Zero Trust braucht mehr als Technik, es braucht Architektur. Warum Enterprise Architects die treibende Kraft hinter nachhaltiger Security-Strategie sein müssen.
In den letzten Jahren wurde Zero Trust zu einem der meistgenannten Begriffe in der IT-Security, oft reduziert auf technische Maßnahmen wie MFA, Conditional Access oder Segmentierung. Was dabei häufig übersehen wird: Zero Trust ist kein reines Sicherheitsframework. Es ist eine Architektur- und Governance-Haltung.
Wenn Unternehmen Zero Trust ernst nehmen, geht es nicht nur um Technik, sondern um eine neue Art, Organisationen, Identitäten, Assets und Prozesse zu denken.
Und genau hier kommt die Enterprise Architecture ins Spiel.
Zero Trust als strategischer Treiber
Zero Trust basiert auf drei zentralen Prinzipien:
Verify Explicitly
Use Least Privilege Access
Assume Breach
Diese Prinzipien klingen erstmal simpel, die Realität ist jedoch komplex:
Wie organisiert man eine Organisation, in der jedes System, jeder Nutzer, jedes Gerät und jede Datenbewegung stets validiert, beschränkt und überwacht wird, ohne den Betrieb zu blockieren?
Hier braucht es Architekten, die nicht nur IT-Systeme verstehen, sondern auch Business Capabilities, Governance-Strukturen und strategische Roadmaps.
Warum Enterprise Architects gebraucht werden
Security ohne Architektur ist oft blind. Architektur ohne Security ist oft naiv.
Zero Trust fordert ein Umdenken in der gesamten IT-Landschaft und das betrifft:
Identitätsarchitektur: Wer ist der zentrale Identity Provider? Wie wird der Lifecycle gesteuert? Welche Rollenmodelle existieren?
Applikationsarchitektur: Welche Applikationen sind kritisch? Wie ist der Zugriff abgesichert? Welche Claims werden wo geprüft?
Device & Endpoint Management: Wie wird der Gerätestatus validiert? Wie erfolgt das Onboarding? Welche Bedrohungssignale (Signals) fließen ein?
Netzwerkdesign: Weg vom Perimeter, hin zur Microsegmentierung, Applikationsproxys, Context-basiertem Zugriff
Datenklassifikation und -zugriff: Wer darf welche Daten sehen, verändern, exportieren und warum?
Enterprise Architects sind in der einzigartigen Position, genau diese Disziplinen zu orchestrieren. Sie verstehen Prozesse, Systeme, Datenflüsse und können Sicherheitsstrategien in Unternehmensrealität übersetzen.
Praxis: Zero Trust beginnt bei Identity & Access
In der Praxis zeigt sich: Der Einstiegspunkt für Zero Trust ist fast immer Identity.
Ein Beispiel aus typischen Microsoft-Umgebungen:
Entra ID (ehem. Azure AD) als zentrales IAM
Conditional Access mit Signals wie Compliant Device, User Risk, Location
Rollenbasierte Zugriffe (RBAC / PIM / Custom Roles)
Just-in-Time Access, automatisiertes Entitlement Management
Integration in M365, Defender, Intune, Drittanbieter
Wer hier keine saubere Architektur plant, riskiert Wildwuchs, Intransparenz und Schattenzugriffe, also genau das Gegenteil von Zero Trust.
Hürden in der Realität
Viele Unternehmen stolpern beim Zero Trust-Ansatz über genau diese Punkte:
Unklare Verantwortlichkeiten zwischen Security, Infrastruktur, Applikationsbetrieb und Architektur
Fehlende Transparenz über bestehende Berechtigungen, Schatten-Identitäten, Adminrechte
Technologieeinsatz ohne Governance, z.B. Conditional Access ohne übergreifendes Modell
Mangelnde Verzahnung zwischen Identity, Devices, Daten, Apps und Netzwerk
Hier braucht es Architekten, die strategisch denken und operativ befähigen.
Fazit: Zero Trust gehört in die Architekturstrategie
Zero Trust darf kein reines Projekt der IT-Security bleiben.
Es braucht Architekten, die Zero Trust nicht als Technologie, sondern als ganzheitliche Architekturstrategie begreifen, entlang von People, Processes und Platforms.
👉 Die zentrale Aufgabe der nächsten Jahre: Security by Design zu einem Enterprise Architecture-Grundsatz zu machen.
Denn wer Zero Trust „nur einführt“, wird scheitern.
Wer es architektonisch verankert, schafft langfristige Sicherheit und Governance.
