Zero Trust: Sicherheit in einer vernetzten Welt neu denken

Illustration of a Zero Trust security model with a central lock labeled “Zero Trust,” connected to icons representing databases, users, identity, cloud, devices, and network.

Die digitalen Umgebungen von heute sind so vernetzt und dezentral wie nie zuvor. Klassische Sicherheitsmodelle, die auf einem vertrauenswürdigen Netzwerkperimeter beruhen, sind dafür nicht mehr ausreichend. Durch Cloud-Dienste, Remote-Arbeit und mobile Geräte werden die Grenzen von Unternehmensnetzwerken zunehmend aufgehoben, weshalb sich ein neues Grundprinzip etabliert hat: Zero Trust.

Zero Trust ist eine Cybersicherheitsstrategie, die auf einer einfachen Idee basiert: niemals vertrauen, immer überprüfen. Anstatt davon auszugehen, dass Nutzer oder Geräte innerhalb des Netzwerks sicher sind, wird bei einer Zero-Trust-Strategie fortlaufend jede Anfrage authentifiziert und autorisiert – unabhängig davon, ob sie von einem Laptop im Unternehmensnetzwerk, einem Handy im öffentlichen WLAN oder einer virtuellen Maschine in der Cloud stammt. Dabei spielen Identität, Gerätestatus, Standort und Kontext eine Rolle bei der Gewährung des Zugriffs. Jede Verbindung wird als potenziell bedrohlich behandelt, bis das Gegenteil bewiesen ist.

Drei Prinzipien bilden den Kern des Zero-Trust-Ansatzes:

  • Kontinuierliche Authentifizierung: Die Authentifizierung wird durch Multi-Faktor-Methoden, adaptive Risikobewertungen und regelmässige Überprüfungen des Gerätezustands verstärkt.

  • «Least Privilege»-Prinzip: Zugriffsrechte werden konsequent auf das Minimum beschränkt, das eine Person oder ein Dienst zur Erfüllung der jeweiligen Aufgabe benötigt.

  • Annahme eines Sicherheitsvorfalls: Die Architektur geht davon aus, dass es früher oder später zu einem Vorfall kommen wird. Entsprechend ist sie so gestaltet, dass Zugriffe eingegrenzt und laterale Bewegungen im Netzwerk verhindert werden.

Warum Zero Trust heute so wichtig ist

Angriffe über kompromittierte Anmeldedaten gehören weiterhin zu den häufigsten Ursachen für Datenverluste. Phishing-E-Mails und wiederverwendete Passwörter erleichtern Angreifern den Zugriff, aber Zero Trust begrenzt den Schaden, indem vor jedem Zugriff zusätzliche Nachweise der Identität sowie der Integrität des verwendeten Geräts verlangt werden. Durch diese kontinuierliche Überprüfung verlieren gestohlene Passwörter einen grossen Teil ihres Werts.

Remote- und Hybridarbeit lösen zudem die traditionellen Netzwerkgrenzen zunehmend auf. In einem Zero-Trust-Modell wird deshalb jede Verbindung grundsätzlich als extern behandelt und unabhängig vom Standort gleich streng überprüft. In cloudnativen Umgebungen ersetzen identitätsbasierte Richtlinien anfällige IP-basierte Firewall-Regeln und ermöglichen eine präzisere Steuerung, auf welche Dienste Nutzer zugreifen können. Selbst vertrauenswürdige Insider arbeiten mit minimalen Berechtigungen, wodurch sich die Folgen von unbeabsichtigtem oder böswilligem Missbrauch deutlich reduzieren.

Darüber hinaus verlangen viele regulatorische Rahmenwerke (z.B. die DSGVO der EU oder der HIPAA-Standard der USA) mittlerweile nachweisbare Kontrollen über Zugriffe und den Schutz sensibler Daten. Zero Trust bietet hier einen klar strukturierten und überprüfbaren Ansatz zur Compliance und stärkt zugleich das Vertrauen von Kunden.

Zero Trust und sicheres Messaging

Da Messaging-Tools zu den grössten Angriffsvektoren gehören, kann eine sichere Lösung mit Zero-Trust-kompatiblen Funktionen dazu beitragen, das systemische Risiko zu reduzieren.

Sowohl Threema Work als auch Threema OnPrem unterstützen Funktionen, die mit dem Zero-Trust-Sicherheitsmodell im Einklang stehen:

  • Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Architektur: Die gesamte Kommunikation ist durchgehend Ende-zu-Ende-verschlüsselt, einschliesslich Profilbildern und Statusmeldungen. Nach der Zustellung werden Nachrichten von den Servern gelöscht. Dies entspricht dem Zero-Trust-Grundsatz, dass keine Komponente implizit vertrauenswürdig ist und jede Interaktion geschützt werden muss.

  • Metadaten-Sparsamkeit: Bei Threema werden nur die absolut notwendigen Daten verarbeitet und gespeichert. Diese Datensparsamkeit reduziert die Angriffsfläche und begrenzt mögliche Schäden, falls eine Komponente kompromittiert wird.

  • Strenge Zugriffskontrollen: Threema Work bietet eine zentrale Nutzerverwaltung, die Integration mit Verzeichnisdiensten (z.B. Entra ID) sowie die Möglichkeit, Richtlinien für die Gerätenutzung festzulegen.

  • Option für vollständige Datenhoheit: Threema OnPrem kann auf der eigenen Infrastruktur des Unternehmens betrieben werden. Dies stärkt das Vertrauen und entspricht dem Zero-Trust-Prinzip, Ressourcen zu isolieren und Zugriffe explizit zu kontrollieren.

Der Einsatz eines Business-Messengers, der das Zero-Trust-Konzept unterstützt, kann Unternehmen dabei helfen, eine entsprechende Sicherheitsstrategie aufzubauen oder weiter zu stärken. Während Identitäts-, Geräte- und Überwachungskontrollen das Netzwerk und die Daten eines Unternehmens schützen, sorgt eine sichere Messaging-App wie Threema Work dafür, dass die gesamte Unternehmenskommunikation abgesichert bleibt. Zusammen bilden diese Massnahmen eine robuste Sicherheitsgrundlage für eine sich ständig wandelnde digitale Landschaft.

Follow us

Threema

Made in Switzerland © 2026 Threema GmbH.

swiss made software + swiss hosting swiss digital services Association for Corporate Data Protection