ZTNA vs. VPN: Welche Lösung ist besser für Unternehmen?

Remote Work, Cloud-Dienste und globale Kommunikation sind in unserer Arbeitswelt angekommen. Doch in Zeiten zunehmender Cyberkriminalität rückt dabei auch die Frage der IT-Sicherheit stärker in den Fokus. Viele Unternehmen stehen vor der Herausforderung, den Zugang zu ihren Netzwerken und Daten so sicher wie möglich zu gestalten. Lange Zeit galt der Einsatz von VPNs (Virtual Private Networks) als die Standardlösung, um sichere Verbindungen zu gewährleisten und sensible Daten zu schützen. Doch mittlerweile zeichnet sich ein neuer Ansatz ab: das Zero-Trust-Modell.

Inhaltsverzeichnis:

• Was ist ZTNA?
• Was ist VPN?
• ZTNA und VPN im Vergleich
  • Vorteile von ZTNA gegenüber VPN
  • Nachteile von ZTNA gegenüber VPN
• Welche Rolle spielt ZTNA in einer Zero-Trust-Architektur? 
• ZTNA vs. VPN: Für welche Lösung sollten sich Unternehmen entscheiden? 
• Wie implementieren Unternehmen ZTNA in einer bestehenden IT-Infrastruktur? 
• Fazit: Trust no one

Was ist ZTNA?

Zero Trust Network Access, kurz ZTNA, ist ein moderner Sicherheitsansatz, der den Netzwerkzugang neu definiert. Im Gegensatz zu herkömmlichen Technologien wie VPNs, die Nutzer*innen oft pauschal Zugriff auf ein ganzes Netzwerk gewähren, basiert ZTNA auf dem Prinzip: „Vertraue niemandem, überprüfe alles“. 

Das bedeutet im Klartext: Jeder Zugriff auf Anwendungen, Daten und Systeme wird individuell authentifiziert und autorisiert – unabhängig davon, ob sich die Nutzer*innen innerhalb oder außerhalb des Unternehmensnetzwerks befinden.

ZTNA geht somit davon aus, dass Bedrohungen sowohl innerhalb als auch außerhalb eines Netzwerks existieren können. Daher wird jede Zugriffsanfrage gesondert überprüft – und dies gilt für jede Nutzer*in und jedes Gerät. Der Zugang wird nur auf Basis von Identität, Kontext und Berechtigungen gewährt, und nur für die jeweils benötigten Ressourcen. 

So können die Mitarbeitenden beispielsweise nur auf die Anwendungen und Daten zugreifen, die sie für ihre Arbeit wirklich benötigen – sie erhalten nicht automatisch Zugriff auf das gesamte Netzwerk.

Was ist VPN?

Ein Virtual Private Network, kurz VPN, ist eine Technologie, die es Nutzer*innen ermöglicht, eine sichere Verbindung zu einem entfernten Netzwerk über das Internet herzustellen. VPNs sind besonders im Unternehmensumfeld beliebt: Sie ermöglichen es den Mitarbeitenden, sich per VPN-Client auf Ihrem Laptop sicher mit einem VPN-Server des Unternehmens zu verbinden, um auf interne Ressourcen zuzugreifen, auch wenn diese sich außerhalb des Firmenstandorts befinden, z. B. im Home-Office. 

Ein VPN leitet den Datenverkehr der Nutzer*in durch einen verschlüsselten „Tunnel“, der eine Verbindung zu einem zentralen Server herstellt. Von dort aus gelangt der Datenstrom in das eigentliche Zielnetzwerk. So wird sichergestellt, dass sensible Daten wie Passwörter oder Geschäftsinformationen vor den Blicken Dritter, die sich im selben Netzwerk befinden, geschützt sind. Dies kann beispielsweise in öffentlichen WLANs der Fall sein.

Unternehmen hingegen setzen VPNs somit hauptsächlich ein, um eine zusätzliche Sicherheitsebene zu schaffen und den Zugang zu ihren Netzwerken auf bestimmte Nutzer*innen zu beschränken.

ZTNA und VPN im Vergleich

Stellt man die ZTNA und VPN gegenüber, so wird die der Unterschied im grundlegenden Sicherheitsansatz deutlich:

• VPNs arbeiten nach dem Modell eines vertrauenswürdigen Netzwerks und gewähren Nutzer*innen Zugang zu einem Netzwerksegment. Dabei wird nur die Verbindung selbst gesichert – das Vertrauen in die Identität der Nutzer*innen nach dem erfolgreichen Verbindungsaufbau ist hoch.
• Beim ZTNA-Ansatz wird grundsätzlich niemandem vertraut: Jeder einzelne Zugriff auf Ressourcen wird überprüft, unabhängig davon, ob sich die Nutzer*innen im Büro oder von extern einloggen.

Im ZTNA-Modell sind im Gegensatz zur VPN-Nutzung somit bei jeder einzelnen Anfrage eine Authentifizierung und eine Autorisierung notwendig. Diese richten sich nach den individuellen Berechtigungen der Nutzer*innen. 

Vorteile von ZTNA gegenüber VPN

Anhand der verschiedenen Sicherheitsansätze wird schnell deutlich, warum insbesondere inmitten der steigenden Bedrohungslage durch Cyberkriminalität eine reine VPN-Nutzung Nachteile für Unternehmen kreiert und der ZTNA-Ansatz überzeugt.

Ein VPN schützt nur die Verbindung selbst und nicht zwangsläufig den Zugriff auf einzelne Anwendungen und Daten. Das bedeutet auch, dass ein kompromittiertes Gerät potentiell Zugriff auf das gesamte Netzwerk erhalten kann. Dies eröffnet Sicherheitslücken und erfordert zusätzliche Sicherheitsmaßnahmen. Darüber hinaus stoßen VPNs im Hinblick auf Flexibilität und Cloud-Kompatibilität an ihre Grenzen.

Das ZTNA-Konzept überzeugt im Vergleich zu VPN mit klaren Vorteilen für die IT-Sicherheit im Unternehmen:

• Erhöhter Schutz der Ressourcen: VPNs beschränken den Zugang in erster Linie auf Netzwerkebene, wodurch die Nutzer*innen Zugriff auf bestimmte IP-Bereiche oder Netzwerksegmente erhalten. ZTNA bietet hier eine erhöhte Sicherheit, da es den Zugriff nicht auf Netzwerkebene, sondern direkt auf Anwendungsebene gewährt. Die Nutzer*innen erhalten bei ZTNA keine pauschalen Netzwerkzugriffe, sondern werden spezifisch für einzelne Anwendungen oder Datenzugriffe authentifiziert. Das erhöht die Sicherheit, da selbst bei einer kompromittierten Identität nur begrenzte Ressourcen zugänglich sind.
• Einsatz in Remote-Umgebungen: Ein zentraler Vorteil von ZTNA gegenüber VPN ist die Möglichkeit, Netzwerksicherheit auch in Cloud-Umgebungen und bei der Remote-Arbeit konsequent umzusetzen. Da immer mehr Unternehmen auf hybride Arbeitsmodelle setzen und Mitarbeitende von verschiedenen Standorten aus arbeiten, schafft ZTNA eine einheitliche Sicherheitsstruktur und schafft Flexibilität. Es schützt Anwendungen und Daten, unabhängig davon, wo diese gehostet werden oder wo sich die Nutzer*innen befinden. VPNs eignen sich durch ihren Ansatz eher für den Zugriff auf On-Premises-Server.
• Unterstützung in der Bedrohungserkennung: Duch die ZTNA-Nutzung können verdächtige Aktivitäten frühzeitig zu erkennen und automatisch zu blockieren, wodurch die Gefahr von Datenlecks oder Cyberangriffen reduziert wird.
• Benutzerfreundlichkeit und Performance: Im Vergleich zu VPNs punktet ZTNA in den Bereichen Usability und Performance. In der Regel arbeitet es im Hintergrund und verbindet Nutzer*innen nahtlos mit den jeweils notwendigen Anwendungen. Durch die granulare Vergabe von Zugriffsrechten werden Ressourcen effizienter genutzt, und die Gesamtleistung bleibt stabil.
  

VPNs stellen insgesamt betrachtet eine bewährte Lösung für den sicheren Netzwerkzugriff dar, weisen jedoch einige Einschränkungen im Hinblick auf Flexibilität, Cloud-Kompatibilität und Sicherheitskontrolle auf. 

Das ZTNA-Konzept bietet ein höheres Maß an Sicherheit und Kontrolle, insbesondere im Hinblick auf moderne Arbeitsmodellen und cloud-basierte Umgebungen.

