.png)
Zero Trust in der Praxis mit Schöpfer John Kindervag und CISO Jared Nussbaum
Was passiert, wenn der Kopf hinter Zero Trust täglich jemandem gegenübersteht, der es auf die Probe stellt?
Genau das hat Illumio in die Phase von RSAC 2025 eingebracht — ein seltenes Gespräch ohne Drehbuch zwischen John Kindervag, dem Gründer von Zero Trust und Chef-Evangelist von Illumio, und Jared Nussbaum, CISO bei Ares Management und einem erfahrenen Praktiker, der die Zero-Trust-Reise von innen erlebt hat.
John stellte das Modell vor 15 Jahren vor. Jared hat Jahrzehnte damit verbracht, globalen Unternehmen dabei zu helfen, es zu übernehmen, anzupassen und sich von realen Vorfälle zu erholen. Gemeinsam haben sie herausgefunden, wo Zero Trust begann, wie es sich entwickelt hat und was nötig ist, damit es in der heutigen Bedrohungslandschaft funktioniert.
Hier sind sechs wichtige Erkenntnisse aus ihrem Gespräch, die sich jeder Sicherheitsverantwortliche zu Herzen nehmen sollte.
1. Zero Trust ist eine Strategie, kein Produkt
Während viele Anbieter versuchen, Pakete zu verpacken Null Vertrauen als Tool ist das nicht korrekt. Es ist ein strategischer Wandel in der Art und Weise, wie wir über den Schutz digitaler Umgebungen denken.
Während ihres Gesprächs war John klar: „Zero Trust ist in erster Linie eine Strategie. Es ist etwas, das du tust, nicht etwas, das du kaufst.“
Jared, der aus der Sicht des CISO sprach, stimmte zu. „Alles, was mir hilft, Sichtbarkeit zu erlangen und das Risiko zu reduzieren, ist ein Gewinn“, sagte er.
Er fügte jedoch hinzu, dass Zero Trust mit einer Denkweise und einer Strategie beginnen muss, die auf die Geschäftsergebnisse ausgerichtet sind. Bevor Sicherheitsteams sich mit Tools oder Frameworks befassen, müssen sie verstehen, was sie schützen und warum. Dadurch wird sichergestellt, dass Sicherheitsausgaben angemessen priorisiert werden und der Vorstand große Zustimmung findet.
„Zero Trust ist in erster Linie eine Strategie. Es ist etwas, das du tust, nicht etwas, das du kaufst.“
— John Kindervag, Gründer von Zero Trust
2. Mikrosegmentierung ist grundlegend
Für John Segmentierung ist grundlegend für Zero Trust. Tatsächlich war der zweite Bericht, der jemals über Zero Trust geschrieben wurde, einer, den John vor 15 Jahren geschrieben hat. Integrieren Sie Sicherheit in die DNA Ihres Netzwerks: Die Zero-Trust-Netzwerkarchitektur.
In dem Bericht hob er die Bedeutung von Segmentierung und zentralisiertem Management als Schlüsselkomponenten von Zero Trust hervor. Er rief dazu auf, neue Möglichkeiten zur Segmentierung von Netzwerken zu entwickeln, da sie alle segmentiert werden müssen.
In dem Gespräch betonte John, dass die heutigen Netzwerke standardmäßig segmentiert werden müssen, um zu verhindern, dass sich Angreifer seitwärts bewegen, sobald sie Zugriff erhalten haben. „Den Angreifern gehört es, und Sie zahlen die Rechnungen“, sagte er. „Segmentierung ist die Grundlage von Zero Trust.“
Jared veranschaulichte die Auswirkungen unsegmentierter Netzwerke am Beispiel der Zielverletzung 2013. Die Angreifer verschafften sich über einen Drittanbieter von Klimaanlagen Zugriff und drangen in die Kassensysteme ein, weil die richtigen Grenzen nicht vorhanden waren.
