für MSPs

MSPs haben zwei unterschiedliche Gründe, in ZTNA zu investieren: zum einen, um ihren eigenen Zugriff auf Kundenumgebungen zu sichern, und zum anderen, um ZTNA als Managed Service anzubieten.

Intern gehören MSP-Zugangsdaten zu den wertvollsten Zielen in der Lieferkette von KMU. Ein Angreifer, der sich Zugriff auf RMM-Zugangsdaten oder ein PSA-Administratorkonto verschafft, erhält Zugang zu jeder Kundenumgebung, die der MSP verwaltet. Eine ZTNA-basierte Zugriffskontrolle mit Identitätsüberprüfung pro Sitzung und kontinuierlicher Durchsetzung der Gerätesicherheit schränkt den Zugriffsbereich ein, den einzelne kompromittierte Zugangsdaten erreichen können. Ein MSP, der Datto Secure Edge nutzt, Secure Edge es auf den Punkt: Seine Techniker können sich nicht bei KaseyaOne authentifizieren, KaseyaOne Secure Edge über Secure Edge verbunden zu sein. Die Sitzungsüberprüfung ist kein optionaler zusätzlicher Schritt, sondern die Voraussetzung für den Zugriff.

Für Kunden ist die geschäftliche Kommunikation einfacher geworden, da die Anforderungen an Cyberversicherungen verschärft wurden. Viele Versicherer verlangen mittlerweile Multi-Faktor-Authentifizierung (MFA) und Zugriffskontrollen auf Anwendungsebene als Voraussetzung für den Versicherungsschutz. Ein MSP, der ZTNA als verwalteten Netzwerksicherheitsdienst anbieten kann – mit zentraler Richtlinienverwaltung für alle Kundenmandanten und automatisierten Warnmeldungen über die PSA –, erfüllt damit eine Kundenanforderung, für deren Umsetzung zuvor Ressourcen auf Unternehmensniveau erforderlich waren.

Auch die betrieblichen Argumente sprechen dafür. Der Ersatz von VPN durch Datto Secure Edge das wiederkehrende Helpdesk-Aufkommen aufgrund von Beschwerden über die VPN-Leistung, verbessert die Benutzererfahrung für Remote-Mitarbeiter und macht die Hardware-Erneuerungszyklen überflüssig, die bei lokalen VPN-Geräten erforderlich sind. Für Kunden bedeutet dies ein besseres IT-Erlebnis. Für MSPs bedeutet dies ein übersichtlicheres Modell für die Servicebereitstellung.

Datto Secure Edge für Windows, macOS, iOS und Android verfügbar; der mobile Client wurde im Juni 2025 veröffentlicht und bietet MSPs eine einzige ZTNA-Lösung, die die gesamte Bandbreite der von ihren Kunden genutzten Geräte abdeckt.