See section: Was ist Zero Trust?

Zero Trust für KMU: Einführung ohne Enterprise-Budget

Q: Warum klassische Perimeter-Sicherheit nicht mehr reicht

See section: Warum klassische Perimeter-Sicherheit nicht mehr reicht

Zero Trust für KMU: Sicherheit ohne Perimeter

“Never trust, always verify.” Dieser Grundsatz klingt simpel, ist aber eine fundamentale Abkehr von der klassischen IT-Sicherheitsphilosophie. Jahrzehntelang haben Unternehmen auf Perimeter-Sicherheit gesetzt: Wer im Firmennetzwerk ist, gilt als vertrauenswürdig. Alle anderen bleiben draussen.

Dieses Modell ist gescheitert. Mitarbeitende arbeiten im Home Office, greifen über private Geräte auf Cloud-Dienste zu, und Angreifer haben gelernt, Netzwerkgrenzen zu überwinden. Zero Trust ist die Antwort darauf — und entgegen der weit verbreiteten Meinung ist Zero Trust kein exklusives Enterprise-Konzept. Schweizer KMU können die Kernprinzipien heute schon umsetzen, oft mit Tools, die ohnehin bereits vorhanden sind.

Was ist Zero Trust?

Zero Trust ist kein einzelnes Produkt und kein einzelnes Tool — es ist eine Sicherheitsphilosophie und Architektur. Das Grundprinzip: Kein Nutzer, kein Gerät und kein Netzwerkzugang wird automatisch als vertrauenswürdig eingestuft, egal ob von innen oder von aussen. Jeder Zugriff muss explizit autorisiert werden.

Das Zero-Trust-Modell basiert auf drei Kernprinzipien:

1. Explizite Verifizierung

Jeder Zugriffsversuch wird anhand aller verfügbaren Datenpunkte bewertet: Identität des Nutzers, Gerätezustand, Standort, Uhrzeit, Zugriffsverhalten. Erst wenn alle Bedingungen erfüllt sind, wird der Zugang gewährt.

2. Minimale Zugriffsrechte (Least Privilege)

Nutzer und Systeme erhalten nur den Mindestzugang, den sie für ihre Aufgabe benötigen — und nichts darüber hinaus. Kein Mitarbeiter in der Buchhaltung braucht Zugriff auf Produktionssysteme. Kein Entwickler braucht Zugriff auf Kundendaten.

3. Annahme einer Kompromittierung (Assume Breach)

Zero Trust geht davon aus, dass Angreifer bereits im Netzwerk sind. Daher werden alle Kommunikationswege verschlüsselt, Zugriffe protokolliert und Anomalien in Echtzeit erkannt.

Warum klassische Perimeter-Sicherheit nicht mehr reicht

Das klassische Netzwerk-Perimeter-Modell funktionierte, solange Mitarbeitende im Büro sassen, auf lokale Server zugriffen und alle Ressourcen hinter einer Unternehmensfirewall lagen.

Heute ist diese Welt verschwunden:

Cloud-First: Unternehmensanwendungen laufen in Microsoft 365, Google Workspace, Salesforce, AWS. Die Daten sind nicht mehr im eigenen Rechenzentrum.
Remote-Arbeit: Mitarbeitende verbinden sich von Zuhause, aus dem Zug, aus dem Café — von überall.
BYOD: Private Geräte greifen auf Unternehmensdaten zu.
Lateral Movement: Angreifer, die einmal ins Netzwerk eingedrungen sind, können sich frei bewegen, weil der internen Kommunikation vertraut wird.

Laut dem Verizon DBIR 2024 nutzen mehr als 80 Prozent aller Hacking-Vorfälle kompromittierte Zugangsdaten. Ein gestohlenes Passwort reicht im klassischen Modell aus, um Zugang zu fast allem zu bekommen. Im Zero-Trust-Modell ist das Passwort allein wertlos — der Angreifer scheitert an MFA, Geräteprüfung und Conditional Access.

Zero Trust für KMU: Die Realität

Viele KMU-Verantwortliche glauben, Zero Trust sei nur für Grossunternehmen mit eigenen Security-Teams und Millionenbudgets machbar. Diese Annahme ist falsch.

Die meisten Schweizer KMU nutzen bereits Microsoft 365 oder Google Workspace — beides Plattformen mit integrierten Zero-Trust-Fähigkeiten, die nur aktiviert werden müssen. Für CHF 0 bis CHF 20 pro Nutzer und Monat lassen sich die wesentlichen Zero-Trust-Prinzipien umsetzen.

Der Schlüssel ist ein schrittweiser Ansatz: Nicht alles auf einmal, sondern Priorität nach Risiko.

Schritt-für-Schritt-Einführung von Zero Trust für KMU

Schritt 1: Identitäten absichern (höchste Priorität)

Die Identität ist im Zero-Trust-Modell die neue Netzwerkgrenze. Bevor Sie irgendetwas anderes tun, sichern Sie Ihre Nutzerkonten ab.

Massnahmen:

Multi-Faktor-Authentifizierung (MFA) auf allen Konten aktivieren — E-Mail, VPN, Cloud-Dienste. Wie das konkret geht, erklärt unser MFA Setup Guide für KMU.
Passwort-Manager unternehmensweite einführen (z. B. 1Password Teams, Bitwarden Business)
Privilegierte Konten isolieren: Admin-Accounts werden nur für administrative Aufgaben genutzt, nie für den Alltag
Passwortlose Authentifizierung anstreben: FIDO2-Sicherheitsschlüssel sind phishingresistent und mittelfristig günstiger als komplexe Passwortpolicies

Tools: Microsoft Entra ID (in M365 enthalten), Google Workspace Identity

Schritt 2: Geräte verwalten und verifizieren

Zero Trust überprüft nicht nur, wer zugreift, sondern auch womit. Ein nicht verwaltetes, veraltetes Gerät sollte keinen Zugriff auf Unternehmensdaten bekommen.

Massnahmen:

Mobile Device Management (MDM) einführen: Microsoft Intune (in M365 Business Premium enthalten) oder Jamf für Mac-lastige Umgebungen
Gerätecompliance-Richtlinien: Geräte ohne aktuelles Betriebssystem oder ohne Verschlüsselung werden automatisch blockiert
Conditional Access: Zugriff auf M365, SharePoint oder andere Apps nur von verwalteten, compliant Geräten erlauben

Tools: Microsoft Intune, Microsoft Entra ID Conditional Access, Jamf Now (ab CHF 0 für bis zu 3 Geräte)

Schritt 3: Minimale Zugriffsrechte durchsetzen

Wer Zugriff auf alles hat, ist ein grosses Risiko — für Angreifer und auch für versehentliche Fehler.

Massnahmen:

Role-Based Access Control (RBAC): Zugriffsrechte nach Funktion vergeben, nicht nach Person
Zugriffsreviews: Quartalsweise prüfen, wer noch welchen Zugang braucht — besonders nach Mitarbeitendenwechsel
Privileged Access Management (PAM): Admin-Rechte zeitlich begrenzt und protokolliert vergeben (Just-in-Time Access)
Shared Accounts abschaffen: Jeder Nutzer muss ein eigenes Konto haben

Tipp: Starten Sie mit einer Inventur aller Konten und Zugriffsrechte. Sie werden überrascht sein, wie viele ehemalige Mitarbeitende noch aktive Konten haben.

Schritt 4: Netzwerk segmentieren

Auch wenn Zero Trust die Netzwerkgrenze auflöst, ist Netzwerksegmentierung weiterhin wichtig — um Lateral Movement von Angreifern zu verhindern.

Massnahmen:

VLANs: Buchhaltung, Produktion, Gäste-WLAN und IoT-Geräte in eigene Netzwerksegmente trennen
Mikrosegmentierung: Kommunikation zwischen Systemen nur explizit erlauben, alles andere blockieren
Software-Defined Networking: Moderne Ansätze wie Cloudflare Zero Trust Network Access (ZTNA) ersetzen traditionelle VPNs

Tools: Cloudflare Zero Trust (ab CHF 0 für bis zu 50 Nutzer), Tailscale

Schritt 5: Monitoring und Anomalieerkennung

Zero Trust funktioniert nur, wenn Sie sehen, was passiert. Ohne Monitoring keine Anomalieerkennung.

Massnahmen:

SIEM-Lösung: Microsoft Sentinel (günstig, tief in M365 integriert) oder alternative Tools
Cloud-Sicherheitslogs aktivieren: M365 Audit Log, Azure Activity Log, Google Workspace-Logs
Alerting: Alerts bei ungewöhnlichem Verhalten (Login aus unbekanntem Land, ungewöhnliche Download-Mengen, Login zur Nachtzeit)
Regelmässige Log-Reviews: Auch ohne SIEM können manuelle wöchentliche Reviews viel aufdecken

Affordable Zero-Trust-Tools für Schweizer KMU

Cloudflare Zero Trust

Cloudflares Zero-Trust-Plattform ist der Geheimtipp für KMU. Die Basisfunktionen sind kostenlos für bis zu 50 Nutzer. Sie umfassen:

Zero Trust Network Access (ersetzt VPN)
Secure Web Gateway (Webfilter und DNS-Schutz)
Browser Isolation
CASB (Cloud Access Security Broker)

Kosten: Kostenlos bis 50 Nutzer, dann ab ca. USD 7 pro Nutzer/Monat

Microsoft Entra ID (Azure AD)

In jedem Microsoft 365 Business-Abo enthalten. Bietet:

Conditional Access
Multi-Faktor-Authentifizierung
Identity Protection (Risikobasierte Zugangsentscheidungen)
Privileged Identity Management (in Premium P2 enthalten)

Kosten: In M365 Business Basic (CHF 6/Monat) bis Premium (CHF 22/Monat) enthalten

Tailscale

Tailscale baut ein sicheres Peer-to-Peer-Netzwerk auf Basis von WireGuard auf. Ideal für KMU, die einen einfachen, sicheren Ersatz für traditionelle VPNs suchen.

Kosten: Kostenlos bis 3 Nutzer, dann ab USD 6 pro Nutzer/Monat

1Password Business

Passwort-Manager mit zentraler Verwaltung, Audit-Logs und Integrationsmöglichkeiten mit SIEM-Tools.

Kosten: USD 7.99 pro Nutzer/Monat

Zero Trust und Home Office: Eine ideale Kombination

Zero Trust ist die natürliche Antwort auf die Sicherheitsherausforderungen von Remote-Arbeit. Statt alle Home-Office-Verbindungen über einen zentralen VPN-Tunnel zu leiten, ermöglicht Zero Trust granulare, verifizierte Zugänge zu einzelnen Anwendungen — sicherer und schneller.

Lesen Sie mehr zu den Sicherheitsherausforderungen im Home Office in unserem Leitfaden Home Office Sicherheit für KMU.

Häufige Fehler bei der Zero-Trust-Einführung

Fehler 1: Alles auf einmal einführen wollen Zero Trust ist eine Reise, kein Projekt mit Enddatum. Wer versucht, alles auf einmal umzustellen, scheitert an der Komplexität und am Widerstand der Mitarbeitenden.

Fehler 2: Identität vernachlässigen und bei der Netzwerktechnik beginnen Identität ist die Basis von Zero Trust. Wer ohne MFA und sauberes Identity Management mit ZTNA beginnt, baut auf Sand.

Fehler 3: Mitarbeitende ignorieren Zero Trust verändert, wie Mitarbeitende auf Systeme zugreifen. Ohne Kommunikation und Schulung gibt es Widerstand und Umgehungsversuche.

Fehler 4: Kein Monitoring Zero Trust ohne Monitoring ist wie ein Einbruchsmeldeschalter ohne Alarmzentrale. Die Logs müssen auch ausgewertet werden.

Zero Trust und regulatorische Anforderungen

Die Einführung von Zero Trust unterstützt gleichzeitig die Erfüllung regulatorischer Anforderungen:

nDSG (Datenschutzgesetz Schweiz): Zugriffsprotokollierung, Datensparsamkeit und Schutzmassnahmen für Personendaten werden durch Zero Trust direkt adressiert. Mehr dazu in unserer nDSG-Checkliste für KMU.
ISO 27001: Zero-Trust-Massnahmen decken zahlreiche ISO-27001-Kontrollen ab.
Branchenspezifisch: Finanzinstitute und Gesundheitsunternehmen, die strengeren Anforderungen unterliegen, profitieren besonders von Zero Trust.

“Zero Trust ist kein Trend und kein Marketing-Begriff mehr. Es ist die einzige Architektur, die für eine Welt mit Cloud, Remote-Arbeit und mobilen Endgeräten wirklich skaliert. Und KMU können damit sofort beginnen — oft mit dem, was sie schon bezahlen.” — Cloud-Security-Spezialist, Zürich

Zero Trust testen: Red Teaming als Qualitätsprüfung

Eine Zero-Trust-Architektur ist nur so gut, wie sie in der Praxis funktioniert. Fehlkonfigurationen in Conditional-Access-Richtlinien, schwache MFA-Implementierungen oder Lücken in der Netzwerksegmentierung können Zero Trust unterlaufen — ohne dass es jemand merkt.

Red Teaming ist die härteste Form der Qualitätsprüfung: Spezialisierte Angreifer versuchen, Ihre Zero-Trust-Kontrollen zu umgehen — mit denselben Methoden, die echte Cyberkriminelle einsetzen. Sie testen:

MFA-Bypass-Techniken (Evilginx2, Adversary-in-the-Middle-Angriffe)
Conditional-Access-Umgehung über kompromittierte Geräte
Lateral Movement trotz Netzwerksegmentierung
Social Engineering gegen Identity-Prozesse

Lesen Sie mehr dazu in unserem Leitfaden Was ist Red Teaming? und im Vergleich Red Teaming vs. Penetrationstest.

Laut einer IBM-Studie dauert es durchschnittlich 194 Tage, bis Unternehmen einen Sicherheitsvorfall entdecken. Red Teaming findet diese Lücken, bevor ein echter Angreifer sie ausnutzt.

Fazit

Zero Trust ist keine Option mehr — es ist die zeitgemässe Antwort auf eine Welt, in der Netzwerkgrenzen aufgehört haben zu existieren. Schweizer KMU können Zero Trust schrittweise einführen: mit MFA und Conditional Access anfangen, Geräte verwalten, Zugriffsrechte minimieren und das Monitoring ausbauen.

Die grösste Herausforderung ist nicht das Budget, sondern die Disziplin: Zero Trust muss gelebt und kontinuierlich gepflegt werden. Und wenn Sie wissen wollen, ob Ihre Zero-Trust-Implementierung einem echten Angriff standhält, ist die Antwort Red Teaming.

Lassen Sie Ihre Zero-Trust-Architektur von echten Angreifern testen. Unser Red-Teaming-Angebot für Schweizer KMU startet ab CHF 11’900 — mit einem klaren Bericht, welche Zero-Trust-Kontrollen funktionieren und welche nicht.

Jetzt Red Teaming anfragen

Weiterführende Leitfäden: