Zum Inhalt springen
Zurück zu Tutorials
zero-trust-architecture hybrid-cloud-security identity-security network-security

Zero-Trust-Kontrollen fuer hybride und Multi-Cloud-Umgebungen implementieren

Fortgeschritten · 1 hour 15 minutes · 11 Min. Lesezeit · Byte Smith ·

Bevor du beginnst

  • Ein Identitaets-Provider oder SSO-Plattform mit Conditional Access oder Policy-Kontrollen
  • Ein aktuelles Inventar von Anwendungen, Cloud-Umgebungen und wichtigen Netzwerkpfaden
  • Einblick in Geraeteverwaltung, Endpunkt-Compliance und MFA-Registrierung
  • Zugriff auf Netzwerkdiagramme oder Cloud-VPC- und Firewall-Konfigurationen
  • Eine funktionsuebergreifende Eignerliste, die Identitaets-, Netzwerk-, Anwendungs- und Datenteams abdeckt

Was du lernen wirst

  • Ihre aktuellen Vertrauensannahmen ueber Identitaets-, Geraete-, Netzwerk-, Anwendungs- und Datenschichten bewerten
  • Identifizieren, wo breites implizites Vertrauen noch echtes Risiko erzeugt
  • Die wirkungsvollsten Zero-Trust-Verbesserungen fuer Ihre Umgebung priorisieren
  • Praktische Policy-Basislinien fuer jede Kontrollschicht aufbauen
  • Eine phasenweise Roadmap von Sichtbarkeit bis adaptivem Vertrauen definieren
  • Fortschritt mit Metriken messen, die tatsaechliche Risikoreduktion widerspiegeln
1
2
3
4
5
6
7
8
9
Auf dieser Seite

Zero Trust ist am nuetzlichsten, wenn es von der Strategie in spezifische, messbare Kontrollen uebergeht. Der Blogpost zur Zero-Trust-Architektur behandelt die Prinzipien, Deployment-Muster und haeufigen Fehler. Dieses Tutorial ist der praktische Begleiter: Sie werden Ihre aktuelle Vertrauenshaltung bewerten, die risikoreichsten Luecken identifizieren, praktische Policy-Basislinien fuer jede Kontrollschicht aufbauen und eine phasenweise Implementierungs-Roadmap erstellen.

Der Ansatz folgt NIST SP 800-207 und behandelt Zero Trust als Entscheidungssystem ueber fuenf Kontrollschichten: Identitaet, Geraete, Netzwerk, Anwendungen und Daten. Die meisten Organisationen haben bereits teilweise Abdeckung. Die Arbeit besteht darin, herauszufinden, wo breites implizites Vertrauen noch existiert, und es durch praezisere, verifizierbare Kontrollen zu ersetzen.

Schritt 1: Aktuelle Vertrauensannahmen bewerten

Bevor Sie irgendetwas implementieren, brauchen Sie ein ehrliches Bild davon, wo Ihre Umgebung noch auf implizites Vertrauen setzt. Diese Bewertung ist die Grundlage fuer jede folgende Verbesserung.

Ein Vertrauensannahmen-Inventar erstellen

Verwenden Sie ein strukturiertes Format, um jede Kontrollschicht gegen Ihren aktuellen Stand abzubilden. Seien Sie ehrlich — das Ziel ist, Luecken zu finden, nicht ein sauber aussehendes Dokument zu produzieren.

identity:
  mfa_coverage:
    privileged_users: "partial"  # passkeys, push, sms?
    standard_users: "partial"
    third_party: "none"
  conditional_access:
    enabled: true
    covers_all_apps: false
    uses_device_signals: false
    uses_risk_signals: false
  privilege_management:
    jit_access: false
    standing_admin_accounts: 12
    break_glass_accounts: 2
    last_access_review: "2025-09-01"

devices:
  managed_coverage: "70%"
  compliance_required_for_access: false
  unmanaged_device_policy: "unrestricted"
  byod_controls: "none"

network:
  vpn_provides_broad_access: true
  internal_segmentation: "minimal"
  east_west_controls: "firewall zones only"
  egress_filtering: "basic"
  legacy_protocols_allowed: true

applications:
  sso_coverage: "60%"
  per_app_authorization: "inconsistent"
  session_controls: "default vendor settings"
  api_auth: "mixed — some API keys, some OAuth"
  service_to_service_identity: "minimal"

data:
  classification_exists: false
  least_privilege_data_access: "inconsistent"
  dlp_controls: "email only"
  encryption_at_rest: "partial"
  sensitive_data_audit_trails: "limited"

