Netzwerksicherheit

Zero Trust für KMU: Warum das Buzzword Ihr Unternehmen tatsächlich schützen kann

· 12 Min. Lesezeit

73 % der Schweizer KMU, die 2025 von Ransomware betroffen waren, hatten keine Zero-Trust-Architektur implementiert. Das geht aus einer Auswertung des BACS hervor, die im Januar 2026 veröffentlicht wurde. Die restlichen 27 % konnten den Schaden im Schnitt auf ein einzelnes Netzwerksegment begrenzen. Das sind keine theoretischen Zahlen. Das ist der Unterschied zwischen «Betrieb steht drei Wochen still» und «ein Server war betroffen, der Rest lief weiter».

Trotzdem schrecken viele KMU-Verantwortliche vor Zero Trust zurück. Zu abstrakt, zu teuer, zu komplex. Ein Konzept für Grosskonzerne mit eigenen Security-Abteilungen und Millionenbudgets. Das stimmt nicht. Zero Trust ist kein Produkt, das du kaufst. Es ist eine Denkweise, die du schrittweise umsetzt. Und gerade für KMU mit 20 bis 500 Mitarbeitenden kann sie den entscheidenden Unterschied machen.

Was Zero Trust wirklich bedeutet

Der Begriff «Zero Trust» wurde 2010 von Forrester-Analyst John Kindervag geprägt. Die Kernidee ist brutal einfach: Vertraue niemandem. Nicht dem internen Netzwerk, nicht dem VPN, nicht dem Gerät, das sich gestern noch brav authentifiziert hat.

Klassische Netzwerksicherheit funktioniert wie eine Burg mit Wassergraben. Wer drinnen ist, darf sich frei bewegen. Zero Trust dreht das um: Jeder Zugriff wird geprüft. Jedes Mal. Egal, ob der Zugriff vom Büro in Zürich oder vom Homeoffice in Thun kommt.

Drei Prinzipien stehen dahinter:

  • Verify explicitly: Jede Anfrage wird anhand aller verfügbaren Datenpunkte authentifiziert und autorisiert. Benutzeridentität, Standort, Gerätezustand, angeforderte Ressource.
  • Least privilege access: Benutzer und Systeme erhalten nur die minimalen Rechte, die sie für ihre aktuelle Aufgabe brauchen. Nicht mehr.
  • Assume breach: Du gehst davon aus, dass der Angreifer bereits im Netzwerk ist. Jedes Segment wird so geschützt, als wäre der Rest kompromittiert.

Das klingt nach einer Revolution. In der Praxis ist es eine Evolution, die du in konkreten Schritten umsetzen kannst.

Warum gerade KMU von Zero Trust profitieren

Grosskonzerne haben dedizierte SOC-Teams, SIEM-Systeme und Budgets, um Angreifer nach dem Einbruch zu jagen. KMU haben das nicht. Wenn ein Angreifer ins Netzwerk eines Industriebetriebs in Aarau eindringt, gibt es selten jemanden, der das in den ersten 48 Stunden bemerkt. Die durchschnittliche Verweildauer (Dwell Time) eines Angreifers im Netzwerk eines Schweizer KMU liegt laut dem IBM X-Force Threat Intelligence Index 2025 bei 21 Tagen.

21 Tage, in denen sich der Angreifer lateral durchs Netzwerk bewegt, Credentials sammelt, Daten exfiltriert und die Ransomware vorbereitet.

Zero Trust verkürzt diese Zeitspanne nicht durch bessere Erkennung, sondern durch Begrenzung der Bewegungsfreiheit. Wenn der File-Server nur mit bestimmten Endpoints kommunizieren darf und der Domain Controller nur authentifizierte Admin-Workstations akzeptiert, bleibt der Angreifer in einem Segment stecken. Der Explosionsradius schrumpft.

Ein Beispiel aus unserer Praxis: Bei einem Penetrationstest für einen Logistiker in der Region Basel konnten wir uns mit kompromittierten VPN-Credentials innerhalb von vier Stunden vom externen Zugang bis zum ERP-System mit 40'000 Kundendatensätzen bewegen. Kein einziges internes System hat zusätzlich authentifiziert. Ein halbes Jahr nach der Einführung von Netzwerksegmentierung und Conditional Access brauchten wir beim Re-Test 14 Stunden und kamen nicht über das erste Segment hinaus.

Zero Trust Einführung: 5 Schritte für Schweizer KMU

Vergiss die Hochglanz-Slides der grossen Hersteller. Zero Trust für ein KMU mit 50 bis 300 Mitarbeitenden sieht anders aus als bei einer Grossbank. Hier ist ein realistischer Fahrplan:

Schritt 1: Identitäten absichern (Monat 1-2)

Multi-Faktor-Authentifizierung für alle Benutzer. Ohne Ausnahme. Auch für den CEO. Besonders für den CEO. Phishing-resistentes MFA mit FIDO2-Keys kostet pro Mitarbeiter rund CHF 25 für den Hardware-Token. Bei einem 100-Personen-KMU sind das CHF 2'500 Materialkosten. Das ist billiger als eine einzige Stunde Betriebsausfall bei einem Ransomware-Vorfall.

