Image taken from: https://unsplash.com/de/fotos/eine-person-die-mit-einem-tablet-auf-einem-bett-liegt-1cNX5GffrCE
Post Views: 11

Zero Trust in der Praxis: IT-Sicherheit in öffentlichen und sozialen Organisationen

Die Digitalisierung erhöht den Druck auf öffentliche und gemeinwohlorientierte Organisationen, ihre IT-Sicherheit grundlegend neu zu denken. Am Beispiel des Kita-Trägers Katholino des Erzbistums Köln wird deutlich, warum Zero-Trust-Architekturen und Identity Governance heute zu den entscheidenden Bausteinen moderner Sicherheitsstrategien gehören und wie sich selbst unter strengen Datenschutzanforderungen sichere, skalierbare Cloud-Umgebungen erfolgreich umsetzen lassen.
Von   Jan Ciupka   |  Executive Manager Consulting   |  Comma Soft AG
30. April 2026

Zero Trust in der Praxis:

IT-Sicherheit in öffentlichen und sozialen Organisationen

 

 

 

Als Galileo Galilei sein Fernrohr gen Himmel richtete, zerbrach er mit seinen Erkenntnissen das scheinbar feste Weltbild seiner Zeit: Was lange als sicher und unumstößlich galt, erwies sich als trügerisch. Erkenntnis begann dort, wo Gewissheiten hinterfragt wurden. Ähnlich steht heute die Welt der IT-Sicherheit vor einem Umbruch. Die fortschreitende Digitalisierung hat die Arbeitsweise von Organisationen tiefgreifend verwandelt: Cloud-Technologien bilden das neue Fundament, doch mit ihnen wächst ein Geflecht aus Komplexität und ständig wechselnden Bedrohungen. Cyberangriffe treten häufiger und raffinierter auf, besonders dort, wo sensible Daten auf begrenzte Ressourcen treffen: Etwa bei öffentlichen und gemeinwohlorientierten Trägern.

In diesem Spannungsfeld wirkt klassische, Perimeter-basierte IT-Sicherheit wie eine alte Stadtmauer: einst wirksam, heute jedoch durchlässig geworden. Sicherheit verschiebt sich vom reinen Schutzwall hin zu einer Frage der Steuerung. Sie durchzieht technische Systeme ebenso wie organisatorische Abläufe, Verantwortlichkeiten und strategische Entscheidungen. Mit Zero Trust entsteht dabei ein neues Leitbild: kein blindes Vertrauen mehr innerhalb der eigenen Mauern, sondern die konsequente Prüfung jedes einzelnen Zugriffs, als würde jede Tür erst nach genauer Prüfung geöffnet.

 

Kirchliche und soziale Träger im Spannungsfeld

Organisationen im kirchlichen und sozialen Umfeld stehen beim Thema IT-Sicherheitsstrategie vor spezifischen Herausforderungen. Oft gleichen ihre Strukturen einem Flickenteppich: viele verteilte Standorte, unterschiedlich moderne technische Umgebungen und über Jahre gewachsene Systeme, die nicht aus einem Guss sind. Eine einheitliche Standardisierung ist häufig schwer umzusetzen.

Gleichzeitig werden personenbezogene Daten mit hoher Schutzbedürftigkeit verarbeitet, darunter Gesundheits- und Entwicklungsdaten von Kindern sowie sensible Personalinformationen. Außerdem arbeitet die IT in der Regel mit knappen Mitteln: wenige Hände und begrenzte Budgets. Und parallel wachsen die Erwartungen an Systeme und Verfügbarkeit. Hinzu kommt, dass Mitarbeitende aus ihrem privaten Umfeld moderne, intuitive Tools (z. B. Cloud-Dienste oder KI-Anwendungen) gewohnt sind und diese auch im Arbeitskontext erwarten. Fehlen solche Möglichkeiten, wird die Arbeit oft als umständlich und wenig attraktiv empfunden.

