Worum es geht
Klassische Netzwerksicherheit funktioniert nach dem Burg-und-Graben-Prinzip: Außen die Firewall, innen das vertrauenswürdige Netz. Sobald jemand drin ist, kann er sich frei bewegen. Dieses Modell ist gescheitert. Moderne Angriffe – Ransomware, Supply-Chain-Kompromittierungen, Insider-Threats – machen sich genau diese Annahme zunutze.
Zero Trust dreht das Modell um: Niemand wird vertraut, nur weil er bereits im Netz ist. Jeder Zugriff – egal von wem, egal von wo – wird einzeln verifiziert. Das klingt aufwendig, ist aber mit den richtigen Werkzeugen praktikabel und für mittelständische Organisationen umsetzbar.
Was ist enthalten
01. Architektur-Design
Maßgeschneidertes Zero-Trust-Modell für Ihre Organisation. Wir analysieren Ihre kritischen Daten, Anwendungen und Benutzerrollen und entwerfen eine Architektur mit Mikrosegmentierung, definierten Trust-Zonen und konsequentem Least-Privilege-Prinzip. Das Design ist der wichtigste Schritt – schlechte Architektur lässt sich später nur schwer korrigieren.
02. Netzwerk-Segmentierung
Trennung kritischer Bereiche durch firewall-basierte Mikrosegmente und durchdachte VLAN-Strategien. Buchhaltung, Entwicklung, HR und Verwaltung erhalten getrennte Zonen, die nur über klar definierte und protokollierte Schnittstellen kommunizieren. Ein kompromittierter Arbeitsplatz reißt nicht das ganze Netz mit.
03. Identity-Management
Zentrale Authentifizierung mit Single Sign-On, rollenbasierter Zugriffskontrolle und MFA-Pflicht für sensitive Anwendungen. Keycloak als Open-Source-Alternative zu Okta oder Azure AD – mit voller Kontrolle über Verzeichnisstrukturen, Authentifizierungsflows und Audit-Daten.
04. MFA-Rollout
Hardware-Token (FIDO2, YubiKey) oder TOTP-basierte Zwei-Faktor-Authentifizierung für alle Mitarbeitenden. Wir planen den Rollout so, dass er nicht zum Helpdesk-Albtraum wird: gestaffelte Einführung, Self-Service-Enrollment, Backup-Mechanismen für verlorene Token.
05. SIEM und Monitoring
Kontinuierliche Sicherheitsüberwachung mit Wazuh, Echtzeit-Alarmierung bei Anomalien und vorgefertigten Incident-Response-Playbooks. Sie sehen nicht nur, dass etwas passiert ist – Sie wissen auch, was zu tun ist, und können das ohne externe Hilfe abarbeiten.
06. Penetrationstests
Regelmäßige interne und externe Tests mit detaillierter Dokumentation und konkreten Behebungsempfehlungen. Wir testen nicht nur einmal nach Implementierung, sondern bauen einen Rhythmus auf – die Bedrohungslage ändert sich, also muss Ihre Verteidigung das auch.
Eingesetzte Open-Source-Komponenten
- pfSense / OPNsense – Firewall und Edge Security
- Wazuh – SIEM mit Threat Detection und Compliance Monitoring
- OpenVPN / WireGuard – Verschlüsselte VPN-Verbindungen
- Keycloak – Identity-Provider mit SSO und MFA
- FreeRADIUS – Netzwerk-Authentifizierung
- Suricata – Intrusion Detection und Prevention
- CrowdSec – Community-basierte Bedrohungsabwehr
Für wen ist dieses Konzept geeignet
- Mittelständische Unternehmen mit hohen Compliance-Anforderungen (DSGVO, ISO 27001, TISAX)
- Gesundheitseinrichtungen mit besonderen Pflichten nach § 203 StGB und § 75c SGB V
- Anwaltskanzleien und Steuerberatungen mit beruflicher Verschwiegenheitspflicht
- Unternehmen, die nach einem Sicherheitsvorfall ihre Architektur grundlegend modernisieren wollen
Typische Eckdaten
- Projektdauer: 6 bis 16 Wochen
- Mindestgröße: ab etwa 25 Arbeitsplätzen wirtschaftlich sinnvoll
- Voraussetzung: Bereitschaft, etablierte Workflows zu überprüfen
Sicherheit ist kein Produkt, sondern ein Prozess. Wir besprechen im Erstgespräch, wo Ihre größten Risiken liegen und welche Maßnahmen das beste Verhältnis aus Aufwand und Wirkung haben.