Jede Schicht bewerten

Weisen Sie fuer jede Kontrollschicht eine einfache Reifebewertung zu:

  • Ad hoc: Keine konsistenten Kontrollen; Vertrauen ist meist implizit
  • Grundlegend: Einige Kontrollen existieren, sind aber inkonsistent oder unvollstaendig
  • Policy-gesteuert: Kontrollen sind definiert, erzwungen und decken die meisten Ressourcen ab
  • Adaptiv: Kontrollen verwenden Echtzeitsignale, Telemetrie und automatisierte Reaktion

Die meisten Organisationen werden eine Mischung sein. Das ist normal und erwartet.

Die risikoreichsten Vertrauensannahmen identifizieren

Suchen Sie nach Mustern wie:

  • VPN gewaehrt breiten internen Zugriff ohne weitere Pruefungen
  • Admin-Konten verwenden dieselbe MFA wie Standard-Benutzer
  • Nicht verwaltete Geraete greifen auf dieselben Ressourcen zu wie verwaltete
  • Interne APIs haben keine Authentifizierung oder Autorisierung
  • Sensible Datenspeicher haben kein Zugriffsprotokollierung
  • Drittanbieter-Konten haben staendigen Zugriff ohne Review
Tipp
Die gefaehrlichsten Vertrauensannahmen sind oft die aeltesten. Sie stammen aus der Zeit vor Ihrem aktuellen Sicherheitsstack und niemand hat sie ueberarbeitet.

Sie sollten nun eine klare Basislinie haben, die zeigt, wo implizites Vertrauen am staerksten und wo Kontrollen am schwaechsten sind.

Schritt 2: Identitaetskontrollen haerten

Identitaet ist normalerweise der schnellste Ort, um messbaren Zero-Trust-Fortschritt zu erzielen, weil die meisten Zugriffsentscheidungen bereits davon abhaengen.

Eine Conditional-Access-Basislinie aufbauen

Definieren Sie Policies ueber vier Stufen, die Zugriffsentscheidungen an den Identitaetskontext anpassen, nicht nur “ist der Benutzer authentifiziert”:

  1. Privilegierter Zugriff — Admins, IdP-Admins, Cloud-Admins: Phishing-resistente MFA verlangen, konformes Geraet, kurze Sessions (4 Stunden), Reauth bei Rollenaenderungen
  2. Sensible Apps — Finanzen, HR, Recht, Help-Desk: MFA verlangen (bevorzugt Phishing-resistent), verwaltetes Geraet, 8-Stunden-Sessions
  3. Standard-Workforce — alle Mitarbeiter: MFA verlangen, Legacy-Auth blockieren, 12-Stunden-Sessions, risikobasierte Anmelde-Policy
  4. Drittanbieter — Auftragnehmer, Anbieter, Partner: MFA verlangen, auf verwaltete/vertrauenswuerdige Geraete beschraenken, 8-Stunden-Sessions, 90-Tage-Zugriffsreviews

Fuer detaillierte Conditional-Access-Konfiguration, Registrierungs-Flows und phasenweise Durchsetzungs-Policies, siehe Enterprise Passkeys und Phishing-resistente MFA ausrollen.

Staendige Privilegien reduzieren

Kartieren Sie jedes Konto mit staendigem Admin-Zugriff und bestimmen Sie, welche auf Just-in-Time (JIT)-Aktivierung ueber PIM/PAM umgestellt werden koennen. Deaktivieren Sie ruhende Konten (6+ Monate inaktiv) und abgelaufene Anbieterkonten. Halten Sie mindestens zwei Break-Glass-Konten aufrecht, die offline gespeichert, ueberwacht und regelmaessig getestet werden.

Fuer detailliertes Identitaetsrisikoinventar und Privilegisolierungs-Guidance, siehe Abwehr von Identity-First-Angriffen.

Warnung
Staendige Admin-Konten, die Conditional Access umgehen, sind die haeufigste Hintertuer in ansonsten starken Zero-Trust-Programmen.

Sie sollten nun eine Conditional-Access-Basislinie und einen Plan zur Reduzierung staendiger Privilegien haben.

Schritt 3: Geraetevertrauen staerken

Ein gueltiger Benutzer auf einem kompromittierten oder nicht verwalteten Geraet sollte nicht dasselbe Vertrauen erhalten wie einer auf einem gesunden, verwalteten Endpunkt.

Geraetevertrauensstufen definieren

Verwenden Sie drei Stufen, um die Geraetehaltung dem Zugriffumfang zuzuordnen:

  • Stufe 1 (volles Vertrauen): Unternehmensverwaltetes Geraet, gepatchtes OS, aktiver EDR, Festplattenverschluesselung, MDM-konform: Zugriff auf alle Apps einschliesslich Admin-Konsolen
  • Stufe 2 (bedingtes Vertrauen): Registriertes Geraet, unterstuetztes OS, grundlegende Sicherheitspruefungen: Standard-Produktivitaets-Apps, keine Admin-Konsolen
  • Stufe 3 (eingeschraenktes Vertrauen): Jedes Geraet, nur Browser: Web-E-Mail und grundlegende Zusammenarbeit, keine Downloads, kuerzere Sessions

Fuer detaillierte Geraete-Audit-Checklisten und Browser/Endpunkt-Policy-Matrizen, siehe Enterprise Passkeys ausrollen (Geraetekompatibilitaets-Audit) und Abwehr von Identity-First-Angriffen (Geraetevertrauens-Durchsetzung).

Compliance in Zugriffs-Policies erzwingen

Verbinden Sie Geraetevertrauen mit Ihren Conditional-Access-Policies:

  • Stufe 1 erforderlich fuer Admin- und sensible Anwendungen
  • Stufe 2 Minimum fuer Standard-Workforce-Anwendungen
  • Stufe 3 nur fuer Low-Sensitivity-Zugriff mit zusaetzlichen Einschraenkungen erlaubt
  • Zugriff komplett blockieren, wenn kein Geraetesignal verfuegbar ist und die Ressource sensibel ist

BYOD und nicht verwaltete Geraete adressieren

Ignorieren Sie nicht verwaltete Geraete nicht. Definieren Sie, worauf sie zugreifen koennen und worauf nicht:

  • Nur-Web-Zugriff auf Low-Risk-Apps ueber verwalteten Browser oder virtuellen Desktop erlauben
  • Zugriff auf Admin-Konsolen, Finanzsysteme und sensible Datenspeicher blockieren
  • Staerkere Authentifizierung fuer nicht verwaltete Geraete-Sessions verlangen
  • Nicht verwaltete Geraetezugriffsmuster protokollieren und ueberwachen

Sie sollten nun ein Geraetevertrauensmodell haben, das in Ihre Zugriffs-Policies einfliesst.

Schritt 4: Netzwerkkontrollen verschaerfen

Zero Trust eliminiert keine Netzwerkkontrollen. Es macht sie gezielter und weniger abhaengig von Standort als primaeres Vertrauenssignal.

Aktuelles Netzwerkvertrauen auditieren

vpn:
  current_model: "full-tunnel to corporate network"
  grants_broad_access: true
  action: "move to split-tunnel or app-specific access"

internal_segmentation:
  current_state: "flat network with basic VLAN separation"
  lateral_movement_risk: "high"
  action: "identify top 5 critical segments to isolate first"

cloud_networking:
  vpc_peering: "broad peering between production and dev"
  security_groups: "permissive defaults in older accounts"
  action: "tighten security groups, remove unnecessary peering"

east_west_traffic:
  current_controls: "none beyond VLAN boundaries"
  service_mesh: false
  action: "evaluate workload identity and microsegmentation for critical paths"

egress:
  current_filtering: "basic proxy for web traffic"
  dns_filtering: true
  action: "add egress controls for sensitive workloads"

Netzwerkverbesserungen priorisieren

Nicht jeder Netzwerkpfad braucht am ersten Tag Microsegmentierung. Beginnen Sie mit:

  1. Admin-Zugriffspfade — Admin-Konsolen und privilegierte Management-Interfaces isolieren
  2. Hochwertige Datenspeicher — Netzwerkzugriff auf Datenbanken und Dateifreigaben mit sensiblen Daten einschraenken
  3. Cloud-zu-Cloud-Pfade — VPC-Peering, Security Groups und Cross-Account-Zugriff verschaerfen
  4. Legacy-Protokoll-Exposition — SMB, RDP und andere Protokolle identifizieren und einschraenken, die nicht breit erreichbar sein sollten
  5. VPN-Umfang — VPN von vollem Netzwerkzugriff auf anwendungsspezifischen Zugriff reduzieren
Hinweis
Microsegmentierung ist wertvoll, aber uebermassig ambitionierte Segmentierungsprojekte stagnieren oft. Beginnen Sie mit den risikoreichsten Pfaden und erweitern Sie schrittweise.

Sie sollten nun ein Netzwerkvertrauens-Audit und eine priorisierte Liste von Verbesserungen haben.

Schritt 5: Anwendungs- und API-Kontrollen verbessern

Anwendungen und APIs sind der Ort, an dem viele Zero-Trust-Schwaechen tatsaechlich leben. Starke Identitaets- und Netzwerkkontrollen sind weniger wichtig, wenn die Anwendung selbst schwache Autorisierung hat.

Anwendungszugriffskontrollen auditieren

Bewerten Sie vier Dimensionen ueber Ihr Anwendungsportfolio:

  • SSO-Abdeckung: Wie viele Apps sind hinter SSO vs. lokaler Auth vs. keiner Auth? SSO-Migration fuer Apps mit lokaler Auth priorisieren und nicht authentifizierte interne Apps evaluieren.
  • Session-Kontrollen: Wie viele Apps verwenden benutzerdefinierte Session-Policies vs. Anbieter-Defaults? Kuerzere Sessions zuerst fuer Admin- und Finanz-Apps anwenden.
  • API-Auth: Endpunkte nach Auth-Methode klassifizieren (OAuth/OIDC, API-Key, keine). API-Key-only-Endpunkte auf OAuth migrieren und nicht authentifizierte APIs schliessen.
  • Service-zu-Service: Services identifizieren, die Workload-Identity vs. geteilte Secrets vs. keine Auth verwenden. Services mit geteilten Secrets auf Workload-Identity migrieren.

Pro-App-Autorisierungspruefungen definieren

Verifizieren Sie fuer kritische Anwendungen, dass Autorisierung auf der richtigen Ebene erzwungen wird: Objekt-Level-Zugriff, Funktions-Level-Zugriff, Tenant/Organisationsgrenzen und Admin- vs. Standard-Benutzertrennung.

Fuer den vollstaendigen API-Sicherheits-Audit-Workflow mit Codebeispielen und Behebungsvorlagen, siehe APIs pruefen und absichern mit dem OWASP API Security Top 10.

Sie sollten nun ein klares Bild der Anwendungs- und API-Luecken und eine priorisierte Verbesserungsliste haben.

Schritt 6: Datenschicht-Schutz hinzufuegen

Zero Trust ist unvollstaendig, wenn Zugriffsentscheidungen an der Anwendungsschicht aufhoeren, waehrend Daten zu frei fliessen.

Mit Klassifizierung beginnen

Sie brauchen keine perfekte Klassifizierungstaxonomie. Beginnen Sie mit drei Stufen:

tiers:
  restricted:
    examples:
      - customer PII
      - financial records
      - credentials and secrets
      - regulated data (HIPAA, PCI, SOX)
    controls:
      - strict access control
      - encryption at rest and in transit
      - audit logging on all access
      - DLP monitoring
      - no broad sharing

  internal:
    examples:
      - business plans
      - internal communications
      - employee data
      - source code
    controls:
      - role-based access
      - encryption at rest
      - access logging
      - controlled sharing

  public:
    examples:
      - marketing content
      - published documentation
      - public APIs
    controls:
      - integrity controls
      - version management

Least-Privilege-Datenzugriff anwenden

Verifizieren Sie fuer jeden eingeschraenkten Datenspeicher:

  • Wer hat derzeit Zugriff? Ist er breiter als noetig?
  • Gibt es geteilte Konten oder Service-Konten mit direktem Datenzugriff?
  • Wird der Zugriff protokolliert und auditierbar?
  • Koennen Daten ohne Kontrollen exportiert oder heruntergeladen werden?
  • Gibt es veraltete Berechtigungen von ehemaligen Mitarbeitern oder abgeschlossenen Projekten?

Exfiltrations-bewusste Kontrollen hinzufuegen

Fokussieren Sie sich auf die Pfade, die am wahrscheinlichsten sensible Daten nach aussen bewegen:

  • Grosse Datenexporte aus SaaS-Apps
  • E-Mail-Weiterleitungsregeln an externe Domains
  • Cloud-Storage-Freigabe an persoenliche Konten
  • API-Antworten, die mehr Daten als noetig zurueckgeben
  • Admin-Tools, die Bulk-Export von Datensaetzen ermoeglichen

Sie sollten nun eine Datenklassifizierungs-Basislinie und konkrete Schritte zur Verschaerfung des Datenzugriffs haben.

Schritt 7: Eine phasenweise Roadmap aufbauen und Fortschritt messen

Zero Trust ist kein einzelnes Projekt. Es ist eine Abfolge kontrollierter Verbesserungen. Definieren Sie klare Phasen, damit der Fortschritt sichtbar und nachhaltig ist.

Reifephasen definieren

phase_1_visibility_and_hygiene:
  timeline: "now — 90 days"
  goals:
    - complete trust assumptions assessment
    - inventory all identities, devices, apps, and data stores
    - enforce MFA for all users
    - require phishing-resistant MFA for privileged users
    - remove dormant accounts and standing privileges
    - document network trust paths and VPN scope
  success_criteria:
    - "100% MFA coverage"
    - "all standing admin accounts reviewed"
    - "trust assessment completed for all 5 layers"

phase_2_policy_enforced_access:
  timeline: "90 — 180 days"
  goals:
    - deploy conditional access policies across all tiers
    - require device compliance for sensitive applications
    - reduce VPN to app-specific access
    - bring top apps behind SSO
    - shorten sessions for admin and finance apps
    - start service-to-service identity migration
  success_criteria:
    - "conditional access covers all critical apps"
    - "device compliance required for admin access"
    - "VPN scope reduced by 50%"

phase_3_segmentation_and_workload_trust:
  timeline: "180 — 365 days"
  goals:
    - isolate admin and high-value network segments
    - deploy workload identity for critical service paths
    - migrate remaining API-key-only services to OAuth
    - implement data classification and access controls
    - add microsegmentation for highest-risk east-west paths
  success_criteria:
    - "admin network segments isolated"
    - "workload identity covers top 10 service paths"
    - "restricted data stores have audit logging"

phase_4_continuous_adaptive_trust:
  timeline: "ongoing"
  goals:
    - use risk signals to adjust access dynamically
    - automate privilege escalation and de-escalation
    - integrate threat intelligence into access decisions
    - continuous compliance monitoring
    - regular red team and tabletop exercises
  success_criteria:
    - "risk-based policies active for all critical apps"
    - "mean time to revoke access under 1 hour"
    - "annual tabletop covers identity, network, and data scenarios"

