Definition und Herkunft des Begriffs Tier Zero (Tier 0)
Tier 0 bezeichnet die Schicht, in der die vertrauenswürdigsten und mächtigsten Komponenten einer Infrastruktur angesiedelt sind. Der Begriff entstand 2014 im Rahmen des Enterprise Access Modells von Microsoft, das Unternehmen dabei unterstützen sollte, privilegierte Berechtigungen strikt voneinander zu trennen und die Ausbreitung von Angriffen zu verhindern. Anlass waren zunehmend professionelle Angriffe, bei denen Angreifer privilegierte Benutzerkonten kompromittierten und sich über laterale Bewegungen schrittweise bis zum höchsten Berechtigungsniveau vorarbeiteten. Microsoft erkannte, dass die klassische Segmentierung von Netzwerken nicht ausreicht, wenn zentrale Identitätssysteme kompromittiert werden können.
Obwohl der Begriff im Microsoft-Kontext geboren wurde, ist das Konzept unabhängig von der zugrunde liegenden Technologie. In modernen Architekturen umfasst Tier 0 nicht nur Domain Controller oder AD-Objekte, sondern sämtliche Elemente, die Identität, kryptographische Vertrauensanker oder zentrale Berechtigungen bereitstellen.
Heute ist Tier 0 ein herstellerunabhängiges Sicherheitsprinzip, das identitätszentrierte Infrastrukturen schützt. Es bildet die innere Sicherheitszone, deren Kompromittierung unweigerlich zur vollständigen Kontrolle über sämtlichen digitalen Assets führt. Der Schutz dieser Zone ist daher nicht nur eine technische Notwendigkeit, sondern ein strategischer Imperativ.
Ein wirksames Tier Modell ist in Tier 0, Tier 1 und Tier 2 getrennt
Tier 0 enthält alle Systeme, die das Unternehmen technisch definieren. Domain Controller, PKI-Infrastruktur, Root-Zertifizierungsstellen, Entra ID sowie weitere Identity Provider (IdDP), HSM-Instanzen, Passwort-Tresore und Systeme für das Lifecycle-Management privilegierter Benutzerkonten formen gemeinsam den Kern. Diese Systeme können Identitäten sowie deren Benutzerkonten auf allen Systemen und Applikationen erstellen, verändern oder deaktivieren und besitzen Zugang zu Schlüsseln, die gesamte Kommunikationsströme absichern.
Tier 1 bildet die operative Ebene der produktiven IT-Landschaft. Dazu gehören Server, geschäftskritische Applikationen, Datenbanken und Netzwerkkomponenten. Auch wenn diese Systeme wichtig sind, kontrollieren sie nicht die Identität des Unternehmens. Administratoren, die Tier-1-Systeme verwalten, dürfen daher keinesfalls Zugang zu Tier-0-Ressourcen erhalten, da dies einen direkten Weg in den identitätskritischen Kern eröffnen würde.
Tier 2 schliesslich umfasst die Endbenutzerwelt. Client-Systeme, Arbeitsplatzrechner, mobile Geräte und normale Benutzerkonten bewegen sich auf dieser Ebene. Der Schutzbedarf ist hier zwar immer noch relevant, doch ein einzelner kompromittierter Client darf nicht in der Lage sein, sich ungehindert bis zu privilegierten Ebenen vorzuarbeiten. Genau diese Isolation ist der Grund für die konsequente Trennung der Tier-Schichten.
Aufbau und Implementierung eines Tier-0-Bereichs
Die Einführung eines Tier-0-Modells beginnt mit der Identifikation aller Systeme, die privilegierte Kontrolle ausüben. Viele Unternehmen unterschätzen hierbei die Anzahl ihrer Tier-0-Komponenten, insbesondere wenn hybride Architekturen im Einsatz sind. Sobald diese Systeme bestimmt wurden, beginnt die eigentliche Architekturarbeit: Der Aufbau eines isolierten Sicherheitsraums, in dem strenge Zugangskontrollen, dedizierte Administrationskonten und gehärtete Workstations zum Einsatz kommen.
In der Praxis führt kein Weg an sogenannten Privileged Access Workstations vorbei. Sie trennen Admin-Tätigkeiten klar vom allgemeinen Office-Umfeld. Diese Workstations besitzen keinen Internetzugang, werden streng überwacht und dienen ausschliesslich der Verwaltung privilegierter Ressourcen. Nur mit ihnen dürfen Tier-0-Systeme verwaltet werden.
Eine oft gestellte Frage lautet, ob man Tier-0-Systeme ohne Active Directory betreiben sollte. In modernen Architekturen lautet die Antwort häufig ja – zumindest teilweise. Viele sicherheitskritische Werkzeuge authentisieren sich heute über Zertifikate, Token oder dedizierte Vault-Mechanismen. Dadurch wird die Abhängigkeit von einem einzigen Identitätsanker reduziert. Dennoch bleibt Active Directory (oder ein Cloud-ID-System) in hybriden Umgebungen oft unverzichtbar. Entscheidend ist, dass der Authentisierungspfad gehärtet, überwacht und minimal gehalten wird.
Welche Anforderungen stellt NIS2 indirekt an Tier-0-Architekturen?
NIS2 fordert den Schutz kritischer Systeme, insbesondere im Bereich Identitäts- und Zugriffsmanagement. Tier-0-Komponenten fallen direkt unter diese Kategorie, da sie sicherheitskritische Steuerungsfunktionen übernehmen. Unternehmen müssen daher starke Zugriffskontrollen, Monitoring und Härtungsmassnahmen implementieren. Eine fehlende Tier-0-Strategie kann zu regulatorischen Risiken und Compliance-Verstössen führen.
Wo befindet sich IAM im Tier-Modell?
Identity- und Access-Management (IAM)-Systeme nehmen eine besondere Stellung ein. Obwohl sie Identitäten orchestrieren und Workflows steuern, haben sie in der Regel keine native Kontrolle über die Security-Root eines Unternehmens. Daher werden IAM-Plattformen typischerweise dem Tier 1 zugeordnet. Sie müssen privilegierte Berechtigungen verwalten können, dürfen jedoch selbst keine direkten Tier-0-Credentials halten. IAM schafft Prozesse, Rollenmodelle und Governance, ersetzt aber nicht die zentrale Vertrauensebene.
Privileged Access Management (PAM)-Systeme dagegen gehören zwingend in Tier 0, denn sie halten und schützen jene Zugangsinformationen, die höchste Macht besitzen. Verschlossene Umschläge oder statische Notfallpasswörter werden modernen Anforderungen nicht gerecht. In den meisten Unternehmen sind – wenn überhaupt noch – nur noch die allerwichtigsten Passwörter auf Papier in einem physischen Safe. Die Personen mit Zugang sind üblicherweise stark begrenzt und die Personen müssen dazu vor Ort operieren.
Ein besonderes Augenmerk sollte auf jeden Fall auch auf hochprivilegierte Accounts wie Domain Admins, Globale Admins, Break-Glass-Accounts gelegt werden. Gleiches gilt in der Machine-to-Machine (M2M) Kommunikation: Auch dort kommen durch Workload Identities teils hochprivilegierte Berechtigungen zum Einsatz.
Wie identifizieren Unternehmen ihre eigenen Tier-0-Systeme systematisch?
Die Identifikation erfolgt über die Analyse von Kontrollpfaden innerhalb der IT-Landschaft. Systeme, die Identitäten erstellen, verändern oder privilegierte Zugriffe ermöglichen, gehören in Tier 0. Dabei müssen auch indirekte Abhängigkeiten und Vertrauensbeziehungen berücksichtigt werden. Eine saubere Dokumentation dieser Strukturen ist Voraussetzung für jede Sicherheitsstrategie.
Beispiel aus der Praxis: Microsoft war vor kurzem selbst betroffen
Microsoft Entra war im Juli 2025 von einer massiven Sicherheitslücke betroffen, welche genau darauf abzielte. Ein Forscher zeigte auf, dass über undokumentierte «Actor Tokens», welche Microsoft intern für Service-to-Service-Kommunikation nutzt, Tenant-übergreifende Zugriffe möglich waren. Betroffen waren alle Tenants und es war möglich sich Globale Admin Berechtigungen in jedem Tenant weltweit zu beschaffen, dies ohne dass Sicherheitsmechanismen wie Conditional Access oder ähnliches griffen. Microsoft hat die Sicherheitslücke nach Eingang der Meldung geschlossen. Genau nachvollziehen, ob die Sicherheitslücke ausgenutzt wurde, lässt sich nicht mehr – denn die Zugriffe über diese Tokens wurden nicht protokolliert.
Diese Sicherheitslücke betrifft Tier 0, da sie eine zentrale Komponente eines Identity Providers betraf, nämlich den Token Issuer.
Wie IAM und PAM das Tiering stärken und absichern
IAM und PAM greifen im Tier-Modell wie zwei abgestimmte Komponenten ineinander. In Tier 0 liegt der Schwerpunkt auf minimaler Governance: Hier werden Berechtigungen bewusst schlank gehalten, ohne vollautomatische Rezertifizierungen oder komplexe Freigabeprozesse, da diese Funktionen meist ausserhalb des IAM verortet sind. IAM definiert in diesem Rahmen die Identitäten und ihre grundlegenden Berechtigungen für Tier 1 und Tier 2, während PAM sicherstellt, dass privilegierte Zugriffe in diesem sensibelsten Bereich nur technisch abgesichert und klar begrenzt erfolgen, üblicherweise Tier 0 und Tier 1.
Ein zentraler Mechanismus ist Just-in-Time Access (JIT-Access). Berechtigungen und teilweise auch die Benutzerkonten werden nicht dauerhaft vergeben, sondern nur für die exakt benötigte Zeitspanne zugewiesen resp. erstellt. Ein Administrator erhält Zugriff auf eine kritische Ressource erst dann, wenn ein klar definierter und verifizierter Ablauf dies erlaubt. Direkt nach Abschluss der Tätigkeit wird der Zugriff automatisch wieder entzogen. So entstehen keine permanenten Hochrisiko-Konten, und die Angriffsfläche reduziert sich deutlich.
Dadurch entsteht ein modernes Zero-Trust-Modell (never trust, always verify), das nicht auf Vertrauen basiert, sondern auf Kontrolle, Überprüfung und zeitlicher Begrenzung, siehe auch NIST Zero Trust Architecture. IAM und PAM bilden in dieser Struktur die technische und organisatorische Grundlage, um das Tier-Modell in der Praxis wirksam durchzusetzen.
Warum muss Tier 0 bei internen KI-Systemen besonders berücksichtigt werden?
Interne KI-Systeme benötigen häufig breiten Zugriff auf Daten und Identitäten, um sinnvolle Ergebnisse zu liefern. Ohne klare Tier-0-Abgrenzung besteht das Risiko, dass KI-Systeme indirekt auf hochkritische Identitäts- oder Zugriffsdaten zugreifen. Dadurch können die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit gefährdet werden, wie auch OWASP Top 10 for LLM. Eine saubere Tier-0-Architektur stellt sicher, dass KI-Systeme nur kontrollierten, minimal notwendigen Zugriff erhalten und keine sicherheitskritischen Kontrollpfade beeinflussen.
Welche typischen Fehlannahmen führen zu unsicheren Tier-0-Implementierungen?
Viele Organisationen unterschätzen, welche Systeme tatsächlich Tier 0 sind und klassifizieren IAM oder Cloud-Identitäten zu niedrig. Häufig werden administrative Konten über mehrere Tiers hinweg verwendet, was die Isolation aufhebt. Auch fehlende Trennung von Admin-Workstations ist ein verbreitetes Problem. Diese Fehlannahmen führen dazu, dass Angreifer leichter privilegierte Zugriffe eskalieren können.
Führt eine Tier-0-Strategie zu direkten Kosteneinsparungen?
Nein, kurzfristig führt eine Tier-0-Strategie in der Regel nicht zu direkten Kosteneinsparungen, sondern zunächst zu zusätzlichem Implementierungs- und Betriebsaufwand. Separate Admin-Umgebungen, PAM-Systeme und strengere Governance erhöhen initial die Komplexität und Investitionen. Langfristig reduziert Tier 0 jedoch signifikant das Risiko schwerer Sicherheitsvorfälle und deren Folgekosten, insbesondere durch vermiedene Kompromittierungen privilegierter Zugriffe. Der wirtschaftliche Nutzen entsteht somit primär durch Risikoreduktion, Stabilität und planbare Betriebsprozesse.
Fazit
Tier Zero ist weit mehr als eine Klassifizierung oder ein Architekturkonzept. Es ist eine Sicherheitsphilosophie, die die Kronjuwelen eines Unternehmens schützt. Die strikte Trennung zwischen Tier-0-Systemen, Tier-1-Workloads und Tier-2-Endpunkten verhindert, dass einzelne Kompromittierungen das gesamte Unternehmen gefährden. Identitäten und Zugriffe gehören zu den wichtigsten Pfeilern, um diese Trennung umzusetzen.
IAM und PAM sind dabei nicht nur Werkzeuge, sondern strategische Bausteine. IAM bringt Struktur, Governance und Transparenz, während PAM die technische Kontrolle sicherstellt. Zusammen ermöglichen sie einen Sicherheitsstandard, der mit modernen Bedrohungen Schritt hält und gleichzeitig eine robuste Basis für zukünftige Entwicklungen bildet.
