- Zero Trust ist ein Sicherheitsmodell, kein Produkt. Das Kernprinzip lautet: Vertraue niemandem, verifiziere alles – unabhängig davon, ob der Zugriff von innen oder außen kommt.
- Die fünf Grundprinzipien (Explizite Verifikation, Least Privilege, Assume Breach, Mikrosegmentierung, Kontinuierliche Validierung) lassen sich auch im Mittelstand schrittweise umsetzen.
- MFA auf allen externen Zugängen, konsequentes Least Privilege und eine grundlegende Netzwerksegmentierung bringen den größten Sicherheitsgewinn mit dem geringsten Aufwand.
- Conditional Access Policies in Microsoft 365 oder Google Workspace sind bereits im Lizenzpreis enthalten und ermöglichen kontextbasierte Zugriffskontrolle ohne Zusatzkosten.
- Du brauchst weder eine SASE-Plattform noch einen Full-Stack-ZTNA-Anbieter, um mit Zero Trust zu starten. Die Prinzipien funktionieren auch mit Bordmitteln.
Warum Zero Trust gerade im Mittelstand Sinn ergibt
Der Begriff Zero Trust geistert seit Jahren durch die IT-Security-Branche. Auf jeder Messe, in jedem Webinar und in jedem Whitepaper der großen Hersteller taucht er auf, meist flankiert von Produktankündigungen, die versprechen, Zero Trust mit einer einzigen Plattform zu lösen. Kein Wunder, dass viele IT-Verantwortliche im Mittelstand inzwischen reflexhaft abwinken, wenn das Thema aufkommt. Zu abstrakt, zu teuer, zu komplex für ein Unternehmen mit 80 oder 200 Mitarbeitern.
Dabei ist die Grundidee hinter Zero Trust weder abstrakt noch teuer. Sie ist eigentlich ziemlich simpel und gerade für den Mittelstand hochrelevant. Denn die klassische Netzwerkarchitektur, auf der die meisten mittelständischen IT-Umgebungen basieren, hat ein fundamentales Problem: Sie vertraut allem, was sich innerhalb des Netzwerks befindet. Firewall am Rand, dahinter ein flaches Netzwerk, in dem jeder Rechner mit jedem Server kommunizieren kann. Wer drin ist, ist drin.
Dieses Modell stammt aus einer Zeit, in der alle Mitarbeiter im Büro saßen, alle Anwendungen im lokalen Rechenzentrum liefen und das Internet ein Kanal war, den man kontrolliert nach außen öffnete. Diese Zeit ist vorbei. Mitarbeiter arbeiten von zuhause, Anwendungen laufen in der Cloud, Dienstleister greifen remote auf Systeme zu, und mobile Geräte sind allgegenwärtig. Die Netzwerkgrenze, an der die Firewall alles regelt, existiert in dieser Form nicht mehr.
Genau hier setzt Zero Trust an. Nicht als Produkt, nicht als Technologie, sondern als Denkmodell, das die Sicherheitsarchitektur an die Realität moderner IT-Umgebungen anpasst. Und dieses Denkmodell lässt sich auch ohne Enterprise-Budget umsetzen, wenn du verstehst, was dahintersteckt und welche Maßnahmen den größten Hebel haben.
Was Zero Trust wirklich bedeutet
Bevor wir über konkrete Maßnahmen sprechen, müssen wir das Konzept von den Marketing-Versprechen der Hersteller trennen. Zero Trust wurde 2010 von John Kindervag bei Forrester Research formuliert und basiert auf einer simplen Beobachtung: Das traditionelle Vertrauensmodell in Netzwerken, bei dem interne Kommunikation grundsätzlich als vertrauenswürdig gilt und externe Kommunikation grundsätzlich als nicht vertrauenswürdig, ist falsch.
