«Für Zero Trust braucht es ein offensives Mindset»

Was, wenn es bei Zero Trust gar nicht darum geht, Menschen zu misstrauen? Sondern darum, Risiken zu begegnen und wie ein Angreifer zu denken? Im Interview argumentiert Chase Cunningham, bekannt als «Dr. Zero Trust», dass es darum geht, Risiken zu minimieren und eine offensive Denkweise einzunehmen, um Cybersecurity-Ziele zu erreichen.

Chase Cunningham, viele Leute scheinen Zero Trust misszuverstehen. Wo liegen sie typischerweise falsch?

Die meisten Menschen gehen bei Zero Trust fälschlicherweise davon aus, dass wir den einzelnen Personen nicht vertrauen. Das ist überhaupt nicht der Fall. Was wir sagen, ist, dass wir nicht sicher sein können, dass jemand oder etwas innerhalb der Organisation kein Risiko einbringt. Unser Ziel ist es, dieses Risiko zu mindern. Als Cybersecurity-Experte finde ich es verblüffend, dass wir trotz jahrzehntelanger Belege, dass wir Systemen und Menschen nicht blind vertrauen sollten, immer noch über diesen Punkt debattieren. Gefährdungen erfolgen durch Menschen wie durch Maschinen, und Seitwärtsbewegungen können verheerend sein. Wir sollten dieses veraltete Denken überwinden.

Fliegen Sie?

Ja, ab und zu.

Auf einem Flug ist man die ganze Zeit in einer Zero-Trust-Umgebung, obwohl die meisten es nicht merken. Am Flughafen wird man mehrmals überprüft. Man geht durch die Sicherheitskontrolle, wo alles, was man dabeihat, kontrolliert wird. Steigt man in das Flugzeug, stellt das Ticket sicher, dass man Passagier ist – und nicht der Pilot – und auf dem zugewiesenen Sitzplatz sitzt. Ist der Flug vorbei, steigt man aus und fertig. Der gesamte Ablauf ist ein Zero-Trust-Prozess. Er ist nicht so unangenehm, dass Menschen deswegen nicht fliegen würden. Er existiert einfach, weil der Vorgang aussergewöhnliche Risiken und einen aussergewöhnlichen Wert birgt. Also ergreifen wir Massnahmen, um diese Risiken zu mindern. Mich amüsiert es, dass immer noch gegen diesen Ansatz argumentiert wird.

Sie sagen, Zero Trust sei eine Strategie und nicht etwas, das man einfach als Produkt kaufen könne. Kadermitarbeitende und Führungskräfte konzentrieren sich oft auf Tools, aber für Zero Trust müssen sie ihr Mindset ändern. Wie funktioniert das?

Das Interessante an Zero Trust ist, dass es sich nicht um eine technologische Frage handelt. Die Technologie, die für Zero Trust benötigt wird, existiert bereits; es geht einfach darum, sie richtig einzusetzen. Was die meisten falsch machen, ist, dass sie Dinge mit einer defensiven Denkweise angehen. Das ist bei Cybersecurity ineffektiv. Man muss offensiv denken: Wo kann man sich den Gegnern stellen und sie ausmanövrieren? Man muss sich zu einem schwierigeren Ziel machen, damit die Angreifer es woanders versuchen. Das erfordert ein Umdenken.

Jahrzehntelang glaubten wir, dass die Errichtung höherer Schutzmauern und der Erwerb von mehr Technik letztendlich alle Gefährdungen verhindern würde. Dieser Ansatz funktioniert aber nicht. Alles, was entwickelt wurde, kann rückentwickelt werden – Stichwort Reverse Engineering –, und Verstösse wird es immer geben. Das eigentliche Ziel sollte darin bestehen, zu akzeptieren, dass Gefährdungen unvermeidlich sind, und dann Mittel und Instrumente bereitzustellen, um den Gegnern entgegenzutreten. Das Ziel lautet, es für sie unrentabel zu machen, Ihre Umgebung anzuvisieren, denn sie arbeiten mit einem Geschäftsmodell.

«Was die meisten falsch machen, ist, dass sie Cybersecurity mit einer defensiven Denkweise angehen.»

Chase Cunningham

Cybersecurity wird in vielen Organisationen als Kostenfaktor oder als eine Art Versicherung angesehen. Daher besteht Zurückhaltung, ausreichend in die Sicherheit zu investieren. Wie erhalten Cybersecurity-Profis Managementunterstützung für ihre Vorschläge oder Vorhaben?

Viele Jahre lang bekamen die Sicherheitsabteilungen einen Blankoscheck. Diese Zeiten sind vorbei, denn das Management erwartet nun einen Return on Investment. Das macht eine Zero-Trust-Strategie so wertvoll. Organisationen, die Zero Trust einführen, setzen oft Mittel durch die Eliminierung von Assets frei, die keinen Wert bieten und nicht dazu beitragen, Angreifer zu stoppen.

Strategen betrachten das Problem und ermitteln das erforderliche Minimum, um die Bedrohung zu beseitigen oder zu verringern. Das ist der richtige Ansatz. Wir müssen die Mentalität «Gib mir mehr und irgendwann habe ich genug, um den Angreifer zu stoppen» überwinden.

Ein anderes Kalkulationsmanagement muss die Sicherheitskosten im Vergleich zu den Kosten eines erfolgreichen Angriffs berücksichtigen. Überlegen Sie sich, wie lange eine Betriebsstörung dauert und wie viel Geld während eines solchen Ausfalls verloren geht. Das ist die Rechnung, die Sie anstellen sollten.

Also ist es im Wesentlichen Risikomanagement?

Ja, es geht um Risikomanagement und Produktivität. Das ist das Ziel, das wir alle anstreben.

Wie sieht es mit dem Kulturwandel in Organisationen bei der Einführung von Zero Trust aus?

Eine Zero-Trust-Strategie kann die Art und Weise, wie Menschen denken oder arbeiten, verändern. Es erfordert ein gewisses Sicherheitsbewusstsein, um zu verstehen, was passiert und warum es notwendig ist – zum Beispiel, warum man seine Dokumente klassifizieren sollte. Niemand macht das gerne, mich eingeschlossen.

Dazu gibt es unterschiedliche Richtungen. Aus meiner Erfahrung gehe ich davon aus, dass Security Awareness zu oft als reine Kontrolle eingesetzt wird. Wenn wir Phishing-Trainings und Security-Awareness-Programme durchführen, sind die Menschen besser geschult und in der Lage, Fallen leichter zu umgehen. Das ist nicht unbedingt falsch, aber es ist keine Kontrollmassnahme. Immer noch fallen Menschen auf Phishing-Attacken herein. Das gebräuchlichste Passwort im Jahr 2025 ist immer noch «1234567&». Mit dem Element Mensch kommen wir nicht gross voran.

Meine Sichtweise unterscheidet sich von vielen anderen: Ich möchte nicht, dass die Menschen Sicherheitsexperten werden; ich möchte, dass sie sicher arbeiten. Das versuchen wir mit der richtigen Technologie – abgestimmt auf die Strategie – zu erreichen. Die Menschen sollten in der Lage sein, ihre Arbeit zu machen, und Sicherheit sollte nahtlos im Hintergrund geschehen.

Ich möchte kurz auf KMU eingehen. Oft haben sie keine eigene Sicherheits- oder IT-Abteilung und sind auf IT-Partner angewiesen. Wie kann ein KMU Zero Trust einführen, wenn ihm die Mittel oder das Know-how fehlen?

Es gibt zwei Möglichkeiten, dieses Problem anzugehen. Erstens: Wenn Sie nicht über die notwendigen Ressourcen und Zeit verfügen, holen Sie sich externe Unterstützung bei einem Managed Security Service Provider. Das spart Geld, und wenn etwas schiefgeht, haben Sie jemanden, der Ihnen bei der Wiederherstellung hilft. In acht von zehn Fällen empfehle ich Organisationen in diesem Sektor, einen Partner zu suchen, der sie bei Zero Trust unterstützt.

Alternativ, wenn Sie das selbst übernehmen möchten, ist eine Fülle an Dokumentationen verfügbar, die Ihnen als Leitfaden dienen können. Ich empfehle, auf Cloud-Lösungen zu setzen und sich auf die Basics zu konzentrieren. Eines der grössten Risiken für Ransomware in KMU ist PowerShell auf Windows-Rechnern. Wenn Sie die Bedrohung verringern möchten, deaktivieren Sie PowerShell auf diesen Computern. Dieser eine Schritt kann einen grossen Unterschied machen. Viele Aufgaben, die schwierig erscheinen, sind es nicht, aber hier muss sich das Mindset ändern: Was macht der Angreifer und welche einfachen Massnahmen können Sie ergreifen, damit es sich für ihn weniger lohnt? Verstösse oder Risiken werden Sie nie ganz beseitigen, aber Sie können sie so weit wie möglich reduzieren.

Oft fehlt es also an den Sicherheitsgrundlagen?

Wir nennen es «Blocking and Tackling». Wenn Sie bei diesen Basics gute Praktiken etabliert haben, sind Sie wahrscheinlich den meisten anderen voraus. Betrachten Sie es aus der Perspektive des Angreifers: Angenommen, ich bin ein Einbrecher, fahre eine Strasse entlang und sehe zwei Häuser – eines mit drei Dobermännern, überall Überwachungskameras und einem hohen Zaun, eines mit keinerlei Sicherheitsvorkehrungen. Welches Haus werde ich anvisieren? Die Antwort liegt auf der Hand.

In der Zero-Trust-Welt werden die Konzepte Resilienz und Abschreckung immer mehr anerkannt. Ich möchte meine Systeme schnell wiederherstellen und weiterarbeiten können, und ich kann gewisse Gefährdungen akzeptieren, weil ich sie antizipiere. Ich will Gegner abschrecken und klarstellen, dass es nicht angenehm sein wird, mich anzugreifen.

Das heisst, es geht darum, den Angreifer zu stoppen und sich so schnell wie möglich von einem Vorfall zu erholen?

Ganz genau. Bei der Zero-Trust-Strategie gewinnt auch ein vom Militär kopiertes Konzept namens «Contested Space», also die Vorstellung eines umkämpften Raumes, an Bedeutung. Es gibt Systeme, die ich nie vollständig sichern oder kontrollieren kann. Ich isoliere sie, segmentiere sie und behalte so viel Steuerung und Kontrolle wie möglich, aber ich verschwende keine Ressourcen dafür.

Es geht darum, Risiken zu akzeptieren, wo es notwendig ist?

Ganz genau. Wir alle tun das. Irgendwann müssen Sie ein gewisses Risiko in Kauf nehmen. Wenn ich das reale Risiko für diesen umkämpften Raum isolieren und das Vertrauen in das bewahren kann, was ich kontrollieren kann, dann mache ich es richtig. Es gibt ein berühmtes Sprichwort: «Wenn alles Priorität hat, hat letztlich nichts Priorität.» Das Risiko muss entsprechend priorisiert und kalkuliert werden. Seit Jahren wird über «Kronjuwelen» und Zero Trust diskutiert. Das verstehe ich, aber als Stratege bevorzuge ich den Begriff «Gravitationszentrum». Sie wissen vielleicht nicht, was Ihre Kronjuwelen sind, aber die meisten wissen, wo das Gravitationszentrum ihres Geschäfts liegt. Würde ich Swisscom fragen, was ihr wertvollstes geistiges Eigentum ist, gäbe es möglicherweise keine eindeutige Antwort. Würde ich aber nach dem Gravitationszentrum fragen – der wichtigsten Gruppe, Infrastruktur oder Anlage –, könnte man mir das wahrscheinlich sagen.

Manchmal frage ich mich: Wenn alle Cybersecurity so gut beherrschen, weshalb kommt es dann immer noch zu Angriffen?

Weil Prioritäten falsch liegen, und deshalb ist defensives Denken problematisch. Wir sollten offensiv denken und die Realität akzeptieren. Dieses Konzept ist für die Menschen am schwierigsten nachzuvollziehen.

