Ratgeber

Zero Trust Implementierung

Tizian Kohler
26/02/2026

Der technische Leitfaden für Identität und Mikrosegmentierung

Die strategische Entscheidung für Zero Trust ist gefallen – doch wie sieht die technische Roadmap aus?

Während die strategische Planung den Rahmen vorgibt, entscheidet die technische Umsetzung über den Erfolg Ihrer Zero Trust Architektur. Die Umstellung auf eine ZTA erfordert eine radikale Abkehr von vertrauenswürdigen Netzwerksegmenten hin zu einer dynamischen, identitätsbasierten Zugriffskontrolle.

In den folgenden Abschnitten erfahren Sie, wie Sie nach modernsten Standards (Stand 2026) Identitäten als neuen Perimeter etablieren und durch Mikrosegmentierung den „Explosionsradius“ im Falle eines Angriffs minimieren.

1. Säule: Identity is the new Perimeter

Im Zero Trust Modell ist der Standort des Nutzers irrelevant. Die Identität ist das einzige Element, das den Zugriff auf Ressourcen autorisiert. Die Umsetzung erfolgt in folgenden Phasen:

Phase A: Phishing-resistente Authentifizierung

MFA-Standard: Abkehr von SMS- oder App-basierten Push-Codes hin zu FIDO2-Hardware-Security-Keys.
Passwortlose Anmeldung: Implementierung von Windows Hello for Business oder biometrischen WebAuthn-Verfahren.

Warum?

Traditionelle MFA ist anfällig für “MFA-Fatigue”-Angriffe. MFA-Fatigue meint einen Cyberangriff, bei dem Angreifer den Nutzer mit einer Flut von Push-Benachrichtigungen überfluten. Das kann dazu führen, dass der Nutzer aus Frust oder Unaufmerksamkeit eine betrügerische Anfrage genehmigt und den Angreifern so Zugriff gewährt. Hardware-gestützte Verfahren eliminieren dieses Risiko nahezu vollständig.

Phase B: Conditional Access Policies (Kontext-Validierung)

Gerätestatus: Zugriff wird nur gewährt, wenn das Gerät verwaltet (MDM), verschlüsselt und virenfrei ist.
Standort & IP: Überprüfung auf “Impossible Travel” (Login-Versuche aus geografisch unmöglichen Distanzen).
Risiko-Score: Dynamische Anpassung der Zugriffsrechte basierend auf dem aktuellen Benutzerverhalten.

2. Säule: Mikrosegmentierung – den "Explosionsradius" begrenzen

Mikrosegmentierung verhindert, dass sich Angreifer nach einem ersten Einbruch lateral (seitwärts) im Netzwerk bewegen können.

Technische Umsetzung:

Sichtbarkeit: Vollständige Erfassung aller Workload-Kommunikationen im Rechenzentrum und in der Cloud.
Policy-Design: Erstellung von “Allow-Lists” – nur explizit erlaubte Kommunikation zwischen Anwendungen ist gestattet.
Durchsetzung: Nutzung von softwaredefinierten Netzwerken (SDN) oder hostbasierten Firewalls zur Trennung der Segmente.

Warum?

Mikrosegmentierung ist das wirksamste Mittel gegen Ransomware-Ausbreitungen, da jeder Server in einer eigenen “Sicherheitszelle” operiert.

Checkliste: Zero Trust Readiness

Diese Checkliste hilft Ihnen dabei, den technischen Reifegrad Ihrer Zero-Trust-Implementierung schnell und strukturiert zu bewerten. Anhand zentraler Prüfpunkte erkennen Sie, ob die wichtigsten Zero-Trust-Grundlagen bereits umgesetzt sind und wo konkrete Lücken bestehen.

Schritt	Maßnahme	Status
IAM	Sind alle privilegierten Konten mit Hardware-MFA geschützt?	[ ]
Asset Management	Sind alle Endpunkte im Intune/MDM erfasst und bewertet?	[ ]
Network	Sind kritische Datenbanken von allgemeinen User-Segmenten getrennt?	[ ]
Monitoring	Werden Anomalien im Nutzerverhalten in Echtzeit gemeldet?	[ ]

Häufige Fragen zur Zero Trust Implementierung

Was ist der Unterschied zwischen Zero Trust und klassischem VPN?

Ein VPN gewährt nach dem Login oft vollen Zugriff auf ein Netzwerksegment (“Castle-and-Moat”). Zero Trust hingegen prüft bei jeder einzelnen Applikation erneut Identität und Gerätestatus, unabhängig vom Netzwerkstandort.

Wie starte ich mit Mikrosegmentierung, ohne den Betrieb zu stören?

Starten Sie im “Visibility-Mode”. Beobachten Sie den Traffic für 30 Tage, bevor Sie strikte Blockier-Regeln aktivieren. So vermeiden Sie, dass kritische Geschäftsprozesse unterbrochen werden.

Ersetzt Zero Trust meine bestehende Firewall?

Nein, aber die Rolle der Firewall ändert sich. Sie wandelt sich von einer Außengrenze zu einem internen Segmentierungswerkzeug und einem Policy Enforcement Point (PEP)

Muss ich für Zero Trust meine gesamte Hardware austauschen?

Nein. Zero Trust startet auf der Software-Ebene (Identitätsanbieter, Gateways). Bestehende Hardware wird oft durch “Policy Enforcement Points” (PEP) ergänzt, statt ersetzt zu werden.

Gut zu wissen:

Die technischen Maßnahmen aus diesem Artikel zahlen direkt auf die Anforderungen des NIST CSF 2.0 (PR.AC – Identity Management and Access Control) und des BSI IT-Grundschutz (Baustein ORP.4 Identitäts- und Berechtigungsmanagement) ein.

Ein Beitrag von

Tizian Kohler

Head of IT-Security

Tizian Kohler ist seit Mai 2025 bei ADLON Intelligent Solutions tätig und verantwortet als Head of IT Security die strategische und operative Weiterentwicklung der IT-Sicherheit. In seiner Rolle berät und begleitet er Unternehmen bei der Einführung nachhaltiger Security-Strukturen – immer mit dem Ziel, digitale Geschäftsprozesse sicher und zukunftsfähig zu gestalten.

Vor seiner Tätigkeit bei ADLON sammelte Tizian Kohler umfassende Erfahrungen in verschiedenen Bereichen der IT-Sicherheit, unter anderem auch bei der Kriminalpolizei als Referent für Cybercrime und Digitale Spuren. In diesen unterschiedlichen Branchen vertiefte er seine Kenntnisse in Netzwerksicherheit, Cloud-Security, Incident Response und digitaler Forensik.

Bei ADLON unterstützt Tizian Kohler Kunden dabei, ihre Sicherheitsarchitektur resilient gegenüber aktuellen Bedrohungen auszurichten. Mit einem besonderen Fokus auf praxisorientierte Sicherheitsmaßnahmen sorgt er dafür, dass Sicherheitskonzepte nicht nur auf dem Papier bestehen, sondern aktiv im Unternehmensalltag wirken.