Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Wie die US-Marine und das Ministerium für Innere Sicherheit das Zero-Trust-Prinzip umgesetzt haben

Charlie Bedell
Manager für Content-Marketing
Illumio Editorial
23April 2026
23 min. lesen

Zero Trust bietet eine Vielzahl an Frameworks.

Es gibt Reifegradmodelle, Referenzarchitekturen und Anbieterlösungen überall. Doch für viele Teams fühlt sich Zero Trust immer noch wie ein Relikt aus der Theorie an. Das Konzept ist verständlich, aber die Umsetzung in konkrete Ergebnisse ist schwieriger.

Das war der Schwerpunkt des kürzlich stattgefundenen Webinars „ Schützt die Daten, nicht den Lärm: Ein praktisches Gespräch über Zero Trust“. In der Session diskutierten John Kindervag, Chief Evangelist von Illumio und Schöpfer von Zero Trust, und Don Yeske darüber, was nötig ist, damit Zero Trust in der Praxis funktioniert.

Yeske leitete zuvor Projekte zur Entwicklung von Zero-Trust-Architekturen beim US-Marineministerium und beim US-Heimatschutzministerium, wodurch er Erfahrungen aus erster Hand in einigen der komplexesten und missionskritischsten Umgebungen der Regierung sammeln konnte.

Diese Erfahrung zeigte ihm, dass Zero Trust erst dann Realität wird, wenn es von einem breit angelegten Ziel zu einer fokussierten Umsetzung übergeht.

Dieser Wandel beginnt mit einer Idee: der Schutzoberfläche.

Dies hat dem Heimatschutzministerium und der Marine geholfen, Zero Trust von der Theorie in die operative Realität umzusetzen. Hier ist, was Organisationen heute daraus lernen können.

Warum Zero Trust ohne operativen Fokus scheitert

Yeskes Erfahrung zufolge scheitert Zero Trust oft schon, bevor es überhaupt richtig begonnen hat.

Das Problem ist nicht das Verständnis des Konzepts. Die meisten Teams verstehen die Prinzipien von Zero Trust. Das Problem liegt in der Anwendung dieser Prinzipien.

In großen Organisationen, insbesondere in der Regierung, ist der Standardansatz, in Größenordnungen zu denken. Sicherheitsteams konzipieren Initiativen auf Unternehmensebene und wenden Anforderungen breit an. Sie messen den Erfolg daran, wie weit verbreitet etwas eingesetzt wird.

Yeske beschrieb dies als eine frühe Phase des Zero-Trust-Konzepts, in der der Fokus auf der gesamten Angriffsfläche und nicht auf spezifischen Ergebnissen liegt.

Das führt zu einem bekannten Muster. Teams implementieren Funktionen wie Multi-Faktor-Authentifizierung (MFA) oder Endpunktkontrollen im gesamten Unternehmen. Das sind wichtige Schritte, aber sie führen nicht automatisch zu einem wirksamen Schutz.

Das fehlende Puzzleteil ist der Fokus.

Ohne ein klares Verständnis davon, was geschützt werden muss, werden Kontrollmaßnahmen gleichmäßig statt strategisch angewendet. Das erschwert die Messung der Auswirkungen und erhöht die Wahrscheinlichkeit, dass Risiken in kritischen Bereichen fortbestehen.

Die Schutzfläche: Wo Zero Trust beginnt

Yeskes Arbeit innerhalb des DHS und der Marine führte zu einer praxisorientierteren Herangehensweise an das Konzept des Zero Trust.

Anstatt zu versuchen, alles gleichermaßen zu schützen, sollten sich die Verantwortlichen im Sicherheitsbereich darauf konzentrieren, das zu identifizieren, was am wichtigsten ist.

Beim DHS bedeutete das, eine einfache, aber aussagekräftige Frage zu stellen: Welche Daten, Anwendungen oder Dienste würden zum Scheitern der Mission führen, wenn sie kompromittiert würden?

Diese Frage verändert die gesamte Strategie.

Es zwingt Organisationen dazu, sich von einer breiten Berichterstattung abzuwenden und sich auf konkrete Ergebnisse zu konzentrieren. Es schafft außerdem eine natürliche Möglichkeit, Prioritäten zu setzen, insbesondere in Umgebungen, in denen sowohl Ressourcen als auch Komplexität hoch sind.

Hier wird das Konzept der Schutzfläche entscheidend.

Die zu schützende Oberfläche ist die kleinste Einheit dessen, was zählt. Es handelt sich nicht um ein komplettes Netzwerk oder System. Es handelt sich um einen bestimmten Vermögenswert oder eine Ressource, deren Verlust sich die Organisation nicht leisten kann.

Indem sie sich darauf konzentrieren, können Teams Kontrollmechanismen entwickeln, die präzise, messbar und auf das reale Risiko abgestimmt sind.

Was es bedeutet, Zero Trust in die Praxis umzusetzen

Die Umsetzung von Zero Trust in die Praxis erfordert mehr als nur die Identifizierung der wichtigsten Aspekte. Es benötigt eine wiederholbare Methode, um die Sicherheit darum herum zu gewährleisten.

Yeske beschrieb, wie dies in der Praxis funktionierte.

Definieren der Schutzfläche

Der erste Schritt besteht darin, die Schutzfläche klar zu definieren. Das bedeutet, große Systeme in kleinere, verständliche und kontrollierbare Komponenten zu zerlegen. Ist der Umfang zu breit gefasst, wird die Steuerung unmöglich.

Eine hilfreiche Regel von Yeske ist, dass man jede Entität auflisten können sollte, die Zugriff auf die Schutzfläche benötigt, zusammen mit dem Zeitpunkt und dem Grund, warum dieser Zugriff erforderlich ist. Wenn das nicht möglich ist, ist der Umfang immer noch zu groß.

Verstehen Sie, was für Ihr Netzwerk normal ist.

Sobald die zu schützende Oberfläche definiert ist, geht es im nächsten Schritt darum zu verstehen, wie sie verwendet wird. Dies beinhaltet die Abbildung von Transaktionsabläufen und die Identifizierung des normalen Verhaltens. Ohne diesen Kontext ist es schwierig, eine sinnvolle Politik durchzusetzen.

Von dort aus werden die Steuerungselemente so nah wie möglich an der zu schützenden Oberfläche entworfen und angebracht. Dies ist ein wesentlicher Unterschied zu traditionellen Ansätzen, bei denen die Kontrollmechanismen oft am Rand platziert werden.

Die Politik spielt in diesem Prozess eine zentrale Rolle. Jede Zugangsentscheidung basiert auf expliziten Regeln, nicht auf Annahmen. Der Zugang wird nur bei Erfüllung der Bedingungen gewährt und im Laufe der Zeit kontinuierlich überprüft.

Überwachen und optimieren Sie Ihre Zero-Trust-Richtlinien

Abschließend wird das System überwacht und optimiert. Die Telemetrie liefert Einblicke in das Verhalten der Umgebung und ermöglicht es den Teams, Richtlinien anzupassen und sich im Laufe der Zeit zu verbessern.

Dieser Ansatz verwandelt Zero Trust von einer Reihe von Prinzipien in ein funktionierendes System.

Die Rolle der Fähigkeiten, nicht nur der Werkzeuge

Eine weitere wichtige Lehre aus Yeskes Erfahrung ist, wie Organisationen über Technologie denken.

In vielen Fällen betrachten sie Zero Trust als eine Reihe von Produktentscheidungen. Teams konzentrieren sich eher darauf, was gekauft werden soll, als darauf, was gebaut werden soll.

Beim Heimatschutzministerium verfolgte Yeske einen anderen Ansatz. Statt mit Produkten zu beginnen, konzentrierten sie sich auf Fähigkeiten.

Eine Fähigkeit ist die Fähigkeit, eine Funktion auszuführen, die eine Ressource schützt. Es umfasst Menschen, Prozesse und Technologie, die zusammenarbeiten.

Diese Unterscheidung ist wichtig.

Das bedeutet, dass Erfolg nicht davon abhängt, ob ein Werkzeug eingesetzt wird. Sie wird dadurch definiert, ob die Organisation die Funktion, die das Tool unterstützen soll, dauerhaft erfüllen kann.

Yeske merkte an, dass viele Umgebungen bereits über die benötigten Werkzeuge verfügen. Die Herausforderung besteht darin, dass diese Instrumente nicht immer effektiv oder aufeinander abgestimmt eingesetzt werden.

Durch die Fokussierung auf die vorhandenen Fähigkeiten können Organisationen ihre bestehenden Ressourcen besser nutzen und gleichzeitig feststellen, wo tatsächlich Lücken bestehen.

Skalierung von Zero Trust in komplexen Umgebungen

Eine der größten Herausforderungen im Regierungsbereich ist der Maßstab.

Das DHS umfasst beispielsweise eine Vielzahl von Behörden mit unterschiedlichen Aufgaben und technischen Anforderungen. Ein einheitlicher Ansatz ist nicht immer praktikabel.

Yeske beschrieb, wie diese Komplexität durch das Konzept eines Schutznetzes bewältigt wurde.

Ein Schutznetzwerk ist eine Reihe von Funktionen, die um eine spezifische Schutzoberfläche herum organisiert sind. Es ermöglicht Teams, Zero Trust auf eine Weise anzuwenden, die auf jedes einzelne Asset zugeschnitten ist und gleichzeitig mit einer übergeordneten Strategie übereinstimmt.

Dieser Ansatz ermöglicht schrittweise Fortschritte.

Anstatt zu versuchen, die gesamte Umgebung auf einmal zu verändern, können Organisationen Zero Trust schrittweise aufbauen. Jede geschützte Fläche wird zu einer Einheit des Fortschritts und trägt zu einer größeren, widerstandsfähigeren Architektur bei.