„Eine Segmentierung mit starken Sicherheitsgrenzen bietet Ihnen Transparenz und Kontrolle“, sagte er. „Man kann nicht jeden Angreifer am Eindringen hindern, aber man kann verhindern, dass er sehr weit kommt.“
3. Fangen Sie klein an mit Zero Trust
Einer der größten Fehler, den John sieht, ist, dass Teams versuchen, Zero Trust auf einmal im gesamten Unternehmen einzuführen.
„Die Leute scheitern bei Zero Trust, weil sie versuchen, alles auf einmal zu machen“, erklärte er. „Man muss klein anfangen — eine Schutzfläche nach der anderen.“
Sein bekanntes fünfstufige Zero-Trust-Methode betont das Bauen von Umgebungen, die maßgeschneidert, überschaubar und nachhaltig sind:
- Definieren Sie die Schutzfläche. Identifizieren Sie, was geschützt werden muss, und verstehen Sie, dass sich die Angriffsfläche ständig weiterentwickelt.
- Ordnen Sie Transaktionsflüsse zu. Verschaffen Sie sich einen Überblick über die Kommunikations- und Verkehrsflüsse, um festzustellen, wo Sicherheitskontrollen erforderlich sind.
- Entwerfen Sie die Zero-Trust-Umgebung. Sobald die vollständige Sichtbarkeit erreicht ist, implementieren Sie auf jede Schutzfläche zugeschnittene Steuerungen.
- Erstellen Sie Zero-Trust-Sicherheitsrichtlinien. Entwickeln Sie detaillierte Regeln, die dem Verkehr den Zugang zu Ressourcen innerhalb der Schutzfläche ermöglichen.
- Überwachen und warten Sie das Netzwerk. Richten Sie mithilfe von Telemetrie eine Feedback-Schleife ein, verbessern Sie kontinuierlich die Sicherheit und bauen Sie ein robustes, antifragiles System auf.
Nussbaum hat in der Praxis gesehen, wie sich dasselbe abgespielt hat. „Unternehmen haben mit Zero Trust zu kämpfen, wenn sie zu viel auf einmal übernehmen“, sagte er. „Wenn Sie klein anfangen, sich mit Ihren Stakeholdern abstimmen und schrittweise aufbauen, wird Zero Trust machbar.“
Er betonte, wie wichtig es sei, die Umwelt zu verstehen, klare Ziele zu definieren und frühzeitig Werte zu liefern, um Dynamik aufzubauen. Andernfalls warnt er davor, dass Zero-Trust-Projekte schnell auseinanderfallen und die Sicherheitslage eines Unternehmens beeinträchtigen können.
4. Identität ist nicht genug
Während Identität in Zero-Trust-Gesprächen oft im Mittelpunkt steht, hat John diese Vorstellung von Anfang an in Frage gestellt. „Identität ist nur ein Signal“, sagte er. „Es ist immer fungibel. Man braucht mehr Kontext, um gute Entscheidungen zu treffen.“
Mit anderen Worten, wenn Sie sich ausschließlich auf die Identität verlassen, besteht ein Risiko. Dies liegt daran, dass es immer noch möglich ist, dass eine Sitzung gekapert oder eine Identität missbraucht wird.
Jared bekräftigte die Notwendigkeit, über die Benutzeranmeldeinformationen hinauszuschauen. „Du musst kontinuierlich überprüfen der Benutzer, sein Gerät, wo er arbeitet, worauf er zugreift und ob das sinnvoll ist „, sagte er.
Er wies darauf hin, dass es auch nicht nur um Menschen geht. Die Kommunikation von Workload zu Workload muss ebenfalls überprüft und kontrolliert werden. „Ohne den vollständigen Kontext können Sie keine effektiven Richtlinien durchsetzen.“
KI-Observability-Tools wie Illumio Einblicke bieten den tiefen Kontext, den moderne Sicherheit erfordert. Sie helfen Ihnen, den Kontext Ihrer Umgebung zu verstehen, um Verhalten zu verstehen, Anomalien zu erkennen und Risiken auf der Grundlage dessen abzuschätzen, wie die Dinge funktionieren sollen und was tatsächlich vor sich geht.
