.png)
Zero Trust in der Praxis mit John Kindervag und CISO Jared Nussbaum
Was passiert, wenn der Kopf hinter Zero Trust jeden Tag jemandem gegenübersitzt, der es auf die Probe stellt?
Genau das brachte Illumio auf die Bühne der RSAC 2025 – ein seltenes, ungeschriebenes Gespräch zwischen John Kindervag, dem Erfinder von Zero Trust und Chief Evangelist von Illumio, und Jared Nussbaum, CISO bei Ares Management und einem erfahrenen Praktiker, der die Zero-Trust-Reise von innen heraus erlebt hat.
John führte das Modell vor 15 Jahren ein. Jared hat Jahrzehnte damit verbracht, globale Unternehmen dabei zu unterstützen, es einzuführen, anzupassen und sich von realen Sicherheitsverletzungen zu erholen. Gemeinsam haben sie herausgefunden, wo Zero Trust seinen Anfang genommen hat, wie es sich entwickelt hat und was es braucht, um es in der heutigen Bedrohungslandschaft zum Laufen zu bringen.
Hier sind sechs wichtige Erkenntnisse aus ihrem Gespräch, die sich jede Sicherheitsverantwortliche zu Herzen nehmen sollte.
1. Zero Trust ist eine Strategie, kein Produkt
Viele Anbieter versuchen zwar, Zero Trust als Tool zu verpacken, aber das ist nicht korrekt. Es ist ein strategischer Wandel in der Art und Weise, wie wir über die Sicherung digitaler Umgebungen nachdenken.
Während des Gesprächs war John klar: "Zero Trust ist in erster Linie eine Strategie. Es ist etwas, das man tut, nicht etwas, das man kauft."
Jared, der aus der Perspektive des CISO sprach, stimmte dem zu. "Alles, was mir hilft, Transparenz zu erlangen und das Risiko zu reduzieren, ist ein Gewinn", sagte er.
Er fügte jedoch hinzu, dass Zero Trust mit einer Denkweise und einer Strategie beginnen muss, die auf die Geschäftsergebnisse ausgerichtet sind. Bevor sie sich mit Tools oder Frameworks befassen, müssen Sicherheitsteams verstehen, was sie schützen und warum. Dies stellt sicher, dass die Sicherheitsausgaben angemessen priorisiert werden und eine starke Zustimmung des Vorstands erhalten können.
"Zero Trust ist in erster Linie eine Strategie. Es ist etwas, das man tut, nicht etwas, das man kauft."
— John Kindervag, Erfinder von Zero Trust
2. Mikrosegmentierung ist grundlegend
Für John ist die Segmentierung die Grundlage für Zero Trust. Der zweite Bericht, der jemals über Zero Trust verfasst wurde, war einer, den John vor 15 Jahren geschrieben hat: "Build Security Into Your Network's DNA: The Zero Trust Network Architecture".
In dem Bericht hob er die Bedeutung von Segmentierung und zentralisierter Verwaltung als Schlüsselkomponenten von Zero Trust hervor. Er forderte die Schaffung neuer Wege zur Segmentierung von Netzwerken, da sie alle segmentiert werden müssen.
In dem Gespräch betonte John, dass die heutigen Netzwerke standardmäßig segmentiert werden müssen, um zu verhindern, dass sich Angreifer seitlich bewegen, sobald sie Zugriff erhalten haben. "Den Angreifern gehört es, und Sie zahlen die Rechnungen", sagte er. "Segmentierung ist die Grundlage von Zero Trust."
Jared veranschaulichte die Auswirkungen unsegmentierter Netzwerke am Beispiel der Target-Verletzung von 2013. Angreifer verschafften sich über einen Drittanbieter von HLK-Geräten Zugang und drangen in die Point-of-Sale-Systeme ein, weil die richtigen Grenzen nicht vorhanden waren.
"Die Segmentierung mit starken Sicherheitsgrenzen bietet Ihnen Transparenz und Kontrolle", sagte er. "Man kann nicht jeden Angreifer daran hindern, einzudringen, aber man kann ihn daran hindern, sehr weit zu kommen."
