Security & Compliance
Zero Trust
Sicherheitsmodell ohne pauschales Vertrauen.
Allgemeine Infos
Zero Trust basiert auf dem Prinzip "Never trust, always verify". Jede Zugriffsanfrage wird unabhängig von Standort oder Netzwerk anhand von Identität, Gerätezustand, Risikosignal und Richtlinie geprüft. Das ist eine direkte Absage an das klassische Perimeter-Modell, bei dem alles innerhalb des Firmennetzwerks als vertrauenswürdig galt. In einer Welt mit Cloud-Diensten, Homeoffice und mobilen Geräten ist dieser Perimeter schlicht nicht mehr vorhanden.
Die drei Säulen von Zero Trust:
- Identitäten verifizieren: Jede Anmeldung wird kontextabhängig bewertet. Starke Authentifizierung (MFA, Passwordless), Risikobewertung per Machine Learning (Entra ID Protection) und Conditional-Access-Richtlinien entscheiden, ob Zugriff gewährt, eingeschränkt oder blockiert wird.
- Least Privilege durchsetzen: Benutzer und Dienste erhalten nur die Berechtigungen, die für die konkrete Aufgabe notwendig sind. Just-in-Time-Zugriff über Entra PIM (Privileged Identity Management) verhindert dauerhaft offene Admin-Rechte.
- Assume Breach: Die Grundannahme ist, dass ein Angreifer bereits im System ist. Mikrosegmentierung, End-to-End-Verschlüsselung, vollständige Protokollierung und aktive Bedrohungserkennung sind keine Extras, sondern Pflicht.
Microsoft setzt Zero Trust als integriertes Modell über mehrere Produkte um, die zusammen wirken müssen:
- Entra ID mit Conditional Access: Kernstück der Identitätsprüfung. Richtlinien kombinieren Benutzer, Gerät, App, Standort und Echtzeit-Risikosignal zu einer Zugriffsentscheidung.
- Entra ID Protection: Risikobasierte Anmeldeauswertung. Ungewöhnliche Anmeldeorte, Credential-Leaks, Impossible Travel werden automatisch erkannt und können Conditional-Access-Richtlinien auslösen.
- Microsoft Intune: Gerätecompliance als Zugriffsbedingung. Nur Geräte, die Intune-Richtlinien erfüllen (Verschlüsselung, Patch-Stand, Antivirus-Status), erhalten Zugriff auf Unternehmensressourcen.
- Microsoft Defender (XDR): Bedrohungserkennung und Incident Response über Endpunkte, Identitäten, E-Mail und Cloud-Apps. Signale fließen in den Secure Score und können Conditional-Access-Entscheidungen beeinflussen.
- Microsoft Purview: Informationsschutz und DLP als Datenschicht. Verhindert, dass sensible Daten die kontrollierten Umgebungen verlassen, auch wenn der Zugriff legitim war.
Zero Trust ist kein Produkt, das man kauft und aktiviert, sondern ein fortlaufender Reifeprozess. Microsofts Zero-Trust-Maturity-Modell beschreibt fünf Säulen (Identität, Endpunkte, Anwendungen, Daten, Infrastruktur, Netzwerk) mit drei Reifegraden: Traditional, Advanced, Optimal. Der Zero Trust Rapid Modernization Plan (RaMP) definiert priorisierte Schritte für den Einstieg: MFA für alle Admins, Conditional Access als Basisschutz und Gerätecompliance sind die ersten drei, die den größten Hebel bei geringstem Aufwand bieten.
Kurzbeschreibung
Sicherheitsmodell ohne pauschales Vertrauen: "Never trust, always verify" auf Basis von Identität, Gerätezustand und Risikosignal. Kein Einzelprodukt, sondern ein Reifeprozess über Entra ID, Intune, Defender und Purview.
Lizenz & Verfügbarkeit
| Komponente | Mindestlizenz | Hinweis |
|---|---|---|
| Conditional Access | Entra ID P1 | Enthalten in M365 Business Premium, E3, E5 |
| Entra ID Protection | Entra ID P2 | Enthalten in M365 E5 oder als Add-on |
| Entra PIM | Entra ID P2 | Für Just-in-Time Admin-Zugriff |
| Microsoft Intune | Intune Plan 1 | Enthalten in M365 Business Premium, E3, E5 |
| Microsoft Defender XDR | M365 E5 / Defender Add-ons | Einzelkomponenten (MDE, MDO, MDI) separat lizenzierbar |
| Microsoft Purview (DLP/MIP) | M365 E3 / E5 Compliance | Erweiterter Schutz über E5 Compliance Add-on |
Weiterführende Links
Related articles
Microsoft 365
Microsoft Purview | Sensitivity Labels: Architecture & Practice Guide
Microsoft 365
Microsoft 365 Roadmap 2026 | From assistance to autonomy
Microsoft 365