Wie Kindervag während der Diskussion betonte, ist dies die Art und Weise, wie Zero Trust aufgebaut werden soll: durch den Schutz einer Oberfläche nach der anderen.

Zero Trust in etwas umsetzen, das funktioniert

Zero Trust wird oft als ein angestrebtes Ziel diskutiert. In der Praxis ist es jedoch eine Methode.

Die Erfahrung von Don Yeske zeigt, dass Erfolg nicht durch die Übernahme eines Frameworks oder den Einsatz einer Reihe von Tools entsteht. Das Ergebnis ist die Anwendung einer klaren, zielgerichteten Strategie und deren konsequente Umsetzung.

Die Schutzoberfläche macht das erst möglich.

Es bietet Organisationen die Möglichkeit, von der Theorie zur Praxis überzugehen. Es bietet einen Ausgangspunkt, eine Struktur und eine Möglichkeit, Fortschritte zu messen.

In einer Welt, in der die Komplexität immer weiter zunimmt, ist diese Klarheit unerlässlich.

Das Ziel von Zero Trust ist nicht, alles gleichermaßen zu sichern, sondern sicherzustellen, dass die wichtigsten Dinge geschützt sind, egal was um sie herum geschieht.

Erfahren Sie mehr Illumio kann Zero-Trust-Sicherheit in Ihrer Regierungsbehörde aufbauen.

Charlie Bedell
Manager für Content-Marketing
Illumio Editorial
23April 2026
23 min. lesen
Regierung
Kontaktiere uns
Aktie

Verwandte Artikel

Ein ehemaliger CIO des Weißen Hauses erklärt, warum Zero Trust so gestaltet sein muss, wie Menschen tatsächlich arbeiten
Cyber-Resilienz

Ein ehemaliger CIO des Weißen Hauses erklärt, warum Zero Trust so gestaltet sein muss, wie Menschen tatsächlich arbeiten

Verbessern Sie Ihre Zero-Trust-Strategie, indem Sie sich auf das Nutzerverhalten konzentrieren, um Cyberrisiken zu reduzieren und bessere Sicherheitsergebnisse zu erzielen.

Mehr lesen
Cyber-Resilienz
John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden
Cyber-Resilienz

John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden

Erhalten Sie von John Kindervag Einblicke in die wichtigsten Zero-Trust-Wahrheiten, die Regierungsbehörden bei der Einhaltung von Zero-Trust-Vorschriften kennen müssen.

Mehr lesen
Regierung
Führen Sie diese 3 nächsten Schritte aus, wenn Ihre Behörde Zero Trust aufbaut
Cyber-Resilienz

Führen Sie diese 3 nächsten Schritte aus, wenn Ihre Behörde Zero Trust aufbaut

Zero Trust ist eine Reise, kein Ziel. Holen Sie sich die Experteneinblicke von Gary Barlet zu den nächsten Schritten, die Behörden und Kommandos beim Aufbau von Zero Trust unternehmen sollten.

Mehr lesen
Regierung
Ein Aufruf für Cyber Resilience und Zero Trust: Illumio Month im Rückblick
Cyber-Resilienz

Ein Aufruf für Cyber Resilience und Zero Trust: Illumio Month im Rückblick

Der Beginn des Jahres 2022 hat die erhöhte Priorität der Zero-Trust-Sicherheit in der heutigen Cyberlandschaft in den Fokus gerückt. Viele Unternehmen sehen sich mit einer weiteren Komplexität ihrer Netzwerke konfrontiert, da sich flexible Arbeitsoptionen weiterentwickeln, und eine volatile geopolitische Landschaft hat zu einem exponentiellen Anstieg internationaler Ransomware-Angriffe und -Verstöße geführt.

Mehr lesen
Keine Artikel gefunden.
Unsere Lieblingsgeschichten zum Thema Zero Trust im Juli 2023
Cyber-Resilienz

Unsere Lieblingsgeschichten zum Thema Zero Trust im Juli 2023

Hier sind einige der besten Zero-Trust-Geschichten und allgemeinere Erkenntnisse zum Thema Cybersicherheit aus dem letzten Monat.

Mehr lesen
Keine Artikel gefunden.
Was die neue Sicherheitspolitik von Präsident Biden für die Zukunft des Cybersports bedeutet
Cyber-Resilienz

Was die neue Sicherheitspolitik von Präsident Biden für die Zukunft des Cybersports bedeutet

Die Biden-Administration hat gerade ihr Vermächtnis in der Cybersicherheitspolitik mit einer umfassenden Executive Order gefestigt, die darauf abzielt, die Widerstandsfähigkeit zu verbessern und das Risiko für die Regierung der Vereinigten Staaten zu verringern.

Mehr lesen
Regierung

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.
Testen Sie Illumio Insights