5. Cyberrisiken in geschäftlicher Hinsicht einordnen
John beschrieb Zero Trust als „die große Strategie der Cybersicherheit“. Er wies auf die zunehmende Akzeptanz bei Regierungen und Unternehmen gleichermaßen hin.
Insbesondere teilte er mit, wie die Strategie auch bei den Kongressführern nach dem OPM-Datenschutzverletzung. Zu diesem Zeitpunkt wurde Zero Trust als das Modell identifiziert, das die Bewegungen der Angreifer hätte einschränken und die nationale Sicherheit schützen können.
Aber wie Jared betonte, ist es nur wichtig, über Zero Trust — oder Cybersicherheit im weiteren Sinne — zu sprechen, wenn man es im Hinblick auf das Geschäftsrisiko betrachtet.
„Cyberrisiken tragen zum Geschäftsrisiko bei, aber sie sind nicht dasselbe“, sagte er. „Ihrem Board sind Verweildauer oder Ransomware-Payloads egal. Sie sorgen sich um Ausfallzeiten, Umsatzverluste, Auswirkungen auf die Kunden und regulatorische Konsequenzen.“
Für Jared übersetzt er Sicherheitsbedenken in Geschäftsergebnisse ist es, was die Akzeptanz fördert und dafür sorgt, dass Sicherheit im gesamten Unternehmen erfolgreich ist.
„Ihrem Board sind Verweildauer oder Ransomware-Payloads egal. Sie sorgen sich um Ausfallzeiten, Umsatzverluste, Auswirkungen auf die Kunden und regulatorische Konsequenzen.“
— Jared Nussbaum, CISO für Ares Management
6. Passen Sie Zero Trust an Ihre Umgebung an
Eines der wichtigsten Argumente, die John während des Vortrags ansprach, war, dass jede Zero-Trust-Umgebung so aufgebaut sein muss, dass sie zum Unternehmen passt.
„Jede Umgebung ist maßgeschneidert“, sagte er. „Man kann nicht einfach eine Referenzarchitektur von der Stange nehmen und erwarten, dass sie funktioniert. Sie müssen es auf der Grundlage Ihrer Schutzoberfläche und der Anforderungen des Unternehmens entwerfen.“
Jared stimmte zu und hob die Bedeutung einer funktionsübergreifenden Zusammenarbeit hervor.
„Zero Trust kann man nicht in einem Silo machen“, erklärte er. „Sie müssen Infrastrukturteams, App-Entwickler, Geschäftsbereiche und sogar die C-Suite hinzuziehen. Wenn Sie sich nicht an ihre Prioritäten und Zeitpläne halten, wird Ihr Programm keinen Erfolg haben.“
Er betonte den Wert einer kontinuierlichen Kommunikation und forderte Sicherheitsverantwortliche auf, „Ihre Pläne frühzeitig und häufig zu besprechen und sie auf der Grundlage des Feedbacks des Unternehmens anzupassen“.
Integrieren Sie Zero Trust in Ihre Strategie
John Kindervag und Jared Nussbaum brachten unterschiedliche Perspektiven in die RSAC-Phase ein — die eine als Gründer von Zero Trust, die andere als Praktiker, der es täglich anwendet. Aber beide waren sich einig: Zero Trust ist eine Reise, kein einmaliges Projekt.
„Du wirst mit Zero Trust fertig sein, wenn du mit dem Atmen fertig bist“, scherzte John. „Dies ist eine langfristige Strategie.“
Für Sicherheitsverantwortliche, die eine widerstandsfähigere Grundlage schaffen möchten, bietet Zero Trust einen bewährten Weg in die Zukunft. Es beginnt mit der Strategie, skaliert mit der Geschäftsausrichtung und wird durch Transparenz, Kontext und Kontrolle erfolgreich.
Erfahre mehr darüber, wie mehr Illumio-Kunden setzen Zero Trust in ihren Organisationen in die Praxis um, oder kontaktiere uns noch heute um mit einem unserer Zero-Trust-Experten zu sprechen.
.webp)
