Zero-Trust ist nach wie vor wichtig. Es ist einfach nicht genug.

Ein Leitfaden für Führungskräfte im Bank- und Finanzdienstleistungssektor darüber, was KI, Maschinen und Multicloud verändert haben und was die Sicherheit als Nächstes leisten muss.
Bild eines Mannes, der vor einem Laptop steht
Kann die Sicherheit Ihrer Bank Schritt halten?

Sicherheitsteams kämpfen darum, die einheitliche Kontrolle aufrechtzuerhalten, da Multicloud-Wachstum, steigende Maschinenidentitäten und eine rasche KI-Einführung die Komplexität erhöhen. Fragmentierte Konfigurationen, die ungleichmäßige Durchsetzung von Richtlinien und unkontrollierter Maschinenzugriff vergrößern die Kluft zwischen Geschäftsgeschwindigkeit und Sicherheitskontrolle.

Gleichzeitig führen sanktionierte KI-Systeme und Schatten-KI-Systeme zu schlecht kontrollierten Entscheidungsgrundlagen. Schwache oder fehlende Kontrollen sind nach wie vor der Hauptfehlerpunkt – was die Notwendigkeit eines einheitlichen, automatisierten Ansatzes zur Sicherung von Identitäten, Workloads und KI-gestützten Abläufen unterstreicht.
Eine Draufsicht zeigt einen Fachmann, der an einem Laptop arbeitet, während er auf sonnenbeschienenen Stufen in einem modernen Atrium sitzt.

36 % der Cloud-Verletzungen lassen sich auf eine einzige Ursache zurückführen: Fehlkonfiguration.1

Warum die Sicherheit zurückbleibt

In den heutigen Multicloud- und Hybrid-Umgebungen ist die Angriffsfläche die Umgebung. Während Finanzinstitute wachsen, untergraben vier strukturelle Mächte kontinuierlich den Sicherheitsstatus. Sie verstärken sich gegenseitig und schaffen systemische Lücken, für deren Bewältigung herkömmliche Perimeterkontrollen nie konzipiert wurden.

Identitätsausbreitung

Maschinenidentitäten sind weitaus zahlreicher als menschliche Identitäten und fallen oft nicht unter Governance-Modelle, wodurch ein nicht zugeordnetes Risiko entsteht, das schwer zu erfassen, zu prüfen oder den Aufsichtsbehörden zu erklären ist.
Hybrid- und Multicloud-Komplexität

Jede Cloud setzt die Kontrollen anders durch, was zu Konfigurationsabweichungen und uneinheitlichen Richtlinien führt, die sich nur schwer standardisieren und in verschiedenen Umgebungen umsetzen lassen.
Überprivilegierter Zugriff

Weitreichende Rollen und langjährige Berechtigungen gewähren übermäßigen Zugriff, vergrößern den Wirkungsradius und erschweren die Untersuchung und die Verantwortlichkeitszuweisung nach Vorfällen.
Nicht-skalierbare manuelle Prozesse

Provisioning, Ausnahmen und Schlüsselrotation lassen sich nicht auf ein bankübliches Volumen oder gesetzliche Anforderungen skalieren, so dass Sicherheitslücken entstehen, die durch Automatisierung vermieden werden können.
Zero-Trust war nie das Problem

An diesem Punkt stellt sich die Frage: Ist Zero-Trust für moderne Banken und Finanzdienstleistungen noch relevant?

Für IBM ist die Antwort klar: Zero-Trust hat sich von einem Framework zu einem grundlegenden Betriebsmodell für regulierte Multicloud-Unternehmen entwickelt.

Die Grundpfeiler bleiben dieselben: konsequente Durchsetzung, kontinuierliche Überprüfung und durchgängige Transparenz. Doch Finanzinstitute kämpfen nicht mit der Strategie, sondern mit der Umsetzung in großem Maßstab, der Überprüfbarkeit und dem Nachweis der Kontrolle.

Da Software, Dienste und Agenten immer mehr Verantwortung übernehmen, muss sich das Zero-Trust-Konzept weiterentwickeln. Das Prinzip der minimalen Berechtigungen muss sich auf Modelle und Agenten erstrecken, während bei der Annahme eines Verstoßes die kontinuierliche Gewährleistung im Vordergrund stehen sollte, anstelle punktueller Prüfungen. Viele Strategien scheitern hier, weil echter Fortschritt von Kontrollen abhängt, die nachweisbar, überprüfbar und kontinuierlich vertrauenswürdig sind – Anforderungen, die direkt mit den regulatorischen Erwartungen im Bank- und Finanzdienstleistungssektor übereinstimmen.

