Zero-Trust-Eckpunkte Bund
Erstellt am: 20. April 2026 | Zuletzt geändert: 20. April 2026 | Autor: Matthias (GitLab)
Ziel des Dokuments: Diese Seite fasst das BSI-Positionspapier Zero Trust (2023) zusammen – das maßgebliche Referenzdokument des Bundes für die Einführung von Zero-Trust-Architekturen in der Bundesverwaltung. Es definiert die regulatorischen Eckpunkte, die bei jeder Architekturentscheidung im D-Stack-Kontext zu berücksichtigen sind.
Dieses Dokument beschreibt die regulatorische Vorgabe (das „Was“). Die technische Umsetzung (das „Wie“) ist in der Zero-Trust-Referenzarchitektur dokumentiert. Die Anforderungsprofile für Zero Trust werden durch den modernisierten IT-Grundschutz (IT-Grundschutz++) definiert.
Quelldokumentfeedback
| Eigenschaft | Wert |
|---|---|
| Titel | Positionspapier Zero Trust |
| Herausgeber | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Datum | 04. Juli 2023 |
| Ergänzung | Management Blitzlicht Zero Trust (09.10.2023) |
| Kontakt | zero-trust@bsi.bund.de |
| Quellen | Positionspapier (PDF), Management Blitzlicht (PDF) |
Definition und Kernkonzeptfeedback
Zero Trust ist ein aus dem „Assume Breach"-Ansatz entwickeltes Architekturdesign-Paradigma. Es basiert im Kern auf dem Prinzip der minimalen Rechte (Least Privilege) aller Entitäten in der Gesamtinfrastruktur.
Im Gegensatz zur klassischen Perimetersicherheit („Burg und Burggraben") behandelt Zero Trust jeden Zugriff als potenziell nicht vertrauenswürdig – unabhängig davon, ob er aus dem internen Netz oder von außerhalb kommt.
Grundprinzipien des BSI-Positionspapiersfeedback
1. Kein implizites Vertrauenfeedback
Jeder Zugriff wird grundsätzlich als nicht vertrauenswürdig behandelt, unabhängig vom Netzwerkstandort. Vertrauen wird dynamisch, basierend auf Kontext und Risikobewertung, gewährt.
2. Datenzentrierter Schutzfeedback
Ausgehend von einem datenzentrischen Ansatz bezieht sich die Schutzwirkung vorrangig auf die Schutzziele Integrität und Vertraulichkeit. Die Verfügbarkeit wird durch komplementäre Maßnahmen adressiert.
3. Minimale Rechte aller Entitätenfeedback
Jede Identität (Nutzer, Geräte, Dienste) erhält nur die minimal notwendigen Berechtigungen – Just-In-Time und Just-Enough-Access.
4. Kontinuierliche Verifikationfeedback
Zugriffsrechte werden fortlaufend überprüft und nicht einmalig gewährt. Änderungen im Kontext (Gerätegesundheit, Netzwerkumgebung, Verhalten) führen zu einer erneuten Bewertung.
5. Ganzheitlicher Ansatzfeedback
Zero Trust vereint bekannte Sicherheitsmaßnahmen und Best Practices zu einem übergreifenden Konzept. Es ist keine einzelne Technologie, sondern ein Architekturparadigma.
Schutzbereiche (Säulen)feedback
Das BSI-Positionspapier orientiert sich an den Säulen des CISA Zero Trust Maturity Models und NIST SP 800-207:
| Säule | Beschreibung | D-Stack-Bezug |
|---|---|---|
| Identitäten | Starke Authentifizierung, MFA, identitätsbasierte Zugriffssteuerung | BundID, EUDI-Wallet, EfA-SSO |
| Geräte | Gerätezustand und -compliance als Entscheidungsgrundlage | MDM, EDR, TPM/Secure Boot |
| Netzwerk | Mikrosegmentierung, Abkehr vom Perimeterschutz | Service Mesh (Istio), NetworkPolicies |
| Anwendungen/Workloads | Anwendungssicherheit, sichere Entwicklungsprozesse | CWPP, SBOM, Shift-Left Security |
| Daten | Datenklassifizierung, Verschlüsselung, datenzentrierter Schutz | Encryption at Rest/in Transit, DLP |
| Sichtbarkeit & Analyse | Umfassende Protokollierung, Monitoring, Anomalie-Erkennung | SIEM/SOAR, CARTA |
| Automatisierung | Automatisierte Durchsetzung von Sicherheitsrichtlinien | Policy-as-Code (OPA, Kyverno) |
Umsetzungshinweise des BSIfeedback
Das BSI betont in seinem Positionspapier mehrere strategische Aspekte:
Langfristige Investitionfeedback
Eine ganzheitliche Zero-Trust-Umsetzung ist kein Einmalvorhaben. Sie erfordert dauerhaften finanziellen und personellen Aufwand sowie eine iterative Einführung.
Organisationsübergreifende Abstimmungfeedback
Bei Vernetzung zwischen Behörden müssen Zero-Trust-Konzepte verbindlich abgestimmt werden. Dies betrifft insbesondere die föderale Struktur der deutschen Verwaltung mit Bund, Ländern und Kommunen.
Interoperabilitätfeedback
Die Interoperabilität von Produktfunktionalitäten ist für eine erfolgreiche Umsetzung elementar. Proprietäre Lock-in-Effekte sind zu vermeiden – ein direkter Bezug zum Prinzip der Digitalen Souveränität.
Standardisierungslückenfeedback
Fehlende Standardisierungen stellen derzeit eine große Herausforderung dar. Das BSI empfiehlt die Nutzung offener Standards (NIST, CISA) als Brücke bis zur vollständigen europäischen Standardisierung.
Komplementarität zu bestehenden Vorgabenfeedback
Zero Trust ersetzt nicht die bestehenden Sicherheitsvorgaben, sondern ergänzt sie:
| Bestehende Vorgabe | Verhältnis zu Zero Trust |
|---|---|
| IT-Grundschutz | IT-Grundschutz++ definiert die Anforderungsprofile für Zero-Trust-Architekturen |
| BSI-Mindeststandards (§ 44 BSIG) | Mindeststandards werden als Metadaten in Grundschutz-Regeln hinterlegt |
| Netze des Bundes | Zero Trust ergänzt die Perimetersicherheit der NdB |
| ISO 27001 | ISMS-Rahmen bleibt, Zero Trust erweitert die technische Umsetzung |
| DSGVO | Continuous Monitoring muss DSGVO-konform ausgestaltet werden |
Relevanz für den D-Stackfeedback
Hybride Arbeitsmodellefeedback
Zero Trust adressiert die zunehmende Auflösung klassischer Netzwerkgrenzen durch hybrides Arbeiten, mobile Geräte und Cloud-Nutzung in der Bundesverwaltung.
Cloud-Migrationfeedback
Die Migration in die Deutsche Verwaltungscloud (DVC) erfordert ein Sicherheitsparadigma, das nicht mehr auf Netzwerkgrenzen basiert. Zero Trust ist hierfür das maßgebliche Architekturmuster.
IT-Konsolidierung Bundfeedback
Im Rahmen der IT-Konsolidierung des Bundes bietet Zero Trust einen einheitlichen Sicherheitsrahmen für heterogene IT-Landschaften, die schrittweise konsolidiert werden.
Weiterführende Dokumentefeedback
- Zero-Trust-Referenzarchitektur – Technische Umsetzung im D-Stack
- IT-Grundschutz++ – Anforderungsprofile für Zero Trust
- Sicherheit und Compliance – Übergeordnete Sicherheitsvorgaben
- Fachanwendungen absichern – Praktische Absicherungsmuster