Cybervize - Cybersecurity Beratung
Alle Artikel

Zero Trust endet dort, wo Admin-Rechte aus Bequemlichkeit vergeben werden

Alexander Busse·12. März 2026
Zero Trust endet dort, wo Admin-Rechte aus Bequemlichkeit vergeben werden

Ein Team sagt mir: „Wir sind Zero Trust." Zwei Sätze später: „Der Dienstleister hat Admin, weil es schneller geht." Diese Aussage ist kein Einzelfall. Sie ist symptomatisch für ein Muster, das IT-Entscheider im Mittelstand immer wieder erleben: Zero Trust als Konzept ist angekommen – als operative Konsequenz noch nicht.

Was Zero Trust wirklich bedeutet

Zero Trust ist kein Produkt und kein Tool. Es ist eine Sicherheitsphilosophie, die auf einem Grundsatz basiert: Vertraue niemandem automatisch, egal ob innerhalb oder außerhalb des Unternehmensnetzwerks. Statt pauschalem Vertrauen steht kontinuierliche Verifikation. Jede Identität, jedes Gerät, jede Anfrage wird geprüft – immer wieder, kontextabhängig.

In der Praxis bedeutet das: Kein Nutzer und kein System erhält Zugriff, nur weil er sich bereits im Netzwerk befindet. „Never trust, always verify" ist das operative Prinzip. Viele Unternehmen haben dieses Konzept im Foliensatz. Das Problem entsteht dort, wo die Realität beginnt: in der täglichen Administration – bei Berechtigungen, Zugriffen und Ausnahmen, die „wegen der Bequemlichkeit" gemacht werden.

Der Test, der alles entscheidet

Ob Zero Trust wirklich gelebt wird, zeigt sich nicht im Security-Konzept, sondern in den Berechtigungen. Vier Fragen sollten in jedem Security-Review zuerst gestellt werden, um den echten Reifegrad zu ermitteln:

Erstens: Wer kann Konfigurationen ändern, ohne dass ein Vier-Augen-Prinzip greift? In vielen Mittelständlern gibt es Einzelpersonen – manchmal externe Dienstleister – mit weitreichenden Adminrechten ohne Kontrollmechanismus. Das ist keine Böswilligkeit, sondern historisch gewachsene Bequemlichkeit. Und genau dort liegt das Risiko: Ein kompromittierter Account mit unkontrollierten Adminrechten kann unbemerkt ganze Systemlandschaften verändern.

Zweitens: Wer kann Logs löschen oder Blind Spots erzeugen? Ein Angreifer, der Spuren verwischen kann, ist doppelt gefährlich. Die Kontrolle über Logging-Systeme gehört deshalb zu den kritischsten Berechtigungen überhaupt. Wer Logs schreiben, aber nicht löschen kann, kann nicht verwischen. Wer beides kann, ist praktisch unkontrollierbar.

Drittens: Wer kann Daten exportieren – und wird das bemerkt? Datenexfiltration ist eine der häufigsten Angriffsformen. Unternehmen, die nicht wissen, wer Daten exportieren darf und ob das protokolliert wird, haben keine echte Kontrolle über ihren wertvollsten Besitz.

Viertens: Wie läuft das Break-Glass-Verfahren? In Notfallsituationen brauchen Administratoren erweiterten Zugriff – aber dieser muss zeitlich begrenzt, nachvollziehbar und reviewed werden. Dauerhafter Notfallzugang ist kein Notfall, sondern ein dauerhaftes Einfallstor für Angreifer.

EU-Hosting löst das Problem nicht

Ein verbreiteter Irrtum: EU-Hosting wird manchmal gleichgesetzt mit Security. Daten auf europäischen Servern sind sicherer, wenn der Dienstleister sauber und die Governance stimmt. Aber ein europäischer Serverstandort schützt nicht vor einem schlecht konfigurierten Berechtigungssystem. Admin-Governance ist entscheidend – nicht der geografische Standort. Die entscheidende Frage ist nicht, wo die Daten liegen, sondern wer auf sie zugreifen kann. Können Sie das in zwei Minuten beantworten?

Admin-Governance konkret umsetzen

Für IT-Entscheider im Mittelstand bedeutet echter Zero-Trust-Betrieb auf Admin-Ebene vier konkrete Maßnahmen: Berechtigungen regelmäßig reviewen nach dem Least-Privilege-Prinzip – wer hat was, seit wann, und warum? Externe Dienstleister mit genau definiertem, zeitlich begrenztem und monitorten Zugang ausstatten. Break-Glass-Prozesse dokumentieren, die temporären Notfallzugang lückenlos protokollieren. Logging als aktives Kontrollwerkzeug verstehen – nicht nur als Compliance-Nachweis.

Zero Trust ist keine Frage der Technologie, sondern der Konsequenz. Wer sagt „Wir sind Zero Trust", aber gleichzeitig Adminrechte aus Bequemlichkeit vergibt, hat einen blinden Fleck – der für Angreifer sichtbar ist. Digitale Souveränität beginnt nicht mit dem richtigen Tool. Sie beginnt mit der Frage: Wer hat bei uns Admin – und warum genau?

Zurück zur Übersicht

Weitere Artikel

Vendor Lock-in im Mittelstand: Warum „Später" das teuerste Wort im IT-Betrieb ist

Vendor Lock-in beginnt leise – mit aufgeschobenen Exit-Plänen und proprietären Formaten. Wer Exit-Governance nicht als Teil des IT-Betriebs versteht, zahlt dreifach: für den ungeplanten Prozess, fehlende Dokumentation und verlorene Zeit.

12. März 2026

KI als autonomer Angreifer: Was der McKinsey-Lilli-Angriff für den Mittelstand bedeutet

Der Angriff auf McKinseys KI-Plattform Lilli markiert eine neue Ära: KI ist nicht mehr nur Werkzeug für Angreifer – sie ist der Angreifer selbst. Was das für IT-Entscheider im Mittelstand bedeutet.

11. März 2026

NIS-2 Umsetzung: Warum Taktung wichtiger ist als Wissen

NIS-2-Umsetzung scheitert selten am Wissen, sondern an Taktung und Ownership im Regelbetrieb. Der Readiness Sprint adressiert genau diese Engpässe in sechs strukturierten Wochen.

11. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Cybercrime & Bedrohungen

IT-Sicherheit braucht mehr als Endpointschutz | Future Interactive Talk mit der Bitbone AG

Mit Sebastian Scheuring

31 minAnhoeren