Seit dem 1. November 2025 gilt in Tschechien das Gesetz Nr. 264/2025 Slg. über Cybersicherheit — die tschechische Umsetzung der europäischen NIS2-Richtlinie. Tausende Unternehmen, die zuvor nicht reguliert waren, müssen sich plötzlich mit systematischem Cybersicherheits-Risikomanagement befassen. Zero Trust Architecture (ZTA) ist kein Buzzword — es ist ein architektonischer Ansatz, der direkt die Anforderungen der neuen Gesetzgebung adressiert. Dieser Artikel handelt nicht von Theorie. Er handelt von konkreten Schritten, Tools und Realitäten, die Sie kennen müssen.
5 Säulen der Zero Trust Architecture¶
- Identität als neuer Perimeter — Zentraler Identity Provider, MFA auf allem, Conditional Access Policies
- Gerät — Device Trust — Device Health Attestation mit Microsoft Intune, Jamf oder CrowdStrike Falcon
- Netzwerk — Mikrosegmentierung — Trennung kritischer Systeme, NSG/Security Groups, VLAN-Segmentierung
- Anwendung — ZTNA statt VPN — Cloudflare Access, Zscaler Private Access, Tailscale
- Daten — Klassifizierung und Schutz — Microsoft Purview, DLP-Richtlinien
5-Phasen-Implementierungsplan¶
Phase 1: Assessment und Inventur (Monate 1–2)¶
Asset Discovery, Identitäts-Audit, Data-Flow-Mapping, Gap-Analyse vs. Gesetz 264/2025.
Phase 2: Identität und MFA (Monate 2–4)¶
IdP-Konsolidierung, MFA überall, Conditional Access, SSO.
Phase 3: Netzwerksegmentierung und ZTNA (Monate 4–8)¶
Cloud-Workloads mit expliziter Allow-List, VPN durch ZTNA ersetzen, On-Premises-Segmentierung, DNS-Filtering.
Phase 4: Monitoring und Erkennung (Monate 6–12)¶
SIEM (Microsoft Sentinel, Wazuh), EDR auf Endpunkten, zentralisierte Log-Aggregation, SOC.
Phase 5: Kontinuierliche Verbesserung (Monat 12+)¶
Regelmäßige Penetrationstests, Red Team/Purple Team Übungen, Zugriffsrechte-Reviews, Threat Intelligence.
Tools für den tschechischen/mitteleuropäischen Markt¶
| Bereich | Enterprise (500+) | Mittelstand (50–500) |
|---|---|---|
| Identity | Azure Entra ID P2, Okta | Azure Entra ID P1, Keycloak |
| MFA | FIDO2 (YubiKey) | Microsoft Authenticator |
| ZTNA | Zscaler ZPA, Cloudflare Access | Tailscale, Cloudflare Tunnel |
| Segmentierung | Illumio, VMware NSX | NSG/Security Groups, pfSense |
| EDR | CrowdStrike Falcon | MS Defender for Business, Wazuh |
| SIEM | Microsoft Sentinel, Splunk | Wazuh, Elastic SIEM |
5 Dinge, die Sie morgen tun können¶
- MFA auf allen Admin-Konten aktivieren — Azure AD, M365, AWS Root, GitHub. Heute. Jetzt. Dauert 15 Minuten.
- Privilegierte Konten auditieren — Wer hat Domain Admin? Global Admin? Bei allen entfernen, die es nicht täglich brauchen.
- Security Defaults in Azure AD aktivieren — Kostenlos, erzwingt MFA + blockiert Legacy-Authentifizierung.
- Unified Audit Log in M365 aktivieren — Ein Klick. Ohne dies wissen Sie nicht, was in Ihrem Tenant passiert.
- DNS-Filtering einrichten — Cloudflare Gateway, Free Tier. Blockiert bekannte schädliche Domains.
Fazit: Zero Trust ist keine Wahl, es ist eine Notwendigkeit¶
Gesetz 264/2025 ist keine Drohung — es ist eine Chance, Sicherheit endlich systematisch anzugehen. Beginnen Sie mit Identität — MFA, Conditional Access, Audit privilegierter Konten. Das sind 80 % der Sicherheit für 20 % des Aufwands.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns