Zero TrustIT-SicherheitKMUNetzwerkBest Practices

Zero Trust für KMU: Das Sicherheitskonzept verständlich erklärt

Zero Trust ist mehr als ein Buzzword: Wie kleine und mittlere Unternehmen das Prinzip 'never trust, always verify' ohne Millionenbudget schrittweise umsetzen.

Was Zero Trust wirklich bedeutet

"Zero Trust" klingt nach Enterprise-Technologie, nach teuren Beratungsverträgen und komplexen Architekturen. Dabei ist das Grundprinzip erschreckend einfach:

Vertraue niemandem automatisch. Verifiziere immer.

Das ist eine fundamentale Abkehr vom traditionellen Sicherheitsmodell, das wie eine mittelalterliche Burg funktionierte: dicke Mauern nach außen, aber wer einmal drin ist, bewegt sich frei. Einmal im VPN, einmal im Büronetzwerk – und man hatte Zugriff auf alles.

Das BSI-Lagebericht 2024 zeigt, warum dieses Modell versagt: 74 Prozent aller erfolgreichen Cyberangriffe auf Unternehmen beginnen mit einem kompromittierten Konto oder Gerät. Angreifer müssen nur einmal "rein" – und können sich dann lateral durchs Netzwerk bewegen.

Zero Trust geht davon aus, dass Kompromittierungen passieren. Das Ziel ist es, den Schaden zu begrenzen.

Die fünf Kernprinzipien

Zero Trust ist keine Technologie, die man kauft. Es ist ein Designprinzip, das sich in konkreten Maßnahmen ausdrückt.

1. Identität als neuer Perimeter Nicht das Netzwerk entscheidet, wer was darf – sondern die Identität des Nutzers und des Geräts. Jeder Zugriff wird authentifiziert, unabhängig davon, ob er aus dem Büro, dem Homeoffice oder einem Café kommt.

2. Minimale Berechtigungen (Least Privilege) Jeder Nutzer, jeder Dienst, jede Anwendung bekommt nur die Rechte, die er für seine Aufgabe braucht – nicht mehr. Ein Mitarbeiter aus der Buchhaltung braucht keinen Zugriff auf Entwicklungsserver.

3. Mikrosegmentierung Das Netzwerk wird in kleine Segmente aufgeteilt. Ein kompromittiertes System kann sich nicht frei im Netzwerk bewegen, weil Firewall-Regeln den Verkehr zwischen Segmenten kontrollieren.

4. Kontinuierliche Verifikation Zugriff wird nicht einmalig erteilt und dann vergessen. Sessions können ablaufen, ungewöhnliches Verhalten löst Re-Authentifizierung aus.

5. Annahme der Kompromittierung (Assume Breach) Die Frage ist nicht ob, sondern wann ein System kompromittiert wird. Logging, Monitoring und Anomalie-Erkennung ermöglichen frühzeitige Erkennung.

Praktische Umsetzung ohne Enterprise-Budget

Hier ist die gute Nachricht: Die meisten Zero-Trust-Maßnahmen kosten wenig oder nichts – sie erfordern vor allem Disziplin und Planung.

Multi-Faktor-Authentifizierung (MFA) überall

MFA ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen. Laut einer Studie von Microsoft werden 99,9 Prozent aller automatisierten Angriffe auf Konten durch MFA blockiert.

Konkrete Schritte:

  • MFA für alle geschäftlichen E-Mail-Konten aktivieren
  • MFA für VPN-Zugang erzwingen
  • MFA für alle Admin-Zugänge (Server, Router, Firewall) verpflichtend machen
  • TOTP-Apps (zeitbasierte Einmalpasswörter) bevorzugen gegenüber SMS-Codes
BSS IT-Sicherheit – Zero Trust und moderne Sicherheitskonzepte für KMU

Netzwerksegmentierung mit vorhandenen Mitteln

Auch ohne teure Next-Generation-Firewalls lässt sich Segmentierung umsetzen:

VLANs trennen Netzwerkbereiche auf Layer 2. Die meisten Business-Switches und Consumer-Router mit OpenWRT/DD-WRT unterstützen VLANs. Empfohlene Segmente:

  • Management-VLAN (Server, Netzwerkgeräte)
  • Client-VLAN (Arbeitsplätze)
  • IoT-VLAN (Drucker, Kameras, smarte Geräte)
  • Gast-WLAN (komplett isoliert)

Firewall-Regeln zwischen VLANs definieren, welche Kommunikation erlaubt ist. Standard: deny all, dann explizit erlauben was nötig ist.

Least Privilege im Alltag

Berechtigungskonzepte klingen nach Großunternehmen, sind aber für KMU genauso relevant:

  • Kein alltägliches Arbeiten mit Admin-Rechten: Separate Admin-Konten für administrative Aufgaben
  • Rollenbasierte Zugriffssteuerung: Buchhaltung, Vertrieb, IT – jede Abteilung bekommt nur Zugriff auf ihre Ressourcen
  • Regelmäßige Überprüfung: Wenn ein Mitarbeiter die Abteilung wechselt oder das Unternehmen verlässt, werden Berechtigungen sofort angepasst
  • Service-Accounts minimal berechtigen: Anwendungen, die auf Datenbanken zugreifen, brauchen nur Lese- oder Schreibrechte auf ihre eigenen Tabellen

Geräte-Management und Endpoint-Sicherheit

Zero Trust berücksichtigt nicht nur den Nutzer, sondern auch das Gerät:

  • Festplattenverschlüsselung auf allen Arbeitsgeräten aktivieren
  • Automatische Sicherheitsupdates erzwingen
  • MDM (Mobile Device Management) für Firmengeräte, um Remote-Wipe zu ermöglichen
  • Private Geräte im Firmennetzwerk nur über einen isolierten Gast-VLAN zulassen oder durch eine VPN-Lösung mit Gerätezertifikat

Was Zero Trust nicht ist

Ein häufiges Missverständnis: Zero Trust ist kein Produkt, das man installiert. Anbieter, die "Zero Trust in einer Box" verkaufen, meinen damit in der Regel ein Teilaspekt – etwa Netzwerkzugangskontrolle oder Identity Provider.

Echtes Zero Trust entsteht durch das Zusammenspiel von Prozessen, Technologie und Unternehmenskultur. Eine technisch perfekte Segmentierung nützt wenig, wenn Mitarbeiter Passwörter teilen oder Sicherheitswarnungen ignorieren.

Schulung und Awareness sind deshalb genauso Teil von Zero Trust wie Firewall-Regeln.

Prioritäten für den Einstieg

Für ein KMU ohne dediziertes Security-Team empfiehlt sich folgende Reihenfolge:

  1. MFA überall – sofort, kostenlos, maximal wirksam
  2. Admin-Konten trennen – kein alltägliches Arbeiten als Administrator
  3. Netzwerksegmentierung – zumindest IoT und Gäste isolieren
  4. Logging aktivieren – zentrales Log-Management ermöglicht Anomalieerkennung (mehr dazu im Kontext eines SIEM-Systems)
  5. Backup testen – die wichtigste Ransomware-Abwehr ist ein funktionierendes, getestetes Backup

Zero Trust ist kein Projekt, das irgendwann abgeschlossen ist. Es ist eine kontinuierliche Verbesserung des Sicherheitsniveaus – und jeder Schritt macht das Unternehmen robuster gegen reale Bedrohungen.

Mehr zu IT-Sicherheit für KMU