Zero Trust für KMU: Vom Konzept zur konkreten Umsetzung in 90 Tagen\n\n> Key Takeaways\n> - Zero Trust ist kein Produkt, sondern ein Architekturprinzip: Vertraue keinem Gerät, keinem Nutzer, keiner Verbindung – unabhängig vom Netzwerkstandort.\n> - KMU ohne dediziertes Security-Team können Zero Trust schrittweise mit bestehenden Microsoft-365- und Azure-Werkzeugen umsetzen.\n> - Ein strukturierter 90-Tage-Plan reduziert die Angriffsfläche messbar, ohne den laufenden Betrieb zu unterbrechen.\n> - NIS-2 und DSGVO verlangen nachweisbare Zugangskontrolle und Protokollierung – Zero Trust liefert beides.\n\n## Was Zero Trust wirklich bedeutet\n\nDer Begriff Zero Trust kursiert seit Jahren in IT-Sicherheitskreisen und wird von Herstellern gerne für Produkte jeder Art in Anspruch genommen. Das führt zu Verwirrung. Die Kernidee stammt aus dem BeyondCorp-Projekt von Google (2014) und lässt sich auf einen Satz reduzieren:\n\nKein Nutzer, kein Gerät und kein Dienst erhält automatisch Vertrauen – weder außerhalb noch innerhalb des Netzwerks.\n\nKlassische Netzwerksicherheit basierte auf dem Perimeter-Modell: Wer einmal im Firmennetz war, galt als vertrauenswürdig. VPNs, Firewalls und DMZs bildeten die Außenhülle – wer drin war, konnte sich relativ frei bewegen. Für KMU mit Cloud-Diensten, Homeoffice und mobilen Endgeräten gilt dieses Modell nicht mehr. Es gibt keinen klar definierten Perimeter.\n\nZero Trust ersetzt diese Logik durch vier Grundprinzipien:\n\n- Identität prüfen: Wer ist der Nutzer? Ist das Gerät bekannt und konform?\n- Kontext bewerten: Von wo, wann und mit welchem Gerät kommt der Zugriff?\n- Minimalrechte durchsetzen: Nur die Ressourcen bereitstellen, die für die konkrete Aufgabe nötig sind.\n- Protokollieren: Jeden Zugriff aufzeichnen – für Audit, Forensik und Compliance.\n\n## Warum Zero Trust für KMU keine akademische Übung ist\n\nAngriffe auf KMU folgen heute einem klaren Muster: Phishing-Mail → kompromittiertes Konto → laterale Bewegung → Ransomware oder Datendiebstahl. Die schwache Stelle ist fast immer nicht die Firewall, sondern eine schlecht gesicherte Identität mit zu vielen Rechten.\n\nLaut BSI-Lagebericht 2024 sind über 60 % der erfolgreichen Angriffe auf KMU auf kompromittierte Zugangsdaten zurückzuführen. Genau hier setzt Zero Trust an: Der Angreifer mag ein gültiges Passwort haben – ohne MFA, ohne konformes Gerät und ohne den nötigen Kontext kommt er dennoch nicht weiter.\n\nHinzu kommen regulatorische Anforderungen:\n\n- NIS-2 (seit Oktober 2024 in nationales Recht umgesetzt) verlangt von betroffenen Unternehmen technische Maßnahmen zur Zugangskontrolle und Protokollierung von Sicherheitsereignissen (Art. 21 Abs. 2).\n- DSGVO Art. 32 fordert technisch-organisatorische Maßnahmen, die dem Stand der Technik entsprechen. Zero-Trust-Prinzipien sind inzwischen Teil dieses Standards – ein ungesichertes Perimeter-Netzwerk ist es nicht mehr.\n\n## Der 90-Tage-Plan: Pragmatisch und umsetzbar\n\nEin vollständiges Zero-Trust-Modell entsteht nicht über Nacht. Der folgende Plan richtet sich an KMU mit 20–500 Nutzern, Microsoft 365 und Azure AD (Entra ID), ohne dediziertes Security-Team.\n\n### Phase 1 (Tage 1–30): Inventar und Identitätssicherung\n\nZiel: Wissen, wer was nutzt – und Identitäten absichern.\n\nOhne vollständiges Inventar ist Zero Trust nicht umsetzbar. Starten Sie mit drei konkreten Schritten.\n\nSchritt 1: Geräte-Inventar erstellen\n\nIn Microsoft Intune oder Azure AD lässt sich schnell ein Überblick gewinnen:\n\npowershell\n# Alle registrierten Geräte aus Entra ID abfragen\nGet-MgDevice -All | Select-Object DisplayName, OperatingSystem, IsCompliant, TrustType | Export-Csv devices.csv\n\n\nGeräte ohne Compliance-Status – also ohne Intune-Verwaltung – sind ein unmittelbares Risiko. Sie kennen weder deren Patch-Stand noch ob BitLocker aktiv ist.\n\nSchritt 2: Multi-Faktor-Authentifizierung erzwingen\n\nMFA ist die wichtigste Einzelmaßnahme im Zero-Trust-Kontext. In Microsoft 365 lässt sie sich per Conditional-Access-Richtlinie für alle Nutzer erzwingen:\n\n1. Azure Portal → Entra ID → Security → Conditional Access\n2. Neue Richtlinie: Alle Nutzer, alle Cloud-Apps → Zugriffssteuerung: MFA erforderlich\n3. Ausnahmen dokumentieren, auf Notfallkonten beschränken und zeitlich begrenzen\n\nAuthentifizierungsmethode: Microsoft Authenticator (Push) ist akzeptabel, Number Matching ist Pflicht. SMS-OTP sollte abgelöst werden – SIM-Swapping ist ein reales Angriffsszenario.\n\nSchritt 3: Privilegierte Konten isolieren\n\n```powershell\n# Global Admins und privilegierte Rollen auflisten\nGet-MgDirectoryRole | ForEach-Object {\n $role = $_\n Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id |\n Select-Object @{N=\