Mitarbeitende greifen heute aus dem Homeoffice und von unterwegs auf zentrale Unternehmensanwendungen zu. Die Anwendungen selbst laufen dabei längst verteilt: teils im eigenen Rechenzentrum, teils in privaten Clouds oder als SaaS-Dienst. Der klassische Fernzugriff per VPN passt zu dieser Realität immer schlechter, denn er wurde für eine Welt entworfen, in der alle wichtigen Systeme an einem Ort standen.
Zero Trust Network Access (ZTNA) setzt genau hier an. Die Technologie verbindet Nutzer gezielt mit einzelnen Anwendungen, prüft jeden Zugriff anhand von Identität, Gerätezustand und Kontext und macht das interne Netzwerk für Unbefugte unsichtbar. Für IT-Entscheider zählt ZTNA damit zu den wichtigsten Bausteinen einer zeitgemäßen Sicherheitsarchitektur.
Was ist Zero Trust Network Access (ZTNA)?
Zero Trust Network Access bezeichnet ein Sicherheitsmodell für den Zugriff auf Unternehmensanwendungen. Grundlage ist das Zero-Trust-Prinzip: Kein Nutzer und kein Gerät erhält Vertrauen allein deshalb, weil sich beide in einem bestimmten Netz befinden. Jede Zugriffsanfrage wird einzeln geprüft und autorisiert. Das gilt für den Zugriff aus dem Homeoffice genauso wie für den aus dem Büro.
Der entscheidende Unterschied zu älteren Ansätzen liegt in der Ebene des Zugriffs. ZTNA arbeitet auf Anwendungsebene: Ein freigegebener Nutzer erreicht exakt die Anwendungen, für die eine Richtlinie existiert. Das dahinterliegende Netzwerk bleibt für ihn verborgen. Systeme, die ein Angreifer nicht sehen kann, kann er weder scannen noch gezielt attackieren.
In der Praxis tritt ZTNA selten isoliert auf. Die Technologie ist ein Kernbaustein von SASE/SSE, einem Architekturmodell, das Netzwerk- und Sicherheitsfunktionen als Dienst aus der Cloud bereitstellt. ZTNA übernimmt darin den sicheren Zugriff auf private Anwendungen. Weitere Bausteine wie Secure Web Gateway und Cloud-Zugriffskontrolle sichern parallel den Zugriff auf Internet und SaaS-Dienste ab.
Wie funktioniert ZTNA?
Das technische Herzstück ist ein Broker, eine Vermittlungsinstanz zwischen Nutzern und Anwendungen. Der Broker nimmt jede Verbindungsanfrage entgegen, gleicht sie mit den hinterlegten Richtlinien ab und stellt erst nach erfolgreicher Prüfung einen verschlüsselten Tunnel zur Zielanwendung her. Ein direkter Netzwerkpfad zwischen Endgerät und Firmennetz entsteht zu keinem Zeitpunkt.
In die Zugriffsentscheidung fließen mehrere Faktoren ein:
- Identität: Die Authentifizierung läuft über den zentralen Identitätsdienst des Unternehmens, üblicherweise abgesichert durch Multi-Faktor-Authentifizierung.
- Gerätezustand: Der Broker prüft, ob das anfragende Gerät den Vorgaben entspricht, etwa bei Betriebssystemversion, Verschlüsselung und aktivem Endpoint-Schutz.
- Kontext: Auch Standort, Uhrzeit und die Sensibilität der Zielanwendung beeinflussen die Entscheidung.
Die Prüfung endet dabei nicht mit dem Login. ZTNA bewertet aktive Sitzungen fortlaufend neu: Verliert ein Gerät während der Sitzung seinen Compliance-Status, wird der Zugriff eingeschränkt oder beendet. Hinzu kommt ein struktureller Vorteil bei der Erreichbarkeit. Die Anwendungsumgebung baut die Verbindung von innen heraus zum Broker auf, eingehende Ports am Netzwerkrand entfallen. Private Anwendungen sind aus dem Internet dadurch schlicht nicht auffindbar.
Warum das wichtig ist
- Kleinere Angriffsfläche: Private Anwendungen bleiben von außen unsichtbar und bieten Angreifern keinen direkten Ansatzpunkt. Exponierte VPN-Gateways, ein beliebtes Einfallstor, entfallen komplett.
- Begrenzte Ausbreitung: Gestohlene Zugangsdaten oder kompromittierte Geräte öffnen höchstens den Weg zu einzelnen Anwendungen. Die laterale Bewegung durch das Netz, typisch für Ransomware-Angriffe, wird deutlich erschwert.
- Least Privilege in der Praxis: Jeder Nutzer erhält genau die Zugriffe, die seine Rolle erfordert. Berechtigungen lassen sich zentral vergeben und ebenso schnell wieder entziehen.
- Bessere Nutzererfahrung: Der Zugriff funktioniert von jedem Standort aus identisch und ohne Umweg über zentrale Einwahlpunkte. Das senkt Latenz und Supportaufwand.
- Nachvollziehbarkeit: Jeder Zugriff wird protokolliert und lässt sich einem Nutzer, einem Gerät und einer Anwendung zuordnen. Das erleichtert Audits und die Aufarbeitung von Vorfällen.
Typische Anwendungsfälle
- Hybrides Arbeiten: Mitarbeitende erhalten aus dem Homeoffice und unterwegs sicheren Zugriff auf interne Anwendungen, mit denselben Richtlinien wie im Büro.
- Externe Dienstleister: Partner und Wartungstechniker bekommen zeitlich und funktional begrenzten Zugriff auf einzelne Systeme, ohne das Firmennetz zu betreten.
- VPN-Ablösung: Unternehmen ersetzen ausgelastete oder verwundbare VPN-Infrastruktur schrittweise durch anwendungsbezogene Zugriffe.
- Fusionen und Übernahmen: Nach einem Zusammenschluss lassen sich Nutzer der übernommenen Organisation schnell anbinden, ohne die Netze beider Unternehmen zu koppeln.
- Schutz kritischer Systeme: Administrative Zugänge zu sensiblen Servern oder Produktionssystemen werden über zusätzliche Kontextprüfungen besonders abgesichert.
ZTNA vs. VPN
Ein VPN verbindet das Endgerät mit dem Unternehmensnetz. Nach der Einwahl bewegt sich der Nutzer innerhalb dieses Netzes oft weitgehend frei, denn die Kontrolle findet primär am Eintrittspunkt statt. Daraus ergeben sich die bekannten Probleme: Gestohlene Zugangsdaten verschaffen Angreifern weitreichenden Zugriff, und eine Schwachstelle im VPN-Gateway gefährdet die gesamte dahinterliegende Infrastruktur.
ZTNA dreht dieses Modell um. Der Zugriff gilt pro Anwendung, die Prüfung läuft kontinuierlich, und das Netz selbst bleibt verborgen. Hinzu kommt die bessere Skalierung: Cloudbasierte ZTNA-Dienste wachsen mit der Nutzerzahl mit, während VPN-Konzentratoren bei Lastspitzen zum Engpass werden.
Ein weiterer Unterschied betrifft den Weg der Daten. VPN-Verkehr läuft häufig über zentrale Gateways, selbst wenn die Zielanwendung in der Cloud liegt. Das erzeugt Umwege und spürbare Wartezeiten. ZTNA verbindet Nutzer auf direktem Weg mit der jeweiligen Anwendung, unabhängig davon, wo diese betrieben wird. In der Übergangsphase betreiben viele Unternehmen beide Ansätze parallel und verlagern Anwendungen Schritt für Schritt auf ZTNA.
ZTNA bei KAEMI
KAEMI integriert ZTNA als Baustein moderner SASE/SSE-Architekturen , die Zugriffsschutz, Web-Sicherheit und Netzwerkanbindung in einem Betriebsmodell vereinen. Ergänzend begrenzt Mikrosegmentierung die Ausbreitung von Angriffen innerhalb Ihrer Infrastruktur, damit Zero Trust auch hinter dem Zugangspunkt konsequent weitergeführt wird. Wenn Sie den Umstieg vom VPN planen, unterstützt Sie unser Team von der Analyse bis zum laufenden Betrieb: Nehmen Sie Kontakt auf .