Damit Zero-Trust sein Versprechen hält, muss es durch einen einheitlichen, identitätsgesteuerten Ansatz umgesetzt werden, der sicheres Verhalten messbar, durchsetzbar und standardmäßig überprüfbar macht. Hier hilft IBM Finanzinstituten dabei, von Richtlinien zur operativen Realität überzugehen.
Gruppenmeeting in einem modernen Büro.
Zero-Trust als Wegbereiter, nicht als Bremsklotz

Zero-Trust wird nur dann zu einer Stolperfalle, wenn es festgeschraubt ist. Wird Zero-Trust in Entscheidungen zu Identität und Zugriff integriert, kann es dazu beitragen, die Geschäfte zu beschleunigen und gleichzeitig die Prüfbarkeit und die Aufsicht durch die Geschäftsleitung zu stärken. Für Banken und Finanzinstitute bedeutet dies eine schnellere digitale Zustellung ohne erhöhtes Aufsichtsrisiko.

Die Umsetzung der Zero-Trust-Prinzipien von der Theorie in den Alltag erfordert eine Reihe von Funktionen, die zusammen und nicht isoliert funktionieren. 

Authentifizierung und Autorisierung

 

Menschliche Identitäten

 

Benutzer bewegen sich ständig zwischen SaaS-Plattformen, internen Systemen, Cloud-Infrastrukturen und Entwicklungspipelines – was zu Reibungsverlusten und unkontrollierten Risiken führt, wenn keine einheitliche Identitätsebene existiert. Ohne eine konstante Identitätsbasis wird jeder Übergang zu einer neuen Zugriffsentscheidung, einer neuen Richtlinie und einer neuen Chance für Reibungsverluste oder Risiken.

Zero-Trust geht dieses Problem an, indem es den menschlichen Zugriff in einer einheitlichen Identitätsquelle verankert. Durch die Integration mit bestehenden Identitätsanbietern wie Active Directory, Okta, Ping oder LDAP können Banken und Finanzinstitute eine phishing-resistente Multi-Faktor-Authentifizierung (MFA) durchsetzen, kurzlebige Token ausgeben und Zugriffsentscheidungen treffen, die an Risiken angepasst sind – wobei Verhaltenssignale und Gerätezustand in Echtzeit berücksichtigt werden.

Wenn sich Benutzer zwischen verschiedenen Umgebungen bewegen, folgen ihnen die Richtlinien. Anstatt sich durch getrennte Kontrollen erneut zu authentifizieren, wird der Zugriff konstant evaluiert. Dabei werden gängige laterale Bewegungspfade geschlossen, die unkontrollierte Ausbreitung von Konten reduziert und den Sicherheitsteams die Kontrolle übertragen, ohne die Entwickler auszubremsen.

Mit dieser Grundlage werden Identitäten an einem Ort verwaltet, MFA wird standardmäßig durchgesetzt, der Zugriff auf Umgebungen und Pipelines wird über klare Rollen geregelt und Isolierung und Genehmigungen erfolgen automatisch im Hintergrund. So können Mitarbeiter schneller arbeiten und die Gefährdung der Institution eindämmen.

 

Maschinenidentitäten

 

Maschinenidentitäten übertreffen menschliche Identitäten mittlerweile um mehrere Größenordnungen, was bei mangelhafter Regulierung ein stilles und wachsendes Risiko darstellt. Langlebige Passwörter, unkontrollierte API-Schlüssel und implizites Vertrauen zwischen Systemen bergen ein stilles, aber weitreichendes Risiko.

Zero-Trust behandelt die Maschinenidentität als erstklassige Kontrolloberfläche, die standardmäßig kurzlebige Zugangsdaten, automatisierte Rotation und Policy-as-Code durchsetzt. Workloads, Plattformen, CI/CD-Phasen und KI-Agenten müssen sich vor dem Zugriff auf Ressourcen authentifizieren. Hierfür werden kurzlebige, bereichsbezogene Anmeldeinformationen anstelle statischer Passwörter verwendet.

