Bevor wir konkrete Erfolgsfaktoren von Zero-Trust-Strategien betrachten, lohnt sich ein Blick auf die Praxis: Wie weit ist Zero Trust heute? Die Antworten fallen je nach Bereich unterschiedlich aus: In der IT ist das Modell etabliert, in der OT hingegen eher hybrid umsetzbar. Ein systematischer Vergleich zeigt, wo Unternehmen heute ansetzen sollten.

Zero Trust im Wandel: Warum Cloud-Anbieter von VPN auf Zero Trust umstellen

Die grossen Cloud-Anbieter (Hyperscaler) setzen auf Zero Trust, um die klassische VPN-Paradigmen abzulösen. Jeder Zugriff, ob intern oder extern, muss authentifiziert und autorisiert werden, unabhängig vom Standort. Etabliert haben sich:

• Identitätsbasierter Zugriff statt IP-Adressen: Jeder Zugriff wird nur nach Identität, Gerätestatus und Kontext (z. B. Standort, Verhalten) gewährt. Das führte zu 90 % weniger erfolgreichen Phishing-Angriffen,da gestohlene Credentials ohne Geräte-Compliance nicht mehr verwendbar sind.
• Mikrosegmentierung: Netzwerke werden in kleine, isolierte Zonen unterteilt. Laterale Bewegungen von Angreifern wurden um 80 % reduziert.
• Continuous Authentication: Nutzer werden nicht nur beim Login, sondern kontinuierlich anhand von Kontextsignalen (z. B. Geräte-Status, Standort, Anomalien im Verhalten) überprüft.

Eine kritische Reflexion:

• 5+ Jahre Umsetzungsdauer zeigen: Zero Trust ist kein Sprint, sondern eine kulturelle Transformation.
• Kosten versus Nutzen: Die anfänglichen Investitionen sind hoch. Dennoch rechtfertigt die langfristige Reduzierung von Sicherheitsvorfällen die Ausgaben.

Praxistipp: Klein starten, gross denken: Multi-Faktor-Authentifizierung (MFA) und Mikrosegmentierung haben noch immer Ausbaupotenzial.

Cloud-First mit Zero Trust: Wie Identitäten und KI Zugriffe steuern

Einige Cloud-Anbieter setzen auf eine vollständige Zero-Trust-Architektur, um die Cloud-Dienste und internen Systeme zu schützen.

• «Never Trust, Always Verify» für alle Dienste: Selbst interne Teams nutzen Zero Trust Network Access (ZTNA) für den Zugriff auf Ressourcen.
• KI-gestützte Systeme und Heuristiken erkennen ungewöhnliche Zugriffsmuster wie «Impossible Travel» oder untypische Login-Zeiten.
• Conditional Access Policies: Der Zugriff wird dynamisch gewährt oder blockiert, basierend auf Risiko-Scores (z. B. verdächtige Login-Versuche).
• Integration in moderne Betriebssysteme: Standardmässige Sicherheitsfunktionen (z. B. Credential Guard, Verhaltensbiometrie) erzwingen Zero-Trust-Prinzipien.

Eine kritische Reflexion:

• Cloud-first macht Zero Trust einfacher: Integrierte Zero-Trust-Funktionen in Cloud-Plattformen (z. B. Identitätsmanagement, Conditional Access) senken die Einstiegshürden. Legacy-Systeme sind komplizierter in der Integration.
• Akzeptanzprobleme: Mitarbeitende empfinden die Re-Authentifizierungsanfragen zunächst als störend, bis die Vorteile überzeugen (z. B. keine VPNs mehr).

Praxistipp: Viele Cloud-Dienste bieten Zero-Trust-Funktionen standardmässig an. Für einen raschen Sicherheitsgewinn sollten diese gezielt aktiviert, korrekt konfiguriert und konsequent eingesetzt werden.

