Zero Trust in der Praxis: Was NIST SP 800-207 wirklich verlangt

Zero Trust ist ein Marketingwort geworden. Fast jeder Hersteller verkauft „Zero Trust" — und kaum eines entspricht dem, was NIST SP 800-207 als echtes Zero Trust definiert.

NIST SP 800-207 in einem Satz

Zero Trust ist eine Sammlung von Designprinzipien, in denen Vertrauen nie implizit ist. Jeder Zugriff wird kontinuierlich, dynamisch und mit minimalen Rechten bewertet — unabhängig vom Standort.

Die 7 offiziellen Prinzipien

1. Jede Datenquelle und jeder Dienst ist eine Ressource.
2. Jede Kommunikation ist gesichert, unabhängig vom Netzwerkstandort.
3. Zugriff pro Sitzung.
4. Zugriff durch dynamische Policy.
5. Integrität und Posture aller Assets werden überwacht.
6. Authentifizierung/Autorisierung dynamisch und vor Zugriff durchgesetzt.
7. Maximale Telemetrie zur Posture-Verbesserung.

Komponenten (PE, PA, PEP)

• Policy Engine — entscheidet.
• Policy Administrator — setzt die Entscheidung um.
• Policy Enforcement Point — wendet im Datenpfad an.

Bei Cisco lebt PE/PA üblicherweise in ISE mit SIEM/EDR-Anbindung; PEPs sind Switches, WLCs, Firewalls und Proxies.

Was NICHT Zero Trust ist

• Klassisches VPN mit „Vollzugriff".
• MFA allein ohne Posture.
• Mikrosegmentierung nur per VLAN/IP.
• Implizites Vertrauen, weil „im Büro".

Realistische Roadmap

1. Inventar und Klassifizierung.
2. Starke zentrale Identität.
3. Device Posture.
4. Identitätsbasierte Mikrosegmentierung (TrustSec/SGT, ZTNA).
5. Dynamische Policy + kontinuierliche Telemetrie.
6. VPN schrittweise zurückfahren.

Trainieren ohne reine Theorie

Zero Trust scheitert öfter am Betrieb als an der Architektur. TechLeague verkauft keine Prüfungssimulatoren; sie stellt Ingenieure in echte Challenges zu Segmentierung, AAA und NAC mit öffentlichem Ranking.

Nächster Schritt

Lade NIST SP 800-207, lies Abschnitt 2 und 3, mappe dein Netz gegen die 7 Prinzipien. Trainiere in den TechLeague-Praxisturnieren.