Die meisten Unternehmen speichern ihre strategischen Daten heute in der Cloud. E-Mails, Verträge, Sitzungsprotokolle, Finanzdaten: alles liegt auf Servern, die weit weg vom eigenen Rechenzentrum stehen. Das bringt echte Vorteile in Bezug auf Mobilität, Skalierbarkeit und Kostenstruktur. Aber es stellt die Frage, wer eigentlich auf diese Daten zugreifen kann, neu und dringlicher.
Eine SaaS-Lösung (Software as a Service) ist die umfassendste Form von Cloud-Diensten. Neben der reinen Infrastruktur übernimmt der Anbieter auch Installation, Wartung und Betrieb. Das macht SaaS leistungsfähig, aber es verschiebt auch die Sicherheitsverantwortung, denn die Daten verlassen den unmittelbaren Kontrollbereich des Unternehmens. Genau hier kommt Zero Trust ins Spiel.
Key Takeaways
Was ist Zero-Trust?
Zero Trust ist kein Produkt, das man kaufen kann. Es ist ein Architektur-Paradigma, das auf einem einzigen Grundsatz beruht: „Niemals vertrauen, immer verifizieren.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Zero Trust als einen Ansatz, der davon ausgeht, dass jede Verteidigung jederzeit gebrochen werden kann oder bereits gebrochen ist. Jede Verbindung, jeder Zugriffsversuch und jede Sitzung wird einzeln geprüft, unabhängig davon, ob die Anfrage aus dem internen Netzwerk oder von außen kommt.
Das ist eine fundamentale Abkehr vom klassischen Perimeter-Modell, bei dem alles innerhalb der Unternehmens-Firewall als vertrauenswürdig galt. Dieses Modell war für eine Welt gebaut, in der Daten und Anwendungen im eigenen Rechenzentrum blieben. Diese Welt gibt es nicht mehr.
SaaS, PaaS und IaaS: Was steckt dahinter?
Cloud-Computing gibt es in drei Grundformen, die sich im Umfang der Auslagerung unterscheiden:
| MODELL | WAS WIRD AUSGELAGERT | TYPISCHE NUTZUNG |
|---|---|---|
| IaaS (Infrastructure as a Service) | Server, Netzwerke, Datenspeicher | IT-Teams, die maximale Kontrolle über die Infrastruktur behalten möchten |
| PaaS (Platform as a Service) | IaaS + Betriebssysteme, Datenbanken | Entwicklerteams, die Anwendungen entwickeln und bereitstellen |
| SaaS (Software as a Service) | IaaS + PaaS + Anwendungen + Wartung | Fachabteilungen und Endnutzer, die Software direkt produktiv nutzen möchten |
SaaS ist die All-Inclusive-Variante: Der Anbieter übernimmt alles, vom Server bis zum Update. Das macht SaaS zur bevorzugten Wahl für Rechtsabteilungen, Board Manager und Compliance-Funktionen, erhöht aber gleichzeitig die Anforderungen an den Anbieter in Bezug auf Datensicherheit.
Warum das klassische Sicherheitsmodell nicht mehr ausreicht
Jahrzehntelang funktionierte IT-Sicherheit nach dem Burgmauer-Prinzip: Außen die Firewall, innen das vertrauenswürdige Netzwerk. Drei Entwicklungen haben dieses Modell obsolet gemacht:
Die Zahlen sprechen für sich: 45 % aller Datenpannen betreffen Cloud-gespeicherte Daten, und die durchschnittlichen Kosten eines Sicherheitsvorfalls liegen bei 4,45 Millionen US-Dollar (IBM Cost of Data Breach Report). Und 81 % der Unternehmen weltweit haben Zero Trust bereits eingeführt oder befinden sich aktiv in der Umsetzung, weil der Handlungsdruck real ist.
Die drei Säulen von Zero Trust
Zero Trust ruht auf drei Grundprinzipien, die zusammenwirken:
1. Identität als Fundament. Jeder Zugriff setzt eine starke Authentifizierung voraus. Multi-Faktor-Authentifizierung (MFA) ist dabei keine Option, sondern die Minimalvoraussetzung. Das gilt für jeden Nutzer, jeden Dienst und jedes Gerät.
2. Mikrosegmentierung. Das Netzwerk wird in kleine, voneinander isolierte Zonen aufgeteilt. Ein kompromittierter Zugang gibt dem Angreifer nur Zugriff auf einen engen Ausschnitt, nicht auf das gesamte System.
3. Kontinuierliche Überprüfung. Die Prüfung endet nicht beim Login. Jede Sitzung wird laufend bewertet: Ort, Gerät, Uhrzeit, Verhalten. Anomalien führen zur Unterbrechung oder erneuten Authentifizierung.
87 % der Unternehmen, die Zero Trust konsequent eingeführt haben, berichten von einem messbaren Rückgang der Sicherheitsvorfälle (Fortune Business Insights, 2025).
