Die Lösung des Perimeter-Problems

Zero Trust: Mehr als herkömmliche Sicherheit

Das klassische Perimetermodell hat als Sicherheitskonzept für moderne Unternehmen ausgedient. Teilweise liegt das daran, dass sich die Arbeitsweise verändert hat. Heutige Angestellte gehen ihrer Arbeit unter Umständen in der gleichen Woche sowohl in einer kleinen Zweigstelle, im Flugzeug, im Homeoffice, im Café und im Büro eines Kunden nach.

Die meisten Führungskräfte im Technologiebereich erkennen an, dass Zero Trust-Sicherheit für den Schutz eines Unternehmens die beste Alternative zu einem traditionellen Ansatz darstellt. Mit einer identitätsbezogenen, kontinuierlichen Überprüfung der Zero Trust-Sicherheit können Firmenressourcen geschützt werden – unabhängig davon, wo sich die Nutzer befinden und welche Geräte sie verwenden. Durch die Umstellung auf ein Zero Trust-Modell lassen sich die wichtigsten Schwachstellen der Perimetersicherheit adressieren.

Viele Unternehmen sind allerdings noch nicht an diesem Punkt angelangt. Tatsächlich ist dieses Unterfangen bei vielen noch nicht sehr weit gediehen. Auf einer Skala von eins bis zehn? „Ich würde sagen vier“, so Menny Barzilay, CEO und Mitgründer der Cybersicherheitsplattform Milestone und Partner bei Cytactic. Ich persönlich würde sagen, bestenfalls eine Sechs.

Ich habe kürzlich mit Menny Barzilay und Khalid Kark, Field CIO der Amerikasparte von Cloudflare, über das Problem der Perimetersicherheit gesprochen. Dabei wurden die Schwachstellen dieses klassischen Sicherheitsmodells thematisiert, die auch im Cloudflare-Cybersicherheitsbericht 2025 hervorgehoben wurden. Außerdem ging es in unserem Gespräch darum, wie die Umstellung auf ein Zero Trust-Konzept zur Lösung dieser Probleme beitragen kann.

Wir waren uns alle einig: Die Einführung eines Zero Trust-Ansatzes voranzutreiben, ist in der heutigen Bedrohungslandschaft für den Schutz von Unternehmen von maßgeblicher Bedeutung. Doch mit der Anschaffung einer einzigen Lösung ist es nicht getan.

Identitätsbasierte Sicherheit statt Perimeter

Bevor Unternehmen zu einem neuen Sicherheitsmodell übergehen können, ist es wichtig, die Vorgeschichte zu verstehen. Jahrelang hat man sich auf den Schutz des Netzwerkperimeters konzentriert, der sich weitgehend mit dem physischen Perimeter des Firmenstandorts deckte. Dafür wurde eine Firewall in lokalen Rechenzentrum des Unternehmens eingesetzt.

Inzwischen hat sich diese Grenze aber weit über die Büros einer Firma hinaus ausgedehnt. Die Arbeit kann mit cloudbasierten Anwendungen von überall aus erledigt werden. „Der Perimeter ist in der heutigen Realität ein sehr fragwürdiges Konzept“, meint Menny Barzilay.

Anstatt ein Unternehmen unter dem Verteidigungsaspekt als eine Burg mit Graben zu betrachten, brauchen Entscheidungsträger im Bereich Cybersicherheit ein völlig neues Modell. Die meisten sind sich einig, dass Identität dabei eine Schlüsselrolle zukommen wird. Natürlich reicht es nicht, einfach nur die Identität eines Nutzers zu überprüfen. Das wäre zu einfach. Vielmehr müssen Unternehmen bei jeder Zugriffsanfrage zusätzlichen Kontext und den Gerätestatus des Nutzers berücksichtigen.