Zero Trust für KMU: ZTNA, SASE und SIEM aus der Cloud

Zero Trust ist auch für KMUs ohne eigene Infrastruktur realisierbar:

• ZTNA ergänzt oder ersetzt zunehmend klassische VPNs, insbesondere für Cloud- und SaaS-Anwendungen.
• Security Information and Event Management (SIEM), User and Entity Behaviour Analytics (UEBA) überwachen Echtzeit-Verhalten.
• Secure Access Service Edge (SASE) kombiniert Netzwerksicherheit (z. B. ZTNA, Firewall-as-a-Service, CASB) in einer Cloud-Plattform für einen ganzheitlichen Schutz ohne eigene Hardware oder komplexe Infrastruktur.

Eine kritische Reflexion:

• «Zero-Trust-as-a-Service» senkt die Einstiegshürden, doch die Datenhoheit und Compliance müssen geklärt sein.
• Messbarkeit ist entscheidend: Der Anbieter nutzt die durchschnittliche Zeit bis ein Sicherheitsvorfall entdeckt wird, Phishing-Rate und Compliance-Status als Key Performance Indicators (KPIs).

Praxistipp: Definieren von klaren KPIs: Ohne messbare Ziele (z. B. Reduktion der Phishing-Rate um 50 %) ist unklar, ob die Massnahmen wirken.

Ein Zero Trust Readiness Assessment von InfoGuard gibt Aufschluss über den aktuellen Reifegrad Ihrer Sicherheitsarchitektur und definiert die nächsten Schritte für eine wirksame Zero-Trust-Umsetzung.

Sie erhalten eine priorisierte Massnahmenliste, die Ihre Umgebung fit macht für heutige und zukünftige Anforderungen an Sicherheit und Kollaboration. Interessiert? Fordern Sie jetzt eine unverbindliche Einschätzung an.

Zero Trust in der OT: Zertifikate, Segmentierung und Überwachung

Grössere Industriekonzerne setzen auf Zero Trust für Operational Technology (OT), um Produktionsanlagen und kritische Infrastrukturen zu schützen.

• Gerätebasierte Authentifizierung: Jedes OT-Gerät (PLC, SCADA) erhält ein digitales Zertifikat. Wo native Zertifikatsunterstützung fehlt, kommen Gateways mit integriertem Zertifikatsmanagement zum Einsatz. Zugriff erfolgt ausschliesslich aufgrund der Gerätestatus-Prüfung.
• Mikrosegmentierung in OT: Netzwerke werden in logische Zonen unterteilt (z. B. Produktion, Wartung, Fernzugriff).
• Passive Überwachung: SIEM und OT-spezifische Anomalie-Erkennung sowie Überwachung ungewöhnlicher Kommandos an Steuerungssysteme.

Eine kritische Reflexion:

• Legacy-Systeme bilden das grösste Hindernis: Viele OT-Geräte unterstützen keine moderne Authentifizierung – hier helfen Gateways (z. B. Industrie-Router mit Zertifikatsmanagement).
• Echtzeit-Anforderungen erfordern passive statt aktive Blockaden.

Praxistipp: OT braucht angepasste Zero-Trust-Modelle: Hybride Ansätze nutzen (z. B. Air Gaps für kritische Systeme + ZTNA für Fernzugriffe).

KMUs können ihre IT-Sicherheit spürbar stärken, indem sie moderne Lösungen wie Identitätsmanagement (z. B. mit Azure AD), zentrale Gerätesteuerung (z. B. Intune) oder sichere Fernzugriffe einführen. Diese Massnahmen helfen, Zero-Trust-Prinzipien schrittweise umzusetzen. Sie gewinnen so mehr Transparenz und reduzieren den Administrationsaufwand.

Zero Trust im KMU gelingt mit MFA, Segmentierung und SOC

KMU setzen auf Zero-Trust-Strategien, um sich wirksam vor Phishing und Ransomware zu schützen.

• MFA für alle Konten (auch OT-Admins).
• Mikrosegmentierung: Produktionsnetzwerke wurden in isolierte Zonen unterteilt.
• SOC und SIEM sind kein Luxus, sondern Notwendigkeit: Ohne Echtzeit-Überwachung ist Zero Trust auf einem Auge blind.
• Schulungen: Mitarbeitende lernen Phishing-E-Mails zu erkennen.

Eine kritische Reflexion:

• Zero Trust ist auch für den KMU realisierbar, wenn die Umsetzung schrittweise erfolgt.
• MFA mit Mikrosegmentierung kombiniert sind die wirksamsten Massnahmen gegen Ransomware.
• Managed SOC (Security Operations Center) mit durchgängiger 24/7 Eyes-on-Glass-Überwachung, ohne eigene Personalkosten für eine rasche Intervention.

Praxistipp: Kombinieren Sie Technik und Schulung: Die wirksamste Massnahme gegen Ransomware ist MFA + Mikrosegmentierung + Awareness-Trainings.

Zero Trust erfordert schrittweisen Kulturwandel und klare Prioritäten

Zero Trust ist kein Projekt mit Enddatum. Zero Trust ist eine dauerhafte Strategie, die sich mit jeder neuen Technologie und Bedrohung weiterentwickelt. Erfolgreiche Unternehmen setzen auf eine schrittweise Einführung statt auf einen Big Bang. Durch den Einsatz von KI und Automatisierung lässt sich das Modell skalieren, während messbare Kennzahlen wie die «Mean-Time-to-Detect, MTTD» oder die Phishing-Rate den tatsächlichen Return on Investment belegen.

In der OT-Welt hält Zero Trust zwar langsamer, aber doch zunehmend Einzug, meist in hybrider Form. Angepasste Modelle mit passiver Überwachung und Geräte-Zertifikaten sind nötig, um sensible Produktionsumgebungen zu schützen. Legacy-Systeme bleiben eine Herausforderung, doch Gateways und Proxy-Lösungen schaffen Übergänge. Steigender regulatorischer Druck, etwa durch NIS2 oder IEC 62443 wird die Einführung beschleunigen.

Die grösste Gefahr bleibt eine halbherzige Umsetzung. Denn Zero Trust ist kein Produkt, sondern ein kultureller Wandel, welcher Technik, Prozesse und Menschen umfasst.

«Technologie ist selten das Problem, fehlende Planung und Unternehmenskultur sind die wahren Stolpersteine auf dem Weg zu Zero Trust.»

Vier Schritte für wirksames Zero Trust in IT und OT

Zero Trust gelingt, wenn Prioritäten klar sind, der Reifegrad überprüfbar ist und IT und OT sinnvoll zusammengeführt werden.

Gerade weil Zero Trust weit über Technologie hinausgeht, braucht es eine Strategie, die technische Realität, organisatorische Reife und regulatorische Anforderungen zusammenbringt. Wer IT und OT ganzheitlich betrachtet und Fortschritte messbar macht, reduziert Risiken spürbar und schafft eine belastbare Sicherheitsbasis.

Vier Handlungsempfehlungen, die jetzt im Fokus stehen sollten:

1. Angriffsflächen reduzieren: Identitäten stärken, Mikrosegmentierung durchsetzen und Fernzugriffe absichern.
2. Transparenz gewinnen: IT- und OT-Umgebungen kontinuierlich überwachen und Anomalien früh erkennen.
3. Reife messen: MTTD, Phishing-Rate und Compliance-Status als Grundlage für wirksame Entscheidungen nutzen.
4. Hybride Modelle nutzen: Zero Trust dort automatisieren, wo möglich und OT-spezifisch anpassen, wo nötig.

Eine skalierbare Zero-Trust-Architektur mit InfoGuard

Entscheidend ist zu verstehen, wo Ihre Organisation heute steht und wie Sie den nächsten Reifegrad gezielt erreichen. Genau hier setzt unser Zero Trust Readiness Assessment an. Es zeigt auf, wie Ihre Sicherheitsarchitektur aktuell aufgestellt ist, welche Lücken bestehen und wie sich priorisierte Massnahmen wirkungsvoll planen und umsetzen lassen.

Bei der konkreten Einführung begleiten Sie die Expert*innen von InfoGuard. Mit über 350 Fachpersonen unterstützen wir Sie dabei, Zero Trust wirksam zu verankern, skalierbar, zukunftssicher und passgenau für Ihre individuellen Anforderungen.

Zero Trust ist wie ein Airbag, man merkt erst, wie wichtig ein Airbag ist, wenn man ihn braucht. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch.