Zero-Trust-Eckpunkte Bund
Erstellt am: 20. April 2026 | Zuletzt geändert: 11. Mai 2026 | Autor: Matthias (GitLab)
Ziel des Dokuments: Diese Seite fasst die Eckpunkte einer Zero-Trust IT-Sicherheitsarchitektur des Bundes (V1.0, August 2025) zusammen. Das Eckpunktepapier definiert fünf Eckpunkte als Zielkorridor für die Weiterentwicklung der IT-Sicherheitsarchitektur des Bundes und orientiert sich an den sechs Zero-Trust-Prinzipien der NATO. Es löst das BSI-Positionspapier Zero Trust (2023) als maßgebliches Referenzdokument ab.
Dieses Dokument beschreibt die regulatorische Vorgabe (das „Was“). Die technische Umsetzung (das „Wie“) ist in der Zero-Trust-Referenzarchitektur dokumentiert. Die Anforderungsprofile für Zero Trust werden durch den modernisierten IT-Grundschutz (IT-Grundschutz++) definiert.
description Quelldokumentfeedback
| Eigenschaft | Wert |
|---|---|
| Titel | Eckpunkte einer Zero-Trust IT-Sicherheitsarchitektur des Bundes |
| Version | 1.0 |
| Herausgeber | Der Beauftragte der Bundesregierung für Informationstechnik |
| Ansprechpartner | Bundesministerium für Digitales und Staatsmodernisierung (BMDS), Referat AG DS I1 |
| Datum | August 2025 |
| Quellen | Eckpunktepapier (PDF) – Link folgt nach offizieller Publikation |
Der offizielle Download-Link zum BMDS wird nach Veröffentlichung ergänzt.
menu_book Kurzfassungfeedback
Die IT des Bundes ist mit veränderten Rahmenbedingungen konfrontiert: gestiegene Bedrohungslage durch Cyberangriffe staatlicher Akteure, veränderte Nutzerbedarfe durch mobiles Arbeiten und ressortübergreifende Zusammenarbeit sowie externe Vorgaben durch EU und NATO. Die IT-Sicherheitsarchitektur muss an diese Rahmenbedingungen fortlaufend angepasst werden.
Das Eckpunktepapier zeigt auf, dass eine Anwendung der Zero-Trust-Prinzipien den Schutz sämtlicher IT-Ressourcen (Netze, Anwendungen, Daten) des Bundes erhöhen kann. Es formuliert fünf Eckpunkte als Zielkorridor und beschreibt Lösungsansätze entlang der fünf Architekturdimensionen Identitäten, Endgeräte, Netze, Anwendungen und Daten.
star Fünf Eckpunktefeedback
Eckpunkt 1: Assume Breachfeedback
Es wird von einem erfolgreichen Einbruch ausgegangen, dessen Schadenauswirkungen durch mehrstufige IT-Sicherheitsmaßnahmen begrenzt werden können. Die klassische Perimeter-Absicherung ist durch einen mehrstufigen, alle IT-Ressourcen der IT des Bundes umfassenden Ansatz zu ergänzen.
Eckpunkt 2: Never Trust, Always Verifyfeedback
Es existiert kein implizites Vertrauen. Jeder Zugriff auf IT-Ressourcen der IT des Bundes ist fortlaufend zu validieren. In föderierten IT-Strukturen werden interne und externe Zugriffsanfragen gleichbehandelt. Sichere Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) werden für alle Identitäten angewendet.
Eckpunkt 3: Least Privilegefeedback
Jeglicher Zugriff ist nach dem Prinzip „Kenntnis nur wenn nötig" grundsätzlich mit minimalen Rechten zu gewähren. Dieses Prinzip gilt für alle Identitäten: Nutzer, Provider, Anwendungen und Systeme. Die Zuordnung von Berechtigungen wird fortlaufend überprüft und bedarfsgerecht angepasst.
Eckpunkt 4: Kontinuierliche Überwachungfeedback
Jeglicher Zugriff auf IT-Ressourcen ist anhand festgelegter Attribute und dynamischer Regelwerke kontinuierlich zu überwachen. Diese Überwachung schafft die Basis, um Anomalien frühzeitig zu erkennen und zu behandeln. Zu den Attributen gehören Zeitpunkt und geografischer Standort des Zugriffs.