Metriken verfolgen, die echte Risikoreduktion zeigen

Vermeiden Sie Vanity-Metriken. Messen Sie, ob Vertrauen tatsaechlich enger wird:

identity:
  - "% of users on phishing-resistant MFA"
  - "# of standing admin accounts (target: decrease)"
  - "average time-to-revoke during incidents"
  - "% of third-party accounts with access reviews current"

devices:
  - "% of access from compliant devices"
  - "% of sensitive app access from unmanaged devices (target: decrease)"

network:
  - "# of broad VPN connections vs app-specific access"
  - "# of critical segments with enforced isolation"

applications:
  - "% of apps behind SSO"
  - "# of APIs using proper auth vs API keys or no auth"
  - "# of services using workload identity"

data:
  - "% of restricted data stores with access logging"
  - "# of overly broad data sharing permissions (target: decrease)"
Tipp
Die nuetzlichste Zero-Trust-Metrik ist nicht “wie viele Tools haben wir deployed”, sondern “wie viele breite Vertrauensannahmen haben wir entfernt.”

Haeufige Einrichtungsprobleme

Zero Trust als Produktkauf behandeln

Zero Trust ist ein Kontrollmodell, kein Produkt. Ein “Zero Trust”-Tool zu kaufen, ohne Zugriffs-Policies, Privilegienmodelle und Netzwerkpfade zu aendern, verbessert die Vertrauenshaltung nicht.

Den Umfang zu gross machen

Programme, die versuchen, alles auf einmal zu transformieren, stagnieren normalerweise. Beginnen Sie mit den risikoreichsten Vertrauensannahmen und erweitern Sie von dort.

Anwendungen und APIs ignorieren

Wenn Identitaets- und Netzwerkkontrollen stark sind, aber Anwendungen schwache Autorisierung, Session-Handling oder API-Auth haben, ist die echte Durchsetzungsluecke auf der App-Schicht.

Legacy-Vertrauenspfade am Leben lassen

Moderne Kontrollen am Rand hinzuzufuegen, waehrend breiter VPN-Zugriff, flache interne Netzwerke und ueberprivilegierte Admin-Pfade bestehen bleiben, schwaecht das gesamte Modell.

Deployed Tools statt reduziertes Risiko messen

Zaehlen Sie entfernte Vertrauensannahmen, nicht deployed Produkte.

Zusammenfassung

Zero Trust in hybriden und Multi-Cloud-Umgebungen funktioniert am besten, wenn Sie es als systematische Anstrengung behandeln, breites implizites Vertrauen zu finden und durch engere, policy-gesteuerte Kontrollen zu ersetzen. Beginnen Sie mit der Vertrauensbewertung, priorisieren Sie Identitaet und privilegierten Zugriff, weil sie die schnellste Risikoreduktion liefern, und erweitern Sie dann in Geraetevertrauen, Netzwerksegmentierung, Anwendungskontrollen und Datenschutz.

Die phasenweise Roadmap haelt die Arbeit nachhaltig. Die Metriken halten sie ehrlich. Und der schichtuebergreifende Ansatz stellt sicher, dass Sie nicht nur Vertrauensprobleme von einer Schicht auf eine andere verschieben.

Fuer den strategischen Kontext hinter diesen Kontrollen, siehe Zero Trust Architecture in Practice for Hybrid and Multi-Cloud. Fuer identitaetsspezifische Haertung, siehe Abwehr von Identity-First-Angriffen und Enterprise Passkeys ausrollen.

Holen Sie sich die kostenlose Zero Trust Controls Assessment →

Verwandte Artikel

Abwehr von Identity-First-Angriffen: Session-Diebstahl, AiTM-Phishing und 'Einloggen'-Angriffe

Erfahren Sie, wie Sie sich gegen Identity-First-Angriffe verteidigen mit Phishing-resistenter MFA, Session-Haertung, AiTM-Abwehr, Erkennungsregeln und Response-Playbooks.

identity-securityphishing-resistant-mfasession-security