«Trust nothing, verify everything.» Das ist Zero Trust in einem Satz. In zwei Sätzen: jeder Zugriff – auf jedes System, von jedem Gerät, durch jeden User – wird geprüft. Auch der vom CEO. Auch der vom Server, der schon drei Jahre im Rack steht.
Das klingt nach Misstrauen. Ist es auch. Und es ist genau das, was Unternehmen brauchen, die in den letzten Jahren mit Ransomware oder kompromittierten Zugangsdaten zu tun hatten. Das alte Modell «innen ist sicher, aussen ist gefährlich» funktioniert nicht mehr, seit der Laptop des Buchhalters auf der Zugfahrt mit einem fremden Hotspot verbunden war.
Warum die alte Architektur kippt
Klassische Unternehmensnetze funktionieren wie eine Burg: dicke Mauer aussen (Firewall), drinnen wird vertraut. Wer einmal drin ist, kann sich frei bewegen. Das war auch okay – solange «drin» tatsächlich «im Büro» hiess.
Heute heisst «drin»: Homeoffice, Aussendienst, BYOD-Smartphones, Cloud-Dienste, externe Berater mit eigenem Laptop. Der Perimeter ist tot. Wer einmal Zugangsdaten erbeutet – über Phishing, kompromittierte VPN-Clients, gestohlene Tokens – bewegt sich in einem traditionellen Netz fast unbemerkt.
Genau da setzt Zero Trust an. Nicht «wer aussen ist, ist gefährlich», sondern «jeder Zugriff wird einzeln geprüft, jedes Mal».
Die drei Prinzipien
Verify explicitly. Jeder Authentifizierungsversuch wird geprüft – mit allen verfügbaren Signalen: User-Identität, Geräte-Status, Standort, Verhalten, Tageszeit. Nicht nur Passwort plus Token, sondern Kontext. Login um 03:14 aus Bangkok, obwohl der User normalerweise in Schaffhausen sitzt? Anomalie, Multi-Faktor verschärfen oder blocken.
Use least-privilege access. Niemand hat dauerhaft Admin-Rechte auf alles. Zugriff wird zeitlich begrenzt vergeben, exakt für die nötige Aufgabe, und wieder entzogen. Das nennt sich Just-In-Time Access. Schmerzhaft am Anfang, weil IT-Teams das in den Workflow einbauen müssen. Aber: ein kompromittierter Admin-Account wird so vom Generalschlüssel zum Einmal-Schlüssel mit Verfallsdatum.
Assume breach. Geh davon aus, dass der Angreifer schon drin ist. Nicht hypothetisch – statistisch wahrscheinlich. Plane darauf, dass ein User-Konto, ein Server, ein Endpoint kompromittiert ist. Was kann der Angreifer von dort erreichen? Und vor allem: was nicht?
Netzwerk-Segmentierung als Fundament
Zero Trust ohne Segmentierung ist Theater. Wenn ein kompromittiertes System direkt an die Datenbank, das Active Directory und den Backup-Server kommt, hilft die ganze Identitäts-Prüfung nichts.
Mikro-Segmentierung trennt Workloads voneinander. Datenbank-Server reden nur mit Application-Servern auf definierten Ports, sonst nichts. Backup-Server reden gar nicht mit produktiven Systemen, sondern werden von einem dedizierten Backup-Host getrieben. Office-Netz und Server-Netz sind getrennt – und ja, der Drucker hat ein eigenes VLAN, in dem er sonst niemanden sieht.
Tools dafür: VLANs auf der Switch-Ebene, Firewall-Policies zwischen den Segmenten, Identity-Aware-Proxies vor kritischen Apps, oder spezialisierte Lösungen wie Microsoft Defender for Identity, Cisco SecureX oder Fortinet Security Fabric. FortiNet ist das, womit wir bei Unternehmenskunden meistens arbeiten – nicht weil es das Modernste ist, sondern weil es robust läuft und sich konsistent verwalten lässt.
Die häufigsten Fehler
Zu viel auf einmal. Niemand schaltet von einem Tag auf den anderen auf Zero Trust um. Wer das versucht, blockiert produktive Systeme und hat den CEO am Telefon. Geh in Phasen vor: erst die Identitäten konsolidieren, dann MFA überall, dann Segmentierung pro Anwendungs-Cluster, dann conditional access.
Identität ohne Geräte-Vertrauen. Wenn ein User mit einem nicht-verwalteten Privatlaptop auf das ERP zugreifen darf, ist die Identitätsprüfung nur die halbe Miete. Geräte-Compliance (Patch-Stand, Antivirus, Verschlüsselung, MDM-Enrollment) muss Teil der Zugriffs-Entscheidung sein.
Keine Logging-Strategie. Zero Trust erzeugt riesige Mengen an Auth-Events. Wenn die in einem Log-File verschwinden, das niemand liest, hast Du nicht mehr Sicherheit, sondern nur mehr Datenmüll. SIEM oder mindestens zentrale Log-Aggregation gehören dazu.
Wo anfangen?
Drei Schritte, die in jedem KMU sinnvoll sind, unabhängig von der Grösse:
- Identitäten zentralisieren. Ein Verzeichnis (meistens Microsoft Entra ID, früher Azure AD), MFA für alle Accounts. Ohne Kompromisse, auch nicht für den Admin «weil das nervt».
- Inventur und Klassifizierung. Welche Systeme habt ihr? Welche sind kritisch? Wo liegen die Daten? Ohne diese Karte wird jede Segmentierung Glücksspiel.
- Pilot-Segment. Ein produktives System in einem geschützten Segment, mit conditional access. Lessons Learned, dann ausrollen.
Zero Trust ist kein Produkt, das Du kaufst. Es ist ein Architektur-Ansatz, der über Jahre umgesetzt wird. Aber jeder Schritt in diese Richtung reduziert konkret die Angriffsfläche – und reduziert das Drama, wenn doch mal jemand Zugangsdaten abphisht.
UCC Pro begleitet Unternehmen bei genau dieser Transformation – Inventur, Segmentierungs-Konzept, FortiNet- oder Ubiquiti-Umsetzung, plus Monitoring. Kein «ihr seid jetzt Zero Trust»-Verkauf, sondern schrittweise Umsetzung mit echter Risiko-Reduktion. Kontakt, wenn das relevant wird.
Quellen: NCSC – «Sicherheit für Unternehmen» (ncsc.admin.ch); NIST SP 800-207 (Zero Trust Architecture); BSI IT-Grundschutz NET.1.1 Netzarchitektur.