Doch damit nicht genug: Auch regulatorische Vorgaben (insbesondere im europäischen Datenschutzkontext, aber auch im Gesetz über den Kirchlichen Datenschutz) verschärfen die Anforderungen, da sie strikte Kontrollmechanismen und eine transparente Datenverarbeitung voraussetzen. Zugleich gewinnen geopolitische Entwicklungen und das Streben nach digitaler Souveränität an Bedeutung, etwa im Hinblick auf Abhängigkeiten von außereuropäischen Anbietern und den Schutz sensibler Daten. Diese Kombination führt zu einem Spannungsfeld zwischen Modernisierung, Sicherheit und Wirtschaftlichkeit.

 

Zero Trust als Referenzmodell moderner Cloud-Sicherheit

Zero Trust folgt einem klaren Prinzip: „Never trust, always verify“. Jeder Zugriff auf Systeme und Daten wird konsequent geprüft, unabhängig davon, wo er herkommt oder aus welchem Netzwerk er erfolgt. Damit ersetzt das Modell die klassische Vorstellung eines geschützten Netzwerkrands durch einen kontinuierlichen Prüfprozess.

Als Referenz dient unter anderem der Standard National Institute of Standards and Technology (NIST SP 800-207), der die Grundbausteine moderner Sicherheitsarchitekturen beschreibt. Im Kern steht ein Identity-first-Ansatz: Identitäten werden zum zentralen Steuerpunkt für Sicherheit. Zugriffe erfolgen nach dem Least-Privilege-Prinzip, also nur mit genau den Rechten, die für eine Aufgabe erforderlich sind.

Ergänzend wird der Zugriff kontextabhängig gesteuert, etwa anhand von Gerät, Standort oder Risikoeinschätzung (Conditional Access). Zudem können mit Zero Trust nur geprüfte und verwaltete Geräte auf Systeme und Daten zugreifen (Device Compliance). Damit verbindet das Modell technische Kontrollen mit klaren organisatorischen Regeln zu einem durchgängigen Sicherheitsansatz.

 

Identity Governance als Fundament

Im Kontext von Zero Trust wird Identity & Access Management (IAM) zum zentralen Dreh- und Angelpunkt: Da kein Zugriff mehr pauschal vertraut wird, dient die Identität – also der verifizierte Nachweis, wer ein Nutzer oder System wirklich ist – als primärer Kontrollmechanismus. Jeder Zugriff läuft über das IAM und wird dort geprüft und gesteuert. Grundlage sind klar definierte Rollen- und Berechtigungskonzepte, die festlegen, wer was darf: etwa für Verwaltung, Fachbereiche oder IT. Für besonders kritische Zugriffe greifen zusätzliche Administratorenkonzepte, die diese Rechte gezielt absichern und eng kontrollieren.

Ein weiterer zentraler Baustein im Zero-Trust-Modell ist die Multi-Faktor-Authentifizierung (MFA), die als Mindeststandard gilt und Identitäten zuverlässig absichert. Ergänzend sorgt ein durchgängiges Lifecycle-Management dafür, dass Identitäten über ihren gesamten Lebenszyklus hinweg kontrolliert, automatisiert und transparent verwaltet werden, z. B., indem Zugänge automatisch entzogen werden, wenn ein Mitarbeiter das Unternehmen verlässt, sodass er sich nicht mehr mit seinem alten Account anmelden und auf Daten zugreifen kann. So wird Identity Governance im Zero-Trust-Ansatz zur verbindenden Schicht zwischen Technik und Organisation.

 

Endpoint Security und Zero-Touch-Deployment

Auch Endgeräte sind ein Bestandteil der Vertrauenskette: Jeder Zugriff ist immer nur so sicher wie das Gerät, von dem er ausgeht. Unsichere oder nicht verwaltete Geräte entwickeln sich daher schnell zu einem Risiko. Aus diesem Grund setzen moderne Konzepte auf eine standardisierte Bereitstellung: Die Geräte werden zentral vorkonfiguriert und bereits mit klar definierten Sicherheitsrichtlinien ausgeliefert. Mithilfe von Zero-Touch-Deployment lassen sich neue Endgeräte automatisiert ausrollen – ganz ohne manuellen Einrichtungsaufwand durch die IT.

Über Mobile Device Management (MDM) bleiben alle Geräte zentral steuerbar: Richtlinien, Updates und Sicherheitsvorgaben werden einheitlich durchgesetzt. Ergänzend sorgen vordefinierte Security Baselines dafür, dass jedes Gerät ein konsistentes Sicherheitsniveau erreicht. So entsteht eine kontrollierte, skalierbare Gerätebasis, die Risiken reduziert und den IT-Betrieb effizienter macht.

 

Governance: Technologie allein reicht nicht aus

Sicherheit entsteht nicht allein durch den Einsatz von Tools, sondern vor allem durch verbindliche Regeln und nachvollziehbare Entscheidungen. Dazu gehören klare Richtlinien und verbindliche Standards, die den Rahmen vorgeben, sowie eindeutig definierte Rollen und klar zugewiesene Verantwortlichkeiten, damit stets klar ist, wer wofür zuständig ist. Organisationen benötigen also durchdachte Betriebsmodelle, die Abläufe für Betrieb, Support und kontinuierliche Weiterentwicklung strukturieren und verlässlich gestalten.

Ein zentraler Bestandteil ist dabei die Auditierbarkeit: Alle sicherheitsrelevanten Maßnahmen müssen jederzeit nachvollziehbar und umfassend überprüfbar sein. Gerade in regulierten Umgebungen wird Governance damit zum entscheidenden Faktor, um Sicherheit nicht nur umzusetzen, sondern sie auch dauerhaft nachweisen und belegen zu können.

 

Praxis: Aufbau einer sicheren IT-Landschaft

Ein konkretes Beispiel aus der Praxis zeigt: Mit der Gründung von Katholino entstand im Erzbistum Köln ein neuer zentraler Kita-Träger für in Zukunft bis zu 500 Einrichtungen, jedoch ohne bestehende IT-Strukturen. Ziel war es, in kürzester Zeit eine vollständig neue, eigenständige IT aufzubauen, die von Beginn an arbeitsfähig ist und gleichzeitig höchsten Datenschutzanforderungen gerecht wird. Bewusst wurde dabei ein Ansatz gewählt, der das Beste aus zwei Welten kombiniert: eine moderne Cloudplattform mit starkem Sicherheits-Footprint (z. B. von Microsoft) in Verbindung mit einer souveränen, EU- bzw. Deutschland-basierten Datenspeicherung für besonders sensible Informationen. Besonders herausfordernd waren der enge Zeitplan, die große Skalierungsperspektive (tausende Mitarbeitende) und der Umgang mit hochsensiblen Daten, etwa aus Fachverfahren mit Kinder- und Gesundheitsinformationen.

Statt bestehende Systeme zu migrieren (Brownfield), wurde bewusst ein Greenfield-Ansatz gewählt: Die IT wurde von Grund auf neu gedacht und als cloud-native Architektur aufgebaut. Sicherheit war dabei Teil des Designs („Security by Design“). Im Zentrum stand eine Identity-first-Strategie auf Basis moderner Microsoft-Cloud-Dienste, kombiniert mit einem konsequenten Zero-Trust-Ansatz. Zugriffe wurden strikt gesteuert, sensible Daten klar von der Cloud-Umgebung getrennt und nur in dedizierten Infrastrukturen verarbeitet. Parallel bauten die Verantwortlichen den gesamten Geräte- und Identitätsbestand neu auf.

Innerhalb weniger Monate entstand so eine vollständig neue, skalierbare IT-Landschaft: eine cloud-native Infrastruktur mit integriertem Sicherheits- und Datenschutzkonzept, ein zentrales Identity- & Access-Management als Steuerungspunkt aller Zugriffe, souveräner Dateiablage sowie durchgängig umgesetzte Zero-Trust-Prinzipien. Ergänzt wurde dies durch standardisierte, zentral verwaltete Endgeräte, die automatisiert bereitgestellt werden.

Das Ergebnis ist eine moderne, sichere und sofort nutzbare IT-Umgebung, die sowohl regulatorische Anforderungen erfüllt als auch eine effiziente, digitale Arbeitsweise ermöglicht – und damit eine tragfähige Grundlage für weiteres Wachstum schafft.

