Ein Angreifer ist bereits in Ihrem Netzwerk. Er hat gestern um 14:30 Uhr mit gültigen Zugangsdaten eingeloggt — über Ihr VPN, mit dem Benutzernamen und Passwort eines Vertriebsmitarbeiters, der nichts davon weiß, dass seine Daten drei Monate zuvor in einem Datenleck aufgetaucht sind. Ihre Firewall hat nichts gesehen. Es gab auch nichts zu sehen: kein verdächtiger Port, keine unbekannte IP, kein Malware-Muster. Eine legitime Verbindung, aus Firewall-Perspektive vollkommen unauffällig.
Das ist kein hypothetisches Szenario. Laut BSI-Lagebericht 2025 begannen rund 70 % der erfolgreichen Angriffe des vergangenen Jahres mit bereits kompromittierten, aber scheinbar legitimen Zugangsdaten. Die Firewall hat in diesen Fällen nicht versagt — sie hat funktioniert. Das ist das eigentliche Problem. Und Zero Trust ist die Antwort darauf.
Warum das klassische Firewall-Modell 2026 nicht mehr trägt
Das Grundprinzip traditioneller Netzwerksicherheit lässt sich in einem Satz beschreiben: außen blockieren, innen vertrauen. Sicherheitsexperten nennen es das “Castle-and-Moat”-Modell — eine Burg mit einem Wassergraben. Wer den Graben überquert hat, bewegt sich frei. Das Modell funktionierte, solange alle Arbeit physisch im Büro stattfand, alle Systeme lokal betrieben wurden und “innen” eine klare, überschaubare Bedeutung hatte.
Diese Voraussetzungen existieren für die meisten Mittelständler seit Jahren nicht mehr. Microsoft 365 läuft in der Cloud, der Vertrieb arbeitet aus dem Homeoffice, Lieferanten greifen remote auf Ihr ERP zu, Mitarbeiter nutzen private Smartphones für Arbeits-E-Mails. Das Netzwerk hat keine klare Grenze mehr. Der “Graben” ist an hundert Stellen überbrückt — und die meisten dieser Brücken sind notwendig und legitim.
Das Ergebnis: Eine gestohlene VPN-Anmeldung, ein kompromittiertes Lieferantenkonto oder ein Mitarbeiter, der sich von einem unsicheren Hotelwlan einloggt, reicht aus, um jemanden mit vollem internen Zugriff auszustatten. Klassische Firewalls erkennen das nicht — weil die Verbindung technisch korrekt ist. Der einzige Unterschied ist, dass die Person dahinter nicht die ist, die sie vorgibt zu sein. Und genau das prüft eine Firewall nicht.
Was Zero Trust bedeutet — ohne Buzzword-Nebel
“Zero Trust” klingt nach einem Marketing-Begriff. Das ist es auch — aber hinter dem Begriff steckt ein konkretes Architekturprinzip, das das NIST und das BSI klar definiert haben: “Niemals vertrauen, immer verifizieren.”
Kein Gerät, kein Nutzer, kein Netzwerksegment wird per Default als vertrauenswürdig eingestuft — unabhängig davon, ob es sich innerhalb oder außerhalb des Unternehmensnetzwerks befindet. Jeder Zugriff wird neu bewertet. Immer.
In der Praxis bedeutet das drei Dinge:
Identität verifizieren. Bevor ein Nutzer auf eine Ressource zugreift, wird seine Identität geprüft — nicht einmalig beim Login, sondern kontextabhängig und laufend. Ist der Login aus einem ungewöhnlichen Land? Auf einem unbekannten Gerät? Zu einer ungewöhnlichen Uhrzeit? Conditional Access Policies bewerten diese Risikosignale und können eine zusätzliche Authentifizierung, eine Zugangsbeschränkung oder eine Blockierung auslösen.
Gerät verifizieren. Nicht jedes Gerät, von dem sich jemand anmeldet, ist vertrauenswürdig. Ein privates Gerät ohne Endpoint-Schutz, ein veraltetes System ohne aktuelle Patches, ein Gerät, das nicht im Unternehmens-MDM registriert ist — all das sind Risikofaktoren. Zero Trust schließt nicht-konforme Geräte vom Zugriff auf sensible Ressourcen aus.
Zugriff minimieren. Das Prinzip des “Least Privilege” bedeutet: Jeder Nutzer und jedes System hat nur den Zugang, den er für seine konkrete Aufgabe braucht — und nicht einen Schritt darüber hinaus. Kein automatischer Admin-Zugang für alle IT-Mitarbeiter, keine Dauerrechte, die eigentlich nie gebraucht werden.
Eine wichtige Klarstellung, die in vielen Zero-Trust-Diskussionen fehlt: Zero Trust ist kein Produkt. Es gibt keine Box, die man kauft, anschließt und damit fertig ist. Es ist eine Architekturphilosophie, die schrittweise in vorhandene IT-Infrastruktur eingebaut wird. Wer in Microsoft 365 MFA aktiviert und Conditional Access Policies eingerichtet hat, hat bereits zwei Zero-Trust-Bausteine live.
Wo die meisten Mittelständler heute stehen
Zero Trust ist keine Alles-oder-nichts-Entscheidung. Es gibt klar definierte Reifegrade — und ein realistisches Zielniveau für den Mittelstand.
Stufe 0 — Traditionell: Firewall und VPN als primäre Schutzmaßnahmen, keine MFA oder nur bei einzelnen Systemen, keine zentrale Gerätekontrolle. Interner Zugriff gilt als sicher. Lateral Movement nach einem erfolgreichen Einbruch ist kaum eingeschränkt. Laut Branchenanalysen befindet sich heute noch rund 40 % der deutschen KMU auf diesem Niveau — häufig ohne es zu wissen.
Stufe 1 — Initial: MFA ist aktiv, aber Conditional Access Policies fehlen oder sind rudimentär. Kein MDM, keine systemische Gerätekontrolle. Das ist der typische Zustand nach einer Microsoft-365-Einführung, wenn die Lizenz schon da ist, aber die Konfiguration nicht ausgeschöpft wurde.
Stufe 2 — Aufgebaut: Conditional Access Policies greifen auf Risikosignale, Intune-MDM kontrolliert den Gerätestatus, Netzwerksegmentierung ist in Ansätzen vorhanden. Seitwärtsbewegung nach einem Angriff ist erheblich eingeschränkt. Das ist das realistische Ziel für Unternehmen mit 50 bis 200 Mitarbeitern — und mit dem richtigen IT-Partner erreichbar, ohne millionenschweres Budget.
Stufe 3 — Optimiert: SASE/ZTNA-Infrastruktur, Privileged Identity Management für alle Admin-Konten, SOC mit Anomalie-Erkennung und automatisierter Response. Enterprise-Niveau, für die meisten KMU wirtschaftlich nicht sinnvoll.
Die meisten Unternehmen, die zu uns kommen, starten auf Stufe 1: MFA ist aktiviert, weil Microsoft es inzwischen standardmäßig einfordert — aber Conditional Access Policies fehlen, Geräte werden nicht zentral verwaltet, und Netzwerksegmentierung ist kein Thema. Das ist keine Kritik, sondern eine realistische Bestandsaufnahme. Stufe 1 ist besser als nichts. Aber sie schützt nicht vor dem Szenario aus dem Aufhänger dieses Artikels.
Das realistische Ziel für den Mittelstand ist Stufe 2. Dort beginnt Zero Trust, messbare Wirkung zu entfalten — gegen gestohlene Credentials, gegen kompromittierte Geräte, gegen Lateral Movement nach einem initialen Einbruch, wie wir es in Ransomware-Angriffen auf Mittelstandsbetriebe immer wieder sehen.
Zero Trust im Mittelstand: fünf konkrete Maßnahmen
Der Weg von Stufe 0 zu Stufe 2 ist kein Großprojekt — aber er braucht eine klare Reihenfolge.
1. Identitäts-Sicherung als Fundament. MFA für alle Konten ist der wichtigste erste Schritt — und wer ihn noch nicht gemacht hat, sollte ihn heute tun. MFA allein ist aber nicht genug: Conditional Access Policies, die den Zugang kontextabhängig steuern — Gerät, Standort, Anmelderisiko — sind die nächste Ebene. In Microsoft Entra ID ist das konfigurierbar, erfordert aber eine P1-Lizenz.
2. Gerätekontrolle über Intune/MDM. Nur Geräte, die im Unternehmens-MDM registriert und als konform eingestuft sind, sollten Zugriff auf Unternehmensressourcen erhalten. Das betrifft Firmenlaptops genauso wie BYOD-Geräte, die mit Intune-Enrollment in eine managed Umgebung eingebunden werden können. Strukturiertes Endpoint Management mit Intune stellt sicher, dass Compliance-Richtlinien, Patch-Status und Konfigurationsstandards automatisiert durchgesetzt werden — kein manuelles Nachverfolgen, kein Gerät, das durch das Raster fällt.
3. Netzwerksegmentierung. Der klassische Fehler: alles im gleichen Netzwerksegment. Wer in die Büro-IT eingedrungen ist, kommt automatisch an die Buchhaltungssoftware, den Backupserver, die Produktionssteuerung. Segmentierung trennt kritische Systeme in eigene VLANs mit kontrollierten Übergängen. Ein Angreifer, der einen einzelnen Endpunkt kompromittiert, bleibt dort eingesperrt — er kann sich nicht lateral durch das Netzwerk bewegen. Das ist eine der wirkungsvollsten Schutzmaßnahmen gegen Ransomware, die bei modernen Angriffen fast immer Lateral Movement voraussetzt.
4. Least Privilege durchsetzen. Admin-Rechte sind kein Standard, sondern eine Ausnahme. Privileged Identity Management (PIM) in Microsoft Entra gibt Admin-Berechtigungen nur bei Bedarf und zeitlich befristet aus — keine Dauerrechte, die im Fall einer Kompromittierung sofort vollständigen Zugriff gewähren. Jeder Mitarbeiter hat Zugang zu dem, was er für seine Rolle braucht. Nicht mehr.
5. Logging und Monitoring als Pflicht, nicht als Option. Zero Trust setzt voraus, dass man sieht, was passiert. Ohne Sichtbarkeit gibt es kein Vertrauen und keine Verifikation — nur Blindflug. Microsoft Sentinel oder ein externes Intrusion Detection & SOC-Monitoring korreliert Ereignisse aus allen Quellen: Endpoint, Identity, Netzwerk, Cloud-Dienste. Kompromittierte Konten sehen wie normale Logins aus — aber sie verhalten sich anders. KI-gestützte Anomalie-Erkennung findet diese Muster in Echtzeit, nicht erst wenn der Schaden eingetreten ist.
Was Zero Trust nicht ist
Zero Trust ist kein Freifahrtschein, keine Firewall-Abschaffung und kein Einmalprojekt. Firewalls bleiben ein sinnvoller Bestandteil der Netzwerksicherheit — als Teil der Segmentierungsstrategie, nicht als alleiniger Perimeter. Zero Trust ordnet die Firewall ein, ersetzt sie nicht.
Zero Trust ist auch kein Zustand, den man “erreicht”. Es ist ein laufender Prozess: Richtlinien werden überprüft und angepasst, neue Geräte werden eingebunden, neue Risikosignale werden konfiguriert. Wer Zero Trust als abgeschlossenes Projekt betrachtet, wird nach zwei Jahren feststellen, dass die Konfiguration veraltet ist.
Und: Zero Trust ist kein Allheilmittel. Phishing-resistente Passwörter, regelmäßige Schulungen, ein funktionierendes Backup-Konzept — diese Grundlagen bleiben unverzichtbar. Zero Trust ist der Rahmen, der alle Sicherheitsmaßnahmen koordiniert und ihre Wirksamkeit erhöht. Aber er kann eine fehlende Basis nicht ersetzen.
Was jetzt zu tun ist
Zero Trust ist kein Luxus für Konzerne mit eigenen Security-Teams. Es ist der neue Minimalstandard für jedes Unternehmen, das produktiv in der Cloud arbeitet, Remote-Zugriffe ermöglicht und Angriffe auf kompromittierte Zugangsdaten ernstnimmt.
Der erste Schritt kostet nichts: Den aktuellen Reifegrad ehrlich einschätzen. Ist MFA überall aktiv? Gibt es Conditional Access Policies? Weiß jemand, welche Geräte auf das Netzwerk zugreifen — und ob sie konform konfiguriert sind? Die Antworten auf diese drei Fragen zeigen, auf welcher Stufe man steht. Und was als nächstes zu tun ist.
Wenn Sie wissen möchten, auf welcher Stufe Ihr Unternehmen heute steht, bieten wir ein kostenloses Zero-Trust-Reifegrad-Assessment an — 60 Minuten, strukturiert, mit einer klaren Einschätzung und drei priorisierten nächsten Schritten. Kein Verkaufsgespräch, keine Paketpflicht. Sprechen Sie uns an über Cyber Shield.
Quellen: