Zero Trust Architektur: Warum VPN keine Sicherheitsstrategie mehr ist
Ihr VPN schützt Sie. Das ist die Annahme, mit der die meisten Unternehmen arbeiten. Und diese Annahme ist falsch.
Nicht weil VPNs schlecht gebaut wären. Sondern weil sie für eine Welt gebaut wurden, die es so nicht mehr gibt. Das Sicherheitsmodell, auf dem VPNs basieren, stammt aus den 1990er-Jahren — einer Zeit, in der das Firmennetz im eigenen Keller stand, alle Mitarbeitenden im Büro saßen und der Begriff „Cloud” ein meteorologisches Phänomen war.
Zero Trust Architektur ist die strukturelle Antwort auf das, was seitdem passiert ist. Kein Produkt, das man kaufen kann. Kein Buzzword, das wieder verschwindet. Ein fundamentaler Paradigmenwechsel in der Art, wie Sicherheit gedacht wird.
Das Burggraben-Modell: Sicherheit durch Trennung
Um Zero Trust zu verstehen, muss man zunächst verstehen, was es ablöst.
Das klassische Sicherheitsmodell denkt in Perimetern. Der Perimeter ist die gedachte Grenze zwischen „sicher drinnen” (dem Unternehmensnetzwerk) und „unsicher draußen” (dem Internet). VPNs — Virtual Private Networks — sind die technische Umsetzung dieser Logik für Fernzugriff: Sie ziehen einen verschlüsselten Tunnel durch das Internet, durch den sich externe Geräte „ins Innere” einwählen können.
Das Burggraben-Prinzip in einem Satz:
Wer durch das Tor kommt und das richtige Passwort kennt, ist drin — und gilt ab diesem Moment als vertrauenswürdig. Was innen ist, ist sicher. Was außen ist, ist feindlich.
Diese Logik war in ihrer Zeit schlüssig. Anfang der 1990er-Jahre war das Netzwerk tatsächlich ein abgegrenzter, physisch kontrollierbarer Raum. Server standen im Serverraum, Mitarbeitende kamen ins Büro, und die Außendienstmitarbeiter, die gelegentlich per Einwahlverbindung zugreifen mussten, waren die Ausnahme, nicht die Regel.
Drei Jahrzehnte später sieht die Realität anders aus. Und das VPN-Modell trägt diese Last nicht mehr.
Warum das Perimeter-Modell in der Praxis scheitert
Die Grenze gibt es nicht mehr
Der Perimeter, den VPNs schützen sollen, existiert in den meisten Unternehmen faktisch nicht mehr. Drei Entwicklungen haben ihn aufgelöst:
- Cloud und SaaS-Anwendungen: Die meisten Geschäftsanwendungen laufen heute nicht mehr auf dem eigenen Server. Microsoft 365, ERP-Systeme, CRM-Tools, Videokonferenzen — all das läuft bei Drittanbietern, nicht im eigenen Rechenzentrum. Daten fließen an Dienste außerhalb des Perimeters. Ein VPN, das das Büronetz schützt, schützt davon gar nichts.
- Hybrides und mobiles Arbeiten: Mitarbeitende arbeiten vom Homeoffice, aus dem Hotel, im Zug. Geräte wechseln zwischen privaten WLANs und Unternehmensnetzen. Das „sichere Innere” ist zur Fiktion geworden — und das VPN verlängert diese Fiktion ins Digitale, ohne das zugrunde liegende Problem zu lösen.
- Supply-Chain-Zugriffe: Dienstleister, Wartungstechniker, externe Berater brauchen regelmäßig temporären Zugriff auf Systeme. Im klassischen Modell bedeutet das: VPN-Zugang einrichten, Zugangsdaten vergeben, hoffen, dass sie sorgfältig damit umgehen. Kontrolle über den tatsächlichen Zugriff gibt es kaum.
Das eigentliche Problem: Vertrauen als binärer Zustand
Das tiefere strukturelle Problem ist folgendes: Im Perimeter-Modell ist Vertrauen binär. Entweder ein Nutzer oder ein Gerät ist „drin” — dann hat es Zugang. Oder es ist „draußen” — dann nicht.
In der Praxis bedeutet das: Wer einmal Netzwerkzugang hat, kann sich oft lateral durch das Netz bewegen. Von Gerät zu Gerät, von System zu System. Nicht weil er besondere Rechte hätte — sondern weil das Netz flach ist und ihm vertraut wird.
Laterale Bewegung — das Standard-Angriffsmuster
Dieser Mechanismus ist das Standardvorgehen in nahezu jedem dokumentierten Netzwerkeinbruch: Ein kompromittiertes Benutzerkonto, eine Phishing-Mail, ein Gerät mit veralteter Firmware — und ein Angreifer ist nicht nur in einem System, sondern potenziell in allen. Das VPN hat die Mauer um das gesamte Netz gezogen, aber innerhalb der Mauer gibt es keine weiteren Türen.
Zero Trust Architektur: Das Gegenprinzip
Zero Trust dreht diese Grundannahme vollständig um.
Die Grundthese: Vertrauen ist kein Zustand, der einmalig hergestellt wird. Vertrauen ist ein Prozess, der kontinuierlich verdient werden muss.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen Ansatz in einem offiziellen Positionspapier zu Zero Trust als architektonisches Leitprinzip anerkannt. Die Kernaussage: Kein Nutzer, kein Gerät und kein System ist per se vertrauenswürdig — unabhängig davon, ob es sich im Unternehmensnetz befindet oder nicht.
Das bedeutet konkret: Jede Zugriffsanfrage wird behandelt wie die erste. Wer auf eine Ressource zugreifen will, muss — jedes Mal, nicht nur beim ersten Login — nachweisen, wer er ist, mit welchem Gerät er zugreift, von wo er zugreift, und ob dieser Zugriff im Kontext seiner Rolle sinnvoll ist.
Das Ergebnis: Anstatt einen großen, flachen Vertrauensraum zu schaffen, in dem sich Angreifer frei bewegen können, entstehen kleine, kontrollierte Zugriffsräume, in denen jede Interaktion geprüft und protokolliert wird.
VPN vs. Zero Trust Architektur: Der konzeptionelle Unterschied
| VPN (klassisch) | Zero Trust Architektur | |
|---|---|---|
| Vertrauensmodell | Einmal authentifiziert = dauerhaft vertrauenswürdig | Kontinuierliche Verifikation bei jeder Anfrage |
| Zugriffslogik | Netzwerkzugang → Zugriff auf alles Erlaubte | Identität + Gerät + Kontext → Zugriff auf genau eine Ressource |
| Angriffsfläche | Gesamtes Netzwerk nach erstem Login | Minimiert durch Isolierung einzelner Ressourcen |
| Laterale Bewegung | Möglich und bei Angreifern weit verbreitet | Strukturell verhindert durch Mikrosegmentierung |
| Cloud-Tauglichkeit | Begrenzt (netzwerkzentriert) | Nativ (identitätszentriert) |
| Sichtbarkeit | Eingeschränkt | Vollständige Protokollierung aller Zugriffe |
Der entscheidende Unterschied ist kein technischer, sondern ein konzeptueller: VPNs denken in Netzwerken. Zero Trust denkt in Identitäten.
Die vier Säulen einer Zero Trust Architektur
Zero Trust ist keine Einzelmaßnahme. Es ist das Zusammenspiel von vier strukturellen Prinzipien:
- Identität als neuer Perimeter
In einer Zero Trust Architektur ist die verifizierte Identität der einzige Zugangsmechanismus — nicht die Netzwerkzugehörigkeit. Das bedeutet: starke Authentifizierung (Multi-Faktor-Authentifizierung ist Minimum, nicht Kür), zentrales Identity Management und kontinuierliche Verifikation. Wer sich ausweisen kann, kommt rein — nicht weil er im richtigen Netz ist, sondern weil er nachweislich er selbst ist. - Minimale Zugriffsrechte (Least Privilege)
Jeder Nutzer, jedes System und jeder Prozess erhält genau die Rechte, die für seine konkrete Aufgabe notwendig sind — nicht mehr. Ein Buchhalter kommt nicht an die Produktionsdatenbank. Ein Wartungstechniker bekommt temporären Zugang auf genau ein System, für genau ein Zeitfenster. Diese Granularität ist im Perimeter-Modell kaum umsetzbar — in einer Zero Trust Architektur ist sie das Fundament. - Mikrosegmentierung
Statt eines großen, flachen Netzwerks wird die Infrastruktur in kleine, isolierte Segmente aufgeteilt, die untereinander nur dort kommunizieren dürfen, wo es explizit erforderlich ist. Selbst wenn ein Segment kompromittiert wird, bleibt der Schaden räumlich begrenzt. Laterale Bewegung — das Standardvorgehen bei Netzwerkeinbrüchen — wird damit zur strukturellen Ausnahme. - Kontinuierliche Überprüfung und Protokollierung
Zero Trust geht davon aus, dass Kompromittierungen passieren. Die Frage ist nicht „ob”, sondern „wann” — und wie schnell man es erkennt und eindämmt. Deshalb werden alle Zugriffsversuche, alle Netzaktivitäten und alle Anomalien lückenlos protokolliert. Ein plötzlicher Login aus einem anderen Land, ein Gerät mit veralteter Firmware, ein Nutzer, der außerhalb seiner üblichen Zeiten auf sensible Daten zugreift — all das triggert sofortige Maßnahmen.
Der Weg bis 2030: Kein Trend, sondern ein Strukturwandel
Zero Trust Architektur ist nicht das nächste Buzzword, das in drei Jahren wieder verschwindet. Es ist die logische Konsequenz einer Welt, in der der Perimeter aufgelöst ist — und in der Regulatorik und Bedrohungslandschaft gleichzeitig den Druck erhöhen.
Das im Dezember 2025 in Kraft getretene NIS2-Umsetzungsgesetz verpflichtet rund 30.000 Unternehmen in Deutschland zu nachweisbaren Sicherheitsmaßnahmen: starke Zugangskontrolle, Netzwerksegmentierung, Monitoring, Incident Response. Diese Anforderungen beschreiben im Kern eine Zero Trust Architektur, ohne den Begriff zu nennen. Wer NIS2-konform werden will, wird an Zero Trust nicht vorbeikommen. Das BSI-Positionspapier zu Zero Trust macht deutlich, dass dieser Ansatz als Referenzrahmen für moderne Sicherheitsarchitekturen gilt.
Auf technischer Seite hat sich bereits ein konkretes Umsetzungsformat etabliert: ZTNA — Zero Trust Network Access. ZTNA ist die technische Umsetzung des Zero Trust Prinzips für Fernzugriff. Statt einen Netzwerktunnel zu öffnen, gewährt ZTNA Zugriff auf genau die Anwendung, die ein Nutzer braucht — auf Basis seiner Identität, seines Gerätestatus und seines Kontexts. VPN-Ersatz, aber auf einer fundamental anderen konzeptuellen Grundlage.
Bis 2030 wird Zero Trust für Unternehmen jeder Größe kein Premiumkonzept mehr sein. Es wird der erwartete Standard sein — so wie HTTPS heute kein Alleinstellungsmerkmal mehr ist, sondern die Mindestanforderung.
Was das konkret für Ihr Unternehmen bedeutet
Für Kommunen, Versorger und mittelständische Unternehmen in der Region Rhein-Neckar beginnt der Weg zur Zero Trust Architektur oft mit einer ehrlichen Bestandsaufnahme: Wer hat gerade auf was Zugriff — und weiß ich das überhaupt sicher? Die Antwort auf diese Frage ist der erste Schritt hin zu einer Netzwerksicherheit, die der Realität von 2026 entspricht.
Praxis-Tipp: Zero Trust in fünf Phasen einführen
- Bestandsaufnahme: Welche Identitäten, Systeme und Zugriffsbeziehungen existieren in Ihrem Netzwerk? Was darf auf was zugreifen — und warum?
- Multi-Faktor-Authentifizierung einführen: Dieser Schritt hat die größte Hebelwirkung und ist unabhängig von allem anderen sofort umsetzbar.
- Mikrosegmentierung starten: Trennen Sie kritische Systeme (Finanzdaten, Produktionssysteme, Backups) vom Rest des Netzes.
- Monitoring aufbauen: Sichtbarkeit ist die Voraussetzung für Kontrolle. Ohne Logs keine Reaktion.
- VPN schrittweise ablösen: ZTNA-Lösungen können parallel zu bestehenden VPNs eingeführt und sukzessive ausgebaut werden.
Zero Trust ist ein Weg, kein Schalter.
Mehr über die technischen Grundlagen einer zeitgemäßen Netzwerk-Sicherheit und was das konkret für Ihre Infrastruktur bedeutet, finden Sie auf unserer Übersichtsseite. Oder werfen Sie einen Blick auf unser 360-Grad-IT-Sicherheitskonzept — von der Prävention über die Erkennung bis zur Reaktion.
Fazit
VPN war die richtige Antwort auf eine Frage, die sich so heute nicht mehr stellt. Zero Trust Architektur ist die Antwort auf die Frage, die sich wirklich stellt: Wie schütze ich Systeme und Daten in einer Welt, in der der Perimeter verschwunden ist, Identitäten das neue Ziel von Angreifern sind und jedes Gerät potenziell kompromittiert sein kann?
Die Antwort lautet nicht „besseres” VPN. Sie lautet: fundamentales Umdenken. Nicht Netzwerke schützen, sondern Identitäten und Zugriffsbeziehungen kontrollieren. Nicht einmal authentifizieren, sondern kontinuierlich verifizieren. Nicht darauf hoffen, dass niemand ins Netz kommt — sondern annehmen, dass jemand bereits drin ist, und dafür sorgen, dass er sich nicht weit bewegen kann.
Das ist Zero Trust. Und bis 2030 wird es der Standard sein.
Möchten Sie wissen, wo Ihr Unternehmen heute steht?
GEMAKOM begleitet Unternehmen und Kommunen in der Metropolregion Rhein-Neckar beim Aufbau zeitgemäßer Sicherheitsarchitekturen — herstellerunabhängig, regional und ohne Scheuklappen.
sales@gemakom.de | +49 6202 9260-0
Häufige Fragen zu Zero Trust & ZTNA
FAQ 1: Kann ZTNA mein VPN komplett ersetzen?
Für die meisten Unternehmen: Ja. ZTNA ersetzt klassische VPN-Verbindungen bei Remote-Zugriff, Cloud-Anwendungen und Homeoffice vollständig. Lediglich in Ausnahmefällen – etwa bei direktem Zugriff auf Netzwerk-Hardware – wird ein VPN-Tunnel noch benötigt. Als WatchGuard Gold Partner begleiten wir Sie bei der schrittweisen Migration von VPN zu ZTNA.
FAQ 2: Ist Zero Trust auch für kleine und mittlere Unternehmen umsetzbar?
Ja – und gerade der Mittelstand profitiert besonders. Zero Trust bedeutet nicht zwingend neue Hardware. Mit Microsoft 365, Entra ID und Conditional Access Policies lassen sich Zero Trust Prinzipien bereits mit vorhandenen Tools einführen. Wir begleiten KMU in der Metropolregion Rhein-Neckar Schritt für Schritt bei der Umsetzung.
FAQ 3: Was hat Zero Trust mit NIS2 und DORA zu tun?
Das NIS2-Umsetzungsgesetz schreibt seit Dezember 2025 für rund 30.000 Unternehmen in Deutschland nachweisbare Sicherheitsmaßnahmen vor – darunter Zugangskontrolle, Netzwerksegmentierung und Monitoring. Zero Trust erfüllt all diese Anforderungen gleichzeitig. Auch DORA, das ab Januar 2025 für den Finanzsektor gilt, fordert vergleichbare Maßnahmen. Zero Trust ist damit der effizienteste Weg zur Compliance.
FAQ 4: Wie lange dauert die Einführung einer Zero Trust Architektur?
Das hängt von der Ausgangssituation ab. Erste Quick Wins wie MFA und Conditional Access sind in 2–4 Wochen umsetzbar. Eine vollständige Zero Trust Architektur mit Mikrosegmentierung und Continuous Monitoring dauert 6–24 Monate. Wichtig: Jede Phase bringt sofort mehr Sicherheit – man muss nicht auf das Gesamtprojekt warten.
FAQ 5: Was kostet Zero Trust für ein mittelständisches Unternehmen?
Die Kosten variieren je nach Unternehmensgröße und bestehender Infrastruktur. ZTNA-Lösungen kosten typischerweise 8–25 Euro pro Nutzer und Monat. Dem gegenüber stehen durchschnittliche Kosten eines Cyberangriffs von mehreren hunderttausend Euro. Eine Forrester-Studie belegt 92 % ROI innerhalb von 3 Jahren. Sprechen Sie uns an – wir erstellen Ihnen ein individuelles Angebot.