ZTNA
Zero Trust Network Access
ZTNA (Zero Trust Network Access) ist ein Sicherheitskonzept, bei dem Nutzer und Geräte vor jedem Zugriff auf Anwendungen einzeln verifiziert werden – unabhängig vom Netzwerkstandort. Anders als ein klassisches VPN gewährt ZTNA keinen Vollzugang zum Firmennetz, sondern jeweils nur exakt die benötigte Anwendung.
Klassische VPNs öffnen einen Tunnel ins Firmennetz und vertrauen anschließend allem, was hindurch fließt. Bei ZTNA gilt das Prinzip "never trust, always verify": Jede einzelne Anfrage wird neu bewertet – Identität, Gerätezustand, Standort, Uhrzeit, Risiko-Score.
Technisch realisiert wird ZTNA über einen Broker, der zwischen Nutzer und Anwendung sitzt. Der Nutzer sieht nicht mal, dass es ein Netzwerk gibt – er sieht nur die Anwendung, für die er autorisiert ist. Hersteller wie Fortinet (FortiSASE), Zscaler oder Cloudflare bieten ZTNA-Lösungen für den Mittelstand an.
Für deutsche Mittelständler ist ZTNA besonders relevant, weil hybride Arbeit den klassischen Perimeter aufgelöst hat. Mit NIS2 wird strenge Zugriffskontrolle ohnehin Pflicht für viele Branchen – ZTNA ist die saubere Antwort darauf.
Praxis-Beispiel
Ein Mittelständler aus NRW hat sein altes Site-to-Site-VPN durch eine ZTNA-Lösung ersetzt. Ergebnis: Mitarbeiter im Homeoffice greifen direkt auf SAP, Microsoft 365 und das interne CRM zu, ohne dass das gesamte Firmennetz geöffnet wird. Bei einem kompromittierten Endgerät ist der Schaden auf genau die berechtigten Anwendungen begrenzt.
Häufige Fragen zu ZTNA
Was ist der Unterschied zwischen VPN und ZTNA?
Ein VPN gewährt nach erfolgreichem Login Zugriff auf das gesamte Firmennetz. ZTNA hingegen autorisiert jede Anwendung einzeln und gewährt nur exakt diesen einen Zugang – das verkleinert den Schaden bei kompromittierten Geräten massiv.
Brauche ich für ZTNA neue Hardware?
Nein. ZTNA wird in der Regel als Cloud-Service eingeführt. Auf den Endgeräten reicht ein leichtgewichtiger Agent, in der Cloud sitzt der Broker. Bestehende Firewalls und Server bleiben.