Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Zero-Trust in der Praxis

Zero-Trust in der Praxis

Zero Trust in der Praxis – Schritt für Schritt (für Einsteiger)

Zero Trust in der Praxis – Schritt für Schritt (für Einsteiger)

Zero Trust heißt: „Nicht automatisch vertrauen – immer prüfen.“ Stell dir dein Unternehmen wie ein Mehrfamilienhaus vor: Nicht jeder hat einen Generalschlüssel. Bewohner kommen mit ihrem eigenen Schlüssel rein (Identität), Türen öffnen nur passende Schlüssel (Zugriffsrechte) und der Hausmeister kontrolliert regelmäßig, ob alles in Ordnung ist (Überwachung).

Warum das klassische Sicherheitsmodell nicht mehr reicht

Früher reichte eine „dicke Außenmauer“ (Firewalls). Heute arbeiten wir mobil, in der Cloud, mit vielen Dienstleistern. Die Grenzen lösen sich auf – deswegen braucht es Schutz pro Nutzer, pro Gerät, pro Zugriff.

  • Homeoffice & Cloud: Daten liegen nicht mehr nur im Büro.
  • Phishing & Betrug: Angriffe zielen auf Menschen – nicht nur auf Technik.
  • Lieferkette: Dienstleisterzugriffe können Einfallstore sein.

Die 3 Grundprinzipien – in einfachen Worten

Jede Maßnahme ordnet sich einem dieser Prinzipien zu. Das macht Entscheidungen leicht.

  • 1) Prüfen: Wer bist du? Ist dein Gerät vertrauenswürdig? Passt der Kontext?
  • 2) Begrenzen: Nur die minimal nötigen Rechte – zeitlich und inhaltlich.
  • 3) Beobachten: Was passiert wirklich? Abweichungen früh erkennen.

Welche Tools brauche ich wirklich?

Du musst keine teuren „All‑in‑One“-Suiten kaufen. Starte klein, was sofort hilft – der Rest folgt.

MFA (zweiter Faktor)

  • Apps wie Microsoft/Google Authenticator oder Duo.
  • Nutzen: Passwort allein reicht Angreifern nicht mehr.

Identitäten & Rollen (IAM)

  • Azure AD (Entra) / Okta / JumpCloud – auch Starter‑Pläne.
  • Nutzen: Zentrale Steuerung, einfache Rechtevergabe.

Gerätezustand (MDM)

  • Intune, Kandji oder OSQuery (Open‑Source).
  • Nutzen: Gerät aktuell? Festplatte verschlüsselt? → Zugriff erlauben.

Netz‑Segmentierung

  • pfSense/OPNsense: Büro/Gast/Admin trennen.
  • Nutzen: Ein Vorfall bleibt lokal, breitet sich nicht aus.

Zero‑Trust‑Zugriff

  • Cloudflare Access, Tailscale statt klassischem VPN.
  • Nutzen: Zugriffe pro App prüfen, nicht pauschal ins ganze Netz.

Starter‑Checkliste (60–90 Minuten einplanen)

Einmal durchgehen, Häkchen setzen, dann priorisieren.

  • MFA überall aktivieren (E‑Mail, Cloud‑Suite, Remote‑Zugänge).
  • Admin‑Konten trennen (persönlich vs. admin) und mit MFA sichern.
  • Rollen definieren: Vertrieb, Buchhaltung, IT – wer braucht was?
  • Standard‑Freigaben prüfen: „Alle Mitarbeiter“ → wirklich nötig?
  • Geräte‑Grundschutz: Festplattenverschlüsselung & Updates erzwingen.
  • Gäste‑WLAN vom Firmennetz trennen.
  • Weiterleitungen in E‑Mail verbieten, Anti‑Phishing stärken.
  • Backup testen: Restore‑Probe für 5 wichtige Dateien.

30‑60‑90‑Tage‑Plan (pragmatisch)

Kein Großprojekt – kleine Schritte, die wirken.

30 Tage

  • MFA + Admin‑Trennung + Passwortregeln.
  • Rollenmatrix (Excel reicht) und erste Rechtebereinigung.
  • Gäste‑Netz & VLANs für Drucker/IoT trennen.

60 Tage

  • MDM einführen (mind. Laptops), Patch‑Status automatisieren.
  • Zero‑Trust‑Zugriff für 1–2 interne Apps pilotieren.
  • Awareness‑Mini‑Training (15–20 Min) für alle.

90 Tage

  • Rechte‑Rezertifizierung (wer hat noch was?)
  • Protokolle zentral sammeln (Security‑Center/ELK).
  • Tabletop‑Übung: „Was tun bei kompromittiertem Konto?“

Beispiel: Handwerksbetrieb mit 25 Mitarbeitern

Ausgangslage: 2 Admin‑Konten, gemeinsames WLAN, private Geräte im Einsatz.

  • MFA für Microsoft 365 + getrennte Admin‑Konten.
  • Gäste‑WLAN getrennt, Drucker/IoT in eigenes VLAN.
  • MDM für Firmalaptops; private Geräte nur per Browserzugriff ohne Download.
  • Zugriffsrechte: Buchhaltung sieht nur Finanzordner; Montage nur Auftragsdaten.
  • Ergebnis: Phishing‑Risiko sinkt, Datenzugriffe nachvollziehbar.

Häufige Fehler – und wie man sie vermeidet

Diese Stolperfallen kosten am meisten Zeit und Nerven.

  • „Admin für alle“: Stattdessen wenige, personengebundene Admins + MFA.
  • Alte Zugänge bleiben aktiv: Offboarding‑Checkliste nutzen.
  • Shadow‑IT: Unerlaubte Tools ersetzen, Alternativen anbieten.
  • Kein Monitoring: Warnungen ignoriert? Minimum: Login‑Alarme, neue Geräte, ungewöhnliche Orte.

Einfacher Zugriffsplan (Rollenmatrix)

So startest du ohne Spezialsoftware – Reiter im Tabellen‑Tool reicht.

RolleE‑MailDateienCRMFinanzenAdmin
VertriebJaAngeboteVollNeinNein
BuchhaltungJaFinanzordnerLesenVollNein
ITJaAlleAdminLesenJa (personengebunden)

Woran merke ich, dass wir besser werden? (KPIs)

Wenige, aber aussagekräftige Kennzahlen genügen.

  • MFA‑Abdeckung: Anteil aller Konten mit aktivem MFA (Ziel ≥ 95 %).
  • Admin‑Konten: Anzahl + MFA‑Quote (Ziel 100 %).
  • Patch‑Quote: Geräte mit aktuellen Updates (Ziel ≥ 90 %).
  • Rechte‑Rezertifizierung: Wie viele Zugriffe wurden entzogen/korrigiert?
  • Phishing‑Meldungen: Steigende Meldungen = wachsende Aufmerksamkeit.

Mini‑Glossar

Kurze Übersetzungen der wichtigsten Begriffe.

MFA

Zweiter Faktor beim Login (z. B. App‑Bestätigung).

IAM

Verwaltung von Identitäten und Zugriffsrechten.

MDM

Steuert und prüft Geräte (Updates, Verschlüsselung).

Least Privilege

Nur minimal nötige Rechte vergeben.

FAQ – kurz & verständlich

Die häufigsten Fragen in wenigen Sätzen.

  • Ist Zero Trust teuer? Nein. MFA & Rollen kosten wenig und bringen viel.
  • Wie lange dauert die Einführung? Erste Wirkung in Wochen, vollständige Umsetzung ist ein laufender Prozess.
  • Brauche ich neue Server? Meist nicht – Cloud‑Dienste und vorhandene Tools reichen für den Start.
  • Passt das zu ISO 27001? Ja. Zero Trust unterstützt die Anforderungen an Zugriff, Betrieb und Verbesserung (z. B. A.5, A.6, A.7).

Beratung & Vorlagen

Wir begleiten KMU bei der Zero‑Trust‑Einführung – mit Vorlagen für Rollenmatrix, MFA‑Rollout‑Plan, Richtlinien & Awareness‑Sets.

