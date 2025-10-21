Die kürzlich veröffentlichte Leitlinie der CISA (Cybersecurity and Infrastructure Security Agency), »Mikrosegmentierung in Zero Trust Teil 1: Einführung und Planung«, bestätigt, dass Mikrosegmentierung eine grundlegende Voraussetzung für Zero Trust ist [1]. Anstatt die Mikrosegmentierung für eine fortgeschrittene Phase von Zero-Trust-Initiativen aufzuheben, können und sollten Unternehmen die granulare Segmentierung als Kernbaustein der Zero-Trust-Architektur priorisieren.
Der aktuelle Bericht der CISA betont nicht nur die Bedeutung der Mikrosegmentierung für Zero Trust, sondern auch die Notwendigkeit dynamisch evolvierender Richtlinien, die Kontextdaten wie Identität, Gerätezustand, Verhaltensindikatoren und mehr nutzen – ein adaptiver Ansatz, den die CISA als »richtliniengesteuerten Zugriff« bezeichnet. Versteckt in der Veröffentlichung »Mikrosegmentierung in Zero Trust« hat die CISA ein Flussdiagramm beigefügt, das veranschaulicht, wie dynamische, bedingte Zugriffsentscheidungen für ein optimales Zero Trust getroffen werden sollten.
Kay Ernst, DACH-Manager bei Zero Networks, erläutert die Integration von richtliniengesteuerten Zugriffen bei einer Zero-Trust-Architektur.
Policy-Controlled Access: Eine Schritt-für-Schritt-Anleitung
Die CISA definiert Policy-Controlled Access als dynamische Zugriffskontrolle durch Richtlinien, bei der ein Policy Enforcement Point (PEP) und ein zugehöriger Policy Decision Point (PDP) eingesetzt werden, um sensible Systeme besser zu schützen. Um dieses Konzept zu verdeutlichen, veranschaulicht das Flussdiagramm der CISA die wichtigsten Komponenten des richtliniengesteuerten Zugriffs und wie dieser dynamische Entscheidungsprozess abläuft. Nicht jedes System ist in der Praxis bereit, diesen Ansatz zu unterstützen. Dieser Prozess ist zwar nicht für alle Verbindungen realisierbar, aber für privilegierten Zugriff ist er ein Muss. Zero Networks stellt hierfür alle wichtigen Kernkomponenten bereit:
1–2: Ein Benutzer fordert Zugriff an
Die CISA zeigt einen Benutzer (ein »Subjekt«), der über einen Policy Enforcement Point (PEP) eine Anfrage zum Zugriff auf eine Ressource (ein »Objekt«) stellt. Dies ist die Frontline-Kontrolle, an der Entscheidungen durchgesetzt werden.
Bei Zero Networks geschieht dies jedes Mal, wenn jemand versucht, auf privilegierte Ressourcen zuzugreifen. Unsere Durchsetzungspunkte fungieren als Echtzeit-Gatekeeper – inline, identitätsbewusst und für Benutzer unsichtbar, bis der Zugriff benötigt wird. Wenn es sich um privilegierten Zugriff handelt, blockiert Zero Networks automatisch den Zugriff und fordert eine PDP-Richtlinienbewertung an.
3–4: Der Policy Decision Point wird aktiv
Die Anfrage wird an einen Policy Decision Point (PDP) weitergeleitet, der laut CISA anhand von Identitäts-, Geräte- und Risikoattributen entscheidet, ob der Zugriff gewährt werden soll.
In der Praxis ist dies der Punkt, an dem Zero Networks mit Identitätsanbietern integriert wird, die PDP-Funktionalität bereitstellen. Der IDP bewertet jede Anfrage dynamisch auf der Grundlage von Richtlinien, Verhalten, Benutzeridentität, Ressourcensensibilität und weiteren Faktoren.
5–6: Die Entscheidung wird aufgezeichnet und durchgesetzt
Der PDP zeichnet seine Entscheidung auf und leitet sie an den PEP zurück, der den Zugriff entweder gewährt oder verweigert – manchmal unter bestimmten Bedingungen (z. B. durch die Forderung nach einer stärkeren Authentifizierung).
Genau so funktioniert der Just-in-Time-Zugriff von Zero. Ein temporärer Zugriff mit minimalen Berechtigungen wird nur bei Bedarf gewährt, nur, wenn er den Richtlinien entspricht und nur für die erforderliche Zeit. Kein dauerhafter Zugriff, keine übermäßigen Privilegien.
Warum (noch) nicht jede Verbindung JIT sein kann
Das Modell der CISA weist darauf hin, dass richtliniengesteuerter Zugriff der Schlüssel zur Erreichung einer optimalen Zero-Trust-Reife ist. Dennoch sind nicht alle Anwendungen oder Workloads für die Unterstützung von Just-in-Time-Zugriff ausgelegt. Einige Legacy-Systeme erfordern eine dauerhafte Konnektivität. Andere versagen unter Echtzeit-Gating. Hindernisse für JIT-Konnektivität machen einen risikoorientierten Ansatz unerlässlich. ZN wendet beispielsweise JIT MFA dort an, wo es die größte Wirkung erzielt – bei lateraler Bewegung, privilegierten Aktivitäten und interaktiven Sitzungen. Für alles andere setzen wir weiterhin geringstmögliche Berechtigungen durch, ohne jedoch den Betrieb zu stören.
Ein risikoorientierter Ansatz für JIT hilft Unternehmen, so nah wie möglich an eine umfassende Just-in-Time-Verifizierung heranzukommen und die Zero-Trust-Reife auch mit Legacy-Einschränkungen zu beschleunigen. Es ist wichtig zu beachten, dass die JIT-MFA von Zero auf fast alles angewendet werden kann – Nicht-SaaS-Assets, Legacy-Anwendungen und geschäftskritische Anwendungen. In Kombination mit unserer Netzwerksegmentierung und Identitätssegmentierung schafft sie eine weitere Sicherheitsebene, die laterale Bewegungen blockiert.
Der schrittweise Ansatz der CISA zur Mikrosegmentierung und warum Automatisierung wichtig ist
Die CISA empfiehlt einen schrittweisen Ansatz zur Mikrosegmentierung: Beginnen sollte man mit den wichtigsten Assets, den Vorgang wiederholen und skalieren. Das Problem? Manuelle Segmentierung ist langsam, anfällig und schwer zu warten, was den Weg zu Zero Trust zu einer endlosen Reise macht und in der Zwischenzeit kritische Sicherheitslücken hinterlässt.
Durch die Automatisierung der Kennzeichnung und Gruppierung von Assets sowie der Erstellung und Durchsetzung von Richtlinien können Unternehmen die Notwendigkeit vermeiden, Abhängigkeiten abzubilden oder Regeln manuell zu konfigurieren. Anstatt sich auf eine mehrphasige Reise zu begeben, können Sicherheitsteams Zero Trust durch Automatisierung beschleunigen und so in einem Bruchteil der Zeit eine optimale Reife erreichen.
Vom Framework zur Durchsetzung: Dynamische Zugriffskontrollen in der Praxis
Das richtliniengesteuerte Zugriffsmodell der CISA bietet einen klaren Entwurf dafür, wie Zero-Trust-Mikrosegmentierung in der Praxis aussehen sollte. Für Sicherheitsteams, deren Segmentierungsstrategien noch nicht mit den Richtlinien der CISA übereinstimmen, ist es an der Zeit, diese zu überdenken. Mit einer robusten Automatisierungs-Engine, identitätsbasierten Zugriffskontrollen und JIT MFA, die auf Netzwerkebene durchgesetzt wird, ist es auf einfache Weise möglich, den von der CISA empfohlenen Ansatz umzusetzen.
[1] https://www.cisa.gov/sites/default/files/2025-07/ZT-Microsegmentation-Guidance-Part-One_508c.pdf
CISA-Leitfaden: Warum ist Mikrosegmentierung so grundlegend für Zero Trust?
Jahrelang galt Mikrosegmentierung als zu komplex, zu manuell oder zu anspruchsvoll für die meisten Unternehmen. Eine Zeit lang war dieser Ruf gerechtfertigt – ältere Mikrosegmentierungslösungen sind bekanntermaßen langsam in der Bereitstellung, schwierig zu konfigurieren und ebenso mühsam zu skalieren.
Die Zeiten – und die Technologie – haben sich jedoch geändert. Als die NSA vorschlug, dass Mikrosegmentierung nur für »fortschrittliche« Großunternehmen geeignet sei, sah sich Zero Networks auf den Plan gerufen, eine Lösung zu konzipieren, die sich für Unternehmen jeglicher Kategorie eignet.