Lassen Sie uns also über die offensive Seite sprechen. Mir gefällt Ihre Idee, dass Angreifer Organisationen als Graphen betrachten. Wenn ich es richtig verstehe, sehen sie von aussen Netzwerkverbindungen zwischen Geräten und suchen nach Schwachstellen, die sie durch lateral Movement ausnutzen können. Aber sie haben keinen vollständigen Überblick über die Infrastruktur. Sie empfehlen, dass Unternehmen ihre eigene Landkarte kennen sollten. Was sollte auf dieser Karte stehen, und wie fängt man an, sie zu erstellen?

Wenn man sich auf eine Reise begibt, braucht man eine Karte, die einem den Weg weist. Den meisten Organisationen fehlt ein umfassendes Asset-Inventar und sie wissen nicht, wie ihre Infrastruktur untereinander verbunden ist. Mit der Zugabe von Slack, AI, GPTs und Cloud-Diensten wird die Mischung verwirrend. Um sich effektiv zu verteidigen, müssen Sie das Gelände kennen. Ihre Karte muss nicht perfekt sein, aber sie sollte besser sein als die des Angreifers. Sicherheitsgraphen, wie in meinem Buch «Think Like an Attacker» beschrieben, sind von unschätzbarem Wert. Die Graphentheorie war es, womit wir Gegner im Irak und Afghanistan aufspürten.

Ich bin mir nicht sicher, ob ich den Ausdruck «Dumpster Chicken» (dt.: «Müllhühner») aus Ihrem Buch «How NOT to Lead» verstehe. Welche Auswirkungen hat es auf die Cybersecurity, wenn Führungskräfte keine klaren Entscheidungen treffen?

Es führt zu einem langsamen Rückgang. Wenn man ständig «nein», «können wir nicht» oder «das geht nicht» hört, resigniert man irgendwann und lässt Dinge geschehen. Gerade in einem so kritischen Bereich wie Cybersecurity ist das nicht der richtige Ansatz. In meinem Buch erwähne ich «Müllhühner» als Lektion einer Führungskraft: Wenn Sie ein Problem schildern, müssen Sie auch eine Lösung vorschlagen, bevor Sie gehen. Es mag keine perfekte Lösung sein, aber sie muss einen Weg nach vorne aufzeigen. Viele von uns im Technologiebereich sind binäre Denker – ja oder nein. Aber wir müssen die Grauzonen annehmen und Wege finden, um Hindernisse zu überwinden. Führungskräfte sollten bereit sein, dies zu tun.

«Seit Jahren wird über Kronjuwelen und Zero Trust diskutiert. Das verstehe ich, aber als Stratege bevorzuge ich den Begriff ‹Gravitationszentrum›.»

Chase Cunningham

Führungskräfte denken oft in Kosten – was kostet es, und wie viel kostet es, wenn wir nicht handeln? Wenn ich bei Swisscom mit Cybersecurity-Profis spreche, sagen sie oft, die Schwierigkeit sei, Fachjargon in eine Sprache zu übersetzen, die Führungskräfte verstehen.

Das ist eine Herausforderung für alle. Viele von uns im Technologiebereich sind nicht gut in «Business-Sprache». Ich musste lernen, unternehmerisch zu kommunizieren, und ich lerne immer noch dazu. Aus unserer Sicht sollten wir uns darauf konzentrieren, die Business-Sprache zu erlernen.

Haben Sie schon einmal von der «Kill Chain» von Lockheed Martin gehört? In Workshops erkläre ich den Leuten die Kill Chain – ein sehr technisches Konzept aus der Cybersecurity – und stelle dann ein Vertriebsmodell der Harvard Business School vor. Ich vergleiche das Vertriebsmodell mit der Kill Chain und beide sind gar nicht so verschieden. Es handelt sich um einen Prozess, eine Methode, ein Ergebnis. Normalerweise verstehen die Geschäftsleute im Raum es plötzlich, weil wir es in ihre Sprache übersetzt haben.