Zero-Trust-Architektur: Einfach und effektiv umsetzen

Zero-Trust-Architektur schützt kleine und mittelgroße Unternehmen (KMU) vor Cyberbedrohungen, indem sie “nie vertrauen, immer verifizieren” umsetzt – ideal für begrenzte Budgets und Teams ohne große IT-Abteilung. Das Konzept minimiert Risiken in hybriden Umgebungen mit Cloud, Remote-Arbeit und sensiblen Daten, ohne teure Überholungen.

Die Kernidee: Kein automatisches Vertrauen in Netzwerke, Geräte oder Benutzer – jeder Zugriff wird kontinuierlich geprüft. Prinzipien wie Least Privilege (minimale Rechte), Mikrosegmentierung und ständige Überwachung reduzieren die Angriffsfläche.

Tipp

Der goldene Pfad: Zero Trust in fünf Schritten

Viele Leitfäden listen Maßnahmen auf, ohne eine klare Reihenfolge zu geben. Das führt zu Verzettelung. Dieser Pfad priorisiert nach Impact und Aufwand – jeder Schritt baut auf dem vorherigen auf.

Schritt	Maßnahme	Impact
Bestandsaufnahme	Assets, Zugriffe, Schwachstellen erfassen	Grundlage
MFA überall	Multi-Faktor-Authentifizierung aktivieren	Sehr hoch
Least Privilege	Rechte minimieren, inaktive Konten löschen	Hoch
Netzwerk segmentieren	VLANs, Zonen, IoT isolieren	Mittel-Hoch
Monitoring & Alerting	Logs aktivieren, Alerts einrichten	Kontinuierlich

Bestandsaufnahme: Wissen, was da ist

Bevor Sie etwas absichern, müssen Sie wissen, was Sie haben. Viele KMU unterschätzen diesen Schritt – dabei ist er kostenlos und fundamental.

Was erfassen:

Alle Geräte (Laptops, Smartphones, Drucker, IoT)
Alle Cloud-Dienste und Zugänge
Wer hat Zugriff auf was?
Wo liegen sensible Daten?

Wie vorgehen:

Microsoft 365 / Google Workspace Admin-Konsole durchgehen
Netzwerk-Scan mit vorhandenen Tools (UniFi, Router-Logs)
Mitarbeiter befragen: “Welche Tools nutzt du täglich?”

Dieser Schritt erfordert keine neuen Käufe.

MFA überall: Der größte Quick Win

Multi-Faktor-Authentifizierung blockiert 99% der Account-Kompromittierungen. Es ist die einzelne Maßnahme mit dem höchsten Impact.

Umsetzung

Kritische Dienste identifizieren (E-Mail, VPN, CRM)
MFA in Microsoft Entra ID oder Google Workspace aktivieren
Schrittweiser Rollout: IT zuerst, dann alle anderen

Kostenlose Tools

Tool	Plattform	Vorteil
Microsoft Authenticator	iOS/Android	Nahtlos mit M365, Push-Benachrichtigungen
Google Authenticator	iOS/Android	Einfach, offline-fähig
Apple Passwort-App	iOS/macOS	Seit 2024 mit TOTP-Support, bereits installiert

Praxis-Tipp: Vermeiden Sie SMS-OTP wegen SIM-Swapping-Risiken. App-basierte TOTP ist sicherer und genauso einfach.

Für kleine Teams (3–20 Personen) reicht Apple + Microsoft Authenticator oft völlig aus, um MFA breit auszurollen, ohne neue Tools einzukaufen.

Least Privilege: Weniger Rechte, weniger Risiko

Das Prinzip “minimale Rechte” verhindert, dass Angreifer sich lateral im Netzwerk bewegen. Es erfordert keine neuen Käufe – nur Disziplin.

Sofort umsetzbar:

Inaktive Konten löschen (ehemalige Mitarbeiter, Testaccounts)
Admin-Rechte nur für Admins
Rollenbasierte Berechtigungen in Microsoft 365 / Google Workspace
Geteilte Passwörter eliminieren

Regelmäßig prüfen:

Quartalsweise Access Reviews
Wer hat noch Zugriff auf sensible Ordner?
Externe Freigaben in Cloud-Diensten

Netzwerk segmentieren: Angriffsfläche verkleinern

Trennen Sie sensible Bereiche vom Hauptnetz. Für KMU reicht oft eine einfache 2-3-Zonen-Aufteilung.

Einfaches Zonenmodell

Zone	Inhalt	Zugriff
Produktiv	Arbeitsgeräte, Cloud-Zugang	Mitarbeiter
Server/Daten	NAS, lokale Server, Backups	Nur Admins
IoT/Gäste	Drucker, Kameras, Besucher-WLAN	Isoliert

UniFi / Ubiquiti im Zero-Trust-Kontext

Viele KMU nutzen UniFi wegen Preis-Leistung. Zero-Trust-relevant:

VLANs lassen sich sehr einfach konfigurieren
WLAN-Gruppen pro Rolle (Mitarbeiter, Gäste, IoT)
Radius + WPA Enterprise für sichere WiFi-Authentifizierung
Threat Management (UDM/UDR Pro) für Intrusion Detection

Praxisbeispiele:

IoT + Drucker + NAS strikt trennen
Admin-Interface nur aus Admin-VLAN erreichbar
Gäste-WLAN ohne Zugriff auf interne Ressourcen

Monitoring & Alerting: Zero Trust lebt vom Beobachten

Ohne Überwachung ist Zero Trust blind. Die gute Nachricht: Viele Tools bieten Logging kostenlos.

Mindestens aktivieren:

Cloud-Login-Alerts (unbekannte Standorte, neue Geräte)
Admin-Aktionen (Rechteänderungen, neue Benutzer)
Passwort-Resets
Fehlgeschlagene Login-Versuche

In Microsoft 365:

Security & Compliance Center → Alerts
Entra ID → Sign-in logs

In Google Workspace:

Admin Console → Reports → Audit logs

Praxis-Tipp: Starten Sie mit wenigen, wichtigen Alerts. Zu viele führen zu Alert-Fatigue.

Tools nach Reifegrad

Einstieg: Kostenlos mit Bordmitteln

Für die ersten Monate reichen vorhandene Tools:

Bereich	Tool	Kosten
MFA	Microsoft/Google Authenticator, Apple Passwörter	Kostenlos
Geräteverwaltung	Microsoft Intune (in M365 Business), Google Endpoint	Inkludiert
Netzwerk	Vorhandene Router/Firewalls, UniFi	Vorhanden
Monitoring	Cloud-native Logs	Inkludiert

Wachstum: Spezialisierte Plattformen

Wenn native Funktionen nicht mehr reichen:

Okta – Identity-first Zero Trust

Geeignet für KMU, die mehrere Cloud-Dienste zentral verwalten und On-/Offboarding automatisieren wollen. Einfache Policy-Engine, Lifecycle-Management, hunderte App-Integrationen. Kosten höher als Microsoft/Google, dafür sauber skalierbar.

Cloudflare Zero Trust – ZTNA ohne VPN

Geheimtipp für KMU, weil es günstig einsteigt und viel ersetzt:

Cloudflare Access: ZTNA statt VPN
Cloudflare Gateway: DNS/Web-Filter
Cloudflare Tunnel: Interne Dienste ohne Portfreigaben
Device Posture Checks: Zugriff nur mit aktuellem Patchlevel

Für Remote-Teams extrem hilfreich, weil Zugriffe einfacher und sicherer werden.

Praxis-Checkliste: Was oft vergessen wird

Offboarding-Prozess

Häufigster Schwachpunkt bei KMU. Checkliste für jeden Abgang:

Alle Konten deaktivieren/löschen
Geräte aus MDM/Intune/UEM lösen
E-Mail-Weiterleitungen abschalten
2FA-Tokens entziehen
API-Keys und Zugangsdaten erneuern
Geteilte Passwörter ändern

MFA-Backup

Wird ständig vergessen – führt später zu Lockouts.

Backup-Codes ausdrucken und sicher aufbewahren
“Business Recovery Account” für Microsoft/Google anlegen
Für Apple: Firmen-iCloud getrennt von privat halten

BYOD-Policy

Wenn private Smartphones genutzt werden:

MFA ja, aber mit App-Isolierung (Intune App Protection, Google Workspace MDM Light)
Berufliche Daten remote löschbar, ohne privates Gerät anzutasten
Klare Regeln kommunizieren

Quellen

Checkliste für die erfolgreiche Zero Trust-Implementierung – Heise IT-Kenner
Zero Trust Guidance for Small and Medium Size Businesses – Cloud Security Alliance
Zero Trust SMB Implementation Guide – CyberT Labs
Zero Trust für KMU: Schutz vor Cyberbedrohungen – Kutzschbach IT
Das Zero-Trust-Modell: Schrittweise vorgehen – KMU Magazin
Zero Trust: Ein umfassender Leitfaden für IT-Entscheider – Anyware
Zero Trust Security for SMBs: Start Small, Scale Smart – ExcalTech
Wie lässt sich Zero Trust umsetzen – Zscaler
Schlüsselkomponenten einer Zero-Trust-Architektur – AWS
Cybersicherheit mit Zero Trust im Mittelstand – Digitalzentrum Chemnitz

Realistische KMU-Reifegrade

Stufe 1: MFA überall + Identity-Management. Aufwand 1–2 Wochen.
Stufe 2: ZTNA für externe Zugriffe statt VPN. 1–2 Monate.
Stufe 3: Endpoint-Protection mit Audit-Trail. 3–6 Monate.

Konkrete Tools

Tailscale/Cloudflare Access: ZTNA für KMU, 5–8 USD/User/Monat.
Microsoft Entra ID: Identity-Management, im M365 Business enthalten.
CrowdStrike, SentinelOne: Endpoint Detection, 50–150 EUR/User/Jahr.

Wo ZTNA für KMU pragmatische Grenzen hat

Kleine Teams (< 10 MA): Lizenzkosten sind im Verhältnis hoch.
DevOps-Aufwand: Kontinuierliche Pflege nötig.
Akzeptanz: Mitarbeitende müssen MFA-Hürden akzeptieren.