Angreifer, die es einmal ins interne Netzwerk geschafft haben, ob durch Phishing, einen kompromittierten Dienstleister oder eine Schwachstelle in einer Webanwendung, können sich dort frei bewegen. Lateral Movement nennt man das. Der Angreifer springt von System zu System, eskaliert seine Berechtigungen und greift auf immer sensiblere Daten zu. Die Firewall am Rand bemerkt davon nichts, weil der Traffic ja intern ist und damit per Definition vertrauenswürdig.
Zero Trust dreht dieses Modell um. Die Kernaussage lautet: Vertraue niemandem, verifiziere jeden Zugriff, jedes Mal. Es gibt kein implizites Vertrauen mehr, weder für interne Nutzer noch für interne Geräte noch für internen Netzwerkverkehr. Jeder Zugriff auf jede Ressource muss explizit autorisiert werden, basierend auf der Identität des Nutzers, dem Zustand des Geräts und dem Kontext der Anfrage.
Das klingt zunächst nach einem massiven Aufwand. Aber das Entscheidende ist: Du musst nicht alles auf einmal umsetzen. Zero Trust ist kein Schalter, den du umlegst, sondern eine Reise. Und auf dieser Reise gibt es Maßnahmen, die schnell und günstig umzusetzen sind und trotzdem einen enormen Sicherheitsgewinn bringen.
Die fünf Grundprinzipien von Zero Trust
Das NIST hat 2020 mit der Special Publication 800-207 eine Referenzarchitektur für Zero Trust veröffentlicht, die inzwischen als Standard gilt. Daraus lassen sich fünf Grundprinzipien ableiten, die das Fundament jeder Zero-Trust-Strategie bilden.
1. Explizite Verifikation
Jeder Zugriff wird authentifiziert und autorisiert, basierend auf allen verfügbaren Datenpunkten. Nicht nur Benutzername und Passwort, sondern auch Geräteidentität, Standort, Uhrzeit, Risikolevel der Anfrage und weitere Kontextinformationen. Das bedeutet in der Praxis: Multi-Faktor-Authentifizierung für jeden Zugriff auf sensible Ressourcen und idealerweise kontextbasierte Zugriffsrichtlinien, die den Zugriff nicht nur erlauben oder verweigern, sondern auch Bedingungen stellen können.
2. Least Privilege
Nutzer und Systeme erhalten nur die minimal notwendigen Berechtigungen, um ihre Aufgabe zu erfüllen. Nicht mehr und nicht weniger. Dieses Prinzip gilt für Benutzerkonten genauso wie für Serviceaccounts, API-Schlüssel und Maschinenidentitäten. In vielen mittelständischen Unternehmen ist hier der größte Hebel, weil über die Jahre Berechtigungen gewachsen sind, die längst niemand mehr braucht, die aber nie entzogen wurden.
3. Assume Breach
Gehe davon aus, dass dein Netzwerk bereits kompromittiert ist. Plane deine Sicherheitsarchitektur so, als wäre der Angreifer schon drin. Das klingt pessimistisch, ist aber die realistischste Annahme, die du treffen kannst. Wenn du davon ausgehst, dass dein Perimeter durchbrochen wird, baust du automatisch Verteidigungslinien im Inneren auf: Segmentierung, Monitoring, schnelle Erkennung und eingedämmte Blast Radius.
4. Mikrosegmentierung
Teile dein Netzwerk in kleine, isolierte Segmente auf. Jedes Segment schützt eine bestimmte Ressource oder Gruppe von Ressourcen. Die Kommunikation zwischen Segmenten wird explizit erlaubt und alles andere blockiert. Wenn ein Angreifer in ein Segment eindringt, kann er nicht automatisch auf alle anderen zugreifen. Die Lateral-Movement-Fähigkeit wird drastisch eingeschränkt.
5. Kontinuierliche Validierung
Vertrauen ist nicht statisch. Ein Nutzer, der sich morgens um 9 Uhr aus dem Büro mit einem aktuellen, verwalteten Gerät anmeldet, hat ein anderes Risikoprofil als derselbe Nutzer, der um 3 Uhr nachts von einer unbekannten IP-Adresse mit einem unbekannten Gerät zugreift. Zero Trust fordert, dass Vertrauen kontinuierlich neu bewertet wird, nicht nur beim Login, sondern während der gesamten Sitzung.
Was davon im KMU realistisch umsetzbar ist
Jetzt wird es praktisch. Die fünf Prinzipien klingen in der Theorie überzeugend, aber welche davon kannst du in einem Unternehmen mit 50 bis 500 Mitarbeitern, begrenztem IT-Budget und einer kleinen IT-Abteilung tatsächlich umsetzen?
Die ehrliche Antwort: nicht alle in vollem Umfang. Kontinuierliche Validierung mit Echtzeit-Risikobewertung erfordert Technologien wie UEBA (User and Entity Behavior Analytics) oder XDR-Plattformen, die für den Mittelstand oft zu komplex und zu teuer sind. Vollständige Mikrosegmentierung auf Workload-Ebene mit Software-Defined Networking setzt eine Infrastruktur voraus, die viele KMU nicht haben.
Aber das ist kein Grund, Zero Trust komplett abzuschreiben. Denn die Prinzipien 1 bis 3 lassen sich mit überschaubarem Aufwand umsetzen und bringen den Großteil des Sicherheitsgewinns. Und auch bei Prinzip 4 gibt es eine pragmatische Version, die weit entfernt ist von einer vollständigen Mikrosegmentierung, aber trotzdem einen enormen Unterschied macht.
Die folgende Tabelle zeigt eine realistische Einschätzung für den Mittelstand:
| Prinzip | Umsetzbarkeit im KMU | Aufwand | Sicherheitsgewinn |
|---|---|---|---|
| Explizite Verifikation (MFA + Conditional Access) | Hoch | Gering bis mittel | Sehr hoch |
| Least Privilege | Hoch | Mittel | Sehr hoch |
| Assume Breach (Monitoring + Incident Response) | Mittel bis hoch | Mittel | Hoch |
| Mikrosegmentierung (Netzwerkebene) | Mittel | Mittel | Hoch |
| Kontinuierliche Validierung | Gering bis mittel | Hoch | Mittel |
Die Strategie für den Mittelstand lautet also: Fokussiere dich auf die ersten vier Prinzipien in einer pragmatischen Ausprägung. Das allein hebt dein Sicherheitsniveau drastisch an und bringt dich weit über das hinaus, was die meisten vergleichbaren Unternehmen umgesetzt haben.
Konkrete Maßnahmen für den Mittelstand
MFA auf allen externen Zugängen
Wenn du nur eine einzige Maßnahme aus dem Zero-Trust-Baukasten umsetzt, dann diese: Multi-Faktor-Authentifizierung auf allen extern erreichbaren Diensten. VPN-Zugang, Microsoft 365, Google Workspace, Cloud-Anwendungen, Fernwartungszugänge, Admin-Panels. Überall.
MFA ist die effektivste Einzelmaßnahme gegen Credential-basierte Angriffe. Microsoft beziffert die Schutzwirkung auf über 99 % der Konto-Übernahmen. Google berichtet ähnliche Zahlen. Der Grund ist simpel: Selbst wenn ein Angreifer durch Phishing oder einen Datenleak an ein Passwort gelangt, fehlt ihm der zweite Faktor.
Die Umsetzung ist inzwischen trivial. Microsoft 365 und Google Workspace haben MFA als Bordmittel. Authenticator-Apps sind kostenlos. Für VPN-Zugänge und On-Premises-Anwendungen gibt es Lösungen wie den Microsoft Entra ID Application Proxy oder freie TOTP-Implementierungen.
Wichtig dabei: Setze auf phishing-resistente Faktoren, wo es geht. FIDO2-Sicherheitsschlüssel oder Passkeys sind besser als SMS-Codes, und SMS-Codes sind besser als gar kein zweiter Faktor. Starte mit dem, was du heute umsetzen kannst, und verbessere die Faktoren über die Zeit.