 

Lessons Learned: Erfolgsfaktoren für die Praxis

Aus solchen Transformationsprojekten lassen sich fünf zentrale Erkenntnisse ableiten:

1. Identity first

Identitäten sind im Zero-Trust-Modell der zentrale Kontrollpunkt. Jede Anmeldung, jeder Zugriff und jede Aktion ist an eine eindeutige Identität gebunden, unabhängig von Netzwerk oder Standort. Damit bildet Identity & Access Management (IAM) das solide Fundament der gesamten Sicherheitsarchitektur, auf dem alle weiteren Schutzmaßnahmen aufbauen. Eine saubere Verwaltung von Benutzerkonten, klar definierte Rollenmodelle und konsequent umgesetzte Zugriffskontrollen sorgen dafür, dass nur berechtigte Personen auf Systeme und Daten zugreifen können. Ergänzt durch Maßnahmen wie Multi-Faktor-Authentifizierung und kontinuierliche Überprüfung von Zugriffsrechten wird ein Großteil potenzieller Angriffsvektoren bereits an der Eintrittsstelle reduziert.

2. Governance vor Rollout

Technologie entfaltet ihre Wirkung nur dann nachhaltig, wenn sie auf einem klaren organisatorischen Fundament steht. Bevor Systeme eingeführt werden, müssen Richtlinien, Prozesse und Verantwortlichkeiten definiert sein: Wer darf was? Wer entscheidet über Änderungen? Wie werden Zugriffe geprüft und dokumentiert? Dazu gehört auch eine früh eingeplante, souveräne Dateiablage, um regulatorische Anforderungen und den Schutz sensibler Daten von Anfang an abzudecken. Eine saubere Governance stellt sicher, dass Sicherheitsmaßnahmen nicht nur implementiert, sondern auch langfristig konsistent betrieben, skaliert und auditiert werden können.

3. Security by Default

Sicherheit sollte von Anfang an im System verankert sein. Standardkonfigurationen müssen bereits ein hohes Sicherheitsniveau mitbringen, etwa durch aktivierte Schutzmechanismen, eingeschränkte Standardrechte und klar definierte Sicherheitsrichtlinien. Dadurch wird vermieden, dass Sicherheitslücken durch manuelle Nachkonfiguration entstehen, und es entsteht eine konsistente, belastbare Sicherheitsbasis über alle Systeme hinweg.

4. Endgeräte als Sicherheitsfaktor

Endgeräte sind oft der direkte Zugangspunkt zu sensiblen Daten und Systemen und damit ein kritischer Teil der Sicherheitsarchitektur. Sie müssen zentral verwaltet, regelmäßig aktualisiert und durch definierte Richtlinien abgesichert werden. Dazu gehören unter anderem Gerätekonformität, Verschlüsselung, Patch-Management und kontrollierter Zugriff auf Anwendungen. Nur wenn Endgeräte konsequent in die Sicherheitsstrategie integriert sind, lassen sich Risiken durch unsichere oder kompromittierte Clients wirksam reduzieren.

5. Kultur und Akzeptanz

Technische Maßnahmen allein reichen nicht aus, wenn sie im Alltag nicht gelebt werden. Sicherheitskonzepte müssen für Mitarbeitende verständlich, nachvollziehbar und praktikabel sein. Schulungen, klare Kommunikation und einfache, gut integrierte Prozesse fördern die Akzeptanz und sorgen dafür, dass Sicherheitsvorgaben nicht umgangen, sondern aktiv unterstützt werden. Eine gelebte Sicherheitskultur wird so zum entscheidenden Faktor für die Wirksamkeit jeder Sicherheitsstrategie

 

Fazit: Zero Trust als Zukunftsstandard

Zero Trust entwickelt sich zunehmend vom Konzept zum praktischen Standard moderner IT-Sicherheitsarchitekturen. In einer zunehmend vernetzten und dynamischen IT-Landschaft bietet der Ansatz eine klare Antwort auf die wachsende Komplexität von Bedrohungen: Sicherheit wird konsequent entlang von Identitäten, Kontext und überprüfbaren Zugriffen organisiert.

Gerade Organisationen mit hoher gesellschaftlicher Verantwortung, wie öffentliche Einrichtungen sowie kirchliche und soziale Träger, profitieren von diesem Paradigmenwechsel. Sie stehen vor der Herausforderung, besonders schützenswerte Daten zu verarbeiten, regulatorische Anforderungen einzuhalten und gleichzeitig mit begrenzten Ressourcen zu arbeiten. Zero Trust bietet hier einen strukturierten Rahmen: als Zusammenspiel von Technologie, Prozessen und klarer Governance.

