Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Ein ehemaliger CIO des Weißen Hauses erklärt, warum Zero Trust so gestaltet sein muss, wie Menschen tatsächlich arbeiten

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
8April 2026
23 min. lesen
Theresa Payton, ehemalige CIO des Weißen Hauses und CEO von Fortalice Solutions

Im Weißen Haus kann selbst etwas so Simples wie eine Musik-Playlist zu einem Sicherheitsrisiko werden.

In einem Gespräch mit der ehemaligen CIO des Weißen Hauses, Theresa Payton, in einer kürzlich erschienenen Folge des Podcasts „The Segment “ erzählte sie mir, wie Präsident George W. Bush einen iPod Shuffle benutzte, um Musik mit seinen Töchtern zu teilen. Das Problem bestand darin, dass die Aktualisierung der Wiedergabeliste diese automatisch öffentlich bekannt gab.  

Was wie eine harmlose Funktion aussah, barg ein potenzielles Gefahrenpotenzial.

Die Lösung bestand nicht darin, das Gerät zu sperren oder seine Nutzungsmöglichkeiten einzuschränken. Stattdessen entwarf Theresas Team unsichtbare Schutzmechanismen um den Benutzer herum. Wie sie erklärte, mussten sie ihm ermöglichen, sein Leben zu leben, und gleichzeitig Sicherheitsnetze um ihn herum schaffen, die so gut wie unsichtbar waren.

Diese Geschichte verdeutlicht etwas Grundlegendes zur heutigen Cybersicherheit.

Wir haben jahrelang Sicherheit auf der Grundlage von Systemen, Kontrollen und Compliance-Anforderungen konzipiert. Unterdessen haben sich die Angreifer auf Menschen konzentriert. Sie untersuchen Verhalten und nutzen Reibungsverluste aus. Sie suchen nach Lücken zwischen der Konzeption von Sicherheitsmaßnahmen und deren tatsächlicher Anwendung.

Wenn Zero Trust wirklich Ergebnisse liefern soll, muss es mit der menschlichen Nutzergeschichte als Grundlage beginnen.

Die Mathematik stimmt nicht. Und genau das ist das Problem.

Theresa sieht große Probleme im aktuellen Stand der Cybersicherheit.

Sie wies auf ein eklatantes Ungleichgewicht hin: Wir geben rund 240 Milliarden Dollar für Cybersicherheit aus, während die Verluste durch Cyberkriminalität in diesem Jahr voraussichtlich 10,5 Billionen Dollar erreichen werden.

Ihre Reaktion war einfach: „Die Mathematik stimmt nicht.“

Diese Diskrepanz verdeutlicht ein tieferliegendes Problem. Der Branche mangelt es weder an Werkzeugen, Rahmenwerken noch an Finanzmitteln. Es liefert nur wenige Ergebnisse.

Ein großer Teil davon hängt damit zusammen, wie wir das Thema Compliance angegangen sind. Rahmenbedingungen sind notwendig und Regulierungen wichtig. Doch sie haben unbeabsichtigt die Art und Weise geprägt, wie Organisationen über Sicherheit denken.

Wie Theresa es ausdrückte, sind diese Rahmenbedingungen „unglaublich gut gemeint, aber könnten das Schlimmste sein, was uns je passiert ist“.

Warum? Weil sie eine Checklistenmentalität fördern.

Organisationen konzentrieren sich auf die Erfüllung von Anforderungen anstatt auf die Risikominderung. Und Angreifer nutzen das aus. Sie verstehen die Kontrollmechanismen und wissen, wo die Schwachstellen liegen. Folglich können sie das System einfach per Reverse Engineering nachbauen.

Hier liegt das Missverständnis des Zero-Trust-Konzepts .

Es geht nicht darum, einen Standard zu erfüllen, sondern darum, Vertrauen kontinuierlich zu bestätigen und Risiken zu minimieren. Die Einhaltung von Vorschriften mag Ihnen sagen, was erforderlich ist, aber Zero Trust zwingt Sie dazu, sich zu fragen, was tatsächlich effektiv ist.

Die Sicherheit ist immer noch auf Käufer und nicht auf Benutzer ausgelegt.

Theresa sprach auch ein weiteres branchenspezifisches Problem an, das offensichtlich ist: Die meisten Sicherheitslösungen werden für den Käufer und nicht für den Benutzer entwickelt.

Theresa beschrieb, wie Anbieter oft den Käufer als Hauptkunden sehen, nicht die Menschen, die die Technologie tatsächlich tagtäglich nutzen.

Diese Unterscheidung ist entscheidend. Wenn Sicherheit auf Beschaffung statt auf Nutzung ausgerichtet ist, führt das zu Reibungsverlusten. Und Reibung führt zu Umgehungslösungen.

Wir haben es alle gesehen. zu komplexe Passwortrichtlinien. Bedienelemente, die Arbeitsabläufe verlangsamen. Systeme, die von den Benutzern verlangen, wie Sicherheitsexperten zu denken, nur um ihre Aufgabe zu erledigen.

Theresa brachte es anhand eines bekannten Szenarios auf den Punkt. Wenn die Leute erfahren, dass man im Sicherheitsbereich arbeitet, bedanken sie sich nicht für komplexe Kontrollmechanismen. Sie erzählen dir alles, was sie an ihnen hassen.

Diese Diskrepanz ist mehr als nur ein Problem der Benutzerfreundlichkeit. Es handelt sich um ein Sicherheitsproblem.

Wenn Benutzer die Kontrollmechanismen umgehen, schützen diese Kontrollmechanismen nichts mehr.

Zero Trust ändert dies, indem der Fokus von der Einschränkung auf die Ermöglichung verlagert wird. Es geht darum, den sicheren Weg zum einfachsten Weg zu machen.

Die Ausrichtung auf Menschen verändert die Funktionsweise von Zero Trust.

Was bedeutet es also konkret, Sicherheit um den Menschen herum zu gestalten? Theresas Rat war erfrischend einfach: beobachten.

„Setzen Sie sich in Ihre Callcenter, setzen Sie sich zu Ihren Kunden und hören Sie zu“, sagte sie. „Sie werden so viel darüber lernen, was nicht funktioniert.“

Diese Erkenntnis wird in der Cybersicherheit oft übersehen.

Wir verwenden viel Zeit auf die Modellierung von Bedrohungen und die Entwicklung von Kontrollmechanismen, aber nicht genug Zeit darauf, zu verstehen, wie diese Kontrollmechanismen mit realen Arbeitsabläufen interagieren.

Wenn man anfängt zu beobachten, zeichnen sich Muster ab:

  • Wo Benutzer auf Reibung stoßen
  • Wo Prozesse versagen
  • Wo Menschen Umgehungslösungen entwickeln

Diese Signale bilden die Grundlage für ein besseres Design. Und genau hier wird Zero Trust in der Praxis praktisch.

Anstatt breit angelegte, statische Kontrollen anzuwenden, können Sie Richtlinien durchsetzen, die darauf basieren, wie Systeme und Benutzer tatsächlich interagieren. Man kann das Prinzip der minimalen Berechtigung präzise anwenden und die Gefährdung verringern, ohne die Menschen zu verlangsamen.

Die Segmentierung spielt hier eine Schlüsselrolle.

Durch das Verständnis der Kommunikationsmuster zwischen Systemen lassen sich unnötige Verbindungen vermeiden. Wenn etwas beschädigt ist, kann es sich nicht frei bewegen. Der Explosionsradius ist begrenzt.

So erzielt Zero Trust echte Ergebnisse. Nicht indem man alles blockiert, sondern indem man das kontrolliert, was wichtig ist.

KI macht das menschliche Problem unübersehbar.

Wenn die Branche diese Lücke vorher ignorieren konnte, kann sie das jetzt nicht mehr. Die KI forciert dieses Problem.

Theresa beschrieb KI als „Ihren privilegiertesten Zugang und Ihre größte Bedrohung durch Insider“.

KI-Systeme haben Zugriff auf Daten, Arbeitsabläufe und Entscheidungen in großem Umfang. Sie arbeiten schneller als Menschen. Und in vielen Fällen werden sie mit begrenzter Aufsicht eingesetzt.