Jetzt Kontakt aufnehmen →
Zero Trust ↔ ISO 27001:2022 (A.5–A.8) – Mapping-Matrix

Zero Trust ↔ ISO 27001:2022 (A.5–A.8) – Mapping‑Matrix

Diese Matrix ordnet die Zero‑Trust‑Bausteine den Annex‑A‑Controls der ISO/IEC 27001:2022 zu – ausschließlich den Abschnitten A.5 (Organisatorisch), A.6 (People), A.7 (Physisch) und A.8 (Technisch). Sie dient als Leitfaden für Richtlinien, Rollen und technische Umsetzung.

Kompaktübersicht nach Zero‑Trust‑Prinzip

Welche Controls stützen die jeweiligen Prinzipien?

🔐 Verify everyone (Identität & Authentifizierung)

  • A.5.16 Identitätsmanagement
  • A.5.17 Authentifizierungs‑information
  • A.8.5 Sichere Authentifizierung
  • A.8.2 Privilegierte Zugriffsrechte
  • A.8.1 Benutzer‑Endgeräte

🧭 Least privilege (Rechte & Einschränkung)

  • A.5.15 Zugriffskontrolle
  • A.5.18 Zugriffsrechte
  • A.8.3 Informationszugriffsbeschränkung
  • A.6.5 Pflichten nach Beendigung/Wechsel

🧱 Segment & protect (Netz/Umgebung trennen)

  • A.7.2 Physische Zutrittskontrollen
  • A.8.9 Konfigurationsmanagement
  • A.8.7 Schutz vor Schadsoftware
  • A.8.13 Informations‑Backup

👀 Monitor & respond (Annahme: „Breach“)

  • A.8.15 Protokollierung
  • A.8.16 Überwachung
  • A.5.24–A.5.28 Incident‑Management (Planung → Evidenz)
  • A.5.7 Threat Intelligence

🛡️ Tech‑Posture (Härtung & Kryptografie)

  • A.8.8 Technische Schwachstellen
  • A.8.10 Informations‑löschung
  • A.8.11 Datenmaskierung
  • A.8.12 Data Loss Prevention
  • A.8.24 Einsatz von Kryptografie
Zero‑Trust‑Prinzip A.5 Organisatorisch A.6 People A.7 Physisch A.8 Technisch
Verify everyone
Identität & Authentifizierung		 A.5.16, A.5.17, A.5.18 A.6.1 (Screening), A.6.3 (Awareness) A.8.5, A.8.2, A.8.1
Least privilege
Bedarfsgerechter Zugriff		 A.5.15, A.5.18 A.6.5 (nach Beendigung), A.6.6 (NDA) A.8.3, A.8.2
Segment & protect
Trennung von Zonen		 A.5.23 (Cloud‑Nutzung – Richtlinien) A.7.2 (Zutritt), A.7.7 (Clean Desk) A.8.9 (Konfiguration), A.8.7 (Malware), A.8.13 (Backups)
Monitor & respond
Erkennen & Reagieren		 A.5.24–A.5.28 (IR), A.5.7 (CTI) A.6.3 (Awareness/Reporting) A.7.4 (Phys. Überwachung) A.8.15 (Logging), A.8.16 (Monitoring)
Tech posture
Härtung & Schutz		 A.5.30 (ICT‑BC‑Readiness) A.7.10 (Speichermedien), A.7.14 (Entsorgung) A.8.8 (Vuln.‑Mgmt), A.8.10 (Löschung), A.8.11 (Maskierung), A.8.12 (DLP), A.8.24 (Krypto)

Hinweis: Die Matrix ist eine praxisorientierte Zuordnung zur Orientierung und ersetzt keine eigene Risikobeurteilung oder SoA‑Begründung.

Weiterführende Themen & Artikel

Vertiefende Inhalte zur Informationssicherheit und ISO 27001 finden Sie hier:

ISO 27001 Beratung → Zero Trust in der Praxis → Risikoeinschätzung & Risikobehandlung ISO 27001 →

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel