tprime
IT-Sicherheit

Zero Trust für KMU: Sicherheit ohne VPN-Frust

Zero Trust für KMU pragmatisch starten: mit MFA, Conditional Access und Intune statt klassischem VPN. So sicherst du hybrides Arbeiten ab.

Elias Peters 8 Min. Lesezeit
Sicheres Arbeiten an mehreren Monitoren mit Zero-Trust-Zugriff

Dein Vertriebsmitarbeiter loggt sich aus dem Hotel-WLAN in Wien ins Firmennetz ein, deine Buchhaltung arbeitet halbtags im Homeoffice, und dein Geschäftsführer öffnet Teams am privaten iPad. Drei Zugriffe, drei Geräte, drei Netzwerke. Die entscheidende Frage: Woher weiß deine IT, dass hinter jedem Login wirklich die richtige Person sitzt?

Genau hier setzt Zero Trust an. Das Prinzip klingt zunächst hart, ist aber simpel: never trust, always verify. Vertraue keinem Zugriff blind, sondern prüfe jeden einzeln. Kein Gerät, kein Nutzer und kein Netzwerk bekommt automatisch einen Freifahrtschein, nur weil es schon mal drin war.

Was Zero Trust wirklich bedeutet

Übersetzt heißt “never trust, always verify”: Jeder Zugriff auf Firmendaten wird bei jedem Versuch neu bewertet. Wer bist du? Von welchem Gerät kommst du? Ist dieses Gerät auf dem aktuellen Patch-Stand? Von wo aus greifst du zu? Erst wenn diese Fragen passend beantwortet sind, geht die Tür auf. Und auch dann nur so weit, wie es die jeweilige Person für ihre Arbeit braucht.

Das ist ein anderes Denkmodell als das, mit dem viele Firmen jahrelang gefahren sind. Früher galt: Wer im Firmennetz ist, ist vertrauenswürdig. Innen gut, außen böse. Diese klare Linie zwischen “drinnen” und “draußen” nennt man Perimeter-Modell. Es funktioniert wie eine Burg mit Mauer und Burggraben.

Warum die Burgmauer 2026 nicht mehr hält

Das Problem mit der Burg: Es gibt kaum noch ein “draußen”, das man durch eine Mauer fernhalten könnte.

Deine Mitarbeiter arbeiten hybrid, mal im Büro, mal zu Hause, mal beim Kunden. Deine Daten liegen längst in Microsoft 365, in der Cloud, auf Servern, die nicht in deinem Keller stehen. Smartphones, Laptops und Tablets verlassen täglich das Gebäude. Die Mauer hat so viele Tore, dass sie keine Mauer mehr ist.

Das klassische VPN sollte dieses Loch stopfen. Ein Tunnel ins Firmennetz, von überall. In der Praxis bringt das drei handfeste Probleme:

  • Frust bei den Nutzern. VPN ist langsam, bricht ab, will neu verbunden werden. Mitarbeiter, die schnell arbeiten wollen, suchen Umwege. Genau diese Umwege schaffen Schatten-IT.
  • Falsches Vertrauen. Wer einmal im VPN-Tunnel ist, gilt als vertrauenswürdig und kann sich oft frei im Netz bewegen. Ein gekapertes Notebook bekommt damit Zutritt zum ganzen Haus.
  • Alles oder nichts. VPN trennt nicht fein zwischen einzelnen Anwendungen. Es schaltet das Netz frei, nicht den konkreten Zugriff auf eine konkrete App.

Ein gestohlenes Passwort reicht im Perimeter-Modell oft schon aus, um an alles zu kommen. Bei Zero Trust nicht. Das Passwort ist nur der erste von mehreren Prüfpunkten.

Ein typisches Schadensbild aus der Praxis: Ein Mitarbeiter klickt auf eine täuschend echte Phishing-Mail und gibt seine Zugangsdaten ein. Im alten Modell hat der Angreifer damit oft sofort Zugriff auf Postfach, Dateiablage und mehr. Mit MFA und Conditional Access scheitert derselbe Versuch schon am zweiten Faktor, weil der Angreifer das Handy des Mitarbeiters nicht in der Hand hält. Das gestohlene Passwort verliert seinen Wert.

