Die Cybergang Rhysida erpresste jüngst die Stadt Stuttgart – mit gestohlenen IT-Dokumenten als Druckmittel. Solche Angriffe treffen längst nicht mehr nur Konzerne oder Behörden. KMU in Sachsen und ganz Deutschland stehen genauso im Visier, oft mit deutlich weniger Schutz. Das Problem: Viele Unternehmen verlassen sich auf ein Sicherheitsmodell, das schon seit Jahren überholt ist – die klassische Perimeter-Firewall.

Zero Trust ist kein Hype-Begriff, sondern eine konkrete Antwort auf diese Realität. Dieser Artikel erklärt, was dahintersteckt und wie KMU den Ansatz praktisch umsetzen können.

Warum das alte Modell versagt

Das klassische Netzwerksicherheitsmodell basiert auf einem einfachen Gedanken: Alles innerhalb des Netzwerks ist vertrauenswürdig, alles außerhalb nicht. Die Firewall ist die Burgmauer – wer drin ist, darf sich frei bewegen.

Dieses Modell hatte vielleicht in den 1990ern seine Berechtigung. Heute ist es gefährlich:

Homeoffice und Cloud haben Grenzen aufgelöst. Ein Mitarbeiter arbeitet von zu Hause mit einem Laptop, greift auf Microsoft 365, Google Workspace oder eine On-Premise-Anwendung zu. Wo ist das Netzwerk? Überall und nirgends.
Ein kompromittiertes Gerät bewegt sich frei. Schafft es ein Angreifer – oder Schadsoftware – erst ins Netzwerk, kann er sich lateral bewegen. Server, Dateifreigaben, Backups: alles erreichbar.
Insider-Bedrohungen bleiben unsichtbar. Ein Mitarbeiter mit zu weitreichenden Rechten, ein gestohlenes Passwort, ein nicht gesperrter Laptop – das klassische Modell erkennt diese Risiken nicht.

Genau hier setzt Zero Trust an.

Was Zero Trust bedeutet

Der Begriff stammt von John Kindervag, der ihn 2010 beim Forrester Research Institut prägte. Der Kerngedanke lässt sich in drei Worten zusammenfassen: “Never trust, always verify.”

Zero Trust ist keine einzelne Technologie, sondern ein Sicherheitsprinzip mit drei Säulen:

1. Identität immer prüfen

Jeder Nutzer, jedes Gerät und jede Anwendung muss sich bei jedem Zugriff authentifizieren – egal ob der Zugriff aus dem Büro, dem Homeoffice oder dem Mobilnetz kommt. Multi-Faktor-Authentifizierung (MFA) ist dabei kein “Nice-to-have”, sondern Voraussetzung.

2. Minimale Rechte vergeben

Das “Principle of Least Privilege”: Ein Buchhaltungsmitarbeiter braucht keinen Zugriff auf die Entwicklungsserver. Ein Außendienstmitarbeiter braucht keine Admin-Rechte auf seinem Laptop. Jeder Nutzer und jeder Dienst erhält exakt die Rechte, die er für seine Aufgabe benötigt – und nicht mehr.

3. Kontinuierlich überwachen

Zero Trust-Systeme prüfen Zugriffe nicht einmal beim Login und vertrauen danach blind. Sie überwachen kontinuierlich: Verhält sich dieser Nutzer normal? Kommt der Zugriff vom gewohnten Gerät? Ist die Uhrzeit plausibel? Abweichungen lösen Alarm aus oder erzwingen eine erneute Authentifizierung.

Zero Trust in der Praxis: Was KMU konkret tun können

Der Gedanke, das gesamte Netzwerk auf Zero Trust umzustellen, klingt nach einem Mammutprojekt. In der Praxis geht es um schrittweise Verbesserungen – auch für ostdeutsche KMU mit begrenzten IT-Budgets.

Schritt 1: Inventur der Identitäten und Geräte

Bevor etwas abgesichert werden kann, muss klar sein, was im Netzwerk ist. Welche Nutzerkonten existieren? Welche Geräte greifen zu? Ein zentrales Identity-Management – etwa über einen LDAP-Server oder Azure AD – ist die Basis.

In vielen Dresdner KMU sind veraltete Nutzerkonten, ehemalige Mitarbeiter oder ungepatchte Geräte das erste Problem. Hier anzufangen ist richtig und wichtig.

Schritt 2: MFA überall einführen

Multi-Faktor-Authentifizierung ist die günstigste und wirksamste Einzelmaßnahme im Zero Trust-Ansatz. Für Microsoft 365, VPN-Zugänge, Webmail und Admin-Konsolen sollte MFA ohne Ausnahme aktiv sein. Wer noch kein MFA nutzt, reduziert damit sofort das Risiko eines Passwort-Diebstahls erheblich.

Schritt 3: Netzwerk segmentieren

Zero Trust bedeutet nicht, dass alle im gleichen flachen Netzwerk sitzen dürfen. Segmentierung durch VLANs trennt kritische Systeme – etwa den Buchhaltungsserver – vom Rest. Eine OPNsense-Firewall kann diese Segmentierung granular steuern und Zugriffe zwischen Zonen kontrollieren.

Schritt 4: VPN neu denken

Ein klassisches VPN gibt dem eingewählten Nutzer Zugriff auf “das Netzwerk”. Im Zero Trust-Modell gibt es stattdessen micro-segmentierte Zugänge: Der Außendienstmitarbeiter kommt nur auf den CRM-Server, nicht auf das interne Dateisystem. WireGuard in Kombination mit einer guten Firewall-Konfiguration ermöglicht das auch für KMU ohne Enterprise-Budget.

Schritt 5: Monitoring und Logging aktivieren

Was man nicht sieht, kann man nicht schützen. Zentrales Logging aller Authentifizierungsversuche, Firewall-Events und Systemzugriffe ist Pflicht. Tools wie Grafana und Loki ermöglichen auch kleinen IT-Teams, verdächtiges Verhalten zu erkennen – bevor ein Angreifer wochenlang unbemerkt bleibt.

Häufige Missverständnisse

“Zero Trust ist nur etwas für große Unternehmen.” Falsch. Gerade KMU profitieren, weil sie oft keine dedizierte Security-Abteilung haben. Zero Trust-Prinzipien reduzieren den Schaden, wenn ein Angreifer ins Netzwerk kommt – und das passiert auch in kleinen Betrieben.

“Zero Trust ersetzt die Firewall.” Nein. Die Firewall bleibt wichtig, wird aber durch Zero Trust ergänzt. Statt “alles hinter der Firewall ist sicher” gilt: “auch hinter der Firewall wird nichts blind vertraut.”

“Das ist zu teuer.” MFA, Netzwerksegmentierung und Logging sind mit Open-Source-Tools und bestehender Hardware umsetzbar. Der erste Schritt kostet vor allem Zeit – und die lohnt sich.

Warum das Thema für KMU in Sachsen jetzt aktuell ist

Die NIS2-Richtlinie der EU, die seit Oktober 2024 gilt, erhöht den Druck auf viele Unternehmen in kritischen Sektoren. Auch KMU, die als Zulieferer größerer Unternehmen tätig sind, können indirekt betroffen sein. Zero Trust ist kein gesetzliches Muss – aber eine der wirksamsten Maßnahmen, um NIS2-Anforderungen an Risikobehandlung und Überwachung zu erfüllen.

Darüber hinaus zeigen Fälle wie Stuttgart und zahlreiche Ransomware-Angriffe auf mittelständische Unternehmen in Sachsen und Deutschland: Wer wartet, bis er selbst betroffen ist, zahlt deutlich mehr – in Lösegeld, Wiederherstellungskosten und Reputationsschaden.

Unterstützung in Dresden gesucht?

Rexoma IT hilft KMU in Dresden und Sachsen dabei, Zero Trust schrittweise umzusetzen – ohne das Budget zu sprengen. Von der Netzwerkanalyse über OPNsense-Konfiguration und MFA-Einrichtung bis hin zu zentralem Logging: Wir begleiten den Weg von der Bestandsaufnahme bis zur laufenden Betreuung. Sprechen Sie uns an – kostenfreies Erstgespräch inklusive.

Häufige Fragen zu Zero Trust für KMU

Was kostet die Einführung von Zero Trust für ein KMU? Das hängt stark vom Ausgangszustand ab. MFA-Einführung und Netzwerksegmentierung mit bestehender Hardware sind oft für wenige Hundert Euro Implementierungsaufwand möglich. Größere Projekte – vollständiges Identity-Management, Logging-Infrastruktur – liegen im mittleren vierstelligen Bereich.

Muss ich meine komplette IT-Infrastruktur ersetzen? Nein. Zero Trust ist ein Prinzip, kein Produkt. Es lässt sich schrittweise auf bestehende Infrastruktur anwenden. Ein VLAN hier, MFA dort, besseres Logging – jede Maßnahme verbessert die Sicherheitslage.

Was ist der wichtigste erste Schritt? MFA für alle Nutzerkonten aktivieren – insbesondere für E-Mail, VPN und Admin-Zugänge. Das ist die wirksamste Einzelmaßnahme mit dem besten Verhältnis aus Aufwand und Schutzwirkung.

Wie hängt Zero Trust mit NIS2 zusammen? NIS2 fordert von betroffenen Unternehmen unter anderem Risikobehandlungsmaßnahmen, Zugriffskontrolle und Incident-Monitoring. Zero Trust-Prinzipien erfüllen diese Anforderungen direkt und helfen, NIS2-konform zu werden.

Funktioniert Zero Trust auch mit Cloud-Diensten wie Microsoft 365? Ja, und dort ist es besonders wichtig. Microsoft bietet mit Azure AD und Conditional Access eigene Zero Trust-Werkzeuge. Auch ohne vollständig in der Microsoft-Cloud zu sein, lassen sich diese Mechanismen für hybride Umgebungen nutzen.

Zero Trust: Das Ende des "Vertrau dem Netzwerk"-Denkens