Schritt 2: Netzwerk segmentieren (Monat 2-4)

Trenne Produktionsnetzwerk, Office-IT, Gästenetz und Server-Segment voneinander. Die meisten Managed Firewalls können das bereits. Erstelle klare Regeln: Wer darf mit welchem Segment kommunizieren? Der Buchhaltungs-PC braucht keinen direkten Zugang zur Produktionssteuerung.

Schritt 3: Conditional Access einführen (Monat 3-5)

Zugriff auf Unternehmensressourcen wird an Bedingungen geknüpft: Gerät muss gemanaged sein, aktuelles Betriebssystem, Virenscanner aktiv. Microsoft 365 Business Premium (CHF 20.60/Benutzer/Monat) enthält Conditional Access und Intune. Damit lässt sich das für M365-Umgebungen ohne Zusatzkosten umsetzen.

Schritt 4: Least Privilege durchsetzen (Monat 4-6)

Überprüfe alle Admin-Konten. Wie viele Domain Admins gibt es? Bei KMU sehen wir regelmässig 8 bis 15 Domain Admins bei 100 Mitarbeitenden. Reduziere auf das Minimum. Trenne Admin-Konten von Alltagskonten. Setze Privileged Access Workstations für kritische Verwaltungsaufgaben ein.

Schritt 5: Validieren und iterieren (laufend)

Lass die umgesetzten Massnahmen durch einen Penetrationstest überprüfen. Nicht, ob die Policies auf dem Papier stimmen. Sondern ob sie einem echten Angreifer standhalten. Wiederhole das jährlich.

Zero Trust Reifegrad-Check für KMU

Wo steht dein Unternehmen? Geh die folgende Checkliste durch. Jedes «Nein» ist eine offene Flanke.

Zero Trust Reifegrad-Check

  • [ ] MFA für alle Benutzer aktiv: Nicht nur für Admins, nicht nur für VPN. Für jeden Account, der auf Unternehmensdaten zugreift.
  • [ ] Netzwerksegmentierung vorhanden: Server, Clients, OT und Gäste in getrennten VLANs mit Firewall-Regeln dazwischen.
  • [ ] Geräte-Compliance geprüft: Nur verwaltete und konforme Geräte erhalten Zugriff auf Unternehmensressourcen.
  • [ ] Admin-Konten separiert: Alltags-Account und Admin-Account sind getrennt. Kein Surfen und E-Mail-Lesen mit Admin-Rechten.
  • [ ] Least Privilege umgesetzt: Benutzer haben nur die Berechtigungen, die sie für ihre Rolle brauchen. File-Share-Berechtigungen wurden in den letzten 12 Monaten überprüft.
  • [ ] Logging und Monitoring aktiv: Du weisst, wer wann auf welche Ressourcen zugegriffen hat. Anomalien werden erkannt.
  • [ ] Regelmässige Sicherheitstests: Mindestens jährlicher Penetrationstest oder Red-Teaming-Engagement, um die Massnahmen zu validieren.

0-2 Punkte: Kritisch. 3-4 Punkte: Basisschutz vorhanden, aber Lücken. 5-6 Punkte: Gute Basis. 7 Punkte: Zero Trust weitgehend umgesetzt.

Was Zero Trust für ein KMU kostet

Die häufigste Frage. Hier eine realistische Kalkulation für ein Schweizer KMU mit 100 Mitarbeitenden und bestehender Microsoft-365-Umgebung:

CHF 2'500

FIDO2-Hardware-Tokens (CHF 25/Stück)

CHF 0

Conditional Access (in M365 Business Premium enthalten)

CHF 3'000-8'000

Netzwerksegmentierung (Firewall-Konfiguration durch IT-Partner)

CHF 8'000-15'000

Jährlicher Penetrationstest zur Validierung

Gesamtinvestition erstes Jahr: CHF 13'500 bis CHF 27'500. Zum Vergleich: Durchschnittlicher Ransomware-Schaden für ein Schweizer KMU liegt bei CHF 180'000 (BACS, 2025).

Typische Fehler bei der Zero-Trust-Einführung

In unseren Bedrohungsanalysen und Penetrationstests sehen wir regelmässig, wo die Umsetzung scheitert:

  • MFA nur für VPN: Multi-Faktor-Authentifizierung wird für den VPN-Zugang aktiviert, aber nicht für M365, nicht für das ERP, nicht für die Admin-Konsolen. Ein Angreifer, der an die M365-Credentials kommt, hat dann trotzdem freie Bahn.
  • Segmentierung ohne Regelwerk: VLANs werden erstellt, aber die Firewall-Regeln erlauben «Any-to-Any»-Traffic zwischen den Segmenten. Das ist Kosmetik, keine Sicherheit.
  • Ausnahmen für die Geschäftsleitung: «Der CEO will kein MFA.» Genau dieses Konto wird bei Spear-Phishing als erstes angegriffen. Bei einem unserer Red-Teaming-Engagements in der Zentralschweiz war es das Konto des Geschäftsführers ohne MFA, das uns den initialen Zugang ermöglichte.
  • Einmal einrichten, nie wieder prüfen: Zero Trust ist kein Zustand, sondern ein Prozess. Berechtigungen wachsen. Ausnahmen häufen sich. Ohne regelmässige Überprüfung erodiert die Architektur innerhalb von 12 bis 18 Monaten.

Zero Trust und nDSG-Compliance

Zero Trust ist kein nDSG-Compliance-Tool. Aber es erfüllt zentrale Anforderungen des neuen Datenschutzgesetzes. Art. 8 nDSG verlangt «geeignete technische und organisatorische Massnahmen» zum Schutz von Personendaten. Netzwerksegmentierung, Least Privilege und Conditional Access sind genau solche Massnahmen.

Art. 7 nDSG schreibt Privacy by Design vor. Eine Zero-Trust-Architektur setzt das auf Infrastrukturebene um: Zugriff auf personenbezogene Daten wird nicht pauschal gewährt, sondern bei jeder Anfrage geprüft.

Für KMU, die sich fragen, wie sie nDSG-Compliance technisch umsetzen sollen, ist Zero Trust ein pragmatischer Rahmen, der über blosses Checkbox-Denken hinausgeht.

Häufig gestellte Fragen

Braucht ein KMU mit 30 Mitarbeitenden Zero Trust?

Ja. Die Unternehmensgrösse bestimmt nicht das Risiko, sondern den Umfang der Umsetzung. Ein KMU mit 30 Mitarbeitenden setzt die Kernprinzipien (MFA, Segmentierung, Least Privilege) innerhalb von 2 bis 3 Monaten um. Die Kosten liegen unter CHF 10'000. Der Schutzeffekt ist überproportional, weil KMU ohne eigenes Security-Team besonders von präventiven Massnahmen profitieren.

Kann ich Zero Trust mit Microsoft 365 umsetzen?

Teilweise. Microsoft 365 Business Premium enthält Conditional Access, Intune (Gerätemanagement) und Azure AD Identity Protection. Damit deckst du Identitäts- und Gerätesicherheit ab. Für Netzwerksegmentierung brauchst du zusätzlich eine entsprechende Firewall-Konfiguration. Für die Validierung brauchst du einen externen Penetrationstest.

Wie lange dauert die Zero-Trust-Einführung?

Für ein typisches Schweizer KMU mit 50 bis 200 Mitarbeitenden: 4 bis 6 Monate für die Kernmassnahmen (MFA, Segmentierung, Conditional Access, Least Privilege). Die volle Reife mit Monitoring, automatisierter Anomalieerkennung und regelmässigen Tests wird über 12 bis 18 Monate aufgebaut.

Ersetzt Zero Trust einen Penetrationstest?

Nein. Zero Trust ist die Architektur. Der Penetrationstest prüft, ob die Architektur hält. Bei 100 % unserer Penetrationstests gegen «Zero-Trust-Umgebungen» finden wir Konfigurationsfehler, vergessene Legacy-Systeme oder übermässige Berechtigungen. Die Frage ist nicht, ob Fehler existieren, sondern ob du sie findest, bevor ein Angreifer sie ausnutzt.

Was bringt Zero Trust gegen Ransomware?

Ransomware braucht laterale Bewegung. Der Angreifer kompromittiert einen Endpoint, bewegt sich zum Domain Controller, übernimmt Admin-Rechte und verschlüsselt flächig. Zero Trust unterbricht diese Kette an mehreren Punkten: Segmentierung verhindert laterale Bewegung, Least Privilege begrenzt Admin-Zugriffe, MFA verhindert Credential Reuse. Das Ergebnis: Statt Totalausfall bleibt der Schaden auf ein Segment begrenzt.

Nächster Schritt

Du weisst nicht, wo dein Unternehmen steht? Starte mit einer kostenlosen Bedrohungsanalyse. Wir prüfen in 30 Minuten, welche der sieben Reifegrad-Punkte bei dir bereits erfüllt sind und wo die grössten Lücken liegen. Danach hast du einen konkreten Fahrplan, keine PowerPoint-Slides. Termin vereinbaren.

Weiterführende Artikel

Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.

30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.

Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst

30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten

Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template

Kostenlose Analyse buchen

Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.

100% Kostenlos
Sicher & Vertraulich