Das Praxisbeispiel zeigt, dass dieser Ansatz auch unter realen Bedingungen funktioniert, selbst bei hohem Zeitdruck und in einem sensiblen Umfeld. Durch eine konsequente Identity-First-Strategie, standardisierte Prozesse und eine cloud-native Architektur konnte innerhalb kurzer Zeit eine sichere, skalierbare und zukunftsfähige IT-Landschaft aufgebaut werden. Entscheidend war dabei, dass Sicherheit von Anfang an als integraler Bestandteil gedacht wurde, statt als nachträgliche Ergänzung. Gleichzeitig wurde bewusst ein ideologiefreier „Best-of-Both-Worlds“-Ansatz verfolgt: die Kombination einer hochmodernen Hyperscaler-Plattform mit starkem Security-Footprint und einer souveränen Datenhaltung für besonders sensible Informationen – eingebettet in klare Prozesse und Governance von Beginn an.

Für öffentliche und soziale Organisationen lässt sich daraus ableiten: Moderne Sicherheitskonzepte sind kein Privileg großer Konzerne. Auch mit begrenzten Mitteln lassen sich durch klare Priorisierung, standardisierte Ansätze und den gezielten Einsatz von Cloud-Technologien robuste Sicherheitsstrukturen schaffen. Dabei wird IT-Sicherheit zunehmend zur Managementaufgabe, die strategische Entscheidungen, organisatorische Klarheit und technologische Umsetzung miteinander verbindet.

Zero Trust ist damit ein skalierbares Modell für die digitale Zukunft, das Sicherheit, Transparenz und Effizienz in Einklang bringt und Organisationen langfristig widerstandsfähiger macht.

Jan Ciupka

Jan Ciupka

Executive Manager Consulting bei Comma Soft AG

Dr. Jan Ciupka (Ph.D. Theoretische Chemie, Diplom-Chemiker) verantwortet bei Comma Soft die Themenbereich Identity & Access Management, Cybersecurity und Cloud-Plattformen. Sein Fokus liegt auf den Themen digitale Identität, IT-Security, Zero Trust sowie Cloud und Infrastruktur. Im Zentrum stehen dabei die einfache, flexible und sichere Nutzung und das Management einer hybriden oder Cloud-nativen Identität im unternehmensinternen, B2B- oder B2C-Kontext, IT- und IT-Security-Strategie sowie das Design und Management von IT- und Cloud-Infrastrukturen. Mehr Infos: www.comma-soft.com
Alle Beiträge anzeigen

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

54823

share

Artikel teilen

Top Artikel

Multichannel-Retailing als Wachstumstreiber in der Modebranche

Isabel Rocher

KI im B2B-Vertrieb: Wo der Einsatz sich wirklich lohnt und wo er noch scheitert

Janik Deimann

KI-Entwicklung: Von Alltagstechnologie zu nachhaltiger Wirkung

Cathy Mauzaize

KI-Agenten sicher machen: Warum Identität die Grundvoraussetzung ist

Ismet Koyun

Ähnliche Artikel

Anti-Halluzination in produktiven KI-Systemen: Wie ein österreichisches SaaS-Unternehmen faktentreue KI-Assistenten baut

23. April 2026

Dieser Beitrag dokumentiert 179 Halluzinationen im produktiven Betrieb eines KI-Kommunikationssystems für KMU. Es werden fünf Kategorien identifiziert und eine vierstufige Schutzarchitektur vorgestellt. Die Ergebnisse
Re-Engineering von Geschäftsanwendungen auf der SAP BTP

16. April 2026

Die Modernisierung bestehender SAP-Anwendungen hin zur Cloud stellt Unternehmen vor komplexe Herausforderungen. Dieser Beitrag bietet eine praxiserprobte Orientierungshilfe für das Re-Engineering klassischer ABAP-Anwendungen auf
AI-Governance als strategischer Rahmen der digitalen Transformation

9. April 2026

Ab August 2026 gilt der EU AI Act vollumfänglich (Der Omnibus ist nicht verabschiedet. Solange er nicht formal angenommen ist, bleibt der 2. August 2026