Zero Trust für Unternehmen — Implementierungsleitfaden

Seit dem 1. November 2025 gilt in Tschechien das Gesetz Nr. 264/2025 Slg. über Cybersicherheit — die tschechische Umsetzung der europäischen NIS2-Richtlinie. Tausende Unternehmen, die zuvor nicht reguliert waren, müssen sich plötzlich mit systematischem Cybersicherheits-Risikomanagement befassen. Zero Trust Architecture (ZTA) ist kein Buzzword — es ist ein architektonischer Ansatz, der direkt die Anforderungen der neuen Gesetzgebung adressiert. Dieser Artikel handelt nicht von Theorie. Er handelt von konkreten Schritten, Tools und Realitäten, die Sie kennen müssen.

5 Säulen der Zero Trust Architecture¶

1. Identität als neuer Perimeter — Zentraler Identity Provider, MFA auf allem, Conditional Access Policies
2. Gerät — Device Trust — Device Health Attestation mit Microsoft Intune, Jamf oder CrowdStrike Falcon
3. Netzwerk — Mikrosegmentierung — Trennung kritischer Systeme, NSG/Security Groups, VLAN-Segmentierung
4. Anwendung — ZTNA statt VPN — Cloudflare Access, Zscaler Private Access, Tailscale
5. Daten — Klassifizierung und Schutz — Microsoft Purview, DLP-Richtlinien

5-Phasen-Implementierungsplan¶

Phase 1: Assessment und Inventur (Monate 1–2)¶

Asset Discovery, Identitäts-Audit, Data-Flow-Mapping, Gap-Analyse vs. Gesetz 264/2025.

Phase 2: Identität und MFA (Monate 2–4)¶

IdP-Konsolidierung, MFA überall, Conditional Access, SSO.

Phase 3: Netzwerksegmentierung und ZTNA (Monate 4–8)¶

Cloud-Workloads mit expliziter Allow-List, VPN durch ZTNA ersetzen, On-Premises-Segmentierung, DNS-Filtering.

Phase 4: Monitoring und Erkennung (Monate 6–12)¶

SIEM (Microsoft Sentinel, Wazuh), EDR auf Endpunkten, zentralisierte Log-Aggregation, SOC.

Phase 5: Kontinuierliche Verbesserung (Monat 12+)¶

Regelmäßige Penetrationstests, Red Team/Purple Team Übungen, Zugriffsrechte-Reviews, Threat Intelligence.

Tools für den tschechischen/mitteleuropäischen Markt¶

Bereich	Enterprise (500+)	Mittelstand (50–500)
Identity	Azure Entra ID P2, Okta	Azure Entra ID P1, Keycloak
MFA	FIDO2 (YubiKey)	Microsoft Authenticator
ZTNA	Zscaler ZPA, Cloudflare Access	Tailscale, Cloudflare Tunnel
Segmentierung	Illumio, VMware NSX	NSG/Security Groups, pfSense
EDR	CrowdStrike Falcon	MS Defender for Business, Wazuh
SIEM	Microsoft Sentinel, Splunk	Wazuh, Elastic SIEM

5 Dinge, die Sie morgen tun können¶

1. MFA auf allen Admin-Konten aktivieren — Azure AD, M365, AWS Root, GitHub. Heute. Jetzt. Dauert 15 Minuten.
2. Privilegierte Konten auditieren — Wer hat Domain Admin? Global Admin? Bei allen entfernen, die es nicht täglich brauchen.
3. Security Defaults in Azure AD aktivieren — Kostenlos, erzwingt MFA + blockiert Legacy-Authentifizierung.
4. Unified Audit Log in M365 aktivieren — Ein Klick. Ohne dies wissen Sie nicht, was in Ihrem Tenant passiert.
5. DNS-Filtering einrichten — Cloudflare Gateway, Free Tier. Blockiert bekannte schädliche Domains.

5-Phasen-Implementierungsplan — Details¶

Phase 1: Assessment und Inventur (Monate 1–2)¶

Sie können nicht schützen, was Sie nicht kennen. Der erste Schritt ist eine vollständige Inventur: Asset Discovery (alle Geräte, Server, Cloud-Ressourcen), Identity Audit (wie viele Benutzerkonten haben MFA? wie viele haben privilegierten Zugang? wie viele sind verwaist?), Data Flow Mapping (wohin fließen sensible Daten?), Gap-Analyse vs. Gesetz 264/2025.

Quick Win: Identity Audit — Benutzer aus AD / Entra ID exportieren — wie viele haben MFA aktiviert? (Ziel: 100 %). Liste der Konten mit Domain Admin / Global Admin (Ziel: < 5). Letzter Login — wie viele Konten 90+ Tage inaktiv? (Ziel: 0).

Phase 2: Identität und MFA (Monate 2–4)¶

Der schnellste ROI im gesamten Zero-Trust-Programm. MFA eliminiert 99,9 % der Identitätsangriffe (Microsoft-Daten). Schritte: IdP-Konsolidierung (ein Identity Provider für alles), MFA überall (Phishing-resistent für privilegierte Konten), Conditional Access (Zugriff von unbekannten Geräten blockieren), SSO für alle SaaS-Anwendungen.

Phase 3: Netzwerksegmentierung und ZTNA (Monate 4–8)¶

Die anspruchsvollste Phase. Iterativ vorgehen: Cloud-Workloads mit expliziter Allow-List, VPN durch ZTNA ersetzen (Cloudflare Access oder Zscaler ZPA, für kleinere Unternehmen Tailscale), On-Premises-Segmentierung (OT/IoT von IT trennen), DNS-Filtering (Cloudflare Gateway — blockiert C2-Kommunikation und Malware-Domains, in einer Stunde deploybar).

Phase 4: Monitoring und Erkennung (Monate 6–12)¶

„Assume breach” bedeutet, Sie müssen sehen, was passiert. In Echtzeit, nicht eine Woche später in den Logs. SIEM (Microsoft Sentinel, Elastic SIEM oder Wazuh), EDR auf Endpunkten (Microsoft Defender for Endpoint, CrowdStrike Falcon), zentralisierte Log-Aggregation, SOC (intern oder als Managed Service).

Quick Win: Grundlegende Erkennung an einem Tag — Audit Log in Microsoft 365 aktivieren, Azure AD Sign-in Logs und Risky Sign-ins aktivieren, Alerts für Anmeldung aus neuem Land und Brute-Force-Versuche einrichten.

Phase 5: Kontinuierliche Verbesserung (Monat 12+)¶

Regelmäßige Penetrationstests (mindestens jährlich), Red Team/Purple Team Übungen, vierteljährliche Zugriffsrechte-Reviews, Threat Intelligence (tschechische Quellen: NUKIB-Warnungen, GovCERT.CZ, CSIRT.CZ), Tabletop-Übungen (Incident-Simulationen mit Management).

Beispiel: Fertigungsunternehmen, 300 Mitarbeiter, Mährisch-Schlesische Region¶

Ein typischer Kunde. Fertigungsunternehmen, Mix aus On-Premises und Cloud, Windows-Domäne, M365 E3, mehrere Legacy-Anwendungen, ERP auf SQL Server, OT-Netzwerk mit PLC und SCADA. Neu unter Gesetz 264/2025 als Anbieter eines regulierten Dienstes.

Ausgangszustand: VPN mit Passwort (keine MFA), flaches Netzwerk (IT, OT, Server, Client-Workstations im selben Segment), 12 Domain-Admin-Konten, kein SIEM, Antivirus ohne EDR, keine Datenklassifizierung.

Nach 6 Monaten Implementierung: Azure Entra ID mit Conditional Access und MFA überall, Intune für Device Compliance, VPN durch Cloudflare Tunnel ersetzt, Netzwerk in 4 Segmente aufgeteilt (Client, Server, OT/SCADA, DMZ), Domain-Admin-Konten auf 3 reduziert (+ Azure PIM für JIT), Wazuh als SIEM, Defender for Business auf allen Workstations, Incident-Response-Plan mit Tabletop-Übung getestet.

Kosten: ca. 180.000 CZK/Monat. Ergebnis: Volle Compliance mit Gesetz 264/2025, 99,8 % MFA-Abdeckung, MTTD von „messen wir nicht” auf 4 Stunden.

Kostenschätzung für Mittelstand (200 Mitarbeiter)¶

Microsoft 365 Business Premium (22 USD/Benutzer/Monat) enthält Entra ID P1, Intune, Defender for Business und Conditional Access. Für ca. 4.400 USD/Monat haben Sie die Grundlagen der ersten drei Säulen abgedeckt. Plus Cloudflare Zero Trust (Free Tier bis 50 Benutzer, ca. 7 USD/Benutzer darüber) und Wazuh (kostenlos, Self-Hosted). Gesamt: unter 6.000 USD/Monat für ein solides Zero Trust Foundation. Das ist weniger als die Kosten eines einzigen Ransomware-Vorfalls (Durchschnitt in Tschechien: 2–5 Millionen CZK laut Versicherungsdaten).

5 Dinge, die Sie morgen tun können¶

Warten Sie nicht auf ein großes Projekt. Diese Schritte verbessern Ihre Sicherheit sofort:

1. MFA auf allen Admin-Konten aktivieren — Azure AD, M365, AWS Root, GitHub. Heute. Jetzt. Dauert 15 Minuten.
2. Privilegierte Konten auditieren — Wer hat Domain Admin? Global Admin? Bei allen entfernen, die es nicht täglich brauchen.
3. Security Defaults in Azure AD aktivieren — Kostenlos, erzwingt MFA + blockiert Legacy-Authentifizierung.
4. Unified Audit Log in M365 aktivieren — Admin Center → Compliance → Audit. Ein Klick.
5. DNS-Filtering einrichten — Cloudflare Gateway (1.1.1.1 for Teams), Free Tier. DNS-Server am Router ändern. Blockiert bekannte schädliche Domains.

Fazit: Zero Trust ist keine Wahl, es ist eine Notwendigkeit¶

Gesetz 264/2025 Slg. ist keine Drohung — es ist eine Chance. Eine Chance, Sicherheit endlich systematisch anzugehen, nicht reaktiv. Zero Trust Architecture bietet einen Rahmen, der direkt auf regulatorische Anforderungen abbildet und gleichzeitig Ihr Unternehmen tatsächlich schützt.

Sie müssen nicht alle 5 Säulen auf einmal implementieren. Beginnen Sie mit Identität — MFA, Conditional Access, Audit privilegierter Konten. Das sind 80 % der Sicherheit für 20 % des Aufwands. Dann fügen Sie schrittweise Segmentierung, ZTNA, Monitoring und Datenschutz hinzu.

Der Schlüssel ist, anzufangen. Nicht nächsten Monat, nicht nach Budgetfreigabe für Q3. Heute. Die 5 Schritte oben brauchen einen Nachmittag und werden Ihre Sicherheitslage dramatisch verbessern. Der Rest ist Iteration — und dafür sind wir da.