Bei richtigem Vorgehen zahlt sich das unter dem Sicherheitsaspekt mehr als aus. „Ein Konzept besagt: Wenn man das Identitätsproblem lösen kann, löst man damit auch die Cybersicherheitfrage“, erklärt Barzilay. „Wenn Sie wissen, dass die richtige Person die richtigen Daten mit dem richtigen Gerät verwendet […], dann haben Sie kein Cybersicherheitsproblem.“

Die Lösung des Identitätsproblems zählt zu den Hauptzielen bei der Implementierung eines Zero Trust-Sicherheitsmodells. Dessen zentrales Prinzip lautet: Vertrauen ist gut, Kontrolle ist besser. Anstatt jedem zu vertrauen, der es über den „Burggraben“ schafft (und ihm Zugang zu allen Ressourcen zu gewähren), wird beim Zero Trust-Konzept davon ausgegangen, dass sowohl innerhalb als auch außerhalb des Netzwerks Risiken bestehen. Zero Trust-Werkzeuge verifizieren den Nutzer, den Kontext und das Gerät, bevor sie Zugriff auf konkrete Daten und Anwendungen gewähren.

Wie Khalid Kark in unserem jüngsten Gespräch betonte, besteht Zero Trust nicht in einer bestimmten Einzellösung. „Es handelt sich vielmehr um eine Einstellung.“ Menny Barzilay stimmt dem zu: „Es geht darum, zu verstehen und anzuerkennen, dass man nichts grundsätzlich vertrauen kann. Alles muss geprüft werden.“

Auch ich betrachte Zero Trust als eine Entwicklung – und es spielt so gut wie keine Rolle, wo man damit anfängt. Die meisten Unternehmen ermitteln jedoch zunächst die Szenarien, die sie für am problematischsten halten.

– Menny Barzilay
CEO und Mitgründer von Milestone sowie Cytactic-Mitgründer und -Partner

Bestimmung eines ersten Ziels: Ermitteln Sie einen wichtigen Zero Trust-Anwendungsfall

Ein Zero Trust-Sicherheitsmodell kann dabei helfen, einige der akutesten Bedrohungen zu neutralisieren, die durch die explosionsartige Zunahme hybrider Arbeit und cloudbasierter Ressourcen entstehen. Zum Beispiel können Sie ältere Fernzugriffslösungen ersetzen, Schatten-IT kontrollieren und die Sicherheit für die Nutzer vereinfachen.

1. Ersatz herkömmlicher VPN
Angreifer wissen, dass sie unter Umständen umfassenden Zugang zum Netzwerk eines Unternehmens erhalten, wenn sie die VPN-Anmeldedaten eines einzigen Nutzers stehlen können. Das ist ein schwerwiegendes Problem, zu dessen Lösung aber die Umstellung auf eine identitätsbezogene Zero Trust-Sicherheit beitragen kann. Damit lässt sich eine kontinuierliche Überprüfung von Nutzern durchsetzen und eine kontextbezogene Authentifizierung für sämtliche Cloud-Workloads und Software as a Service (SaaS)-Anwendungen implementieren. Funktionen zur Sicherstellung der Vergabe geringstmöglicher Zugriffsrechte begrenzen das Ausmaß der Infiltration und verhindern die laterale Ausbreitung, falls Angreifer dennoch aus der Ferne Zugang zu einem Netzwerk erhalten.

Der Ersatz eines VPN durch Zero Trust-Sicherheit bietet zusätzliche Vorteile. So können Nutzer reibungsloser und mit geringerer Latenz auf Ressourcen zugreifen. Ein Zero Trust-Zugriffskonzept lässt sich außerdem schneller und kostengünstiger skalieren als eine VPN-Lösung. Darüber hinaus vereinfacht sich dadurch für die IT-Abteilung die Verwaltung des Fern- und Hybridzugriffs.

2. Kontrolle von Schatten-IT
Cloud-Anbieter machen die Einführung neuer Services wie KI-Diensten unglaublich leicht. Deshalb melden sich einzelne Mitarbeitende und Teams häufig ohne Rücksprache mit der IT-Abteilung für solche Dienste an. Dadurch entsteht Schatten-IT (oder Schatten-KI). Diese erschwert zunehmend die Überwachung und Absicherung cloudbasierter Anwendungen und Umgebungen. Selbst die Nutzung einfacher cloudbasierter Groupware-Tools kann sensible Daten in Gefahr bringen.

Die Implementierung von Cloud Access Security Brokern (CASB), KI-gestützten Erkennungstools und automatisierter Richtliniendurchsetzung als Teil der Zero Trust-Sicherheit kann dabei helfen, in Echtzeit Überblick und Kontrolle über die Nutzung nicht autorisierter Cloud-Dienste zu erhalten.

3. Beendung der Passwort-Abhängigkeit
Auch wenn KI für immer ausgefeiltere Angriffstaktiken eingesetzt wird, so ist doch nach wie vor die Identität ein Hauptangriffsvektor. Wie in dem Bericht festgestellt wird, betrafen 25 Prozent der Vorfallreaktionen von Cisco im ersten Quartal 2024 betrügerische Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA), auf die Nutzer eingegangen sind. Angreifer kapern auch aktive Sitzungen und entwenden auf andere Weise Anmeldedaten, wodurch Unternehmen weitreichende Sicherheitslecks und Kontoübernahmen drohen.

Im Zusammenhang mit der Identität stellen sich mehrere Herausforderungen:

• Wiederverwendung von Anmeldedaten: Laut dem Bericht hat die Analyse kompromittierter Anmeldedaten ergeben, dass 46 Prozent aller Login-Versuche durch Menschen – und 60 Prozent aller Anmeldeversuche durch Unternehmen – kompromittierte Zugangsdaten umfassten.

• Automatisierte Angriffe mittels Anmeldedaten: Aus der Analyse kompromittierter Anmeldedaten ist hervorgegangen, dass bei 94 Prozent aller Anmeldeversuche geleakte Zugangsdaten verwendet werden. Die Ausführung erfolgt durch Bots, die Tausende von gestohlenen Passwörtern pro Sekunde testen können.

• Zu schwache Passwörter: Statische Passwörter und selbst einfache MFA-Methoden sind oft wirkungslos gegen moderne Bedrohungen wie Session-Hijacking und Phishing-Angriffe, die auf die Erbeutung von Anmeldedaten abzielen.

Es ist an der Zeit, sich von herkömmlichen passwortbasierten Sicherheitskonzepten zu verabschieden. Die Implementierung von Zero Trust-Zugriffskontrollen in Verbindung mit passwortloser Authentifizierung, Verhaltensanalysen, automatischer Sperrung von Anmeldedaten und anderen Funktionen kann Ihnen helfen, die potenziellen Risiken schlichter statischer Passwörter und einfacher MFA zu neutralisieren.

Bestimmung des Ausgangspunkts für den Übergang zu Zero Trust

Sobald Sie den richtigen Anwendungsfall ermittelt haben, sollten Sie Ihre Applikationen inventarisieren und überprüfen. Ziel ist es, für jede einzelne Anwendung in Erfahrung zu bringen, wer bereits Zugriff hat – und wem dieser nicht zusteht. Viele Zero Trust-Initiativen scheitern, weil sich Unternehmen diese Überprüfung sparen.

An diesem Punkt können Sie eine Zero Trust-Sicherheitslösung wählen. Es ist richtig, dass es sich bei Zero Trust eher um ein Modell oder eine Philosophie als um eine konkrete einzelne Lösung handelt. Aber mit dem richtigen Konzept können Sie die von Ihnen festgelegten Zero Trust-Prinzipien und -Richtlinien durchsetzen.

Zero Trust-Lösungen sind zwar wichtig, doch bei vielen Unternehmen gerät die Umstellung nach Anschaffung einer solchen Lösung ins Stocken. Wenn Sie zunächst alle nötigen Vorbereitungen treffen – was die Auswahl eines Anwendungsfalls und die Durchführung von Überprüfungen umfasst – können Sie sicherstellen, dass Sie Ihre Zeit und Energie so investieren, dass auch die erwarteten Ergebnisse erreicht werden.