Verwalten Sie Boardsitzungen noch über E-Mail und geteilte Laufwerke? Sehen Sie, wie das DiliTrust Board Portal Governance-Dokumente in einer sicheren, Zero-Trust-konformen Umgebung zentralisiert.
Regulatorischer Rahmen 2025: Was Unternehmen in Deutschland jetzt beachten müssen
Zero Trust ist kein freiwilliger Trend mehr. Gleich mehrere Regulierungsrahmen machen entsprechende Maßnahmen praktisch verbindlich.
NIS-2-Umsetzungsgesetz (Dezember 2025): Am 5. Dezember 2025 trat das deutsche NIS-2-Umsetzungsgesetz in Kraft. Es betrifft rund 30.000 Unternehmen in kritischen und wichtigen Sektoren und schreibt strukturiertes Risikomanagement, MFA, Verschlüsselung und Lieferantenüberwachung vor. Verstöße können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
TeleTrusT-Leitfaden (Juni 2025): Der Bundesverband IT-Sicherheit e.V. hat seinen Leitfaden zum Stand der Technik aktualisiert. Zero-Trust-Architektur ist darin ausdrücklich als aktuelle Anforderung verankert und dient als Referenzmaßstab für technisch-organisatorische Maßnahmen nach Art. 32 DSGVO.
DSGVO und CLOUD Act: Die DSGVO gilt seit Mai 2018 und stellt strikte Anforderungen an Datenschutz und Einwilligungsmanagement. Davon getrennt: der US CLOUD Act verpflichtet US-Anbieter, auf Anordnung amerikanischer Behörden Zugriff auf ihre Daten zu gewähren, auch wenn diese auf europäischen Servern liegen. Wer sensible Governance-Daten in einer SaaS-Lösung verwaltet, muss prüfen, ob sein Anbieter diesem Gesetz unterliegt.
Was eine sichere SaaS-Lösung leisten muss
Nicht jede SaaS-Lösung ist gleich aufgestellt. Für Unternehmen, die sensible Daten, Vertragsinformationen oder Board-Unterlagen verwalten, sind folgende Punkte nicht verhandelbar:
Das DiliTrust Board Portal: Governance-Sicherheit nach Zero-Trust-Prinzipien
Für Unternehmen, die ihre Governance-Sitzungen digital verwalten, ist der Schutz vertraulicher Informationen keine Frage des Komforts, sondern eine rechtliche und strategische Notwendigkeit.
Das DiliTrust Board Portal ist eine SaaS-Lösung, die speziell für die sichere Organisation von Boardsitzungen, Aufsichtsratssitzungen und Ausschüssen entwickelt wurde. Es greift die Zero-Trust-Prinzipien auf mehreren Ebenen auf:
Das Portal ist nach ISO 27001, ISO 27701 und SOC 2 Type 2 zertifiziert und DSGVO-konform. Es beinhaltet außerdem Ask Lini, die proprietäre KI von DiliTrust, die KI-gestützte Sitzungsprotokolle, Zusammenfassungen und Audio-Transkription ermöglicht. Ask Lini wird ausschließlich auf synthetischen Datensätzen trainiert: Kundendaten werden nie für das KI-Training verwendet.
Das Sicherheitsmodell von DiliTrust basiert auf dem Grundsatz „Sicherheit ist unsere DNA“. Das bedeutet jährliche Audits, ein benannter Datenschutzbeauftragter und transparente Kommunikation zu allen Sicherheitspraktiken.
FAQ
Zero Trust bedeutet, dass keine Verbindung automatisch als sicher eingestuft wird. Für SaaS-Lösungen heißt das: Jeder Zugriffsversuch wird einzeln authentifiziert, Nutzerrechte sind auf das Notwendige begrenzt, und alle Aktivitäten werden lückenlos protokolliert. Das Ergebnis ist ein Sicherheitsmodell, das auch dann funktioniert, wenn Anmeldedaten kompromittiert werden.
Bei IaaS trägt der Kunde die meiste Sicherheitsverantwortung. Bei PaaS teilen sich Anbieter und Kunde die Verantwortung. Bei SaaS übernimmt der Anbieter die Infrastruktur vollständig, aber die Datensouveränität bleibt beim Kunden. Deshalb ist die Wahl eines vertrauenswürdigen, zertifizierten SaaS-Anbieters entscheidend.
Board Manager, General Secretaries und Compliance-Verantwortliche nutzen spezialisierte Board-Portal-Lösungen, die Zero-Trust-Prinzipien technisch umsetzen: MFA, granulare Zugriffsrechte, Audit Trail und verschlüsselte Dokumentenverteilung. Das DiliTrust Board Portal kombiniert diese Sicherheitsmerkmale mit KI-gestützten Funktionen für Protokollführung und Audio-Transkription.


