8 Min. Lesezeit
Inhaltsverzeichnis
Was ist Zero Trust?
Früher war IT-Sicherheit simpel. Eine Firewall am Eingang, und wer einmal drin war, dem wurde vertraut. Das Problem dabei: Ein einziger gestohlener Login reicht, und alles steht offen.
Zero Trust denkt das komplett anders. Niemandem wird automatisch vertraut, egal ob Mitarbeitende, Geräte oder Apps. Jeder Zugriff wird jedes Mal neu geprüft.
Never Trust, Always Verify
Jeder Zugriff wird geprüft, egal ob intern oder extern.
Least Privilege
Jeder bekommt nur die Rechte, die er wirklich braucht. Nicht mehr.
Assume Breach
Gehe davon aus, dass ein Angriff bereits stattfindet. Begrenze den Schaden.
Das Konzept wurde 2010 vom Forrester-Analysten John Kindervag entwickelt und ist heute in NIST SP 800-207 standardisiert. Was nach akademischer Theorie klingt, lässt sich mit den richtigen Tools konkret umsetzen.
Warum braucht Dein KMU Zero Trust?
Die klassische Firewall am Büroeingang reicht nicht mehr. Deine Mitarbeitenden arbeiten längst von überall, Deine Daten liegen in der Cloud und private Geräte greifen auf Firmendaten zu.
Gleichzeitig werden Angriffe raffinierter. AiTM-Angriffe umgehen MFA, indem sie sich zwischen Dich und den Login-Server schalten. Nach Deiner erfolgreichen Anmeldung stehlen sie den Session-Token. Im Darknet werden solche Angriffe als «Phishing-as-a-Service» angeboten. Technisches Know-how ist dafür kaum noch nötig.
MFA allein reicht nicht mehr. AiTM-Angriffe umgehen Deine Zwei-Faktor-Authentifizierung, indem sie den Session-Token nach dem Login stehlen. Du brauchst zusätzliche Schutzschichten.
Mehr dazu, wie MFA funktioniert und warum es die Grundlage ist, findest Du in unserem Blogbeitrag «MFA für KMU».
Die 3 Säulen in der Praxis
Zero Trust setzt auf drei Säulen: Identität, Geräte und Zugriff. Alle drei zusammen schützen Dein Unternehmen. Fehlt eine Säule, bleibt eine Lücke.
Sicherheitskonzept
Zero Trust Architecture
Identität
MFA + Conditional Access
Geräte
Intune Compliance
Zugriff
Session & Token Controls
Säule 1: Identität: MFA + Conditional Access Policies
Die Identität ist die erste Verteidigungslinie. MFA allein reicht nicht. Du brauchst Conditional Access Policies, die den Kontext jedes Logins bewerten.
Die 5 Baseline Policies, die jedes KMU braucht:
MFA für alle Benutzer: Kein Account ohne zweiten Faktor.
Konforme Geräte verlangen: Nur verwaltete Geräte erhalten Zugriff.
Legacy Authentication blockieren: Alte Protokolle wie POP3 und IMAP kennen kein MFA.
Admins zusätzlich absichern: Strengere Regeln für privilegierte Konten.
Standort-basierte Einschränkungen: Zugriffe aus ungewöhnlichen Regionen blockieren.
Microsoft hat die Conditional-Access-Regeln 2024 verschärft. Was das für Dich bedeutet, erfährst Du in unserem Blogbeitrag zu den Conditional Access Änderungen.
Säule 2: Geräte: Intune Compliance
Ein konformes Gerät erfüllt Deine Sicherheitsrichtlinien. Intune Compliance prüft automatisch, ob ein Gerät Deine Anforderungen erfüllt, bevor es Zugriff erhält.
Was «konform» bedeutet:
BitLocker aktiv
Firewall aktiv
Antivirus aktiv
OS aktuell
TPM vorhanden
Secure Boot aktiv
Säule 3: Zugriff: Session Controls & Token Protection
Der Zugriff wird nicht einmal gewährt und dann vergessen. Continuous Access Evaluation (CAE) prüft laufend, ob sich die Bedingungen geändert haben. Token Protection bindet Tokens an bestimmte Geräte (benötigt Entra ID P2 als Add-on). Named Locations definieren vertrauenswürdige Standorte.
Conditional Access prüft bei jedem Login: Wer bist Du? Welches Gerät? Von wo? Ist das Verhalten normal? Nur wenn alles stimmt, wird der Zugriff gewährt.
So setzen wir Zero Trust für Dich um
Zero Trust ist kein Schalter, den man umlegt. Es ist ein Prozess, und den gehen wir Schritt für Schritt mit Dir durch.
Typischer Fahrplan:
Phase 1
Grundschutz einrichten
Wir schauen uns an, wo Dein Unternehmen heute steht, aktivieren die Zwei-Faktor-Anmeldung für alle und richten die ersten Zugangsregeln ein.
Phase 2
Geräte absichern
Wir sorgen dafür, dass nur sichere, verwaltete Geräte auf Deine Firmendaten zugreifen können.
Phase 3
Feinschliff und Überwachung
Wir schliessen die letzten Lücken, aktivieren die laufende Überwachung und stellen sicher, dass alles sauber läuft.
Fazit
Zero Trust ist kein Luxus für Grosskonzerne. Es ist die logische Antwort auf eine Welt, in der Daten in der Cloud liegen, Mitarbeitende von überall arbeiten und Angreifer immer raffinierter werden.
Mit Microsoft 365 Business Premium hast Du die Werkzeuge bereits. Es braucht die richtige Konfiguration, einen Partner der weiss was er tut, und die Bereitschaft, Sicherheit als fortlaufenden Prozess zu verstehen. Denn Zero Trust ist kein einmaliges Projekt. Bedrohungen entwickeln sich weiter, und Deine Sicherheitsstrategie muss mitwachsen.
Genauso wichtig: Nimm Deine Mitarbeitenden mit. Die beste Konfiguration bringt wenig, wenn Dein Team nicht versteht, warum sich gewisse Abläufe ändern. Klare Kommunikation und gezielte Schulungen sind ein fester Bestandteil jeder erfolgreichen Zero-Trust-Einführung.
Häufige Fragen zu Zero Trust für KMU
Was kostet Zero Trust für ein KMU?
Die Grundlage ist Microsoft 365 Business Premium. Das hast Du wahrscheinlich schon. Die Einrichtung durch einen IT-Partner wie HEAD IT Solutions ist überschaubar und richtet sich nach der Grösse Deines Unternehmens. Melde Dich bei uns für eine individuelle Einschätzung.
Brauche ich spezielles Equipment?
Nein. Deine bestehenden Windows 10/11 PCs reichen völlig aus. Optional empfehlen wir FIDO2 Security Keys für Admins als phishing-resistente MFA-Methode.
Wie lange dauert die Umsetzung?
Die Umsetzung erfolgt in drei Phasen: zuerst MFA und erste Conditional Access Policies, dann Device Compliance mit Intune, und schliesslich Härtung mit Session Controls und Monitoring. Wie lange das dauert, hängt von der Grösse und Ausgangslage Deines Unternehmens ab. Wir beraten Dich gerne dazu.
Stört Zero Trust meine Mitarbeitenden?
Bei richtiger Konfiguration: kaum merkbar. Eine MFA-Abfrage dauert 2 bis 5 Sekunden. Conditional Access arbeitet im Hintergrund. Wer sich vom bekannten Firmen-Laptop im Büro einloggt, merkt nichts davon. Nur bei ungewöhnlichem Verhalten greift das System ein.
Was ist der Unterschied zwischen Zero Trust und Conditional Access?
Zero Trust ist die Strategie, also das «Was». Conditional Access ist das Werkzeug, also das «Wie». Denk an eine Verkehrsregel (Zero Trust: «Halte bei Rot») und den Blitzkasten (Conditional Access: setzt die Regel durch). Ohne Werkzeug bleibt die Strategie Theorie.