Kurz vorweg: 70% der erfolgreichen Angriffe auf Schweizer KMU starten mit gestohlenen Zugangsdaten – und nicht mit einem Hack der Firewall. Zero Trust adressiert genau dieses Risiko: Identität wird zum neuen Perimeter. Die gute Nachricht: Wer Microsoft 365 Business Premium oder Google Workspace Business Plus einsetzt, hat die wichtigsten Bausteine bereits lizenziert – sie müssen nur richtig konfiguriert werden.
Die fünf Zero-Trust-Prinzipien praxisnah übersetzt
NIST definiert sieben Prinzipien für Zero Trust. Für Schweizer KMU lassen sich diese auf fünf umsetzbare Leitplanken verdichten:
Identität verifizieren – immer, überall
Jeder Zugriff (auf E-Mail, Dateien, Apps, VPN, Admin-Konsole) prüft Identität explizit. MFA ist Pflicht, Single Sign-On bündelt alle Apps in einer Identität, Privileged Identity Management (PIM) hebt Admin-Rechte nur on-demand an.
Gerätestatus prüfen, bevor Zugriff gewährt wird
Nur konforme Geräte (verschlüsselt, gepatcht, EDR aktiv) erhalten Zugriff auf Geschäftsdaten. BYOD-Geräte werden in einen App-Container isoliert (App Protection Policies). Verlorene Geräte lassen sich aus der Ferne sperren.
Least Privilege & Just-in-Time-Access
Niemand bekommt mehr Rechte, als er für die aktuelle Aufgabe braucht. Admin-Konten sind dedizierte Accounts, keine Tagesarbeitskonten. Externe Mitarbeiter und Lieferanten bekommen zeitlich befristeten Zugriff auf einzelne Apps.
Mikrosegmentierung statt flachen Netzes
Ein einziger kompromittierter Client soll nicht das ganze Netz fressen. ZTNA (Zero Trust Network Access) ersetzt klassische VPN und gibt Zugriff app-genau – nicht auf das ganze Netz. SaaS-Apps werden via Conditional Access geschützt, nicht via Netzregeln.
Annahme: Wir wurden bereits gehackt
Der „Assume Breach"-Mindset bedeutet: Logging, EDR und Detection laufen permanent, nicht nur am Perimeter. Vorfälle werden in einer Konsole zentralisiert, automatische Reaktion (Konto sperren, Gerät isolieren) ist Pflicht – Manuelles greift zu spät.
Tooling: Was Schweizer KMU 2026 brauchen
| Säule | M365-Welt | Google-Welt |
|---|---|---|
| Identität & MFA | Microsoft Entra ID + Authenticator | Google Identity + Security Keys |
| Conditional Access | Entra ID P1 (in Business Premium) | Context-Aware Access (Workspace Business Plus) |
| Geräteverwaltung | Intune | Google Endpoint Management |
| EDR / Endpoint | Defender for Business | CrowdStrike, SentinelOne, Sophos |
| ZTNA / Remote Access | Entra Private Access oder Cloudflare Access | Beyondcorp Enterprise oder Cloudflare Access |
| Logging / SIEM | Microsoft Sentinel (selektiv) | Chronicle / Drittanbieter |
Wichtig: Für ein KMU mit unter 50 Mitarbeitenden braucht es kein dediziertes SIEM oder ZTNA-Produkt am Anfang. Die Basis (Identität, Geräte, EDR, Conditional Access) ist 80% des Schutzwerts – die letzten 20% kommen mit der nächsten Reifestufe.
90-Tage-Roadmap für Schweizer KMU
- Tag 1–14: MFA für alle Konten erzwingen, App-Passwörter und Legacy-Auth deaktivieren, Notfall-Admin-Konten ohne MFA dokumentieren und schützen.
- Tag 15–30: Conditional-Access-Baselines aktivieren (Block Legacy-Auth, Geo-Restriction Schweiz/EU, MFA für jede Verwaltungsaktion).
- Tag 31–45: Intune/Endpoint Management ausrollen, Geräte-Compliance erzwingen (Verschlüsselung, OS-Stand, EDR aktiv) – nicht-konforme Geräte erhalten keinen M365-Zugriff mehr.
- Tag 46–60: Privileged Identity Management aktivieren, Domain- und Tenant-Admins auf Just-in-Time mit Genehmigung umstellen, dedizierte Admin-Konten einführen.
- Tag 61–75: VPN abschalten oder durch ZTNA ersetzen (Entra Private Access oder Cloudflare Access), App-spezifische Veröffentlichung statt Netzwerkfreigabe.
- Tag 76–90: Audit & Härtung – Conditional-Access-Lücken schliessen, Service-Accounts auf Managed Identities migrieren, Notfallübung mit IT-Leitung und Geschäftsleitung.
Typische Stolpersteine
- Service- und Funktionspostfächer ohne MFA – häufiger Einstieg für Angreifer. Lösung: Kennwortlose Konten oder zertifikatsbasiertes Anmelden.
- Externe Berater mit Vollzugriff statt zeitlich befristeten Gastkonten – revDSG-Risiko und Zero-Trust-Verstoss.
- BYOD-Geräte ohne Compliance-Prüfung – privater Mac mit veraltetem macOS bekommt Zugriff auf Bexio. Über App Protection Policies isolieren.
- „Block-everything"-Regeln am Anfang – führen zu Bewerbern, die scheitern, oder Kunden-Workshops, die nicht funktionieren. Lieber stufenweise einführen, im Audit-Modus messen, dann erzwingen.
- Vergessene Token (z.B. App-Passwörter, alte OAuth-Genehmigungen) – jährlicher Token-Audit, sonst sind sie das Hintertürchen.
Fazit: Zero Trust ist nicht Hype, sondern Hausaufgabe
Zero Trust ist 2026 kein Buzzword mehr, sondern stille Voraussetzung – bei Cyber-Versicherungen, bei Audits grosser Auftraggeber und mit der NIS2-Lieferkettenwirkung auch bei vielen Schweizer KMU, die in EU-Lieferketten operieren. Die gute Nachricht: Sie müssen kein neues Produkt kaufen. Die Bausteine stecken in Microsoft 365 Business Premium oder Google Workspace Business Plus.
Die Frage ist nicht, ob Sie Zero Trust einführen, sondern wann – und wie strukturiert. 90 Tage für die Basis, 12–24 Monate für die volle Reife. Wer jetzt anfängt, schliesst die häufigsten Einfallstore und reduziert das Schadenspotenzial messbar.
Zero-Trust-Roadmap erstellen lassen
Wir prüfen Ihren Ist-Zustand, definieren die 90-Tage-Basis und begleiten die Umsetzung – ohne Grossprojekt-Overhead.
Beratung anfragen