Zero Trust ist zum am meisten überstrapazierten Begriff im Cybersicherheitsmarketing geworden. Jeder Anbieter behauptet, es zu liefern. Jedes Framework referenziert es. Aber nach der Implementierung von Zero-Trust-Architekturen bei über 170 südafrikanischen Organisationen in den letzten sechs Jahren haben wir gelernt, dass die Realität weit nuancierter ist, als jede Präsentation vermuten lässt.
Von Neil Beulecke, Geschäftsführer — Layer7 Networking
Mit Identität beginnen, nicht mit dem Netzwerk
Der häufigste Fehler, den Organisationen machen, ist, Zero Trust als Netzwerksegmentierungsprojekt zu behandeln. Das ist es nicht. Zero Trust ist grundsätzlich ein Identitätsproblem.
Bevor Sie ein einziges VLAN segmentieren, müssen Sie beantworten: Wer sind Ihre Benutzer? Welche Geräte verwenden sie? Welche Anwendungen brauchen sie? Wie ist ihr Risikoprofil? Wenn Sie diese Fragen nicht mit Zuversicht beantworten können, wird Ihre Segmentierung auf Annahmen basieren — und Annahmen sind das, was Angreifer ausnutzen.
In der Praxis bedeutet dies, dass Ihre erste Investition in Identity Governance fließen sollte: ein moderner Identitätsanbieter mit Conditional-Access-Richtlinien, phishing-resistentem MFA und Gerätevertrauensüberprüfung. Machen Sie dies richtig, und Ihre nachfolgenden Segmentierungsentscheidungen werden auf der Realität basieren statt auf Vermutungen.
Segmentieren vor Verschlüsseln
Wir sehen Organisationen, die verschlüsselte Tunnel und Private-Access-Lösungen bereitstellen, bevor sie eine sinnvolle Netzwerksegmentierung etabliert haben. Das Ergebnis ist verschlüsselter Verkehr, der über ein flaches Netzwerk fließt — was wohl schlimmer ist als die Ausgangslage, weil Sie jetzt die Sichtbarkeit auf lateralen Verkehr verloren haben.
Die richtige Reihenfolge:
- Entdecken und klassifizieren — verstehen Sie, was sich in Ihrem Netzwerk befindet, wohin Daten fließen und welche Abhängigkeiten bestehen.
- Segmentieren — schaffen Sie logische Grenzen zwischen Workloads, Umgebungen und Vertrauensstufen. Mikro-Segmentierung ist ideal, aber Makro-Segmentierung (Produktion von Entwicklung trennen, OT von IT, Management- von Benutzerverkehr) liefert 80 % des Werts.
- Richtlinie anwenden — definieren Sie, welcher Verkehr zwischen Segmenten erlaubt ist, und verweigern Sie alles andere.
- Verschlüsseln — sobald Sie Sichtbarkeit und Kontrolle haben, fügen Sie Verschlüsselung für sensible Datenströme hinzu.
Nicht den Ozean zum Kochen bringen
Zero Trust ist eine Reise, kein Ziel. Organisationen, die versuchen, alles gleichzeitig zu implementieren — Identität, Segmentierung, Verschlüsselung, kontinuierliche Verifizierung, Gerätevertrauen, Zugriff auf Anwendungsebene — bleiben typischerweise in der Planungsphase stecken und implementieren nichts.
Unser phasenbasierter Ansatz liefert messbare Risikoreduktion in jeder Phase:
Phase 1 (Monate 1-3): Identitätsfundament. Modernen Identitätsanbieter bereitstellen, Conditional Access implementieren, phishing-resistentes MFA für privilegierte Konten einführen. Messbares Ergebnis: Eliminierung der reinen Passwort-Authentifizierung für administrativen Zugang.
Phase 2 (Monate 3-6): Netzwerksichtbarkeit. Network Detection and Response bereitstellen, Baseline-Verkehrsmuster etablieren, Shadow-IT und nicht genehmigte Datenflüsse identifizieren. Messbares Ergebnis: vollständiges Inventar der Ost-West-Verkehrsmuster.
Phase 3 (Monate 6-12): Makro-Segmentierung. Kritische Asset-Zonen separieren, Firewall-Richtlinien zwischen Segmenten implementieren, anwendungsbewusste Richtlinien bereitstellen. Messbares Ergebnis: Laterale Bewegung zwischen Segmenten erfordert explizite Richtliniengenehmigung.
Phase 4 (Monate 12-18): Mikro-Segmentierung und kontinuierliche Verifizierung. Segmentierung auf Workload-Ebene, kontinuierliche Posture-Bewertung, automatisierte Richtliniendurchsetzung. Messbares Ergebnis: Blast-Radius eines kompromittierten Endpoints begrenzt auf seine unmittelbare Workload-Gruppe.
Häufige Fehler, die wir sehen
Ein „Zero-Trust-Produkt" kaufen. Zero Trust ist eine Architektur, kein Produkt. Jeder Anbieter, der Ihnen eine Box mit dem Label „Zero Trust" verkauft, verkauft Ihnen bestenfalls eine Komponente und schlimmstenfalls Marketing. Sie brauchen eine Architekturstrategie, keine Bestellung.
Legacy-Systeme ignorieren. Ihre Zero-Trust-Architektur muss Systeme berücksichtigen, die keine moderne Authentifizierung unterstützen — OT-Umgebungen, Legacy-Anwendungen, Mainframes. Diese in kompensierende Kontrollen einzubetten ist unerlässlich; sie zu ignorieren schafft Lücken, die Angreifer finden werden.
Die Benutzererfahrung vergessen. Wenn Zero Trust die Arbeit der Menschen erschwert, werden sie Workarounds finden. Shadow-IT, persönliche Geräte, Credential-Sharing — alles, was Sie zu verhindern versuchen. Jede Sicherheitsmaßnahme muss gegen die Reibung gemessen werden, die sie einführt.
Keine Metriken. Wenn Sie Ihre Zero-Trust-Reife nicht messen können, können Sie dem Vorstand keinen Fortschritt demonstrieren, keine fortgesetzte Investition rechtfertigen oder Lücken identifizieren. Definieren Sie Ihre Metriken, bevor Sie beginnen: durchschnittliche Zeit zur Erkennung lateraler Bewegung, Prozentsatz der Anwendungen hinter identitätsbewussten Proxies.
Der südafrikanische Kontext
Die Zero-Trust-Einführung in Südafrika steht vor spezifischen Herausforderungen. Fachkräftemangel bedeutet, dass Organisationen nicht immer dedizierte Zero-Trust-Teams besetzen können. Stromausfälle schaffen Zuverlässigkeitsbedenken für Always-on-Verifizierungssysteme. Budgetbeschränkungen erzwingen schwierigere Priorisierungsentscheidungen. Und die regulatorische Landschaft entwickelt sich weiter.
Das sind keine Gründe, Zero Trust zu vermeiden — es sind Gründe, pragmatisch bei der Implementierung zu sein. Beginnen Sie mit den Bereichen mit dem höchsten Risiko, liefern Sie messbare Verbesserungen in 90-Tage-Zyklen und bauen Sie institutionelles Wissen auf dem Weg auf.
Layer7 Networking hat Zero-Trust-Architekturen für Organisationen in den Bereichen Finanzdienstleistungen, Bergbau, Einzelhandel und Regierung implementiert. Unser phasenbasierter Ansatz liefert Risikoreduktion vom ersten Tag an, nicht erst im achtzehnten Monat.