Der gute Teil: Du hast die Bausteine wahrscheinlich schon

Viele KMU glauben, Zero Trust sei ein teures Großprojekt für Konzerne. Das stimmt nicht. Wenn du Microsoft 365 Business Premium nutzt, hast du die wichtigsten Bausteine bereits in deiner Lizenz. Du musst sie nur aktivieren und sinnvoll konfigurieren.

Diese fünf Bausteine tragen den Großteil der Last:

Multi-Faktor-Authentifizierung (MFA). Neben dem Passwort braucht es einen zweiten Faktor, meist eine Bestätigung in der Authenticator-App auf dem Handy. Ein geklautes Passwort allein nützt dem Angreifer dann nichts. MFA ist die mit Abstand wirksamste Einzelmaßnahme und der Pflicht-Startpunkt.

Conditional Access. Das ist das Gehirn von Zero Trust in M365. Hier legst du Regeln fest, unter welchen Bedingungen ein Zugriff erlaubt wird. Beispiel: Login aus Deutschland von einem verwalteten Gerät ohne Rückfrage, Login aus dem Ausland nur mit zusätzlicher Bestätigung, Login von einem unbekannten Gerät gar nicht.

Geräte-Compliance mit Intune. Microsoft Intune prüft, ob ein Gerät die Hausregeln erfüllt: aktuelle Updates, aktive Festplattenverschlüsselung, eingeschaltete Bildschirmsperre. Nur Geräte, die diese Regeln erfüllen, dürfen auf Firmendaten zugreifen. Erfüllt ein Gerät sie nicht, fliegt es raus, bis es nachgebessert ist.

Least Privilege. Jeder Nutzer bekommt nur die Rechte, die er für seine Arbeit braucht. Die Buchhaltung sieht keine Personalakten, der Praktikant kein Admin-Konto. Das begrenzt den Schaden, falls doch mal ein Konto übernommen wird.

Identitätsschutz. M365 erkennt verdächtige Anmeldungen automatisch, etwa ein Login aus München und zehn Minuten später einer aus Manila. Bei solchen Mustern kann das System den Zugriff sperren oder eine erneute Verifizierung verlangen.

Wichtig zu verstehen: Diese fünf Bausteine wirken zusammen, nicht jeder für sich. MFA prüft die Identität, Conditional Access entscheidet anhand des Kontexts, Intune liefert den Gerätestatus, Least Privilege begrenzt den möglichen Schaden, und der Identitätsschutz hält im Hintergrund Ausschau nach Auffälligkeiten. Jedes Element für sich ist nützlich. Erst im Zusammenspiel entsteht echtes Zero Trust.

Prinzip trifft Maßnahme: die Übersicht

Damit klar wird, was hinter den Schlagworten steckt, hier die Zuordnung von Zero-Trust-Prinzip zu konkreter Umsetzung in Microsoft 365.

Zero-Trust-PrinzipKonkrete Maßnahme in Microsoft 365
Identität immer verifizierenMFA für alle Nutzer erzwingen, Authenticator-App statt SMS
Kontextabhängig entscheidenConditional-Access-Richtlinien nach Standort, Gerät und Risiko
Nur konforme Geräte zulassenIntune-Compliance-Richtlinien (Updates, Verschlüsselung, PIN)
Minimale Rechte vergebenRollenbasierte Zugriffe, Admin-Rechte nur bei Bedarf
Anomalien erkennenIdentity Protection mit risikobasierten Anmelderichtlinien
Geräte verwalten statt VPNApp-Zugriff über Conditional Access statt offenem Netztunnel

Du siehst: Jedes Prinzip hat einen klaren technischen Hebel. Kein Hexenwerk, sondern Konfigurationsarbeit mit Plan.

Schrittweise einführen, nicht über Nacht

Der größte Fehler bei Zero Trust ist der große Knall. Wer am Montagmorgen alle Regeln gleichzeitig scharf schaltet, riskiert, dass das halbe Team nicht mehr arbeiten kann. Dann landet die ganze Initiative im Papierkorb. Geh deshalb in Etappen vor.

Phase 1: Identität absichern

Aktiviere MFA für alle Nutzer. Fang bei den Administratoren und der Geschäftsführung an, das sind die wertvollsten Ziele. Kommuniziere früh und erkläre, warum es das braucht. Plane ein paar Tage für Rückfragen ein. Das ist die Phase mit dem größten Sicherheitsgewinn pro Aufwand.

Phase 2: Sichtbarkeit schaffen

Bevor du sperrst, schau dir an, was eigentlich passiert. Conditional-Access-Richtlinien lassen sich im Report-only-Modus betreiben. Sie greifen noch nicht ein, protokollieren aber, was sie blockieren würden. So siehst du vorab, welche Regel welchen Mitarbeiter treffen würde, und vermeidest böse Überraschungen.

Phase 3: Geräte einbinden

Rolle Intune aus und definiere Compliance-Regeln. Erst beobachten, dann durchsetzen. Mitarbeiter bringen ihre Geräte auf den geforderten Stand, bevor die Regel verbindlich wird. Firmengeräte zuerst, private Geräte (Stichwort BYOD) danach mit angepassten Regeln.

Phase 4: Durchsetzen und verfeinern

Jetzt schaltest du die getesteten Richtlinien scharf. Du beginnst, Least Privilege konsequent umzusetzen, und aktivierst den risikobasierten Identitätsschutz. Ab hier ist Zero Trust kein Projekt mehr, sondern Routine: Regeln überprüfen, anpassen, an neue Mitarbeiter und Geräte denken.

Dieser Weg passt gut zu einem soliden Sicherheitsfundament. Wenn dein Endpoint-Schutz bereits sitzt, greifen Zero Trust und Gerätesicherheit ineinander. Und für regulierte Branchen zahlt das Ganze direkt auf die Anforderungen der NIS2-Richtlinie ein, die nachweisbare Zugriffskontrolle und Identitätsmanagement verlangt.

Was Zero Trust für deinen Alltag ändert

Richtig umgesetzt merken deine Mitarbeiter von Zero Trust im Idealfall wenig. Vom Firmen-Laptop im Büro läuft der Login fast wie gewohnt, weil das Gerät bekannt und konform ist. Spürbar wird das System erst, wenn etwas nicht stimmt: ein fremdes Gerät, ein ungewöhnlicher Standort, ein veraltetes System. Genau dann fragt es nach oder blockiert.

Das ist der Unterschied zum VPN. Statt einen Tunnel auf- und zuzumachen, prüft Zero Trust laufend im Hintergrund und entscheidet pro Zugriff. Weniger Reibung im Alltag, mehr Kontrolle im Ernstfall. Der lästige VPN-Verbindungsaufbau fällt für viele Cloud-Anwendungen schlicht weg.

Ein realistischer Hinweis zum Aufwand: Die Technik ist in M365 enthalten, die saubere Einrichtung kostet trotzdem Zeit und Know-how. Conditional-Access-Regeln, die zu locker sind, schützen nicht. Regeln, die zu streng sind, blockieren die Arbeit. Diese Balance zu finden, ist die eigentliche Arbeit, und genau hier lohnt sich Erfahrung.

Wo du anfangen solltest

Du brauchst kein neues Sicherheitsprodukt, um mit Zero Trust zu starten. Du brauchst einen Plan, der zu deiner Lizenz, deinen Geräten und deinem Team passt. Der erste konkrete Schritt ist fast immer derselbe: MFA flächendeckend aktivieren und im nächsten Schritt die ersten Conditional-Access-Regeln im Report-only-Modus beobachten.

Wir helfen KMU dabei, Zero Trust ohne VPN-Frust und ohne Big-Bang-Risiko einzuführen, von der ersten MFA-Richtlinie bis zur ausgerollten Geräte-Compliance. Mehr dazu, wie wir Unternehmen absichern, findest du auf unserer Seite zur IT-Sicherheit.

Lass uns gemeinsam prüfen, wie weit dein Microsoft-365-Setup schon Zero-Trust-fähig ist. Sicherheits-Check anfragen →

Zero Trust IT-Sicherheit KMU Conditional Access MFA

IT-Fragen? Wir haben Antworten.

In einem kostenlosen Erstgespräch besprechen wir, wie wir dein Unternehmen mit der richtigen IT weiterbringen.

Kein Verkaufsgespräch, nur ein ehrlicher Austausch über deine IT.