Zero Trust ist kein Produkt, das man kaufen kann. Es ist kein einzelnes Tool und keine Firewall-Regel. Zero Trust ist eine Architekturphilosophie – und die lässt sich auch ohne Millionenbudget umsetzen. NIST hat mit SP 800-207 den Referenzrahmen definiert: Kein Benutzer, kein Gerät und kein Netzwerksegment wird automatisch als vertrauenswürdig behandelt. Jeder Zugriff wird explizit geprüft. Jedes Mal.
Warum das Perimeter-Modell nicht mehr funktioniert
Das klassische Sicherheitsmodell basiert auf einer simplen Annahme: Innerhalb des Netzwerks ist es sicher, ausserhalb nicht. Die Firewall ist die Burgmauer, dahinter wird vertraut. Dieses Modell hatte seine Berechtigung, als alle Mitarbeitenden im selben Gebäude sassen und alle Daten auf lokalen Servern lagen.
Diese Realität existiert nicht mehr. Mitarbeitende arbeiten remote, Anwendungen laufen in der Cloud, Partner greifen über VPN auf interne Systeme zu. Die Netzwerkgrenze ist durchlässig geworden – wenn sie überhaupt noch existiert. Und wenn ein Angreifer einmal innerhalb des Perimeters ist – per Phishing, gestohlene Zugangsdaten oder kompromittiertes VPN – bewegt er sich lateral durch das Netzwerk, als gehöre er dazu.
Die drei Grundprinzipien
NIST SP 800-207 definiert Zero Trust über sieben Grundsätze. Für die praktische Umsetzung lassen sich diese auf drei Kernprinzipien verdichten:
1. Verify explicitly – Immer explizit prüfen
Jeder Zugriff wird anhand aller verfügbaren Datenpunkte authentifiziert und autorisiert: Identität des Benutzers, Gerätezustand, Standort, Uhrzeit, Zugriffsmuster. Nicht einmal, sondern bei jeder Anfrage. Ein authentifizierter Benutzer auf einem kompromittierten Gerät sollte keinen Zugriff auf sensible Daten erhalten.
2. Least privilege – Minimale Berechtigung
Benutzer und Systeme erhalten nur die Rechte, die für die aktuelle Aufgabe nötig sind. Nicht mehr. Zeitlich begrenzt, wenn möglich. Der Buchhalter braucht keinen Admin-Zugang zum Fileserver. Der Entwickler braucht keinen Schreibzugriff auf die Produktionsdatenbank. Klingt banal, wird aber in der Praxis selten konsequent umgesetzt.
3. Assume breach – Vom Ernstfall ausgehen
Die Planung geht davon aus, dass ein Angreifer bereits im Netzwerk ist. Diese Annahme verändert das Design grundlegend: Mikrosegmentierung, End-to-End-Verschlüsselung, kontinuierliches Monitoring. Der Fokus verschiebt sich von Prävention allein auf Erkennung und Eindämmung. Das Ziel: Selbst bei einem erfolgreichen Einbruch den Schaden begrenzen.
Fünf Schritte zur Umsetzung im KMU
Zero Trust wird oft als Enterprise-only-Konzept dargestellt – zu komplex, zu teuer für KMU. Das ist falsch. Die Umsetzung muss nicht auf einen Schlag erfolgen. CISA beschreibt im Zero Trust Maturity Model v2.0 vier Reifestufen von «Traditional» bis «Optimal». Jedes Unternehmen kann dort beginnen, wo es steht, und schrittweise vorankommen.
Schritt 1: MFA überall einführen
Multi-Faktor-Authentifizierung ist die wirkungsvollste Einzelmassnahme mit dem besten Kosten-Nutzen-Verhältnis. Für alle Benutzer, auf allen Systemen – E-Mail, VPN, Cloud-Dienste, Admin-Zugänge. Keine Ausnahmen für die Geschäftsleitung. Hardware-Token oder Authenticator-Apps sind ausreichend; SMS-basierte MFA ist besser als nichts, aber anfällig für SIM-Swapping.
Schritt 2: Netzwerk segmentieren
Die Unterteilung des Netzwerks in VLANs mit dedizierten Firewall-Regeln zwischen den Segmenten begrenzt die laterale Bewegung eines Angreifers. Mindestens: Office-IT, Produktionssysteme, Server-Infrastruktur und Backup-Netzwerk trennen. Jeder Managed Switch unterstützt VLANs – die Hardware ist in den meisten KMU bereits vorhanden.
Schritt 3: Berechtigungen auf das Minimum reduzieren
Rollenbasierte Zugangskontrolle (RBAC) statt individueller Berechtigungen. Regelmässige Access Reviews: Wer hat Zugriff auf was, und ist das noch gerechtfertigt? Lokale Admin-Rechte auf Arbeitsplatzrechnern sind in den meisten Fällen unnötig und ein häufiger Angriffsvektor. Service-Accounts mit minimalen Rechten und eigenen Passwörtern, nicht mit dem Domain-Admin-Konto.
Schritt 4: Monitoring und Logging etablieren
Wer nicht sieht, was im Netzwerk passiert, kann weder Angriffe erkennen noch Compliance nachweisen. Zentrale Log-Sammlung, Überwachung fehlgeschlagener Anmeldeversuche, Alarmierung bei ungewöhnlichen Zugriffsmustern. Ein SIEM muss nicht teuer sein – Open-Source-Lösungen wie Wazuh oder der ELK-Stack bieten solide Funktionalität für KMU-Umgebungen.
Schritt 5: Gerätezustand prüfen
Ein vertrauenswürdiger Benutzer auf einem kompromittierten Gerät ist kein vertrauenswürdiger Zugriff. Device Health Checks prüfen vor der Zugriffsgewährung: Ist das Betriebssystem aktuell? Läuft die Endpoint Protection? Ist die Festplattenverschlüsselung aktiv? Microsoft Entra (ehemals Azure AD) Conditional Access kann diese Prüfungen für Microsoft-365-Umgebungen abbilden – ohne Zusatzkosten bei den meisten Business-Lizenzen.
Das CISA Zero Trust Maturity Model als Roadmap
CISA definiert in Version 2.0 des Zero Trust Maturity Model fünf Säulen: Identity, Devices, Networks, Applications & Workloads und Data. Über jede Säule erstrecken sich vier Reifestufen: Traditional, Initial, Advanced und Optimal. Dieses Modell eignet sich hervorragend als Standortbestimmung und Planungsinstrument – auch für KMU.
Die meisten KMU starten auf der Stufe «Traditional» oder «Initial». Das ist kein Problem. Entscheidend ist die Richtung, nicht der aktuelle Stand. Ein KMU, das MFA eingeführt, sein Netzwerk segmentiert und Berechtigungen aufgeräumt hat, ist bereits besser geschützt als viele deutlich grössere Organisationen.
Schweizer Kontext: ISG und regulatorischer Druck
Das Schweizer Informationssicherheitsgesetz (ISG) verlangt von Betreibern kritischer Infrastrukturen ein funktionierendes Sicherheitsmanagement. Bis Ende 2026 müssen betroffene Organisationen ein ISMS etablieren. Die Prinzipien von Zero Trust – explizite Verifizierung, minimale Berechtigungen, kontinuierliches Monitoring – decken sich direkt mit diesen Anforderungen.
Auf europäischer Ebene treibt NIS2 dieselbe Entwicklung voran. Schweizer Unternehmen mit EU-Kunden oder -Partnern werden sich zunehmend an diesen Standards messen lassen müssen. Zero Trust ist dabei kein Compliance-Trick, sondern die technische Umsetzung dessen, was Regulatoren seit Jahren fordern: risikobasiertes Sicherheitsmanagement, nachvollziehbare Zugriffskontrollen und durchgängiges Monitoring.
Häufiges Missverständnis: Zero Trust bedeutet nicht Misstrauen
Der Begriff führt manchmal zu kulturellem Widerstand: «Wir vertrauen unseren Mitarbeitenden nicht mehr?» Das ist ein Missverständnis. Zero Trust richtet sich nicht gegen Personen, sondern gegen Annahmen. Es geht nicht darum, Mitarbeitenden zu misstrauen, sondern darum, technische Systeme so zu bauen, dass ein kompromittiertes Konto oder ein gestohlenes Gerät nicht automatisch vollen Zugriff bedeutet.
Gut umgesetztes Zero Trust ist für Endbenutzer kaum spürbar. MFA wird zur Gewohnheit, Berechtigungen passen zur Rolle, und das Monitoring arbeitet im Hintergrund. Die Sicherheit steigt, ohne dass die Produktivität leidet.
Wie Zerberos unterstützt
Die Einführung von Zero Trust beginnt mit einer ehrlichen Standortbestimmung: Wo stehen Sie heute, und welche Massnahmen bringen den grössten Sicherheitsgewinn? Unsere Dienstleistungen:
- Risk Assessment – Analyse Ihrer aktuellen Architektur und Identifikation der grössten Lücken in Bezug auf Zero-Trust-Prinzipien
- Penetrationstests – Prüfung, wie weit sich ein Angreifer nach initialem Zugang lateral bewegen kann
- Security Roadmap – Schrittweiser Umsetzungsplan, priorisiert nach Risiko und Machbarkeit
Kontaktieren Sie uns für eine Bestandsaufnahme Ihrer Zero-Trust-Reife.