Zero Trust ist mehr als ein Buzzword – es ist ein Architekturprinzip, das Sicherheit radikal neu denkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Zero Trust in seinem offiziellen Positionspapier (2023) als ganzheitlichen Ansatz, der davon ausgeht, dass keiner technischen Entität automatisch vertraut werden darf – auch nicht im internen Netz.
Was ist Zero Trust laut BSI?
Im Zentrum der Zero-Trust-Philosophie steht der „Assume Breach“-Ansatz:
Man geht davon aus, dass Angreifer bereits im System sind – und trifft präventive Maßnahmen, um ihre Bewegungsfreiheit zu minimieren. Dabei gelten zwei zentrale Prinzipien:
- Minimalrechte („Least Privilege“) für alle Entitäten – also Nutzer, Geräte, Anwendungen, Dienste.
- Explizite, kontextbasierte Zugriffsentscheidungen – statt implizitem Vertrauen auf Basis von IP- oder Netzwerkzonen.
Das BSI betont:
(Quelle: BSI Zero-Trust-Papier, Kapitel 5)
Das Säulenmodell als Orientierungsrahmen
Um die Umsetzung greifbarer zu machen, schlägt das BSI ein sogenanntes Säulenmodell vor. Es unterteilt die Architektur in fünf zentrale Bereiche:
- Identität
- Gerät
- Netz
- Anwendung
- Daten
Dabei wird klar: Kein einzelnes Tool deckt alle Säulen ab. Es braucht interoperable Komponenten, die zusammenwirken – und idealerweise auf offenen Standards basieren.
Keycloak als Baustein im Zero-Trust-Modell
Keycloak ist eine Open-Source-Lösung für Identity & Access Management (IAM) – und kann in mehreren Zero-Trust-Säulen eine tragende Rolle spielen. Vor allem in den Bereichen Identität, Anwendungssicherheit und Zugriffskontrolle ist Keycloak ein echter Enabler.
1. Identitätsmanagement
Diese Säule ist das Herzstück jeder Zero-Trust-Architektur – und Keycloak ist hier voll im Spiel:
- Benutzerverwaltung, Identity Federation (z. B. Azure AD, LDAP, Social Logins)
- Unterstützung moderner Authentifizierungsstandards: OAuth2, OIDC, SAML
- MFA (Multi-Faktor-Authentifizierung) für alle oder spezifische Benutzergruppen
- Rollen- und attributbasierte Zugriffskontrolle (RBAC/ABAC)
- Self-Service-Portale für Benutzerprofil, Passwörter und Auth-Faktoren
2. Anwendung
Keycloak bietet Funktionen zur feingranularen Autorisierung, mit denen sich der Zugriff auf einzelne Anwendungen oder Services präzise regeln lässt:
- Zugriffsschutz über Token, Scopes und Ressourcen-Permissions
- Policy-basierte Autorisierung (z. B. Zugriff nur aus bestimmten Rollen oder unter bestimmten Bedingungen)
- Einfache Integration in APIs, WebApps, Microservices oder Gateways
Daten
Keycloak selbst schützt keine Datenbank oder Dateiablage – aber es entscheidet vorgelagert, wer Zugang zu datentragenden Systemen bekommt:
- Autorisierungsinformationen können über JWT Claims an Backend-Systeme weitergereicht werden
- Zugriff auf sensible Daten lässt sich so indirekt über Keycloak-Permissions steuern
- Unterstützt das Least-Privilege-Prinzip, indem nur die nötigen Rechte im Token enthalten sind
Fazit: Keycloak ist kein Zero-Trust-Framework – aber ein starker Enabler
Keycloak deckt nicht alle Säulen einer Zero-Trust-Architektur ab – aber es erfüllt entscheidende Kernanforderungen, vor allem rund um die Identitäts- und Zugriffskontrolle.
- Open Source, standardbasiert und flexibel
- Starke Community und Unternehmenssupport verfügbar
- Nahtlos integrierbar in moderne Applikationslandschaften
Wer sich dem Zero-Trust-Prinzip nähern möchte, sollte beim Thema Identität beginnen – und Keycloak ist ein exzellenter Startpunkt.