Einigen Unternehmen wird die Umstellung leichter fallen als anderen. Wie Menny Barzilay feststellte, können Start-ups Zero Trust-Sicherheit von Anfang an implementieren und die mit dem Austausch von Altlösungen potenziell verbunden Hürden vermeiden. Anderen Firmen hilft möglicherweise die Fokussierung auf einen bestimmten Anwendungsfall – beispielsweise die Absicherung des Fernzugriffs – bei der Erzielung relativ schneller Erfolge, die sie weiter voranbringen.

Leider ist die Umstellung auf Zero Trust bei den meisten Unternehmen noch nicht sehr weit gediehen. In der Zwischenzeit müssen sie sich sowohl mit der großen Verheißung von KI als auch mit der Angst vor dieser auseinandersetzen. KI wird einige neue Hürden schaffen, etwa die Notwendigkeit, nicht-menschliche Identitäten zu verwalten. Doch mit ihrer Hilfe werden sich Bedrohungen effektiver aufdecken lassen, wodurch sich das Sicherheitsniveau eines Unternehmens automatisch erhöht.

Dessen ungeachtet sind Khalid Kark, Menny Barzilay und ich uns einig, dass der Wechsel zu Zero Trust unbedingt vorangetrieben werden muss. Dieses Konzept trägt dazu bei, die Lücken perimeterbasierter Lösungen zu schließen. Gleichzeitig kann es dabei helfen, die Komplexität und die Kosten der Sicherheit erheblich zu reduzieren. Anstatt mehrere Tools zu verwalten, kann durch den Fokus auf die Identität ein einheitlicher Ansatz beim Schutz von Ressourcen verfolgt werden.

Umstellung auf Zero Trust

Bei der Connectivity Cloud von Cloudflare handelt es sich um eine Plattform mit cloudnativen Diensten, mit der sich die Umstellung von herkömmlicher perimeterbasierter Sicherheit auf ein Zero-Trust-Sicherheitsmodell vereinfachen lässt. Beispielsweise kann mit Zero Trust Network Access von Cloudflare ein herkömmliches VPN ersetzt, gleichzeitig das Sicherheitsniveau erhöht und eine bessere Nutzererfahrung geboten werden, während die Verwaltung vereinfacht wird. Die Cloudflare-Plattform bietet zudem Dienste, mit denen sich die Übersicht und Kontrolle über die IT zurückerlangen und botbasierte Identitätsangriffe stoppen lassen. So können Unternehmen den Wechsel zu Zero Trust vorantreiben und sich von veralteten perimeterbasierten Sicherheitsmodellen verabschieden.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute besonders von Bedeutung sind.

Vertiefung des Themas:

Im „Cloudflare-Cybersicherheitsbericht 2025: Maßstabsgerechte Ausfallsicherheit“ erfahren Sie mehr darüber, wie sich mit Zero Trust-Sicherheit die Widerstandsfähigkeit eines Unternehmens stärken lässt. Außerdem wird darin auf weitere wichtige Sicherheitstrends eingegangen.

Autor

Steve Pascucci – @StevePascucci
Head of Zero Trust, Cloudflare

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Warum herkömmliche perimeterbasierte Sicherheit nicht mehr ausreicht

• Weshalb Zero Trust heute zur Gewährleistung der Sicherheit ein Muss ist

• Der richtige Einstiegspunkt für die Umstellung auf Zero Trust

Verwandte Ressourcen

• Der Cloudflare-Cybersicherheitsbericht 2025: Maßstabsgerechte Ausfallsicherheit

• Digitale Modernisierung meistern: Perspektive der Geschäftsleitung

• Zero Trust-Netzwerkzugriff auf dem Vormarsch

• Sicherheitssignal: Das Perimeter-Problem