Zero-Trust-Sicherheit: Was ist das, warum ist sie wichtig und wie lässt sie sich umsetzen?

Laut dem „Kaseya State of the MSP Report 2026“ verzeichneten 71 % der MSPs im Vergleich zum Vorjahr ein Umsatzwachstum im Bereich Cybersicherheit, und die Zero-Trust-Architektur wird zunehmend zu dem Rahmenkonzept, nach dem Kunden fragen, wenn sie prüfen, wie ihr MSP das Thema Sicherheit angeht . Laden Sie den vollständigen Bericht herunter.

„Niemals vertrauen, immer überprüfen.“ Das ist das Kernprinzip von Zero Trust, einem Sicherheitsmodell, das sich im Laufe des letzten Jahrzehnts vom akademischen Rahmenkonzept zur Grundlage moderner Sicherheitsarchitekturen in Unternehmen entwickelt hat.

Das traditionelle Sicherheitsmodell ging davon aus, dass alles innerhalb des Netzwerkperimeters vertrauenswürdig sei. Benutzer, Geräte und Anwendungen hinter der Firewall wurden standardmäßig als sicher eingestuft. Diese Annahme war sinnvoll, als Mitarbeiter noch von Büros aus auf firmeneigenen Geräten arbeiteten, die mit dem Unternehmensnetzwerk verbunden waren. In einer Umgebung, in der von überall und auf jedem Gerät gearbeitet wird und auf Cloud-Dienste zugegriffen wird, die vollständig außerhalb des Perimeters liegen, macht sie jedoch keinen Sinn mehr. Die Sicherheitsplattform von Kaseya schützt mehr als 50.000 MSPs und IT-Teams, die genau diesen Wandel durchlaufen. Dadurch erhalten wir ein klares Bild davon, wo das Perimeter-Modell versagt und was es tatsächlich ersetzt.

Was Zero Trust ist

Zero Trust ist ein Sicherheitskonzept, kein Produkt, das eine kontinuierliche Überprüfung jeder Zugriffsanfrage erfordert, unabhängig davon, woher sie stammt. Es geht davon aus, dass das Netzwerk bereits kompromittiert wurde, und gestaltet die Zugriffskontrollen entsprechend: Es schränkt die laterale Bewegung ein, indem es festlegt, worauf ein authentifizierter Benutzer oder ein Gerät zugreifen darf, und überprüft kontinuierlich, ob sich authentifizierte Sitzungen wie erwartet verhalten.

Das NIST definiert die Zero-Trust-Architektur (ZTA) in der Sonderveröffentlichung 800-207 als eine Verlagerung der Sicherheitskontrollen vom Netzwerkperimeter hin zu einzelnen Ressourcen, wobei jede Ressource ihre eigene Zugriffsrichtlinie durchsetzt, anstatt sich auf eine vertrauenswürdige Netzwerkgrenze zu verlassen.

In der Praxis bedeutet Zero Trust, dass Benutzer vor dem Zugriff auf Ressourcen mittels einer starken Authentifizierung überprüft werden, dass Geräte vor der Zugriffsgewährung auf die Einhaltung der Sicherheitsanforderungen überprüft werden, dass der Zugriff auf genau die Ressourcen beschränkt ist, die der Benutzer tatsächlich benötigt, dass jeder Zugriff protokolliert und überwacht wird und dass der Zugriff neu bewertet wird, wenn sich Kontextfaktoren wie Standort, Gerätestatus oder ungewöhnliches Verhalten ändern.

Warum das traditionelle Perimeter-Modell gescheitert ist

Das traditionelle Modell von Burg und Burggraben – Bedrohungen draußen halten und allem drinnen vertrauen – beruhte auf drei Annahmen, die heute nicht mehr zutreffen.

Die Grenzen sind nicht mehr klar definiert. Die Arbeit wird von zu Hause, aus Cafés und auf privaten Geräten erledigt. Anwendungen laufen in Cloud-Umgebungen, die sich vollständig außerhalb des Unternehmensnetzwerks befinden. Der Begriff „innerhalb“ ist mittlerweile unscharf geworden.

Interne Bedrohungen – seien es böswillige Mitarbeiter oder kompromittierte Konten – gehen von innerhalb des Netzwerks aus. Ein Modell, das allem innerhalb des Netzwerks vertraut, bietet keinen Schutz vor dem erheblichen Anteil an Sicherheitsverletzungen, bei denen niemals ein Zugriff von außen auf das Netzwerk stattfindet.