Da Richtlinien als Code definiert und automatisch durchgesetzt werden, erhalten Teams eine durchgängige Rückverfolgbarkeit ohne manuellen Aufwand. Audit-Protokolle werden fälschungssicher gestaltet und die Einhaltung der Vorschriften lässt sich anhand der Zugriffsgewährung kontinuierlich nachweisen. So erhalten Banken und andere regulierte Finanzinstitute eine nachvollziehbare, durchgängige Aufzeichnung der Zugriffsentscheidungen.

In der Praxis werden Anmeldeinformationen automatisch ausgestellt und rotiert, Passwörter nur bei Bedarf abgerufen und TLS-Zertifikate durchgängig verwaltet. Zusammen geben diese Muster den Systemen eine konstante Möglichkeit, nachzuweisen, wer sie sind, und einzuschränken, worauf sie zugreifen können.

 

Zugang

 

Von Mensch zu Mensch

 

Der herkömmliche Zugriff auf Infrastrukturen basiert auf statischem Netzwerkvertrauen: VPNs, Bastion-Hosts und dauerhafte Zugangsdaten, die noch lange nach ihrer Nutzung verfügbar sind. Diese Modelle sorgen für Reibungen bei Technikern und blinde Flecken bei Sicherheitsteams.

Zero-Trust ersetzt dieses Modell durch eine sitzungsbasierte Autorisierung. Anstatt dauerhaften Zugriff zu gewähren, authentifizieren sich die Techniker, fordern ein bestimmtes Ziel an und erhalten ein einmalig verwendbares Autorisierungs-Token. Zugangsdaten werden pro Sitzung vermittelt und automatisch widerrufen, wenn diese Sitzung endet.

Das Ergebnis ist eine Reduzierung der ständigen Berechtigungen, der gemeinsamen Nutzung von Passwörtern und der nicht verwalteten Tunnel. Techniker erhalten schnellen und zuverlässigen Zugriff ohne Verzögerungen durch Ticketsysteme, während Sicherheitsteams umfassende Prüfprotokolle und bei Bedarf Sitzungsaufzeichnungen erhalten, wodurch die Erwartungen an Audits, Risikomanagement und Aufsicht erfüllt werden, ohne den Workflow zu beeinträchtigen.

 

Von Maschine zu Maschine

 

Mit zunehmender Verteilung von Anwendungen entwickelt sich die Kommunikation zwischen Diensten zu einem der am schwierigsten abzusichernden Bereiche. IP-Zulassungslisten und Netzwerkgrenzen sind nicht über Clouds und Umgebungen hinweg skalierbar und von vornherein kompliziert.

Zero-Trust wendet standardmäßig identitätsbasierte Kontrollen auf jede Verbindung zwischen Diensten an. Sobald Dienste über Identitäten verfügen, werden bei jedem Aufruf Authentifizierung und Autorisierung erzwungen, sodass die Regeln der minimalen Berechtigungsvergabe konstant angewendet werden können – unabhängig davon, wo ein Dienst ausgeführt wird.

Dieser Ansatz ermöglicht Folgendes:

  • Mutual TLS (mTLS) zum kryptografischen Nachweis der Dienstidentität.
  • Identitätsbasierte Datenverkehrsrichtlinien, die zentral festlegen, welche Dienste unter welchen Bedingungen kommunizieren dürfen – und so Ausnahmen pro Umgebung beseitigen, die einen Zero-Trust-Drift verursachen.
  • Automatisierte Ausstellung und Verlängerung von Zertifikaten, wodurch die Systeme ohne manuelle Übergabe auf dem neuesten Stand bleiben, während identitätssensitives Routing durchgängig den Zugriff nach den geringsten Berechtigungen durchsetzt.

Datenschutz und kontinuierliche Sicherheit

 

Zero-Trust setzt Verstöße voraus – ein Prinzip, das direkt auf das moderne Bankwesen und finanzielles Risikomanagement abgestimmt ist. Die letzte Verteidigungslinie sind die Daten selbst.

Durch die Ausweitung der Zero-Trust-Prinzipien auf die Datenebene gehen Unternehmen über regelmäßige Audits hinaus und erreichen eine kontinuierliche Sicherheit, indem sie den Datenschutz dauerhaft durchsetzen, um die Auswirkungen von Angriffen zu begrenzen, selbst wenn Identitäten kompromittiert werden.

Dazu gehören:

  • Verschlüsselung als Service mit fein abgestuften Zugriffskontrollen.
  • Transparente Verschlüsselung, unterstützt durch verwaltete Schlüssel.
  • Kontinuierliche Erkennung und Sanierung von durchgesickerten oder nicht verwalteten Passwörtern in Repositories, Bildern und Pipelines.
  • Laufendes Compliance-Scanning mit Richtlinien als Code, um Abweichungen frühzeitig zu erkennen und geschlossene Sanierungen auszulösen.

 

Das Ergebnis ist ein Sicherheitsstatus, bei dem die Einhaltung von Vorschriften nicht länger eine separate Initiative ist, sondern ein messbares Ergebnis der täglichen Durchsetzung von Zugriff und Datenschutz.
Risiken minimieren. Vorteile maximieren.

Banken und Finanzinstitute, die von einem perimeterbasierten Zero-Trust-Modell zu einem modernen, identitätsbasierten Ansatz für Menschen, Maschinen und KI-Workloads in allen Umgebungen übergehen, berichten von messbaren operativen Verbesserungen sowie stärkerer Sicherheit:

  •  Unternehmen, die KI und automatisierungsgestützte Kontrollen einsetzen, senken die Kosten von Datenschutzverletzungen um durchschnittlich 1,9 Millionen USD.2
  •  KI und Automatisierung verkürzen außerdem die Eindämmung um 80 Tage, anders als bei Unternehmen, die diese nicht nutzen.2
  • Interne Sicherheitsteams erkennen mittlerweile 50 % der Sicherheitsverletzungen (gegenüber 42 % im Vorjahr).2
  • Eine frühzeitige Identifizierung senkt die Kosten im Vergleich zu Offenlegungen durch Angreifer.2

Diese Ergebnisse ergeben sich nicht zufällig. Sie resultieren aus der Anwendung des Zero-Trust-Prinzips als Betriebsmodell. Die Automatisierung beseitigt die manuellen Reibungsverluste bei der Verwaltung von Zugangsdaten. Eine einheitliche Richtlinie ersetzt brüchige, einmalige Kontrollen in verschiedenen Clouds. Und eine identitätsgestützte Einstellung, die an regulatorische, interne Prüfungen und KI-Governance-Anforderungen ausgerichtet ist, sorgt dafür, dass sich die Sicherheit mit der Geschwindigkeit des Unternehmens bewegt, anstatt sie zu verlangsamen.

 
Bild von Stadtgebäude bei Nacht
Zero-Trust in Aktion erleben

Erfahren Sie, wie die Commercial International Bank ihren Sicherheitsstatus durch die Automatisierung von Identitäts-, Zugriffs- und Infrastrukturkontrollen modernisiert hat.

 Story lesen
Zero-Trust funktioniert nur, wenn es durchgehend eingesetzt wird

Die Branche ist sich einig: Zero-Trust ist die richtige Strategie und entspricht heute dem Standard3 . Führende Institutionen betrachten es als operative Disziplin – nicht als Ziel. Wenn Sicherheit von vornherein in die Art und Weise der Zugriffsgewährung, Verifizierung und Überprüfung integriert ist, stellen sich Teams schneller um, Audits werden einfacher und das Vertrauen wird nachweisbar.
Erfahren Sie, wie IBM Banken dabei unterstützt, sich von der Absicht zur Umsetzung des Zero-Trust-Konzepts zu wandeln

Zero-Trust bietet nur dann einen Mehrwert, wenn es bei Menschen, Maschinen und KI einheitlich durchgesetzt wird. IBM unterstützt Banken bei der Umsetzung ihrer Zero-Trust-Strategie in die operative Realität – durch Lösungen für Unternehmenssicherheit von IBM und durchgängiger Umsetzungsunterstützung von IBM Consulting.

  1. Sicherheitslösungen entdecken
  2. Skalieren Sie die Sicherheit mit Consulting
Fußnoten

 CrowdStrike. Global Threat Report 2024: Die 5 größten Herausforderungen für die Cloud-Sicherheit im Jahr 2024 und wie man ihnen begegnen kann.

 IBM. Cost of a Data Breach Report 2025.

3 Vom National Institute of Standards and Technology (NIST) in ihrem 2020 veröffentlichten berühmten Leitfaden SP 800-207, :Zero Trust Architecture" formalisiert.