Conditional Access: Kontext entscheidet über Zugriff
Conditional Access geht einen Schritt weiter als einfache MFA. Statt nur zu prüfen, ob der Nutzer sich korrekt authentifiziert hat, werden zusätzliche Kontextinformationen in die Zugriffsentscheidung einbezogen. Welches Gerät wird verwendet? Ist es verwaltet oder privat? Von welchem Standort kommt der Zugriff? Wie hoch ist das Risikolevel des Nutzerkontos?
Microsoft Entra ID (ehemals Azure AD) bietet Conditional Access Policies bereits in den Business-Premium-Lizenzen, die viele mittelständische Unternehmen ohnehin haben. Google Workspace bietet vergleichbare Funktionen unter dem Namen Context-Aware Access in den Business-Plus-Lizenzen.
Typische Conditional-Access-Regeln für den Mittelstand sehen so aus: Zugriff auf Unternehmensressourcen nur von verwalteten Geräten. Zugriff von unbekannten Standorten erfordert zusätzliche Verifikation. Admin-Zugriffe sind auf das Firmennetz oder VPN beschränkt. Legacy-Authentifizierungsprotokolle werden blockiert. Diese Regeln sind in wenigen Stunden konfiguriert und sofort wirksam.
Least Privilege konsequent umsetzen
Das Prinzip der minimalen Berechtigung ist keine neue Idee. ISO 27001 fordert es in Annex A.5.15 (Zugangssteuerung) und A.8.2 (Privilegierte Zugangsrechte). NIS2 setzt es in den Mindestmaßnahmen voraus. In der Praxis sieht es bei vielen mittelständischen Unternehmen trotzdem anders aus.
Die typischen Probleme kennst du wahrscheinlich: Der Geschäftsführer hat lokale Admin-Rechte auf seinem Rechner, weil er vor drei Jahren ein Programm installieren wollte und seitdem nie jemand die Rechte zurückgenommen hat. Die Auszubildenden haben die gleichen Netzlaufwerkszugriffe wie die Abteilungsleiter, weil bei der Einrichtung das Konto einer erfahrenen Kollegin als Vorlage diente. Der IT-Dienstleister hat einen Domain-Admin-Account, der rund um die Uhr aktiv ist, obwohl er nur zweimal im Monat Wartungsarbeiten durchführt.
Least Privilege bedeutet, diese Zustände systematisch zu bereinigen. Konkret heißt das: Entziehe lokale Admin-Rechte auf Arbeitsplätzen. Führe ein rollenbasiertes Berechtigungskonzept ein, bei dem Zugriffsrechte an Funktionen gebunden sind, nicht an Personen. Setze Admin-Konten zeitlich befristet ein (Just-in-Time-Administration). Überprüfe Berechtigungen regelmäßig in einem Access Review. Trenne privilegierte Konten von normalen Arbeitskonten.
Das klingt nach viel Arbeit, und ja, die initiale Bereinigung ist aufwändig. Aber wenn du einmal ein sauberes Berechtigungskonzept hast und den User-Lifecycle-Prozess sauber aufsetzt, hält sich der laufende Aufwand in Grenzen. Der Sicherheitsgewinn ist enorm, weil du damit sowohl Insider-Risiken als auch die Auswirkungen kompromittierter Accounts drastisch reduzierst.
Netzwerksegmentierung als pragmatische Mikrosegmentierung
Vollständige Mikrosegmentierung auf Workload-Ebene ist für den Mittelstand in der Regel nicht praktikabel. Was aber sehr wohl machbar ist: eine sinnvolle Netzwerksegmentierung, die die wichtigsten Bereiche voneinander trennt.
Die Grundidee ist einfach: Statt eines flachen Netzwerks, in dem alle Geräte alle Server erreichen können, teilst du dein Netzwerk in VLANs auf und regelst den Verkehr zwischen diesen VLANs über Firewall-Regeln. Ein sinnvolles Startsetup für ein mittelständisches Unternehmen könnte so aussehen:
Segment 1 – Arbeitsplätze: Alle Nutzer-PCs und Laptops. Dürfen auf Anwendungsserver und Internet zugreifen, aber nicht auf das Management-Netz oder direkt auf Datenbankserver.
Segment 2 – Server: Anwendungsserver, Fileserver, Intranet. Erreichbar von den Arbeitsplätzen, aber nur über definierte Ports und Protokolle.
Segment 3 – Datenbanken und Backup: Nur von den Anwendungsservern erreichbar, nicht direkt von den Arbeitsplätzen. Das schützt insbesondere die Backups vor Ransomware, die sich über kompromittierte Arbeitsplätze ausbreitet.
Segment 4 – Management: Switches, Firewalls, Hypervisoren, IPMI/iLO-Interfaces. Nur von dedizierten Admin-Workstations erreichbar. Dieses Segment ist besonders kritisch, weil ein Angreifer mit Zugriff auf das Management-Netz die gesamte Infrastruktur kontrollieren kann.
Segment 5 – Gäste und IoT: WLAN für Gäste, Drucker, IP-Telefone, sonstige IoT-Geräte. Isoliert vom Rest, mit Internetzugang, aber ohne Zugriff auf interne Ressourcen.
Diese Segmentierung lässt sich mit jedem halbwegs modernen Managed Switch und einer Firewall umsetzen, die VLANs und Inter-VLAN-Routing mit Regelwerk unterstützt. Das können auch Geräte im dreistelligen Euro-Bereich. Du brauchst dafür kein Software-Defined Networking und keine Enterprise-Firewall.
Monitoring und Logging als Grundlage für Assume Breach
Assume Breach bedeutet in der Praxis: Du brauchst die Fähigkeit, ungewöhnliche Aktivitäten zu erkennen. Wenn du davon ausgehst, dass ein Angreifer irgendwann in dein Netzwerk eindringt, musst du in der Lage sein, das zu bemerken und schnell zu reagieren.
Für den Mittelstand heißt das nicht, dass du ein SOC mit 24/7-Besetzung aufbauen musst. Es heißt, dass du grundlegendes Logging und Monitoring etablierst: Zentrale Sammlung von Logdaten (Windows Event Logs, Firewall Logs, Authentifizierungslogs). Eine strukturierte Logging-Strategie hilft, die richtigen Events zu identifizieren. Automatische Alerts bei kritischen Events (fehlgeschlagene Anmeldeversuche, Admin-Aktionen, Änderungen an Sicherheitseinstellungen). Regelmäßige Durchsicht der Alerts.
Tools wie der Windows Event Collector, Graylog (Open Source) oder ein Managed SIEM bei einem IT-Dienstleister ermöglichen das auch mit kleinem Budget. Wenn du Microsoft 365 Business Premium nutzt, hast du mit Microsoft Defender for Business bereits eine XDR-Lösung im Paket, die Endpoint-Alerts liefert und automatisierte Reaktionen ermöglicht.
Was du NICHT brauchst
Ein wesentlicher Teil einer pragmatischen Zero-Trust-Strategie im Mittelstand besteht darin, zu wissen, was du nicht brauchst. Denn die Hersteller werden dir gerne mehr verkaufen, als du sinnvoll einsetzen kannst.
Du brauchst keine SASE-Plattform. Secure Access Service Edge ist ein Architekturmodell für Unternehmen mit Tausenden von Mitarbeitern an Dutzenden von Standorten, die ihren gesamten Netzwerk- und Sicherheits-Stack in die Cloud verlagern wollen. Für ein Unternehmen mit einem oder zwei Standorten und einer überschaubaren Anzahl an Remote-Mitarbeitern ist das Overkill.
Du brauchst keinen dedizierten ZTNA-Anbieter. Zero Trust Network Access als Produktkategorie ersetzt klassische VPN-Zugänge durch anwendungsspezifische Tunnel. Das ist ein sinnvolles Konzept, aber für den Mittelstand reicht in den meisten Fällen ein gut konfigurierter VPN-Zugang mit MFA und Conditional Access. Wenn du perspektivisch ZTNA einführen willst, bieten Microsoft Entra Private Access oder Cloudflare Access bezahlbare Einstiegsmöglichkeiten.
Du brauchst kein Identitäts-Governance-Tool im sechsstelligen Bereich. SailPoint, Saviynt und ähnliche Plattformen sind für Großunternehmen mit Zehntausenden von Identitäten und Hunderten von Anwendungen konzipiert. Für den Mittelstand reicht ein sauber dokumentiertes Berechtigungskonzept, regelmäßige Access Reviews und ein definierter User-Lifecycle-Prozess.
Du brauchst kein Real-Time Continuous Authentication. Biometrische Echtzeit-Verifikation während der Sitzung, Verhaltensanalyse bei der Tastaturbedienung und ähnliche Technologien sind spannend, aber für den Mittelstand weder erschwinglich noch notwendig. Eine saubere Session-Timeout-Policy, automatische Bildschirmsperre und regelmäßige Re-Authentifizierung bei sensiblen Aktionen erfüllen den gleichen Zweck auf pragmatischere Weise.
Praxisbeispiel: Zero Trust bei einem Maschinenbauer mit 120 Mitarbeitern
Ein mittelständischer Maschinenbauer mit 120 Mitarbeitern, drei Standorten und einem kleinen IT-Team von drei Personen hat seine Zero-Trust-Reise folgendermaßen gestaltet.
Monat 1-2: MFA und Conditional Access. Das Unternehmen nutzte bereits Microsoft 365 Business Premium. Im ersten Schritt wurde MFA für alle Nutzer aktiviert, zunächst mit der Microsoft Authenticator App. Parallel dazu wurden Conditional-Access-Policies eingerichtet: Zugriff auf SharePoint und Teams nur von verwalteten Geräten, Admin-Zugriffe nur aus dem Firmennetz, Blockierung von Legacy-Authentifizierung. Aufwand: etwa 20 Arbeitsstunden für die IT, zwei Wochen Vorlauf für die Mitarbeiterkommunikation.
Monat 3-4: Berechtigungsbereinigung. Alle Benutzerkonten wurden gesichtet. Lokale Admin-Rechte wurden auf den Arbeitsplätzen entzogen (mit Ausnahme der IT). Netzlaufwerkszugriffe wurden an Sicherheitsgruppen gebunden, die den tatsächlichen Rollen entsprachen. Alte Accounts von ehemaligen Mitarbeitern und Dienstleistern wurden deaktiviert. Aufwand: etwa 60 Arbeitsstunden, verteilt auf vier Wochen.
Monat 5-6: Netzwerksegmentierung. Das flache Netzwerk wurde in fünf VLANs aufgeteilt: Arbeitsplätze, Server, Backup/Datenbank, Management und Gäste/IoT. Die Firewall-Regeln wurden so konfiguriert, dass nur die notwendige Kommunikation zwischen den Segmenten erlaubt ist. Aufwand: etwa 40 Arbeitsstunden, davon die Hälfte für Planung und Tests.
Monat 7-8: Logging und Monitoring. Windows Event Logs und Firewall-Logs wurden zentral auf einem Graylog-Server gesammelt. Alerts für kritische Events wurden eingerichtet: mehr als zehn fehlgeschlagene Anmeldeversuche, Admin-Logins außerhalb der Geschäftszeiten, Änderungen an Gruppenrichtlinien. Aufwand: etwa 30 Arbeitsstunden für Setup, danach 2-3 Stunden pro Woche für die Log-Durchsicht.
Ergebnis nach 8 Monaten: Das Unternehmen hat kein Zero-Trust-Produkt gekauft und keinen externen Berater für ein sechsstelliges Projekt engagiert. Trotzdem hat es die wesentlichen Zero-Trust-Prinzipien umgesetzt. Die Gesamtkosten lagen bei etwa 150 internen Arbeitsstunden und rund 3.000 Euro für zusätzliche Hardware (Managed Switches für die VLANs und einen Server für Graylog). Beim nächsten Pentest des Unternehmens konnte der Tester nach dem initialen Zugang über einen Phishing-Angriff nicht mehr lateral durch das Netzwerk bewegen, die Segmentierung und die entzogenen Admin-Rechte haben das verhindert.
