# Zero Trust

**Was ist Zero Trust?**

Zero Trust ist ein Sicherheitsmodell, bei dem jeder Zugriff einzeln geprüft wird, auch wenn er aus dem eigenen Netzwerk kommt. Geprüft wird, wer zugreift, mit welchem Gerät und auf welche Daten. Berechtigungen werden auf das für die Aufgabe Notwendige begrenzt.

Lange folgten Firmennetze dem Bild einer Burg. Die Firewall bewachte den Rand, und im Inneren durften Geräte und Benutzer weitgehend frei aufeinander zugreifen. Mit Homeoffice, Cloud-Diensten, Diensthandys und Fernwartungszugängen verliert dieser Rand seine Bedeutung, weil Zugriffe von überall kommen. Zero Trust zieht daraus die Folgerung, jeden Zugriff einzeln zu prüfen, gleich ob er aus dem Büro, aus dem Homeoffice oder aus dem Internet stammt.

Drei Grundsätze tragen das Modell. Der erste ist die Identität: Jeder Zugang wird durch eine starke Anmeldung abgesichert, in der Regel mit Zwei-Faktor-Authentifizierung, also einer zweiten Bestätigung zusätzlich zum Passwort. Der zweite ist die minimale Berechtigung: Jede Person und jedes System erhält genau die Rechte, die für die Aufgabe nötig sind. Der dritte ist die Trennung: Das Netzwerk wird in Bereiche unterteilt, damit ein übernommenes Gerät nur einen kleinen Ausschnitt erreicht.

Für einen Betrieb ohne eigene IT-Abteilung ist Zero Trust eine Richtung, an der sich einzelne Entscheidungen ausrichten lassen. Der Kauf eines Produkts allein stellt das Modell nicht her. Die ersten Schritte bleiben überschaubar: Zwei-Faktor-Authentifizierung für alle Zugänge, die aus dem Internet erreichbar sind, also E-Mail, Fernzugang und Cloud-Konten. Getrennte Konten für die tägliche Arbeit und für Administratoraufgaben. Ein eigenes Netz für Gäste, Kameras und Maschinen. Einmal im Jahr eine Durchsicht, wer auf welche Ordner zugreifen darf.

Den Handlungsbedarf erkennen Sie an wiederkehrenden Situationen. Ein einziger Fernzugang bringt einen Dienstleister ins gesamte Netzwerk. Alle Beschäftigten können jeden Ordner öffnen, weil die Rechtevergabe nie eingerichtet wurde. Der Wartungszugang eines Lieferanten besteht dauerhaft und mit vollen Rechten. In solchen Fällen genügt ein gestohlenes Passwort, damit ein Angreifer den ganzen Betrieb erreicht.

Der IT-Check von vetosec erhebt, welche Zugänge bestehen, wie sie abgesichert sind, wie Berechtigungen vergeben wurden und ob das Netzwerk in Bereiche getrennt ist. Aus dem Befund ergibt sich ein Maßnahmenplan nach Dringlichkeit, den Sie Schritt für Schritt abarbeiten können. Für das Erstgespräch von 20 Minuten entstehen keine Kosten.

## Verwandte Begriffe
- [Berechtigungskonzept und minimale Rechte](https://vetosec.at/it-sicherheit/berechtigungskonzept/)
- [Zwei-Faktor-Authentifizierung (2FA)](https://vetosec.at/it-sicherheit/zwei-faktor-authentifizierung/)
- [Netzwerksegmentierung](https://vetosec.at/it-sicherheit/netzwerksegmentierung/)
- [Angriffsfläche](https://vetosec.at/it-sicherheit/angriffsflaeche/)

## Quelle
https://vetosec.at/it-sicherheit/zero-trust/ (vetosec, grundlagen)
