Perimeter-Security-Technologien bieten eine Reihe von Services vom einfachen Firewall-Schutz bis hin zur End-to-End-Sicherheit. Trotzdem tauchen in vielen Netzwerken immer wieder Lücken und anfällige Zugangspunkte auf. Zero-Trust-Modelle versprechen Abhilfe.
Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen.
(Bild: Funtap - stock.adobe.com)
Die IT-Security konzentrierte sich lange Zeit auf den Schutz interner Daten und Systeme vor externen Angreifern. Die meisten Mitarbeiter arbeiteten vor Ort und Remote-Arbeitsplätze waren eher selten. Damals reichten Perimeter-basierte Security-Lösungen völlig aus, da die Unternehmen im Wesentlichen lokale Netzwerk-Operationen benötigten und die Anbindung der Mitarbeiter an Netzwerke ausschließlich im Büro vor Ort erfolgte.
Zugriffe durch ZTNA absichern
Längst veränderten Cloud Computing und Remote-Work die Netzwerk-Architekturen, die immer mehr Lücken und anfällige Zugangspunkte verursachten. Die Migration zu einem moderneren Zero-Trust-Modell kann Unternehmen dabei helfen, ihre Sicherheitslage zu verbessern. In diesem Modell wird die Grundannahme des Vertrauens durch das Prinzip „Niemals vertrauen, immer überprüfen“ ersetzt.
Zero Trust Network Access (ZTNA) ist eine IT-Security-Lösung, die auf der Grundlage klar definierter Zugriffsrichtlinien einen sicheren Fernzugriff auf die Anwendungen, Daten und Services eines Unternehmens ermöglicht. Das heißt, ein Zugriff auf definierte Anwendungen oder Ressourcen wird erst gewährt, nachdem der User bei einem ZTNA-Service authentifiziert wurde.
Nach der Authentifizierung gewährt die ZTNA dem User den Zugriff auf die spezifische Anwendung über einen sicheren, verschlüsselten Tunnel, der eine zusätzliche Sicherheitsebene bietet, indem er Anwendungen und Services vor IP-Adressen schützt, die sonst sichtbar wären.
Auf diese Weise verhalten sich ZTNAs sehr ähnlich wie Software Defined Perimeters (SDPs) und basieren auf der gleichen Idee einer sogenannten „Dark Cloud“, um zu verhindern, dass User Einblicke in andere Anwendungen und Services erhalten, auf die sie nicht zugreifen dürfen. Dies bietet auch Schutz vor „Side-Attacks“, da ein Angreifer selbst bei einem Zugriff nicht in der Lage wäre, andere Services zu scannen.
ZTNA vs. Perimeter-basierte Security-Lösungen
Im Vergleich zu den Perimeter-Security-Technologien bietet ZTNA vor allem die Möglichkeit, User, Anwendungen und Daten zu verbinden, auch wenn sie sich nicht im Netzwerk des Unternehmens befinden. Dies ist ein Szenario, das in heutigen Multi-Cloud-Umgebungen immer häufiger vorkommt, in denen auf Micro-Services basierende Anwendungen sowohl in mehreren Clouds als auch auf anderen Servern residieren.
ZTNA erfüllt den Bedarf zukunftsorientierter Unternehmen, ihre digitalen Assets überall, jederzeit und von jedem Gerät aus für eine verteilte Basis von Usern verfügbar zu machen. Dafür muss ein feingesteuerter Zugriff auf geschäftskritische Anwendungen und Daten hergestellt werden, ohne andere Services möglichen Angreifern auszusetzen.
Das ZTNA-Modell realisiert den Ansatz, dass nichts vertrauenswürdig sein kann, bis sich seine Vertrauenswürdigkeit bewiesen wurde. Noch wichtiger ist allerdings, dass das Vertrauen immer dann erneut authentifiziert werden muss, wenn sich etwas an der Verbindung wie beispielweise Standort, Kontext, IP-Adresse etc. verändert hat.
Abgrenzung zwischen VPN und ZTNA
Es gibt mehrere Unterschiede zwischen VPNs und ZTNA. VPNs sind in erster Linie darauf ausgelegt, einen netzwerkweiten Zugriff zu liefern, wobei ZTNAs den Zugriff auf bestimmte Ressourcen gewähren und häufig eine erneute Authentifizierung erfordern. Zu den Nachteilen von VPNs im Vergleich zu ZTNAs gehören:
Ressourcenauslastung
Wenn die Anzahl der Remote-User zunimmt, kann die Belastung des VPN zu höheren Latenz-Zeiten führen und das Hinzufügen neuer Ressourcen zum VPN erforderlich machen, um der wachsenden Nachfrage oder den Spitzennutzungszeiten gerecht zu werden. Dies bindet wiederum Personal in den IT-Teams.
Flexibilität
VPNs bieten nicht die Granularität, die ZTNA leistet. Darüber hinaus kann es problematisch sein, VPN-Software auf allen Endbenutzergeräten zu installieren und zu konfigurieren, die mit Unternehmensressourcen verbunden werden müssen. Umgekehrt wäre es dagegen viel einfacher, Security-Richtlinien und User-Autorisierung basierend auf den unmittelbaren Geschäftsanforderungen hinzuzufügen oder zu entfernen. Beispielsweise vereinfachen ABAC (Attribute Based Access Control) und RBAC (Role Based Access Control) in ZTNAs diese Aufgabe.
Feinsteuerung
Sobald sich ein User innerhalb eines VPN-Perimeters befindet, erhält er Zugriff auf das gesamte System. ZTNAs verfolgen den umgekehrten Ansatz und gewähren überhaupt keinen Zugriff, es sei denn, ein Asset – Anwendung, Daten oder Service – ist speziell für diesen User autorisiert. Im Gegensatz zu VPNs bieten ZTNAs eine kontinuierliche Identitätsüberprüfung basierend auf der Authentifizierung der Identität.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auf diese Weise wird jeder User und jedes Gerät verifiziert und authentifiziert, bevor ihnen ein Zugriff auf bestimmte Anwendungen, Systeme oder andere Assets gewährt wird. VPNs und ZTNAs lassen sich natürlich auch in Kombination miteinander verwenden, um beispielsweise die Sicherheit in einem besonders sensiblen Netzwerk-Segment zu erhöhen. Dies gilt insbesondere als zusätzliche Sicherheitsebene für den Fall, wenn ein VPN kompromittiert wurde.
Auswahl des ZTNA-Anbieters
In einem schnell wachsenden Markt der Anbieter von ZTNA-Technologien ist es wichtig, den richtigen Anbieter zu finden, der ein Unternehmen vollumfänglich unterstützt. Hier sind einige Fragen, die bei der Wahl eines geeigneten ZTNA-Anbieters zu stellen sind:
• Werden Daten der User offengelegt?
• Wer hat die Kontrolle über die Zugangsregeln?
• Wo werden Passwörter, Token, private Schlüssel aufbewahrt?
• Wie wird das Risiko interner Bedrohungen gemindert?
• Welchen Umfang hat ein sicherer Zugriff? Umfasst er User, Netzwerke, Apps usw.?
• Wie ist die Infrastruktur des ZTNA-Anbieters? Befinden sich die Server in der Cloud oder in einem Rechenzentrum? Wer kann darauf zugreifen?
• Die letzte, aber sehr wichtige Frage: Was passiert, wenn der ZTNA-Anbieter kompromittiert wird? Sind die Organisation und Daten der Kunden gefährdet?
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/10/b8/10b8f6fcd8e93dbfbab834c47b599830/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd9bbec53654083df8770aecac691a/0129224068v1.jpeg "Multi-Core Fibre bündelt mehrere parallele Lichtsignale in einer Faser. Colt erreicht im Londoner Metronetz 800 Gbit/s Leitungsgeschwindigkeit und validiert 100GE- und 400GE-Services. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5e/325e7dc99010c393d153ce94336c9924/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/83/fa832a75d3b143390e952ad803ea272c/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/28/e8/28e83bbfac2c484ed4864fe7de55d39c/0129243647v1.jpeg "Ricardo Rodríguez vom eSIM-Anbieter Holafly ist überzeugt, dass (multinationale) eSIM-Lösungen das Reisen für viele Geschäftskunden entscheidend verbessern wird. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/50/f350bd81b39d040543e8f7337584cda0/0129348689v1.jpeg "MikroTik fühlt sich laut Website verpflichten, stets nach den effektivsten Lösungen zu suchen, um die richtigen Geräte für die Netzwerke seiner Kunden zu liefern. Cornelius Hoffmann bestätigt das in seinem Praxisartikel. (Bild: MikroTik)")
:quality(80)/p7i.vogel.de/wcms/d9/9a/d99a053e7c8d89c7a77c6813cd6fd153/0129431972v2.jpeg "Mit einem Open Source Tool kann man KI aus Windows 11 verbannen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/63/b1/63b1a1b40a0e1b0c1e3e5db3f4ca9e65/0129432487v1.jpeg "Der aktuelle Lagebericht Observability 2025 verdeutlicht, dass nicht die Anzahl der Incidents, sondern Tool-Wildwuchs und fehlender Kontext die größte Belastung darstellen. (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/41/de/41de964aab28b05865562fd8c190a409/0129259457v1.jpeg "Das erweiterte Real User Monitoring soll echte Nutzerinteraktionen direkt mit Logs und Systemmetriken verknüpfen. (Bild: Dynatrace)")
:quality(80)/p7i.vogel.de/wcms/ad/6b/ad6bcd9a4a71813986e0c50836881e9f/0125105677v1.jpeg "Checkmk verstehen. Monitoring beherrschen. Der Workshop im Überblick. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/35/51/3551092f2bcf24a479b40174f1462f76/0129052509v1.jpeg "Im Einzelhandel entscheidet Netzverfügbarkeit zunehmend über den laufenden Betrieb. Zahlungsprozesse, Warenwirtschaft, digitale Preisauszeichnung und Kundenanwendungen hängen an derselben Infrastruktur. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/e5/a0/e5a0f4de62a580ed71280869402a9b64/0129197312v1.jpeg "Satellit als Rückfallebene: NTN-NB-IoT ergänzt Mobilfunknetze dort, wo klassische Abdeckung endet. (Bild: Skylo)")
:quality(80)/p7i.vogel.de/wcms/58/90/589012e9659a67c828b52806b2ae94fe/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/21/47/2147cbdfbcf0e9222f7372a69e3c68df/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/38/ca/38ca305fdd9ec806f05b75bb7e5ce3cb/0129229797v1.jpeg "Open Systems, Anbieter von co-managed SASE-Betriebsmodellen mit globaler Reichweite, hat eine Umfrage zu SASE, Zero Trust und dem Einsatz von SD-WAN-Infrastrukturen durchgeführt. (Bild: © Nirusmee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/05/a7052150963766d5f9c051fda4fa0360/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/18/fc/18fcff49f531de7e54368f6d7ad3012a/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/c6/67/c667b2013753f13d80a8af7b6e93f6d4/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b7/03/b703960e0f6b855b0254135a20288b0c/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/93500/93524/65.jpg "AL_Enterprise_logo_RGB.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134600/134600/65.jpg "vitel_logo.jpg ()")
:quality(80)/p7i.vogel.de/wcms/6b/11/6b110e0f713fe55c1538d3156e124839/0127136405v2.jpeg "ZTNA-Lösungen bieten identitäts- und kontextbasierte Zugriffe und machen so den unsicheren VPN-Fernzugriff überflüssig. (Bild: © Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/3d/2d3d45711b76840f55846759b29b062c/0124568503v1.jpeg "Durch die konsequente Minimierung der Angriffsfläche erschwert Zero Trust Network Access Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der IT-Sicherheit moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht. (Bild: Dall-E / KI-generiert)")