Ein gestohlenes Passwort kann heute ausreichen, um einen ganzen Betrieb zum Stillstand zu bringen. Zero Trust ist das Sicherheitskonzept, das genau das verhindern soll. Für KMUs ist es zugänglicher als oft gedacht, besonders wenn Microsoft 365 bereits im Einsatz ist.
Was ist Zero Trust?
Das Konzept stammt aus dem Jahr 2010 und wurde von John Kindervag bei Forrester Research geprägt. Die Kernidee: Kein Benutzer, kein Gerät und keine Anwendung wird automatisch als vertrauenswürdig eingestuft, egal ob innerhalb oder ausserhalb des Firmennetzwerks. «Never trust, always verify.»
Jeder Zugriff wird geprüft, anhand von drei Grundprinzipien:
- Explizit verifizieren: Jede Zugriffsanfrage wird anhand von Identität, Standort und Gerätezustand geprüft.
- Minimale Rechte vergeben: Benutzer erhalten nur so viel Zugriff wie für ihre Aufgabe nötig.
- Von einem Angriff ausgehen: Systeme werden so gebaut, als wäre ein Angriff bereits im Gange.
Warum Zero Trust heute relevant ist
Früher hatte ein Unternehmen klare Grenzen: innen sicher, aussen gefährlich. Firewall und Virenschutz haben diese Grenze bewacht. Heute existiert diese Grenze kaum noch. Mitarbeitende arbeiten von zuhause, Daten liegen in der Cloud, externe Dienstleister haben Fernzugriff. Das klassische Modell schützt in dieser Welt nicht mehr zuverlässig.
Zero Trust ersetzt das Prinzip «einmal drin, überall vertrauen» durch kontinuierliche Überprüfung. Nicht der Standort im Netzwerk entscheidet über den Zugriff, sondern die Identität, der Gerätezustand und der Kontext der Anfrage. Das macht Zero Trust zu einem Konzept, das mit der modernen Arbeitswelt mithalten kann.
Kurz gesagt: Die Welt hat sich verändert, die Sicherheitsstrategie muss mitziehen.
KMUs unterschätzen die Bedrohung
Die Cyberstudie 2024 der FHNW zeigt, dass rund 4 Prozent der befragten Schweizer KMU in den letzten drei Jahren Opfer einer schwerwiegenden Cyberattacke wurden. Dies sind rund 24’000 Unternehmen. Bei 73 Prozent der Betroffenen entstand dabei ein erheblicher finanzieller Schaden. Vier von zehn hatten im Ernstfall keinen Notfallplan.
Diese «Fahrlässigkeit» bestätigt auch eine weitere Studie, denn laut dem Cisco Cybersecurity Readiness Index 2025 sind nur 1 Prozent der Schweizer KMU gut auf Cyberangriffe vorbereitet.
Bei Neukunden unserer Firma bestätigen sich die Studien:
Ein Virenschutz ist installiert, und die Geschäftsleitung fühlt sich sicher. Auf Multifaktor-Authentifizierung wird häufig verzichtet, um Mitarbeitende nicht zusätzlich zu belasten.
Über 80 Prozent der erfolgreichen Angriffe gehen laut dem Bundesamt für Cybersicherheit nicht auf Schadsoftware zurück, sondern auf Social Engineering. Also durch den Faktor Mensch. Ein gestohlenes Passwort, ein unachtsamer Klick oder ein ungesicherter Fernzugriff reichen aus, um ein Unternehmen zu kompromittieren, wenn Zugriffe nicht zusätzlich abgesichert werden.
Microsoft 365 als Einstieg in Zero Trust für KMUs
Wer in einem KMU bereits Microsoft 365 nutzt, hat die Grundbausteine für Zero Trust bereits dabei. Die drei Zero-Trust-Prinzipien lassen sich direkt mit vorhandenen Werkzeugen umsetzen.
Entra ID setzt das Prinzip «explizit verifizieren» um: Bei jedem Login wird nicht nur das Passwort geprüft, sondern auch Gerät, Standort und Risikostufe des Kontos.
Microsoft Intune sorgt für «minimale Rechte»: Nur Geräte, die den Firmenrichtlinien entsprechen, erhalten überhaupt Zugriff auf Unternehmensdaten.
Microsoft Defender lebt das Prinzip «von einem Angriff ausgehen»: Bedrohungen werden laufend erkannt und automatisch behandelt, ohne dass jemand manuell eingreifen muss.
Alle drei sind in der Microsoft 365 Business Premium Lizenz enthalten, einem Abonnement, das viele KMUs bereits nutzen.
Fazit: Grosser Schutz, überschaubarer Aufwand
Zero Trust ist kein Projekt, das man einmalig abschliesst. Es ist ein Kompass, der die Richtung vorgibt. Für ein KMU heisst das nicht, alles auf einmal umzubauen, sondern sinnvoll anzufangen: Identitäten absichern, Rechte bereinigen, Geräte verwalten.
Wer mit Entra ID und Multifaktor-Authentifizierung startet, hat schon viel gewonnen. Nicht weil es Vorschrift ist, sondern weil ein einziger erfolgreicher Angriff für viele kleine Betriebe das Ende bedeuten kann. Die Technik ist vorhanden. Es braucht nur den ersten Schritt.
Dieser Blogbeitrag wurde mit Unterstützung von KI erstellt.