Angreifer, denen es gelingt, die Sicherheitsperimeter durch Phishing, den Diebstahl von Zugangsdaten oder die Kompromittierung der Lieferkette zu durchbrechen, können sich in einem flachen, vertrauenswürdigen Netzwerk nahezu ungehindert lateral ausbreiten. Durch diese laterale Ausbreitung wird aus einem einzelnen kompromittierten Endpunkt ein unternehmensweiter Vorfall. Der Kaseya-VSA-Lieferkettenangriff von 2021 ist ein anschauliches Beispiel dafür: Der Zugriff über einen einzigen vertrauenswürdigen Kanal breitete sich aus, gerade weil nachgelagerte Umgebungen implizit darauf vertrauten, was von oben kam.

Zero Trust behebt alle drei Fehlerquellen, indem es das implizite Vertrauen aufgrund des Netzwerkstandorts durch eine kontinuierliche, kontextbezogene Überprüfung ersetzt.

Die drei Grundprinzipien von Zero Trust

Führen Sie eine explizite Überprüfung durch. Authentifizieren und autorisieren Sie jede Zugriffsanfrage unter Berücksichtigung aller verfügbaren Signale: Benutzeridentität, Gerätestatus, Standort, die angeforderte Ressource und Verhaltensmuster. Der Netzwerkstandort ist kein Vertrauenssignal.

Wenden Sie das Prinzip der geringsten Berechtigungen an. Beschränken Sie den Zugriff der Benutzer auf das für ihre Rolle erforderliche Minimum und begrenzen Sie die Dauer dieses Zugriffs. Die Just-in-Time-Zugriffsbereitstellung für privilegierte Vorgänge und zeitlich begrenzte Zugriffsrechte für vorübergehende Anforderungen verringern das Risiko, wenn Anmeldedaten kompromittiert werden. Ein Konto, das nur auf das zugreifen kann, was es benötigt, und zwar nur so lange, wie es benötigt wird, ist für einen Angreifer deutlich weniger wertvoll.

Gehen Sie von einer Sicherheitsverletzung aus. Entwerfen Sie Kontrollmaßnahmen unter der Annahme, dass das Netzwerk bereits kompromittiert wurde. Segmentieren Sie den Zugriff, um die laterale Bewegung einzuschränken. Verschlüsseln Sie alle Daten während der Übertragung und im Ruhezustand. Überwachen Sie alle Aktivitäten auf Anzeichen einer Kompromittierung. Planen Sie die Reaktion auf Vorfälle für den Fall, dass ein Angreifer bereits einen Zugang zur Umgebung erlangt hat.

Zero Trust in der Praxis: So setzen Sie es um

Zero Trust ist ein Prozess, kein Schalter, den man einfach umlegen kann. Die meisten Unternehmen setzen es schrittweise in fünf Dimensionen um, wobei jede auf der vorherigen aufbaut.

Identitäts- und Zugriffsmanagement. Dies ist die Grundlage. Eine starke Authentifizierung (MFA, idealerweise phishing-resistente Hardware-Schlüssel oder app-basierte Faktoren), Identitäts-Governance, die regelt, wer wann und warum Zugriff auf welche Ressourcen hat, sowie das Privileged Access Management für Administratorzugangsdaten bilden den Ausgangspunkt. Jede Zugriffsentscheidung basiert auf einer verifizierten Identität. Dark Web ID, Teil von Kaseya 365 , bietet eine kontinuierliche Überwachung von Zugangsdaten, um kompromittierte Identitäten zu erkennen, bevor sie zu aktiven Angriffsvektoren werden.

Gerätekonformität. Der Zugriff sollte nicht nur davon abhängen, wer Sie sind, sondern auch vom Zustand des von Ihnen verwendeten Geräts. Richtlinien für den bedingten Zugriff, die verlangen, dass Endgeräte Sicherheitsanforderungen erfüllen, bevor sie auf sensible Ressourcen zugreifen dürfen, setzen das Prinzip der Geräteüberprüfung um. Datto EDR, Teil von Kaseya 365 , bietet die kontinuierliche Endgeräteüberwachung, auf der Richtlinien zur Gerätekonformität basieren: Ein Endgerät mit einer aktiven Verhaltensbedrohung oder einer kritischen, nicht gepatchten Sicherheitslücke sollte nicht dieselben Zugriffsrechte haben wie ein sauberes, gepatchtes und vollständig verwaltetes Gerät.

Netzwerkzugangskontrolle. Ersetzen Sie den pauschalen VPN-basierten Netzwerkzugang durch anwendungsspezifischen Zugriff. Benutzer authentifizieren sich bei bestimmten Anwendungen und nicht beim Netzwerk als Ganzes. Dies ist das Fachgebiet von ZTNA (Zero Trust Network Access), und Datto Secure Edge Kaseyas speziell entwickelte ZTNA- und SASE-Lösung für MSPs, die den Remote-Zugriff ihrer Kunden in großem Maßstab verwalten. Eine detaillierte technische Betrachtung dazu, wie ZTNA VPN ersetzt, finden Sie in unserem Leitfaden „ZTNA vs. VPN“.

Kontrollen auf Anwendungsebene. Zugriffsrichtlinien auf der Anwendungsebene legen nicht nur fest, wer eine Verbindung herstellen darf, sondern auch, welche Aktionen nach dem Verbindungsaufbau durchgeführt werden dürfen. Der rollenbasierte Zugriff innerhalb von Anwendungen in Verbindung mit der Überwachung des Verhaltens auf der Anwendungsebene schließt die Lücke, die durch Kontrollen auf Netzwerkebene allein nicht geschlossen werden kann.

Kontinuierliche Überwachung. Zero Trust erfordert eine kontinuierliche Überwachung authentifizierter Sitzungen auf Verhaltensauffälligkeiten: Zugriff auf ungewöhnliche Ressourcen, ungewöhnlich hohe Datenübertragungsvolumina, Authentifizierungen von unerwarteten Standorten oder Versuche der Rechteausweitung. SaaS Alerts, ein Bestandteil von Kaseya 365 , bietet diese kontinuierliche Überwachung für Cloud- und SaaS-Anwendungsumgebungen, erkennt Kontokompromittierungen und verdächtige Aktivitäten nahezu in Echtzeit und löst automatisierte Reaktionsmaßnahmen aus.

Zero Trust für MSPs

MSPs haben starke Anreize, Zero Trust sowohl intern als auch als Dienstleistungsangebot zu implementieren.

Intern sind MSP-Umgebungen besonders attraktive Ziele. Ein Missbrauch von MSP-Zugangsdaten kann sich auf jede vom MSP verwaltete Kundenumgebung auswirken. Ein MSP-Partner, der Datto Secure Edge nutzt, Secure Edge dies folgendermaßen: „Wir nutzen Datto Secure Edge unsere eigenen Techniker Secure Edge schützen. Sie können sich KaseyaOne bei KaseyaOne anmelden, KaseyaOne sie über Datto Secure Edge verbunden sind, was mir ein beruhigendes Gefühl gibt.“ Eine Zero-Trust-Architektur, die bei jedem Zugriff MFA erzwingt, ein privilegiertes Zugriffsmanagement für RMM-Anmeldedaten implementiert und Kundenumgebungen voneinander trennt, begrenzt den Schadenumfang, wenn eine Komponente kompromittiert wird.

Für Kunden wird Zero Trust zunehmend zu einer Anforderung im Hinblick auf Compliance und Cyberversicherungen, insbesondere für Kunden aus den Bereichen Gesundheitswesen, Finanzwesen und öffentliche Verwaltung. Ein MSP, der sich mit Zero-Trust-Architekturen auskennt, die Kundenumgebungen anhand der entsprechenden Prinzipien abbilden und die technischen Komponenten schrittweise bereitstellen kann, positioniert sich als strategischer Sicherheitsberater und nicht als reaktiver Helpdesk.

Die geschäftliche Chance ist real. „Zero Trust“ ist kein einzelnes Projekt mit einem einzigen Ergebnis, sondern ein kontinuierlicher Beratungs- und Implementierungsservice. Jede der fünf oben aufgeführten Dimensionen stellt einen eigenständigen Auftrag dar und stärkt die Abhängigkeit des Kunden vom Fachwissen und den Tools des MSP.

Häufige Missverständnisse zum Thema Zero Trust

„Zero Trust bedeutet, niemandem zu vertrauen.“ Zero Trust bedeutet, implizites Vertrauen durch verifiziertes Vertrauen zu ersetzen. Verifizierte Benutzer, Geräte und Sitzungen erhalten uneingeschränkten Zugriff. Bei diesem Prinzip geht es um die Grundlage dieses Vertrauens, nicht um dessen Vorhandensein.

„Zero Trust ist ein Produkt, das man kauft.“ Kein einzelnes Produkt bietet Zero Trust. Es erfordert eine koordinierte Umsetzung über Identitätsmanagement, Geräte, Netzwerkzugang, Anwendungen und Überwachung hinweg. Produkte unterstützen die Umsetzung; die Architektur erfordert Entscheidungen und eine kontinuierliche Steuerung.

„Zero Trust erfordert einen kompletten Neuanfang.“ Die Umsetzung erfolgt schrittweise. Durch die Einführung von MFA für alle Konten und Richtlinien zur Gerätekonformität werden die risikoreichsten Schwachstellen sofort behoben. Netzwerksegmentierung und Kontrollen auf Anwendungsebene können folgen, sobald das Programm ausgereift ist. Ein MSP, der EDR bereitgestellt, MFA durchgesetzt und ZTNA für den Fernzugriff implementiert hat, hat die Sicherheitslage bereits deutlich näher an ein Zero-Trust-Modell herangeführt.