Die kürzlich veröffentlichte Leitlinie der CISA, »Microsegmentation in Zero Trust Part One: Introduction and Planning«, bestätigt, was Zero Networks seit Jahren vertritt: Mikrosegmentierung ist kein »Nice-to-have« oder eine Optimierung der Security für Großunternehmen, sondern eine grundlegende Säule der Zero-Trust-Sicherheit, die jedes Unternehmen einführen kann und sollte [1].
Von perimeterbasierten Ansätzen zu risikoorientiertem Schutz
Herkömmliche Sicherheitsmodelle stützten sich lange Zeit auf perimeterbasierte Abwehrmaßnahmen, nach dem Motto: »Bauen Sie eine starke Mauer um Ihr Netzwerk, kontrollieren Sie den Ein- und Ausgang und vertrauen Sie allem, was sich darin befindet.« Zero Trust stellt diese Philosophie auf den Kopf, indem es implizites Vertrauen beseitigt und durch explizite Verifizierung ersetzt.
Als die CISA ihr Zero-Trust-Reifegradmodell zur Unterstützung der Executive Order 14028 »Improving the Nation’s Cybersecurity« aus dem Jahr 2021 entwickelte, behielt die Behörde die Mikrosegmentierung für den Gipfel ihres Frameworks vor – einen tückischen Gipfel auf einem symbolischen schneebedeckten Berg, markiert durch eine rote Flagge, die eher wie ein Warnschild als wie eine Ziellinie wirkt [2].
Dennoch beschreibt die CISA in ihren neu veröffentlichten Leitlinien die Rolle der Mikrosegmentierung beim Aufbau von Zero-Trust-Architekturen wie folgt:
»Anstatt Verteidigungsmaßnahmen rund um Perimeter zu strukturieren und zu hoffen, dass Sicherheitsverletzungen verhindert werden können, geht die [Zero Trust]-Architektur davon aus, dass Verletzungen auftreten werden, Netzwerke bereits kompromittiert sind und das Design den Schaden aktueller und zukünftiger Verletzungen minimieren muss … Mikrosegmentierung schränkt die Möglichkeiten für Bedrohungen ein, netzwerknahe Systeme und Daten durch Schwachstellen oder andere Schwächen auszunutzen. Infolgedessen begrenzt die Mikrosegmentierung die Auswirkungen auf eine Organisation, wenn sie ausgenutzt wird.«
Mit anderen Worten: Die CISA hat seit langem die entscheidende Rolle der Mikrosegmentierung für die Erreichung echter Zero-Trust-Sicherheit anerkannt, aber die neuesten Leitlinien der Behörde markieren eine klare Abkehr vom bisherigen Denken: Die Mikrosegmentierung ist nicht mehr das Ende eines beschwerlichen Weges oder »fortgeschrittenen« Unternehmen vorbehalten, insbesondere, wenn sie in Phasen implementiert wird – und, wenn moderne Automatisierungen genutzt werden.
»Ich sage den Leuten, dass mit Automatisierung und agentenlosen Funktionen die Mikrosegmentierung nicht mehr das Ende des Weges sein muss – sie kann jetzt sogar am Anfang stehen«, so Nicholas DiCola, VP of Customers bei Zero Networks.
Ein genauerer Blick auf die neuen Leitlinien der CISA zur Mikrosegmentierung: Die wichtigsten Erkenntnisse
Die kürzlich veröffentlichten Leitlinien der CISA zur Mikrosegmentierung signalisieren eine deutliche Abkehr von früheren Frameworks, in denen die Mikrosegmentierung am Ende der Zero-Trust-Roadmaps stand. Wie Dr. Chase Cunningham, auch bekannt als Dr. Zero Trust, hervorhebt: »Die CISA hat eine Kehrtwende gegenüber früheren Empfehlungen vollzogen, in denen sie erklärte, dass die Mikrosegmentierung noch in weiter Ferne liege. Sie sprach davon als einem Folgeprojekt, das noch in weiter Ferne liege. Die neuen Leitlinien der CISA besagen: Führen Sie dies frühzeitig in Ihrem Zero-Trust-Ansatz durch.«
Diese neue Perspektive ist wahrscheinlich auf das umfassende Verständnis der CISA für moderne Netzwerke, Bedrohungen und Lösungen zurückzuführen. So stellt die CISA beispielsweise zu Beginn der Veröffentlichung fest: »Mikrosegmentierung kann auf jede Technologieumgebung angewendet werden, wie z. B. Informationstechnologie (IT), Betriebstechnologie (OT), industrielle Steuerungssysteme (ICS), Internet der Dinge (IoT) sowie jedes Implementierungsmodell, einschließlich Cloud, On-Premises und Hybrid.«
Darüber hinaus betont das Dokument die Notwendigkeit von Segmentierungsrichtlinien, die sich dynamisch weiterentwickeln und Kontextdaten wie Identität, Gerätezustand, Verhaltensindikatoren und mehr nutzen – all dies ermöglicht adaptive Richtlinien, eine Funktion, die nur mit modernen Mikrosegmentierungslösungen möglich ist.
Über die Übereinstimmung der Mikrosegmentierung mit den Zero-Trust-Prinzipien hinaus skizziert die neue Richtlinie der CISA auch umfassendere Sicherheits- und Betriebsvorteile, wie zum Beispiel:
- Reduzierung der Angriffsfläche und Verhinderung lateraler Bewegungen
- Beschleunigung der Eindämmung von Bedrohungen
- Verbesserung der Transparenz in Netzwerken und Systemen
- Ermöglichung detaillierter Richtlinien und Vereinfachung der Durchsetzung
- Verbesserung der Unterstützung für gezielte Abhilfemaßnahmen
Zusammen spiegeln diese Themen die Erkenntnis der CISA wider, dass komplexe, hybride Netzwerke und ausgefeilte Bedrohungen eine granulare Segmentierung erfordern – und moderne Lösungen machen diese für jedes Unternehmen zugänglich.
Beschleunigung der Zero-Trust-Mikrosegmentierung
Für Unternehmen, die auf den Beweis gewartet haben, dass Mikrosegmentierung ein praktikabler Ausgangspunkt für Zero Trust ist – und nicht nur ein Endziel –, gibt die neue Richtlinie der CISA grünes Licht. Diese neueste Empfehlung unterstreicht die Bedeutung der Mikrosegmentierung und gibt Sicherheitsteams die Möglichkeit, Initiativen neu zu ordnen.
Zero Networks wurde entwickelt, um die von der CISA skizzierte Vision zu verwirklichen, ohne dass manuelle Konfigurationen oder komplexe Architekturen im Weg stehen. Durch die Kombination von Identitätssegmentierung, adaptiver Richtlinienautomatisierung, MFA auf Netzwerkebene und agentenloser Bereitstellung ermöglicht Zero Networks Unternehmen, einen schrittweisen Ansatz zu überspringen und in Rekordzeit echtes Zero Trust zu erreichen.
Kay Ernst, Zero Networks
[1] https://www.cisa.gov/sites/default/files/2025-07/ZT-Microsegmentation-Guidance-Part-One_508c.pdf
[2] https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
CISA-Richtlinien für Zero-Trust-Mikrosegmentierung: Netzwerke verteidigen von selbst
Eine kürzlich von EMA durchgeführte Umfrage ergab, dass über 96 Prozent der Befragten Mikrosegmentierung als äußerst oder sehr wichtig für die Cyberabwehr betrachten [1]. Die neuesten Richtlinien der CISA (Cybersecurity and Infrastructure Security Agency) bieten Unternehmen nun einen Weg, der Prävention von lateralen Bewegungen Priorität einzuräumen.
Während Mikrosegmentierung lange Zeit als komplex und als ein Nischenthema galt, signalisiert eine neue Studie von Enterprise Management Associates (EMA) einen Wendepunkt in der Einstellung zur Mikrosegmentierung: 96 Prozent der Befragten halten Mikrosegmentierung für äußerst oder sehr wichtig für die Cyberabwehr.
Die Ergebnisse der EMA-Studie wurden nur wenige Wochen vor der Veröffentlichung der offiziellen Leitlinien der CISA zur Mikrosegmentierung zur Förderung der Zero-Trust-Architektur bekannt gegeben [2]. Die Richtlinien der CISA unterstreichen die Dringlichkeit für Unternehmen und Regierungsinstitutionen, Mikrosegmentierung als Eckpfeiler einer modernen Cyberabwehr einzusetzen, um laterale Bewegungen zu blockieren und Bedrohungen wie Ransomware einzudämmen. In ähnlicher Weise deckt die Studie von EMA die Meinung der Branche zu den größten Vorteilen der Mikrosegmentierung und den wichtigsten Funktionen auf, die auch weiterhin führende Lösungen von herkömmlichen Ansätzen unterscheiden werden.
Der reifende Markt für Mikrosegmentierung – EMA Research Report vom Juni 2025
Die EMA befragte 145 IT-Fachleute, Informationssicherheitsexperten und Führungskräfte aus dem Technologiebereich aller Branchen, um Einblicke in ihre Sichtweisen zu Mikrosegmentierungslösungen zu gewinnen.
Die wichtigsten Ergebnisse:
- Entscheidend ist, dass 33 Prozent der Befragten die Möglichkeit, Bedrohungen sofort zu isolieren und einzudämmen, als den wertvollsten Vorteil nennen – ein Zeichen dafür, dass Unternehmen ihren Fokus auf eine schnelle Reaktion auf Vorfälle und die Begrenzung des Ausmaßes von Angriffen verlagern.
- Die Unterbindung lateraler Bewegungen und die Abwehr von Ransomware (21 Prozent), die Erfüllung von Compliance- und Cyberversicherungsanforderungen (15 Prozent) sowie die Gewährleistung der Betriebskontinuität (12 Prozent) wurden ebenfalls als wichtig angesehen.
- Über die Eindämmung hinaus zeigt die Studie, was Unternehmen als Nächstes erwarten: 83 Prozent bewerten die automatisierte Erstellung von Richtlinien und das Lebenszyklusmanagement innerhalb der nächsten ein bis zwei Jahre als äußerst oder sehr wichtig. 48 Prozent betrachten die schnelle, automatisierte Erkennung und Kennzeichnung von Assets als entscheidend für die zukünftige Differenzierung. 50 Prozent halten die Integration mit Multi-Faktor-Authentifizierung (MFA) zur Sicherung privilegierter Zugriffe für äußerst wichtig.
»Als wir diese Studie durchgeführt haben, wollten wir wissen, ob die Mikrosegmentierung den Sprung von einer Nischentechnologie zu einer wichtigen Unternehmensstrategie geschafft hat«, erklärte Chris Steffen, Vice President of Research bei EMA. »Die Daten sind eindeutig: Mikrosegmentierung ist mittlerweile unverzichtbar. Unternehmen schätzen ihre Fähigkeit, Bedrohungen sofort einzudämmen, und fordern Automatisierung und Integration mit Identitäts- und Zugriffsmanagement, um ihre Abwehrmaßnahmen zukunftssicher zu machen.«
Im Gegensatz zu herkömmlichen Ansätzen, die Agenten, manuelles Schreiben von Regeln und mehrjährige Projekte erfordern, bietet Zero Networks eine Mikrosegmentierung, die direkt mit der Forderung der CISA nach einer breiten Einführung übereinstimmt: automatisiert, agentenlos und innerhalb weniger Tage implementiert. Die deterministische Automatisierungs-Engine des Unternehmens beseitigt die Komplexität, die die Mikrosegmentierung in der Vergangenheit unzugänglich gemacht hatte, und erstellt und verwaltet Richtlinien ohne fehleranfällige Vermutungen. Mit integrierter dynamischer Asset-Erkennung, Identitätssegmentierung und MFA auf Netzwerkebene ermöglicht Zero Networks Unternehmen jeder Größe, laterale Bewegungen zu verhindern und Ransomware einzudämmen – ohne zusätzlichen Betriebsaufwand.
»Unternehmen denken nicht mehr nur an die Erkennung, sie legen den Schwerpunkt auf Prävention mit sofortiger Eindämmung und Resilienz. Mit Zero Networks verteidigen sich.
Es muss nichts gefunden, gemildert oder eingedämmt werden. Wenn jemand ins Netzwerk eindringt, kann er sich einfach nicht weiterbewegen oder Schaden anrichten«, erläuterte Benny Lakunishok, CEO von Zero Networks. »Wir schätzen die Meinung der CISA in dieser Diskussion sehr und hoffen, dass Unternehmen in Verbindung mit den Ergebnissen der EMA-Studie Vertrauen gewinnen, dass Mikrosegmentierung nicht nur für die ausgereiftesten Unternehmen erreichbar ist.«
[1] https://zeronetworks.com/resource-center/white-papers/research-report-the-maturing-microsegmentation-market
[2] https://www.cisa.gov/news-events/alerts/2025/07/29/cisa-releases-part-one-zero-trust-microsegmentation-guidance