Dadurch entsteht eine neue Art von Risiko, nicht nur im Hinblick auf Missbrauch, sondern auch auf Transparenz und Kontrolle.

Theresa hat wichtige Fragen aufgeworfen, die sich jede Organisation stellen sollte:

  • Verfügen Sie über unveränderliche Protokolle der Aktivitäten der KI?
  • Können Sie nachweisen, wie es zu dieser Entscheidung kam?
  • Verfügen Sie über eine Unternehmensführung, die den Kunden eine Stimme gibt?

Das sind Fragen des Zero Trust-Prinzips.

Sie kehren zu denselben Prinzipien zurück: kontinuierliche Überprüfung, Zugriffsbeschränkung und Verhaltensüberwachung.

Und sie unterstreichen die Notwendigkeit von Transparenz.

Ohne zu verstehen, wie KI mit Ihrer Umgebung interagiert, können Sie keine Vertrauensgrenzen durchsetzen, Anomalien nicht erkennen und Risiken nicht eindämmen.

Die nächste Herausforderung: Daten und Quantenrisiko

Neben der KI sieht Theresa eine weitere Herausforderung am Horizont: Quantencomputing.

Sie hob hervor, dass viele Organisationen den Lebenszyklus ihrer Daten noch immer nicht vollständig berücksichtigt haben.

Nicht alle Daten haben den gleichen Wert. Manche verlieren schnell an Bedeutung, während andere jahrelang relevant bleiben oder auf unbestimmte Zeit Wert besitzen.

In einer postquantenmechanischen Welt ist diese Unterscheidung von Bedeutung. Wenn Daten heute gestohlen und später entschlüsselt werden, sind die Auswirkungen dennoch real.

Theresa brachte es auf den Punkt: Organisationen müssen die „tatsächliche Haltbarkeit von Daten und ihren Wert im Laufe der Zeit“ verstehen.

Dies erfordert einen tiefergehenden Ansatz bei der Datenklassifizierung, der Zugriffskontrolle und der Architektur.

Es unterstreicht zudem die Bedeutung von Zero Trust.

Durch die Beschränkung des Zugriffs, die Überwachung der Nutzung und die Kontrolle der Kommunikationswege verringert sich die Wahrscheinlichkeit einer großflächigen Offenlegung. Selbst wenn Daten kompromittiert werden, sind die Auswirkungen begrenzt.

Was Sicherheitsverantwortliche als Reaktion tun sollten

Die gute Nachricht ist, dass Sie nicht von vorne anfangen müssen. Sie müssen lediglich Ihren Fokus verlagern.  

Hier ist Theresas Empfehlung:

  • Die Einhaltung der Vorschriften sollte als Ausgangslage und nicht als Ziel betrachtet werden. Es sollte zwar Struktur bieten, aber es garantiert keine Widerstandsfähigkeit gegen moderne Bedrohungen.
  • Investieren Sie in das Verständnis dafür, wie Ihre Nutzer tatsächlich funktionieren. Nehmen Sie sich Zeit, um zu beobachten, zuzuhören und Reibungspunkte zu erkennen.
  • Sichtbarkeit priorisieren. Sie müssen verstehen, wie Systeme kommunizieren und wie Daten fließen.
  • Intelligent durchsetzen. Nutzen Sie die Segmentierung, um dort, wo es am wichtigsten ist, das Prinzip der minimalen Berechtigungen anzuwenden. Dadurch wird die seitliche Ausbreitung eingeschränkt und Durchbrüche frühzeitig eingedämmt.

Das sind keine neuen Ideen, aber sie müssen gemeinsam angewendet werden. Hier wird Zero Trust Realität.

Warum mehr vom Gleichen die Cybersicherheit nicht lösen wird

Die Cybersicherheit steht an einem Wendepunkt. Künstliche Intelligenz beschleunigt Angriffe. Quantenphysik definiert Risiko neu. Und die Kluft zwischen Ausgaben und Ergebnissen vergrößert sich immer weiter.

Diese Lücke können wir nicht schließen, indem wir einfach mehr vom Gleichen tun.

Theresa hat einen wichtigen Punkt angesprochen. Fortschritt wird nicht im Tempo von Maschinen erfolgen. Das wird im Tempo von Vertrauen und gemeinsamem Lernen geschehen.

Das bedeutet, dass Organisationen überdenken müssen, wie sie Sicherheit konzipieren, und nicht nur, was sie einsetzen.

Zero Trust bietet einen Weg in die Zukunft, aber nur, wenn es mit der richtigen Denkweise umgesetzt wird. Diese Denkweise beginnt damit, Prioritäten zu setzen, wie die Menschen es tatsächlich nutzen werden.

Wenn die Sicherheit für den Benutzer nicht funktioniert, funktioniert sie überhaupt nicht. Und wenn wir das jetzt nicht beheben, wird die Kluft zwischen dem, was wir ausgeben, und dem, was wir schützen, nur noch größer werden.

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
8April 2026
23 min. lesen
Cyber-Resilienz
Kontaktiere uns
Aktie

Verwandte Artikel

Menschliches Vertrauen auszunutzen ist immer noch besser als Code zu hacken (und wie Zero Trust dabei hilft).
Cyber-Resilienz

Menschliches Vertrauen auszunutzen ist immer noch besser als Code zu hacken (und wie Zero Trust dabei hilft).

Erfahren Sie, wie Cyberkriminelle durch Social Engineering menschliches Vertrauen ausnutzen und warum Zero Trust so wichtig ist, um Sicherheitslücken zu begrenzen und die Ausbreitung von Angreifern zu verhindern.

Mehr lesen
Cyber-Resilienz
KI-Agenten werden zu digitalen Mitarbeitern. So schützt Zero Trust sie.
Cyber-Resilienz

KI-Agenten werden zu digitalen Mitarbeitern. So schützt Zero Trust sie.

Erfahren Sie, wie Zero Trust KI-Agenten und Maschinenidentitäten sichert und Unternehmen gleichzeitig die notwendigen Leitplanken für die Verwaltung autonomer Systeme bietet.

Mehr lesen
Cyber-Resilienz
Von „Sind Sie geschützt?“ zu „Können Sie operieren?“ Warum Regulierungsbehörden Resilienz und nicht nur Kontrollen fordern
Cyber-Resilienz

Von „Sind Sie geschützt?“ zu „Können Sie operieren?“ Warum Regulierungsbehörden Resilienz und nicht nur Kontrollen fordern

Erfahren Sie, wie Regulierungsbehörden die Einhaltung von Checklisten durch operative Resilienz ersetzen und im Rahmen der regulatorischen Vorschriften Nachweise über die Eindämmung und Reaktion auf Cyberangriffe fordern.

Mehr lesen
Banken & Finanzdienstleistungen
Einhaltung
Cyber Monday: Sind Ihre situativen Kronjuwelen in dieser Weihnachtszeit geschützt?
Cyber-Resilienz

Cyber Monday: Sind Ihre situativen Kronjuwelen in dieser Weihnachtszeit geschützt?

Angemessener Schutz ist nicht flüchtig wie das Starbucks-Produktglossar für die Feiertage. Gute Sicherheit sollte das ganze Jahr über eingebaut und berücksichtigt werden.

Mehr lesen
Schutz hochwertiger Vermögenswerte
Australiens neue Standards für Aufsichtsräte: 5 neue Sicherheitsprioritäten für ASD und AICD
Cyber-Resilienz

Australiens neue Standards für Aufsichtsräte: 5 neue Sicherheitsprioritäten für ASD und AICD

Erfahren Sie, was australische Aufsichtsräte über die neuen Cybersicherheitsprioritäten von ASD und AICD für 2025-26 wissen müssen und wie Illumio Organisationen dabei hilft, ihre Resilienz und Governance zu stärken.

Mehr lesen
Cyber-Resilienz
Treffen Sie Illumio auf der it-sa Expo&Congress 2025
Cyber-Resilienz

Treffen Sie Illumio auf der it-sa Expo&Congress 2025

Die it-sa Expo&Congress ist Ihre Gelegenheit zu sehen, wie Illumio Organisationen dabei hilft, Sicherheitsverletzungen einzudämmen und eine bessere Cyber-Resilienz aufzubauen.

Mehr lesen
Keine Artikel gefunden.

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.
Testen Sie Illumio Insights