Zero Trust und ISO 27001: Die Verbindung
Zero Trust ist keine ISO-Norm und kein Zertifizierungsstandard. Aber die Prinzipien decken sich stark mit den Anforderungen von ISO 27001 und NIS2.
Explizite Verifikation und MFA findest du in Annex A.8.5 (Sichere Authentifizierung). Least Privilege ist in A.5.15 (Zugangssteuerung) und A.8.2 (Privilegierte Zugangsrechte) verankert. Mikrosegmentierung entspricht A.8.22 (Netzwerksegmentierung). Monitoring und Assume Breach finden sich in A.8.15 (Logging) und A.8.16 (Überwachung von Aktivitäten).
Wenn du ein ISMS nach ISO 27001 betreibst und die Zero-Trust-Prinzipien in deine Maßnahmenumsetzung einbeziehst, stärkst du damit gleichzeitig deine Compliance. Im Audit kannst du die Maßnahmen direkt den Controls zuordnen und hast eine schlüssige Argumentation für deine Sicherheitsarchitektur.
NIS2 fordert in Artikel 21 unter anderem Risikoanalyse, Zugangssteuerung und Kryptografie als Mindestmaßnahmen. Eine Zero-Trust-orientierte Architektur adressiert mehrere dieser Maßnahmen gleichzeitig, weil sie den Zugriff auf Ressourcen grundsätzlich restriktiv gestaltet und kontextbasiert steuert.
Die Roadmap: Zero Trust in vier Phasen umsetzen
Wenn du Zero Trust in deinem Unternehmen einführen willst, empfehle ich eine phasenbasierte Vorgehensweise, die du an dein Budget und deine Kapazitäten anpassen kannst.
Phase 1: Identitäten absichern (Monat 1-2)
Hier liegt der größte Quick Win. MFA auf allen externen Zugängen aktivieren. Conditional-Access-Policies konfigurieren. Legacy-Authentifizierung deaktivieren. Admin-Konten von Arbeitskonten trennen. Diese Phase lässt sich in den meisten Umgebungen mit Bordmitteln umsetzen, also ohne zusätzliche Lizenzkosten.
Phase 2: Berechtigungen bereinigen (Monat 3-4)
Berechtigungskonzept dokumentieren. Alle Konten und Gruppen überprüfen. Lokale Admin-Rechte entziehen. Veraltete Accounts deaktivieren. Regelmäßigen Access-Review-Prozess einführen. Diese Phase ist arbeitsintensiv, aber kostengünstig.
Phase 3: Netzwerk segmentieren (Monat 5-6)
VLAN-Konzept erstellen. Netzwerk in sinnvolle Segmente aufteilen. Firewall-Regeln zwischen den Segmenten definieren. Testen, dass alle Anwendungen noch funktionieren. Diese Phase erfordert möglicherweise Hardware-Investitionen für Managed Switches, falls noch nicht vorhanden.
Phase 4: Sichtbarkeit herstellen (Monat 7-8)
Zentrales Logging einrichten. Kritische Alerts definieren. Prozess für die regelmäßige Log-Durchsicht etablieren. Incident-Response-Prozess mit dem Logging verknüpfen. Diese Phase schafft die Grundlage, um Assume Breach in der Praxis zu leben.
Nach diesen vier Phasen hast du eine solide Zero-Trust-Grundlage. Darauf aufbauend kannst du in den folgenden Monaten weitere Verbesserungen vornehmen: Endpoint-Detection-and-Response einführen, die Segmentierung verfeinern, Conditional Access um Gerätecompliance erweitern, ZTNA für einzelne Anwendungen pilotieren.
Typische Fehler bei der Einführung
Bei der Umsetzung von Zero Trust im Mittelstand gibt es einige Fallstricke, die du kennen solltest.
Alles auf einmal wollen. Zero Trust ist eine Reise, kein Sprint. Wenn du versuchst, alle Prinzipien gleichzeitig und in voller Ausprägung umzusetzen, überforderst du dein Team und deine Organisation. Der phasenbasierte Ansatz ist nicht nur realistischer, sondern auch nachhaltiger, weil die Mitarbeiter Zeit haben, sich an die Veränderungen zu gewöhnen.
MFA ohne Kommunikation einführen. MFA verändert den Arbeitsalltag jedes Mitarbeiters. Wenn du es ohne Vorankündigung und Erklärung aktivierst, produzierst du Frust und Support-Tickets. Kommuniziere frühzeitig, erkläre das Warum, biete eine kurze Anleitung und einen Zeitraum für die Einrichtung an.
Admin-Rechte entziehen ohne Alternativen. Wenn du lokale Admin-Rechte entziehst, müssen Mitarbeiter trotzdem arbeitsfähig bleiben. Stelle sicher, dass genehmigte Software über den IT-Service installiert werden kann und dass es einen schnellen Prozess gibt, wenn jemand eine Anwendung braucht. Sonst schaffen sich die Leute Workarounds, die schlimmer sind als die Admin-Rechte.
Netzwerksegmentierung ohne Dokumentation. Wenn du dein Netzwerk segmentierst, aber nirgendwo dokumentierst, welches Gerät in welchem Segment steht und welche Kommunikation erlaubt ist, erzeugst du eine Blackbox, die bei der nächsten Störung zum Problem wird. Dokumentiere das Netzwerkkonzept, pflege es und halte es aktuell.
Zu viel Technik, zu wenig Prozess. Zero Trust ist mindestens zur Hälfte ein Prozessthema. MFA und Netzwerksegmentierung sind technische Maßnahmen, aber Least Privilege funktioniert nur, wenn der User-Lifecycle-Prozess sauber ist. Assume Breach funktioniert nur, wenn es einen Incident-Response-Prozess gibt. Investiere gleichmäßig in Technologie und Prozesse. In ISMS Lite lassen sich die Zero-Trust-Maßnahmen den ISO-27001-Controls zuordnen und der Umsetzungsstatus für das nächste Audit nachverfolgen.
Zero Trust ist machbar, auch für dich
Zero Trust im Mittelstand ist kein Widerspruch. Es erfordert kein Enterprise-Budget, keine hundertköpfige IT-Abteilung und keine SASE-Plattform. Was es erfordert, ist ein klares Verständnis der Prinzipien, eine pragmatische Priorisierung und die Bereitschaft, die Sicherheitsarchitektur schrittweise zu modernisieren.
Fang mit den Identitäten an, denn dort liegt der größte Hebel. MFA und Conditional Access sind schnell umgesetzt und sofort wirksam. Dann bereinige die Berechtigungen, segmentiere das Netzwerk und baue Sichtbarkeit auf. Jede dieser Phasen bringt dich näher an ein Sicherheitsniveau, das dem Stand der Technik entspricht und gleichzeitig die Anforderungen von ISO 27001 und NIS2 adressiert.
Die perfekte Zero-Trust-Architektur wirst du an Tag eins nicht haben. Aber ein Unternehmen, das MFA auf allen Zugängen hat, Berechtigungen nach dem Minimalprinzip vergibt, sein Netzwerk segmentiert und kritische Events überwacht, ist besser aufgestellt als 90 % seiner Branchenkollegen. Und genau das ist der Punkt: Es geht nicht um Perfektion, sondern um einen signifikanten Fortschritt gegenüber dem Status quo.
Weiterführende Artikel
- MFA einführen: So sicherst du den Zugang zu deinen Unternehmenssystemen
- Netzwerksegmentierung im KMU: Wie du dein Netzwerk sinnvoll aufteilst
- Zugangs- und Zutrittskontrolle: Richtlinie erstellen und umsetzen
- Berechtigungskonzept erstellen: Wer darf was und warum?
- User Lifecycle Management: Vom Eintritt bis zum Austritt