3. Fangen Sie klein an mit Zero Trust
Einer der größten Fehler, den John sieht, besteht darin, dass Teams versuchen, Zero Trust im gesamten Unternehmen auf einmal einzuführen.
"Die Leute scheitern an Zero Trust, weil sie versuchen, alles auf einmal zu machen", erklärte er. "Man muss klein anfangen – eine Schutzfläche nach der anderen."
Seine bekannte fünfstufige Zero-Trust-Methodik legt den Schwerpunkt auf den Aufbau von Umgebungen, die maßgeschneidert, verwaltbar und nachhaltig sind:
- Definieren Sie die Schutzfläche. Identifizieren Sie, was geschützt werden muss, und verstehen Sie, dass sich die Angriffsfläche ständig weiterentwickelt.
- Ordnen Sie Transaktionsflüsse zu. Verschaffen Sie sich einen Überblick über Kommunikations- und Datenverkehrsflüsse, um festzustellen, wo Sicherheitskontrollen erforderlich sind.
- Entwerfen Sie die Zero-Trust-Umgebung. Sobald die vollständige Transparenz erreicht ist, implementieren Sie Kontrollen, die auf jede Schutzoberfläche zugeschnitten sind.
- Erstellen Sie Zero-Trust-Sicherheitsrichtlinien. Entwickeln Sie granulare Regeln, die den Zugriff des Datenverkehrs auf Ressourcen innerhalb der Schutzoberfläche ermöglichen.
- Überwachen und warten Sie das Netzwerk. Richten Sie eine Feedbackschleife durch Telemetrie ein, verbessern Sie kontinuierlich die Sicherheit und bauen Sie ein widerstandsfähiges, antifragiles System auf.
Nussbaum hat das Gleiche in der Praxis erlebt. "Unternehmen haben Schwierigkeiten mit Zero Trust, wenn sie zu viel auf einmal übernehmen", sagte er. "Wenn Sie klein anfangen, sich mit den Stakeholdern Ihres Unternehmens abstimmen und schrittweise aufbauen, wird Zero Trust erreichbar."
Er betonte, wie wichtig es sei, das Umfeld zu verstehen, klare Ziele zu definieren und frühzeitig Werte zu schaffen, um eine Dynamik aufzubauen. Andernfalls warnt er, dass Zero-Trust-Projekte schnell auseinanderfallen und die Sicherheitslage eines Unternehmens zurückwerfen können.
4. Identität ist nicht genug
Während die Identität in Zero-Trust-Gesprächen oft im Mittelpunkt steht, hat John diese Vorstellung von Anfang an in Frage gestellt. "Identität ist nur ein Signal", sagte er. "Es ist immer fungibel. Man braucht mehr Kontext, um gute Entscheidungen zu treffen."
Mit anderen Worten: Sich ausschließlich auf die Identität zu verlassen, birgt Risiken. Dies liegt daran, dass es immer noch möglich ist, dass eine Sitzung gekapert oder eine Identität missbraucht wird.
Jared bekräftigte die Notwendigkeit, über die Benutzeranmeldeinformationen hinauszublicken. "Sie müssen den Benutzer, sein Gerät, wo er arbeitet, worauf er zugreift und ob es sinnvoll ist, ständig überprüfen ", sagte er.
Er wies darauf hin, dass es nicht nur um Menschen geht. Die Kommunikation zwischen den Workloads muss ebenfalls überprüft und gesteuert werden. "Ohne vollständigen Kontext kann man keine effektive Politik durchsetzen."
KI-Observability-Tools wie Illumio Insights bieten die Art von tiefem Kontext, die moderne Sicherheit erfordert. Sie helfen Ihnen, Kontext in Ihre Umgebungen zu bringen, um Verhaltensweisen zu verstehen, Anomalien aufzudecken und Risiken basierend darauf zu bewerten, wie die Dinge funktionieren sollen und was tatsächlich vor sich geht.
5. Beschreiben Sie Cyberrisiken in geschäftlichen Begriffen
John beschrieb Zero Trust als "die große Strategie der Cybersicherheit". Er verwies auf die wachsende Akzeptanz bei Regierungen und Unternehmen gleichermaßen.
Insbesondere teilte er mit, wie die Strategie nach der OPM-Datenpanne auch bei den Kongressführern Anklang fand. Zu diesem Zeitpunkt wurde Zero Trust als das Modell identifiziert, das die Bewegungsfreiheit von Angreifern hätte begrenzen und die nationale Sicherheit schützen können.
Aber wie Jared betonte, ist es nur wichtig, über Zero Trust – oder Cybersicherheit im weiteren Sinne – zu sprechen, wenn man es in Bezug auf das Geschäftsrisiko betrachtet.
"Cyberrisiken tragen zu Geschäftsrisiken bei, aber sie sind nicht dasselbe", sagte er. "Ihr Vorstand kümmert sich nicht um Verweildauer oder Ransomware-Nutzlasten. Sie kümmern sich um Ausfallzeiten, Umsatzverluste, Auswirkungen auf die Kunden und regulatorische Konsequenzen."
Für Jared ist die Umsetzung von Sicherheitsbedenken in Geschäftsergebnisse das, was die Akzeptanz fördert und die Sicherheit im gesamten Unternehmen erfolgreich macht.
"Ihr Vorstand kümmert sich nicht um Verweildauer oder Ransomware-Nutzlasten. Sie kümmern sich um Ausfallzeiten, Umsatzverluste, Auswirkungen auf die Kunden und regulatorische Konsequenzen."
— Jared Nussbaum, CISO bei Ares Management
6. Richten Sie Zero Trust an Ihrer Umgebung aus
Einer der wichtigsten Punkte, die John während des Vortrags ansprach, war, dass jede Zero-Trust-Umgebung so aufgebaut werden muss, dass sie zum Unternehmen passt.
"Jede Umgebung ist maßgeschneidert", sagte er. "Man kann nicht einfach eine Referenzarchitektur aus dem Regal ziehen und erwarten, dass sie funktioniert. Sie müssen es auf der Grundlage Ihrer Schutzoberfläche und der Anforderungen des Unternehmens entwerfen."
Jared stimmte dem zu und betonte die Bedeutung der funktionsübergreifenden Zusammenarbeit.
"Man kann Zero Trust nicht in einem Silo betreiben", erklärte er. "Sie müssen Infrastrukturteams, App-Entwickler, Geschäftsbereiche und sogar die C-Suite einbeziehen. Wenn Sie sich nicht an ihren Prioritäten und Zeitplänen orientieren, wird Ihr Programm nicht erfolgreich sein."
Er betonte den Wert einer kontinuierlichen Kommunikation und forderte die Sicherheitsverantwortlichen auf, "ihre Pläne frühzeitig und häufig zu kommunizieren und sie auf der Grundlage des Feedbacks aus dem Unternehmen anzupassen".
Einbettung von Zero Trust in Ihre Strategie
John Kindervag und Jared Nussbaum brachten unterschiedliche Perspektiven in die RSAC-Bühne ein – einer als Begründer von Zero Trust und der andere als Praktiker, der es täglich anwendet. Aber beide waren sich einig: Zero Trust ist eine Reise, kein einmaliges Projekt.
"Mit Zero Trust sind Sie fertig, wenn Sie mit dem Atmen fertig sind", scherzte John. "Das ist eine Strategie auf lange Sicht."
Für Sicherheitsverantwortliche, die eine widerstandsfähigere Grundlage schaffen möchten, bietet Zero Trust einen bewährten Weg in die Zukunft. Es beginnt mit der Strategie, skaliert mit der Geschäftsausrichtung und ist durch Transparenz, Kontext und Kontrolle erfolgreich.
Erfahren Sie, wie mehr Illumio-Kunden Zero Trust in ihren Unternehmen in die Praxis umsetzen oder Kontaktieren Sie uns noch heute um mit einem unserer Zero-Trust-Experten zu sprechen.