Eckpunkt 5: Schulung und Kulturwandelfeedback
Die für IT-Ressourcen Verantwortlichen sind mit den Zero-Trust-Prinzipien vertraut und entsprechend geschult. In ihrer Verantwortung liegt der Paradigmenwechsel von perimeterbasierten Sicherheitsansätzen hin zu Zero-Trust-Ansätzen. Prozesse und Richtlinien unterstützen die Zero-Trust-Etablierung in allen Bereichen der Bundesverwaltung.
gavel NATO Zero-Trust-Prinzipienfeedback
Das Eckpunktepapier orientiert sich an den sechs Zero-Trust-Prinzipien der NATO Zero Trust Policy (November 2023, C3B/DPC):
| Nr. | Prinzip | Bedeutung |
|---|---|---|
| 1 | Assume Breach | Entscheidungen werden unter der Annahme getroffen, dass Systeme kompromittiert sind |
| 2 | Never Trust, Always Verify | Vor jedem Zugriff auf Ressourcen wird die Identität bestätigt |
| 3 | Verify Explicitly and Continuously | Einmal erteilte Zugriffsrechte werden zeitlich begrenzt erteilt |
| 4 | Apply Least Privilege | Zugriffsrechte werden auf das notwendige Mindestmaß reduziert |
| 5 | Probabilistic and Explainable Security Decisions | Zugriffsentscheidungen basieren auf messbaren Sicherheitsparametern; KI-Systeme müssen erklärbar bleiben |
| 6 | Transparency | Föderationspartner stellen Informationen bereit, um Zugriffsentscheidungen gegenseitig zu unterstützen |
Diese Prinzipien sollen auf drei Handlungsebenen angewandt werden: Sicherheitskultur, Unternehmens-Governance und digitale Umgebung. Zero Trust ist ein Enabler für die NATO-Fähigkeit zur Durchführung von Multi-Domain-Operations. Alle Ressorts, deren Stellen NATO-Informationen verarbeiten, haben die Policy und zukünftige Regelungen zu beachten.
account_balance Rahmenwerke und Vorgabenfeedback
Das Eckpunktepapier ordnet sich in bestehende Rahmenwerke und Vorgaben ein:
| Rahmenwerk / Vorgabe | Bedeutung für Zero Trust |
|---|---|
| Nationale Sicherheitsstrategie (2023) | Ziel: Cybersicherheitsarchitektur modernisieren und Fähigkeiten zur Abwehr von Cyberangriffen stärken |
| Netzstrategie 2030 (2018) | Informationssicherheit als oberstes Ziel; Eckpunktepapier erweitert den Fokus über Netze hinaus auf alle fünf Architekturdimensionen |
| Cybersicherheitsagenda BMI (2022) | Stärkung der Cyber-Resilienz und Modernisierung durch Security by Design |
| BSIG | BSI als zentrale Meldestelle; Mindeststandards gem. §8 (1) im Benehmen mit den Ressorts |
| UP Bund | Informationssicherheitsmanagement nach BSI-Standards, IT-Grundschutz, BSI-Mindeststandards |
| NIS-2 | MFA oder kontinuierliche Verifizierung als erster Zero-Trust-Umsetzungsschritt; erweiterte Meldepflichten |
| NATO Zero Trust Policy (2023) | Sechs Prinzipien für föderierte Umgebungen; verbindlich für Stellen mit NATO-Informationsverarbeitung |
| NIST SP 800-207 (2020) | Referenzarchitektur mit PAP, PDP, PEP als Grundlage der Lösungsansätze |
| CISA Zero Trust Maturity Model (2023) | Reifegradmodell für schrittweise Integration in IT-Bestandsumgebungen |
| BSI Positionspapier Zero Trust (2023) | Adaption der CISA-Standards für den deutschen Kontext; Eckpunktepapier übernimmt die bundesspezifischen Teile |
warning Rahmenbedingungen und Anforderungenfeedback
Aus drei Rahmenbedingungen leiten sich 15 Anforderungen (a–o) an die IT-Sicherheitsarchitektur des Bundes ab.
Gestiegene Bedrohungslagefeedback
Advanced Persistent Threats (APT) staatlicher Akteure, Ransomware und DDoS-Angriffe (Distributed Denial of Service) prägen die Bedrohungslage der IT des Bundes. Das Bundesamt für Verfassungsschutz (BfV) beobachtet eine Zunahme hochversierter Cyberangriffe durch russische und chinesische Nachrichtendienste auf IT-Dienstleister der Bundesverwaltung. Die Manipulation von Geräten und Anwendungen entlang der Lieferkette (Supply Chain) stellt eine konkrete Gefährdung dar.
| ID | Anforderung | Beschreibung |
|---|---|---|
| a | Nutzerautorisierung | Zugriffsentscheidung unter Berücksichtigung aller Ressourcen-Eigenschaften, Schutzbedarf, Standort und Zeit |
| b | Begrenzung der Netzausbreitung | Verhinderung der Kompromittierung durch Mikrosegmentierung auf Basis von Maschinenidentitäten |
| c | Minimierung des Zugriffs | Feingranulare Zugriffsberechtigungen zur Reduktion von Schadenauswirkungen |
| d | Reaktionsmechanismen | Automatisierte Reaktionen wie Entzug oder Reduzierung von Zugriffsrechten |
Veränderte Nutzerbedarfefeedback
Die IT-Konsolidierung Bund bündelt die IT von rund 168 Bundesbehörden und bis zu 276.000 Beschäftigten. Durch mobile Arbeit, föderierte Systeme und cloudbasierte Anwendungsbereitstellung entstehen neue Sicherheitsanforderungen. Die Nutzung privater Endgeräte im dienstlichen Kontext erfordert spezifische Regelwerke (Policies).
| ID | Anforderung | Beschreibung |
|---|---|---|
| e | Mandantentrennung | Strikte physische oder logische Trennung bei zentraler Bereitstellung von IT-Lösungen und Daten |
| f | Zugriffsauthentifizierung über Prozessketten | Gegenseitige Authentifizierung von Anwendungen in föderierten Systemen |
| g | Sicherer Netz-Fernzugriff | Berechtigungen über Fernzugriff gemäß Nutzerbedarf und Schutzbedarf steuerbar |
| h | Verwaltung der Gerätevielfalt | Erfassung und Kategorisierung aller Endgeräte, die mit der IT des Bundes interagieren |
| i | Echtzeitüberwachung von Endgeräten | Durchgängige Überwachung des Compliance- und Gerätezustands als Entscheidungsgrundlage |
| j | Sicherheit in Multi-Cloud-Umgebungen | Standardisierte Zugriffsvergabe, Authentifizierung zwischen Anwendungen, Echtzeit-Risikoanalyse |
| k | DevSecOps | Sicherheit in allen Phasen des Softwareentwicklungs-Lebenszyklus (Development, Security, Operations) |
Externe Vorgabenfeedback
| ID | Anforderung | Beschreibung |
|---|---|---|
| l | Risikomanagementmaßnahmen (NIS-2) | Maßnahmen für Integrität und Vertraulichkeit: Risikoanalyse, Verschlüsselung, MFA/kontinuierliche Authentifizierung |
| m | Meldepflichten (NIS-2) | Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden; fortlaufende Dokumentation |
| n | NATO-Schnittstellen | Zero-Trust-befähigte Schnittstellen für alle Stellen mit digitalen Verbindungen zu NATO-Stellen |
| o | NATO-Dateneinstufung | Implementierung von NATO-Dateneinstufungsstandards (STANAG 4774/4778) |
architecture Architekturdimensionen und Lösungsansätzefeedback
Das Eckpunktepapier ordnet Lösungsansätze den fünf Architekturdimensionen des CISA- bzw. BSI-Modells zu. Für alle Dimensionen gilt: Jede Aktivität wird durch kontinuierliche Echtzeitanalysen untersucht und bewertet.
Identitätenfeedback
| Lösungsansatz | Beschreibung |
|---|---|
| Identitätsverwaltung | Verwaltung und Verifizierung über Identitätsprovider (IdP). In föderierten Systemen einheitliche Standards |
| Authentifizierung | Kontinuierliche, adaptive Multi-Faktor-Authentifizierung für die gesamte Zugriffsdauer |
| Autorisierung | Dynamische Attribute: Zeitpunkt, Standort, Verhalten, Gerätezustand |
| Zugriffsverwaltung | Just-in-Time, Just-Enough-Access für konkrete Aufgabenerfüllung |
| Überwachung | Echtzeitanalyse des Nutzerverhaltens (Login-Zeiten, Gerät, Standort, Schutzbedarf) |
Endgerätefeedback
| Lösungsansatz | Beschreibung |
|---|---|
| Gerätemanagement | Zentrale Verwaltung dienstlicher Endgeräte mit automatisiertem Assetmanagement |
| Compliance-Zustand | Automatisierte Prüfung der Einhaltung von Sicherheitsvorschriften (OS-Aktualität, Antivirus-Status) |
| Geräteautorisierung | Zugriffsberechtigung auf Basis des Compliance-Zustands und weiterer Attribute |
| Endpunktsicherheit | Endpoint Protection und Detection & Response für alle Geräte |
| Integrität Geräte | Sicherstellung der Geräteintegrität entlang der Lieferkette |
Netzefeedback
| Lösungsansatz | Beschreibung |
|---|---|
| Netzinventarisierung | Kontinuierliche Inventarisierung aller Netzsegmente nach Schutzbedarf |
| Mikrosegmentierung | Feingranulare Aufteilung auf Grundlage von Maschinenidentitäten |
| Netzmanagement | Software-Defined Networking auf Basis von Relevanz, Risikobewertung und Kritikalität |
| Netzverkehrsverschlüsselung | Verschlüsselte Verbindungen nach Stand der Technik und ggf. Verschlusssachenanweisung (VSA) |
| Anomalieerkennung | Kontext- und metadatenbasierte Erkennung von Abweichungen (z. B. Lateral Movement) |
Anwendungenfeedback
| Lösungsansatz | Beschreibung |
|---|---|
| Anwendungszugriffsberechtigung | Echtzeitrisikoanalysen und Nutzungsverhaltensanalysen |
| Anwendungszugänglichkeit | Attributbasierte, minimale Berechtigungen unabhängig vom Netzstandort |
| Anwendungsschutz | WAF, Mikrosegmentierung, Container-Kapselung, Mandatory Access Control |
| Authentisierung zwischen Anwendungen | Starke, multifaktorbasierte gegenseitige Authentisierung nach einheitlichen Standards |
| Entwicklung und Bereitstellung | Durchgängige Sicherheit im Entwicklungszyklus (SAST, DAST, IAST); unveränderliche Images |
| Integrität Anwendungen | Sicherstellung der Anwendungsintegrität entlang der Lieferkette |
Datenfeedback
| Lösungsansatz | Beschreibung |
|---|---|
| Datenzugriffsberechtigung | Just-in-Time, Just-Enough mit Echtzeitrisikoanalyse bei ungewöhnlichen Zugriffsmustern |
| Zentrale Inventarisierung | Kontinuierliche Kategorisierung nach Schutzbedarf und VS-Einstufung |
| Blockierung verdächtiger Datenexfiltration | DLP-Mechanismen (Data Loss Prevention), ML/KI-basierte Anomalieerkennung |
| Verschlüsselung | Data-at-Rest und Data-in-Transit; Kryptoagilität beachten |
explore Ausblickfeedback
Die Eckpunkte definieren einen Zielkorridor. In einem nachgelagerten Prozess wird ein Zielbild für die IT-Sicherheitsarchitektur des Bundes unter Einbeziehung der Bundesressorts, des BSI, des Verbunds der IT-Dienstleister und des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) konzipiert.
Basis für die Umsetzung ist eine modulare Reifegradanalyse nach dem CISA-Reifegradmodell bzw. BSI-Integrationsmodell. Die Analyse erhebt den aktuellen Zero-Trust-Reifegrad entlang der Architekturdimensionen und leitet notwendige Maßnahmen ab. Das Proportionalitätsprinzip ist bei der Umsetzung anzuwenden.
Für KI-unterstützte Entscheidungssysteme gelten besondere Anforderungen: Entscheidungen müssen stets erklärbar sein. Da solche Systeme als „kritische Komponenten" im Sinne des NIS-2-Umsetzungsgesetzes gelten, sind Herstellerintegrität und Vereinbarkeit mit den sicherheitspolitischen Zielen der Bundesrepublik, der EU und der Bündnispartner zu berücksichtigen.
compare_arrows Komplementarität zu bestehenden Vorgabenfeedback
Zero Trust ersetzt nicht die bestehenden Sicherheitsvorgaben, sondern ergänzt sie:
| Bestehende Vorgabe | Verhältnis zu Zero Trust |
|---|---|
| IT-Grundschutz | IT-Grundschutz++ definiert die Anforderungsprofile für Zero-Trust-Architekturen |
| BSI-Mindeststandards (§8 BSIG) | Mindeststandards als Grundlage für die IT-Sicherheit des Bundes |
| Netze des Bundes | Zero Trust ergänzt den bestehenden Perimeterschutz der NdB |
| NIS-2 | MFA/kontinuierliche Verifizierung als erster Umsetzungsschritt; erweiterte Meldepflichten |
| NATO Zero Trust Policy | Sechs Prinzipien für föderierte Umgebungen; verbindlich bei NATO-Informationsverarbeitung |
| DSGVO | Verhaltensanalysen und Echtzeitüberwachung müssen datenschutzkonform ausgestaltet werden |
hub Relevanz für den D-Stackfeedback
Hybride Arbeitsmodellefeedback
Zero Trust adressiert die zunehmende Auflösung klassischer Netzwerkgrenzen durch hybrides Arbeiten, mobile Geräte und Cloud-Nutzung in der Bundesverwaltung.
Cloud-Migrationfeedback
Die Migration in die Deutsche Verwaltungscloud (DVC) erfordert ein Sicherheitsparadigma, das nicht mehr auf Netzwerkgrenzen basiert. Zero Trust ist hierfür das maßgebliche Architekturmuster.
IT-Konsolidierung Bundfeedback
Im Rahmen der IT-Konsolidierung des Bundes bietet Zero Trust einen einheitlichen Sicherheitsrahmen für heterogene IT-Landschaften, die schrittweise konsolidiert werden.
format_list_numbered Verzeichnissefeedback
Abkürzungenfeedback
| Abkürzung | Bedeutung |
|---|---|
| APT | Advanced Persistent Threats |
| BfDI | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit |
| BfV | Bundesamt für Verfassungsschutz |
| BMDS | Bundesministerium für Digitales und Staatsmodernisierung |
| BSI | Bundesamt für Sicherheit in der Informationstechnik |
| BSIG | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik |
| CISA | Cybersecurity and Infrastructure Security Agency |
| DAST | Dynamic Application Security Testing |
| DDoS | Distributed Denial of Service |
| DLP | Data Loss Prevention |
| IAST | Interactive Application Security Testing |
| IdP | Identity Provider (Identitätsprovider) |
| MFA | Multi-Faktor-Authentifizierung |
| NdB | Netze des Bundes |
| NIS-2 | Network and Information Security Directive 2 |
| NIST | National Institute of Standards and Technology |
| PAP | Policy Administration Point |
| PDP | Policy Decision Point |
| PEP | Policy Enforcement Point |
| SAST | Static Application Security Testing |
| UP Bund | Umsetzungsplan Bund |
| VSA | Verschlusssachenanweisung |
| WAF | Web Application Firewall |
arrow_forward Weiterführende Dokumentefeedback
- Zero-Trust-Referenzarchitektur – Technische Umsetzung im D-Stack
- IT-Grundschutz++ – Anforderungsprofile für Zero Trust
- Sicherheit und Compliance – Übergeordnete Sicherheitsvorgaben
- Fachanwendungen absichern – Praktische Absicherungsmuster
- Digitale Souveränität – Anforderungen an Herstellerintegrität