Nachteile von ZTNA gegenüber VPN

Durch den innovativen Sicherheitsansatz hat sich ZTNA zu einem überzeugenden Konzept in der IT-Sicherheit entwickelt. Doch es bringt auch gewisse Herausforderungen mit sich:

• Komplexität: Bei ZTNA handelt es sich um einen komplexen Ansatz, der eine sorgfältige Planung, Implementierung und Überwachung erfordert. Der Aufwand ist im Vergleich zu einer VPN-Nutzung somit viel höher, dementsprechend sind ggf. mehr IT-Fachkräfte im Unternehmen erforderlich.
• Hoher Verwaltungsaufwand: Unternehmen müssen sicherstellen, dass alle Zugriffsrichtlinien klar definiert und auf dem aktuellen Stand sind, um eine optimale Sicherheit zu gewährleisten. Die Richtlinien müssen regelmäßig angepasst werden, insbesondere wenn neue Anwendungen, Nutzer*innen oder Geräte hinzukommen.
• Kosten: Für den ZTNA-Aufbau werden spezielle Sicherheitslösungen und möglicherweise auch Änderungen in der bestehenden IT-Infrastruktur benötigt, wodurch es sich um ein kostspieliges Unterfangen für Unternehmen handeln kann. Für kleine und mittlere Unternehmen mit vergleichsweise geringen IT-Budgets können die initialen und eventuell fortlaufende Investitionen mitunter eine große Belastung bedeuten.
• User Experience: ZTNA bietet eine sichere und nahtlose Verbindung zu Anwendungen, bereitet jedoch auch einige Hürden, wenn es um die Benutzerfreundlichkeit geht. Denn wenn die Zugriffsrichtlinien sehr streng sind, müssen die Nutzer*innen möglicherweise häufiger eine erneute Authentifizierung vornehmen oder können nur begrenzten Zugang zu bestimmten Ressourcen erhalten. Diese erhöhte Sicherheitskontrolle kann mitunter die Produktivität beeinträchtigen.
  
  

ZTNA bietet ein modernes Sicherheitsmodell, das optimal auf cloudbasierte und flexible Arbeitsstrukturen ausgelegt ist, bringt jedoch auch Herausforderungen mit sich. 

Angesichts der Herausforderungen in der Cybersicherheit wird für die Absicherung moderner, dezentraler Netzwerke der traditionelle VPN-Ansatz zunehmend durch neue Sicherheitsmodelle wie Zero Trust ergänzt oder sogar ersetzt. 

Welche Rolle spielt ZTNA in einer Zero-Trust-Architektur? 

ZTNA (Zero Trust Network Access) ist ein wesentlicher Baustein innerhalb einer umfassenden Zero-Trust-Architektur und spielt eine dreifache Rolle:

1. Zugangskontrolle auf Anwendungsebene

Im Gegensatz zu herkömmlichen VPNs gewährt ZTNA nur explizit definierten Zugang zu spezifischen Anwendungen, anstatt den Nutzer*innen pauschalen Zugriff auf Netzwerksegmente zu ermöglichen. Dieser selektive Zugriff basiert auf detaillierten Identitäts- und Zugriffskontrollen, die sicherstellen, dass die Nutzer*innen nur auf die Anwendungen und Daten zugreifen können, die für ihre Aufgaben erforderlich sind. 

Diese gezielte Zugangskontrolle stärkt die Gesamtsicherheit der Zero-Trust-Architektur, da es das Risiko einer horizontalen Bewegung (Lateral Movement) im Netzwerk deutlich minimiert.

2. Kontinuierliche Authentifizierung und Überwachung

In einer Zero-Trust-Architektur sind einmalige Authentifizierungen nicht ausreichend. Vielmehr muss jeder Zugriff wiederholt authentifiziert und kontextabhängig geprüft werden. ZTNA trägt hierzu bei, indem es die Identität der Nutzer*innen, die Art des Geräts sowie den Standort und das Nutzungsverhalten laufend überprüft. 

Solche kontinuierlichen Sicherheitsüberprüfungen verringern die Wahrscheinlichkeit, dass unautorisierte oder kompromittierte Nutzer*innen im Netzwerk verbleiben oder gar Zugriff auf vertrauliche Ressourcen erhalten. 

Diese ständige Überwachung ist ein integraler Bestandteil der dynamischen, kontextbasierten Sicherheit, die eine Zero-Trust-Architektur anstrebt.

3. Reduzierung der Angriffsfläche und Segmentierung

ZTNA reduziert durch gezielte Zugriffsbeschränkungen die Angriffsfläche erheblich. Es verhindert, dass sich Nutzer*innen oder Geräte unbefugten Zugang zu größeren Teilen des Netzwerks verschaffen, und minimiert so das potenzielle Schadensausmaß im Falle eines Sicherheitsvorfalls. 

Diese Mikrosegmentierung ist entscheidend für Zero-Trust-Architekturen, da sie den Zugriff auf Netzwerkressourcen granular reguliert und den Zugriff nur auf tatsächlich benötigte Ressourcen beschränkt.

ZTNA vs. VPN: Für welche Lösung sollten sich Unternehmen entscheiden? 

Sowohl der Zero-Trust-Ansatz als auch VPNs bieten einige Vorteile und Nachteile für Unternehmen. Dabei gilt es sorgfältig abzuwägen, welche Lösung die bessere für die individuelle Organisation darstellt. 

Im Direktvergleich mit VPNs punktet das ZTNA-Modell insbesondere für:

• Unternehmen mit dezentralen und hybriden Arbeitsmodellen: ZTNA ermöglicht unabhängig vom Standort sichere Verbindungen, sodass die Mitarbeitenden gezielt auf Anwendungen und Daten zugreifen können. VPNs sind oft weniger geeignet für Remote-First-Unternehmen, da sie in der Regel komplexer sind und mit der steigenden Zahl von Remote-Zugriffen Performance- und Skalierbarkeitsprobleme mit sich bringen.
• Cloud-native Umgebungen und hybride IT-Strukturen: ZTNA ermöglicht den sicheren Zugriff auf Anwendungen und Daten in verschiedenen Umgebungen, ohne dass komplexe Netzwerkverbindungen aufgebaut werden müssen. VPNs dagegen funktionieren oft besser in reinen On-Premises-Umgebungen und können in Cloud-Szenarien eher ineffizient sein.
• Unternehmen mit einer wachsenden Zahl externer Partner und Dienstleister: Wenn Unternehmen Drittanbieter oder externe Partner sicher in ihre Infrastruktur einbinden möchten, eignet sich ZTNA besser als VPNs. ZTNA kann den Zugriff gezielt und begrenzt auf nur die notwendigen Anwendungen oder Daten gewähren, ohne dass Partner oder Dienstleister das gesamte Unternehmensnetzwerk betreten.

ZTNA ist somit die geeignetere Option für Unternehmen, die auf moderne Arbeitsmodelle, hybride IT-Strukturen, Cloud-Integration, flexible Sicherheitslösungen oder einen sicheren Zugang für externe Partner setzen. ZTNA bietet hohe Sicherheit, skalierbare Zugriffskontrollen und passt besser zu dynamischen Umgebungen.

VPN kann eine gute Wahl sein, wenn das Unternehmen eine einfache, schnelle Lösung für den sicheren Netzwerkzugriff auf lokale Ressourcen sucht, die IT-Infrastruktur hauptsächlich On-Premises betreibt und weniger strenge Anforderungen an die Zugangskontrolle hat. VPNs sind oft kostengünstiger und einfacher einzurichten, wenn die Netzwerkinfrastruktur stabil und zentralisiert ist.

Wie implementieren Unternehmen ZTNA in einer bestehenden IT-Infrastruktur? 

Wenn sich ein Unternehmen für die Implementierung von Zero Trust Network Access in einer bestehenden IT-Infrastruktur entscheidet, sollten eine grundsätzliche Überlegungen getroffen werden.

Hier eine Übersicht der wichtigsten Implementierungs-Schritte:

1. Evaluierung der bestehenden Infrastruktur und Sicherheitsarchitektur: Planen Sie eine Bestandsaufnahme aller Anwendungen, Netzwerke, Benutzergruppen und Geräte ein, die Zugang zu den Unternehmensressourcen haben. Außerdem sollten aktuelle Zugriffskontrollen, Netzwerksegmente und Sicherheitsrichtlinien überprüft werden, um Schwachstellen zu identifizieren, die durch ZTNA adressiert werden können.
2. Zugriffsrichtlinien und Zugriffsebenen: Welche Benutzer*innen und Geräte dürfen unter welchen Bedingungen auf welche Anwendungen oder Daten zugreifen? Das Prinzip der minimalen Rechtevergabe („Least Privilege“) ist empfehlenswert, sodass Benutzer*innen nur die Zugriffsrechte erhalten, die sie tatsächlich benötigen.
3. Identitäts- und Zugriffsmanagement-Systems (IAM): Ein robustes Identitäts- und Zugriffsmanagement-System (IAM) ist notwendig, damit jede Anfrage authentifiziert und autorisiert wird. Die Integration von Multi-Factor Authentication (MFA) bzw. Multifaktor-Authentifizierung ist empfehlenswert, z. B. über LinOTP von netgo.
   
   
4. Gerätesicherheitsrichtlinien und -überwachung: Etablieren Sie Sicherheitsrichtlinien für Geräte, die auf Unternehmensressourcen zugreifen, z. B. für Laptops, Mobilgeräte und Tablets. Mithilfe von Endpoint-Management-Systemen kann sichergestellt werden, dass alle zugreifenden Geräte aktuelle Sicherheitsupdates, Anti-Malware-Software und entsprechende Konfigurationen aufweisen.
5. Segmentierung und Aufbereitung von Anwendungen für den ZTNA-Zugriff: Anwendungen sollten segmentiert werden, sodass nur autorisierte Nutzer*innen Zugriff haben. Gestalten Sie die Netzwerkinfrastruktur so, dass jede Anwendung nur begrenzten und isolierten Zugang zu anderen Netzwerken und Anwendungen hat, um die Angriffsfläche zu reduzieren.
6. Einsatz einer ZTNA-Plattform oder -Lösung: ZTNA Solutions und Plattformen von Anbietern wie Sophos oder Fortinet, die wichtige IT-Security-Partner von netgo sind, bieten umfassende Tools für die Verwaltung, Überwachung und Kontrolle des Zugangs auf Anwendungsebene. Sie lassen sich häufig flexibel in bestehende Infrastrukturen integrieren und arbeiten gut mit IAM- und Endpoint-Security-Systemen zusammen. Sie ermöglichen das Verwalten des Zugriffs nach vordefinierten Richtlinien und unterstützen häufig die laufende Authentifizierung und Überwachung. Ein Sicherheitsmonitoring-System sollte außerdem in die ZTNA-Infrastruktur integriert werden, um verdächtige Aktivitäten frühzeitig zu erkennen und automatisch Maßnahmen einzuleiten, wenn Risiken auftreten.
7. Schulungen: Es kann hilfreich sein, Schulungen für die Mitarbeitenden anzubieten, damit diese verstehen, wie sich die Zugriffsrichtlinien auf ihre Arbeit auswirken. 

Wichtig: Wenn Sie sich für die Einführung einer ZTNA-Infrastruktur entscheiden, sollten Sie eine regelmäßige Überprüfung und Anpassung an neue Sicherheitsanforderungen einplanen. Neue Anwendungen, Benutzer*innen oder Geräte sowie veränderte Arbeitsmodelle erfordern eine Anpassung der Zugriffsrichtlinien. Eine regelmäßige Bewertung und Aktualisierung der ZTNA-Regeln ist daher fundamental.

Fazit: Trust no one

Zero Trust Network Access (ZTNA) und Virtual Private Networks (VPN) bieten Unternehmen unterschiedliche Ansätze zur Absicherung des Zugriffs auf Unternehmensressourcen. 

Wie wir in diesem Artikel ausführlich dargestellt haben, können VPNs bewährte Lösungen für den sicheren Fernzugriff auf Netzwerksegmente darstellen. Jedoch erlauben Sie aufgrund ihres Vertrauensmodells umfassenden Zugriff auf das Netzwerk, was Sicherheitsrisiken birgt. Darüber hinaus sind sie wenig geeignet für moderne Remote-Arbeitsumgebungen.
ZTNA hingegen verfolgt das Prinzip „Vertraue niemandem“ und setzt dabei auf eine granulare, identitätsbasierte Kontrolle, die nur autorisierten Zugriff auf spezifische Anwendungen erlaubt und kontinuierlich überprüft wird. Für Unternehmen mit modernen, cloud-basierten oder hybriden Infrastrukturen, die flexible und sichere Remote-Arbeitsmöglichkeiten bieten wollen, ist ZTNA deshalb oft die bessere Wahl. 

Die Entscheidung für die Nutzung von ZTNA oder VPN sollte auf den spezifischen Anforderungen und IT-Strukturen des Unternehmens basieren. Wenn Sie Unterstützung bei der Beratung brauchen und sich für bewährte Lösungen im Bereich Zero Trust und Identity & Access Management interessieren, steht Ihnen das kompetente Team von netgo gerne zur Seite.