Zero-Trust-Architektur schützt kleine und mittelgroße Unternehmen (KMU) vor Cyberbedrohungen, indem sie “nie vertrauen, immer verifizieren” umsetzt – ideal für begrenzte Budgets und Teams ohne große IT-Abteilung. Das Konzept minimiert Risiken in hybriden Umgebungen mit Cloud, Remote-Arbeit und sensiblen Daten, ohne teure Überholungen.
Die Kernidee: Kein automatisches Vertrauen in Netzwerke, Geräte oder Benutzer – jeder Zugriff wird kontinuierlich geprüft. Prinzipien wie Least Privilege (minimale Rechte), Mikrosegmentierung und ständige Überwachung reduzieren die Angriffsfläche.
Der goldene Pfad: Zero Trust in fünf Schritten
Viele Leitfäden listen Maßnahmen auf, ohne eine klare Reihenfolge zu geben. Das führt zu Verzettelung. Dieser Pfad priorisiert nach Impact und Aufwand – jeder Schritt baut auf dem vorherigen auf.
| Schritt | Maßnahme | Impact |
|---|---|---|
| Bestandsaufnahme | Assets, Zugriffe, Schwachstellen erfassen | Grundlage |
| MFA überall | Multi-Faktor-Authentifizierung aktivieren | Sehr hoch |
| Least Privilege | Rechte minimieren, inaktive Konten löschen | Hoch |
| Netzwerk segmentieren | VLANs, Zonen, IoT isolieren | Mittel-Hoch |
| Monitoring & Alerting | Logs aktivieren, Alerts einrichten | Kontinuierlich |
Bestandsaufnahme: Wissen, was da ist
Bevor Sie etwas absichern, müssen Sie wissen, was Sie haben. Viele KMU unterschätzen diesen Schritt – dabei ist er kostenlos und fundamental.
Was erfassen:
- Alle Geräte (Laptops, Smartphones, Drucker, IoT)
- Alle Cloud-Dienste und Zugänge
- Wer hat Zugriff auf was?
- Wo liegen sensible Daten?
Wie vorgehen:
- Microsoft 365 / Google Workspace Admin-Konsole durchgehen
- Netzwerk-Scan mit vorhandenen Tools (UniFi, Router-Logs)
- Mitarbeiter befragen: “Welche Tools nutzt du täglich?”
Dieser Schritt erfordert keine neuen Käufe.
MFA überall: Der größte Quick Win
Multi-Faktor-Authentifizierung blockiert 99% der Account-Kompromittierungen. Es ist die einzelne Maßnahme mit dem höchsten Impact.
Umsetzung
- Kritische Dienste identifizieren (E-Mail, VPN, CRM)
- MFA in Microsoft Entra ID oder Google Workspace aktivieren
- Schrittweiser Rollout: IT zuerst, dann alle anderen
Kostenlose Tools
| Tool | Plattform | Vorteil |
|---|---|---|
| Microsoft Authenticator | iOS/Android | Nahtlos mit M365, Push-Benachrichtigungen |
| Google Authenticator | iOS/Android | Einfach, offline-fähig |
| Apple Passwort-App | iOS/macOS | Seit 2024 mit TOTP-Support, bereits installiert |
Praxis-Tipp: Vermeiden Sie SMS-OTP wegen SIM-Swapping-Risiken. App-basierte TOTP ist sicherer und genauso einfach.
Für kleine Teams (3–20 Personen) reicht Apple + Microsoft Authenticator oft völlig aus, um MFA breit auszurollen, ohne neue Tools einzukaufen.
Least Privilege: Weniger Rechte, weniger Risiko
Das Prinzip “minimale Rechte” verhindert, dass Angreifer sich lateral im Netzwerk bewegen. Es erfordert keine neuen Käufe – nur Disziplin.
Sofort umsetzbar:
- Inaktive Konten löschen (ehemalige Mitarbeiter, Testaccounts)
- Admin-Rechte nur für Admins
- Rollenbasierte Berechtigungen in Microsoft 365 / Google Workspace
- Geteilte Passwörter eliminieren
Regelmäßig prüfen:
- Quartalsweise Access Reviews
- Wer hat noch Zugriff auf sensible Ordner?
- Externe Freigaben in Cloud-Diensten
Netzwerk segmentieren: Angriffsfläche verkleinern
Trennen Sie sensible Bereiche vom Hauptnetz. Für KMU reicht oft eine einfache 2-3-Zonen-Aufteilung.
Einfaches Zonenmodell
| Zone | Inhalt | Zugriff |
|---|---|---|
| Produktiv | Arbeitsgeräte, Cloud-Zugang | Mitarbeiter |
| Server/Daten | NAS, lokale Server, Backups | Nur Admins |
| IoT/Gäste | Drucker, Kameras, Besucher-WLAN | Isoliert |
UniFi / Ubiquiti im Zero-Trust-Kontext
Viele KMU nutzen UniFi wegen Preis-Leistung. Zero-Trust-relevant:
- VLANs lassen sich sehr einfach konfigurieren
- WLAN-Gruppen pro Rolle (Mitarbeiter, Gäste, IoT)
- Radius + WPA Enterprise für sichere WiFi-Authentifizierung
- Threat Management (UDM/UDR Pro) für Intrusion Detection
Praxisbeispiele:
- IoT + Drucker + NAS strikt trennen
- Admin-Interface nur aus Admin-VLAN erreichbar
- Gäste-WLAN ohne Zugriff auf interne Ressourcen
Monitoring & Alerting: Zero Trust lebt vom Beobachten
Ohne Überwachung ist Zero Trust blind. Die gute Nachricht: Viele Tools bieten Logging kostenlos.
Mindestens aktivieren:
- Cloud-Login-Alerts (unbekannte Standorte, neue Geräte)
- Admin-Aktionen (Rechteänderungen, neue Benutzer)
- Passwort-Resets
- Fehlgeschlagene Login-Versuche
In Microsoft 365:
- Security & Compliance Center → Alerts
- Entra ID → Sign-in logs
In Google Workspace:
- Admin Console → Reports → Audit logs
Praxis-Tipp: Starten Sie mit wenigen, wichtigen Alerts. Zu viele führen zu Alert-Fatigue.
Tools nach Reifegrad
Einstieg: Kostenlos mit Bordmitteln
Für die ersten Monate reichen vorhandene Tools:
| Bereich | Tool | Kosten |
|---|---|---|
| MFA | Microsoft/Google Authenticator, Apple Passwörter | Kostenlos |
| Geräteverwaltung | Microsoft Intune (in M365 Business), Google Endpoint | Inkludiert |
| Netzwerk | Vorhandene Router/Firewalls, UniFi | Vorhanden |
| Monitoring | Cloud-native Logs | Inkludiert |
Wachstum: Spezialisierte Plattformen
Wenn native Funktionen nicht mehr reichen:
Okta – Identity-first Zero Trust
Geeignet für KMU, die mehrere Cloud-Dienste zentral verwalten und On-/Offboarding automatisieren wollen. Einfache Policy-Engine, Lifecycle-Management, hunderte App-Integrationen. Kosten höher als Microsoft/Google, dafür sauber skalierbar.
Cloudflare Zero Trust – ZTNA ohne VPN
Geheimtipp für KMU, weil es günstig einsteigt und viel ersetzt:
- Cloudflare Access: ZTNA statt VPN
- Cloudflare Gateway: DNS/Web-Filter
- Cloudflare Tunnel: Interne Dienste ohne Portfreigaben
- Device Posture Checks: Zugriff nur mit aktuellem Patchlevel
Für Remote-Teams extrem hilfreich, weil Zugriffe einfacher und sicherer werden.
Praxis-Checkliste: Was oft vergessen wird
Offboarding-Prozess
Häufigster Schwachpunkt bei KMU. Checkliste für jeden Abgang:
- Alle Konten deaktivieren/löschen
- Geräte aus MDM/Intune/UEM lösen
- E-Mail-Weiterleitungen abschalten
- 2FA-Tokens entziehen
- API-Keys und Zugangsdaten erneuern
- Geteilte Passwörter ändern
MFA-Backup
Wird ständig vergessen – führt später zu Lockouts.
- Backup-Codes ausdrucken und sicher aufbewahren
- “Business Recovery Account” für Microsoft/Google anlegen
- Für Apple: Firmen-iCloud getrennt von privat halten
BYOD-Policy
Wenn private Smartphones genutzt werden:
- MFA ja, aber mit App-Isolierung (Intune App Protection, Google Workspace MDM Light)
- Berufliche Daten remote löschbar, ohne privates Gerät anzutasten
- Klare Regeln kommunizieren
Was bleibt
Zero Trust ist kein Produkt, sondern eine Denkweise. Der goldene Pfad für KMU:
- Wissen, was da ist (Bestandsaufnahme)
- Zugänge absichern (MFA)
- Rechte minimieren (Least Privilege)
- Netzwerk aufteilen (Segmentierung)
- Beobachten und reagieren (Monitoring)
Nach sechs Monaten steht ein solides Fundament – ohne das Budget zu sprengen. Erfolgreiche Umsetzungen zeigen 60% weniger Incidents.
Der beste Zeitpunkt für Zero Trust war gestern. Der zweitbeste ist jetzt.
Quellen
- Checkliste für die erfolgreiche Zero Trust-Implementierung – Heise IT-Kenner
- Zero Trust Guidance for Small and Medium Size Businesses – Cloud Security Alliance
- Zero Trust SMB Implementation Guide – CyberT Labs
- Zero Trust für KMU: Schutz vor Cyberbedrohungen – Kutzschbach IT
- Das Zero-Trust-Modell: Schrittweise vorgehen – KMU Magazin
- Zero Trust: Ein umfassender Leitfaden für IT-Entscheider – Anyware
- Zero Trust Security for SMBs: Start Small, Scale Smart – ExcalTech
- Wie lässt sich Zero Trust umsetzen – Zscaler
- Schlüsselkomponenten einer Zero-Trust-Architektur – AWS
- Cybersicherheit mit Zero Trust im Mittelstand – Digitalzentrum Chemnitz