Es war ein ganz normaler Dienstagmorgen. Die Mitarbeiter eines mittelständischen Logistikunternehmens in Nordrhein-Westfalen öffneten ihre Rechner, riefen ihre E-Mails ab und stellten fest, dass ihre Dateien verschlüsselt waren. Alle. Der Angreifer hatte sich drei Wochen zuvor Zugang zum Netzwerk verschafft, sich in Ruhe umgesehen, die Backups lokalisiert und dann erst den Schalter umgelegt. Drei Wochen lang war er unsichtbar, weil er sich wie ein normaler Nutzer verhielt. Das klassische Netzwerkperimeter-Modell hatte ihn nicht aufgehalten, denn er war ja bereits drin.
Ransomware-Angriffe folgen heute fast immer diesem Muster. Der initiale Einbruch ist längst nicht mehr der kritische Moment. Kritisch ist die Zeit danach, in der sich der Angreifer lateral durch das Netzwerk bewegt, Rechte eskaliert und wertvolle Systeme identifiziert. Genau hier setzt Zero Trust an.