Die Geschichte von Zero Trust Origin

0:00:00.0 Raghu Nandakumara: Ich sagte, alle Schnittstellen sollten das gleiche Vertrauen haben und es sollte Null sein. Und genau da kommt Zero Trust her. Es ist nur ein Widerstand gegen die Art und Weise, wie wir Firewalls gebaut haben, was sich auf die Richtlinien ausgewirkt hat, und dafür gab es keinen Grund.

0:00:18.5 Raghu Nandakumara: Wir sind zurück mit einer neuen Staffel von The Segment, einem Zero Trust Leadership Podcast. Ich bin Ihr Moderator Raghu Nandakumara, Head of Industry Solutions bei Illumio, dem Zero Trust-Segmentierungsunternehmen. Zum Auftakt der zweiten Staffel gesellt sich John Kindervag zu mir, ein Mann, der keiner Einführung in die Welt von Zero Trust bedarf. John gilt weithin als einer der weltweit führenden Cybersicherheitsexperten. Mit über 25 Jahren Erfahrung als Praktiker und Branchenanalyst ist er vor allem für die Entwicklung des revolutionären Zero-Trust-Modells für Cybersicherheit bekannt. Heute ist John als Chef-Evangelist bei Illumio dafür verantwortlich, das Bewusstsein dafür zu schärfen und die Einführung der Zero-Trust-Segmentierung voranzutreiben. Heute spricht John mit uns über die Entstehungsgeschichte von Zero Trust, wo Menschen auf ihren Zero-Trust-Reisen etwas falsch machen, was KI und ML für die Zukunft der Sicherheit bedeuten und vieles mehr.

0:01:18.1 Raghu Nandakumara: Das ist The Segment. Dies ist ein Zero Trust-Podcast zur Führung. Und zum Auftakt der zweiten Staffel finde ich es nur richtig, dass wir den Paten von Zero Trust als Eröffnungsgast haben. Ich würde sagen, der Grund, warum wir dieses Gespräch in diesem Podcast überhaupt führen, ist Mr. John Kindervag, Chefevangelist bei Illumio. John, willkommen.

0:01:45.2 John Kindervag: Hallo, Raghu. Es ist mir immer eine Freude, mit Ihnen zu sprechen, und ich freue mich, an diesem speziellen Podcast teilzunehmen. Dies ist der wichtigste Podcast im Internet.

0:01:54.5 Raghu Nandakumara: Absolut. Und ich denke, die Bedeutung davon hat gerade zugenommen, John, mit deiner Anwesenheit. Und natürlich werden wir zu gegebener Zeit wieder über Zero Trust sprechen, zurück zu Ihrer Zeit bei Forrester. Aber davor liebt jeder eine gute Entstehungsgeschichte und Sie haben einen großartigen, ich würde sagen, Spitznamen oder Titel als der Pate von Zero Trust. Also, wie wurde der Pate von Zero Trust der Pate von Zero Trust?

0:02:25.1 John Kindervag: Versehentlich war es nur ein reiner Unfall. Ich meine, ich hatte viele Jobs. Ich bin auf einer Farm aufgewachsen und arbeite, seit ich ein kleiner Junge war. Und mein erster bezahlter Job, denn wenn man auf einer Farm arbeitet, hat man viele Jobs, aber man wird nicht bezahlt, sondern ernährt. Aber mein erster richtiger Job war als Reinigungskraft für Schreibmaschinen und als Mechanikerlehrling. Das ist eine Karriere, bei der ich froh bin, dass ich nicht weitergemacht habe, weil sie nicht mehr existiert. Richtig? Eine Person auf der Welt braucht einen Schreibmaschinen-Mechaniker, und das ist Tom Hanks. Er hat sogar seinen eigenen Schreibmaschinen-Mechaniker, weil er ausgerechnet alte Schreibmaschinen sammelt. Also, ich denke, das Leben ist eines dieser Dinge, bei denen man, wenn man sich auf die Reise begibt, an verschiedenen Orten landet. Also war ich lange Zeit Rundfunkingenieur, weil ich Technologie mochte und das war das technischste Ding auf dem Planeten.

0:03:20.4 John Kindervag: Ich habe Satelliten-Uplinks gemacht und die Satellitenübertragungen für den Bombenanschlag auf Oklahoma City für Reuters und alle internationalen Nachrichten-Feeds gemacht. In London habe ich Sky-Feeds und all diese Dinge gemacht. Und du fängst an, dich mehr und mehr mit Technologie zu beschäftigen und dann ist die Computerwelt passiert. Und ich fing an, Computeranimationen zu machen. Und was daran Spaß gemacht hat, war, die Computer zu bauen, mehr als das Zeug zu animieren. Und so fing ich an, selbst wirklich hochwertige Computer zu bauen. Und dann kam dieses Ding namens Doom heraus. Erinnerst du dich an das Videospiel Doom?

0:04:03.9 Raghu Nandakumara: Ich habe viele Nachmittage in der High School damit verschwendet, Doom zu spielen und bin dann krank geworden, weil die 3D-Grafik zu dieser Zeit im Wesentlichen bewegungskrank war.

0:04:13.2 John Kindervag: Ja, es war also das erste Spiel, das Multiplayer-Funktionen in einem Netzwerk unterstützte. Deshalb habe ich meine Chefs davon überzeugt, dass wir ein Netzwerk benötigen, um Dateien für Videoanimationen zu übertragen. Aber in Wirklichkeit waren die Dateien immer noch zu groß, wir mussten sie auf Festplatten übertragen. Das wusste er nie. Aber ich habe gelernt, Ethernet-Netzwerke aufzubauen, damit wir Doom spielen können. Deshalb verdanke ich meinen ganzen Erfolg wohl den Leuten in Grand Prairie von id Software, die Doom entwickelt und herausgefunden haben, wie man Multiplayer-Spiele macht. Es war natürlich nicht online, die Online-Funktion kam später. Aber es gab Landpartys, auf denen Leute zusammenkamen und Computer mitbrachten und Doom und dann Quake und andere Dinge spielten. Sie sehen also, wie Technologie die Dinge auf die eine oder andere Weise vorantreibt. Tatsächlich sprach ich mit einem Cisco-Typ der alten Schule und er sagte: „Du kannst nicht glauben, wie viel Code wir in iOS stecken mussten, nur um die Doom-Partys nach der Arbeit zu unterstützen, die in Unternehmen auf der ganzen Welt stattfanden.“ Wir können Doom also für viele Fortschritte bei Computern und Netzwerken und letztendlich bei der Cybersicherheit danken.

0:05:32.7 Raghu Nandakumara: Also, wie sind Sie dann in die Netzwerkbranche übergegangen und wie sah dann die Entwicklung von der Umstellung auf Netzwerke und dann zur Netzwerksicherheit aus?

0:05:41.7 John Kindervag: Als ich anfing, von der Rundfunktechnik zur Netzwerktechnik überzugehen, wollte sich niemand mit Sicherheit befassen. Es war nicht nur ein nachträglicher Gedanke, sondern, warum sollten Sie das tun wollen? Die Zukunft liegt im Routing und Switching. Dort passieren all die aufregenden Dinge. Und ich fand das nicht besonders aufregend. Und jemand sagte: „Wir können niemanden finden, der unseren Sicherheitsjob, die Installation von Firewalls und so übernimmt.“ Die Leute fanden das dämlich. Warum würdest du das brauchen? Nun, das werde ich versuchen. Also, es geht einfach darum, da zu sein und eine Gelegenheit zu finden und einfach Ja zu sagen, wenn jemand etwas erledigen muss. Ich versuche immer, ja zu sagen, es sei denn, es ist irgendwie unmöglich, Ja zu sagen, wegen der Zeit oder so. Aber du willst Dinge ausprobieren und sehen, wo es klappen wird, und neugierig sein. Also, ich war sehr an dieser Sache namens Sicherheit interessiert, bei der es wirklich ein paar Produkte gab, die Antiviren und Firewalls hatten.

0:06:48.2 John Kindervag: Und das war's. Und der Beginn der Installation von Firewalls führte wirklich zu Zero Trust. Denn in der Firewall-Technologie gab es das Konzept eines Vertrauensmodells, bei dem sich das Internet auf der nicht vertrauenswürdigen Schnittstelle befand und die Schnittstelle, die zum internen Netzwerk führte, vertrauenswürdig war. Und aufgrund dieses Vertrauensverhältnisses brauchten Sie keine Grundsatzerklärung, um den Datenverkehr vom internen oder vertrauenswürdigen Netzwerk in das externe oder nicht vertrauenswürdige Netzwerk zu übertragen. Und ich sagte: „Das ist verrückt. Die Leute werden Daten von hier wegschicken.“ Und sie sagten: „Nein, das werden sie nicht. Das kannst du nicht.“ Also würde ich es per Regel veröffentlichen und dann würde ich in Schwierigkeiten geraten. Nimm das raus. So sagt der Verkäufer nicht, dass das gemacht werden sollte. Und ich versuche zu erklären, was wir verhindern wollen. Und ich sagte, alle Schnittstellen sollten das gleiche Vertrauen haben und es sollte Null sein.

0:07:40.8 John Kindervag: Und genau da kommt Zero Trust her; es ist nur eine Abwehr gegen die Art und Weise, wie wir Firewalls gebaut haben, was sich auf die Richtlinien ausgewirkt hat. Und dafür gab es keinen Grund. Ich kenne den Typen, der dieses Vertrauensmodell entwickelt hat und es war willkürlich. Er hat einfach den Begriff Vertrauen in seiner Garage gewählt, als er eine NAT-Box gebaut hat, oder? Die Leute denken also nicht mehr an NATing, weil es so automatisiert ist. Aber zu der Zeit war es unglaublich komplex, eine RFC-1918-Adresse in eine routbare Adresse umzuwandeln. Und ein Typ, den ich an der Westküste kenne, hat eine Software entwickelt und er hat sie tatsächlich einem Freund von ihm gegeben, der eine Technologie für NAT entwickelt hat. Und dann hat dieser Typ sie an eine große Firma verkauft und sie wurde zu einer der ersten Firewalls. Und es war dieses Vertrauensmodell, gegen das wir 25, 30 Jahre später immer noch kämpfen, als eines der größten Probleme, die wir haben.

0:08:42.5 Raghu Nandakumara: Ich liebe es, wie du das beschreibst, oder? Und das ist fast wie ein Glühbirnenmoment oder ein Moment des gesunden Menschenverstands, der sagt, warum vertrauen wir einfach implizit dem, was sich auf der einen Seite der Firewall befindet, anstatt zu sagen, dass der anderen Sache einfach willkürlich nicht vertraut wird? Ich möchte dir eine Frage stellen. Diese ganze Art von Sicherheitsansatz: Vertrauen, aber verifizieren, oder wie auch immer Sie das zusammenfassen wollen, oder? Das war quasi die Grundlage dafür, wie sich viele Sicherheitsstrategien weiterentwickelt haben, zumindest bis Zero Trust konzipiert und eingeführt wurde. Aber was war die Grundlage dieses „Vertrauens, aber verifizierens“ -Ansatzes und wie viele Investitionen wurden in ihn gesteckt, um ihn aufrechtzuerhalten?

0:09:28.4 John Kindervag: Nun, die Realität, so seltsam sie auch ist, ist, dass der große Cybersicherheitsexperte Ronald Reagan diesen Begriff in den 80ern in seiner Rede mit Michail Gorbatschow verwendete. Er sagte, sie unterzeichneten, glaube ich, einen Atomwaffenverbreitungsvertrag oder etwas Ähnliches. Und er sagte, wir werden uns an dieses alte russische Sprichwort halten. Und dann sagt er das russische Sprichwort auf Russisch. Und ich bin... Mein Russisch, ich kann es nie richtig aussprechen, aber es ist so etwas wie Beweis und ich kenne Prüfer und ich. Und er sagte, und das bedeutet natürlich Vertrauen, aber überprüfe, was die wörtliche Übersetzung ist. Aber das Wesentliche auf Russisch ist, dass wir Ihnen nicht so weit vertrauen werden, wie wir Sie werfen können. Und das hat er Gorbatschow erzählt. Er sagte: „In Ordnung, ja. Wir unterzeichnen diesen Vertrag, aber ich werde Ihnen nicht so weit vertrauen, wie ich Sie werfen kann.“ Aber die Leute haben sich die Hintergrundgeschichte nicht angesehen. Sie wussten: „Nun, Ronald Reagan sagt es, also müssen wir es tun.“

0:10:19.5 John Kindervag: Und ich frage mich, warum? Die Leute würden mir das die ganze Zeit sagen. Ich mache das, weil Ronald Reagan es gesagt hat. Was? Was weiß er über Technologie? Nichts. Richtig? Und so, und Dinge passieren einfach. Und weil niemand mehr neugierig ist, intellektuell neugierig ist und fragt, warum wir das tun? Wer hat das gesagt? Oh, nun, lass mich nachschauen und sehen, was tatsächlich passiert ist. Da ist ein YouTube-Clip drauf. Du siehst dir das an und du gehst, er meint nicht das, was du denkst, dass du meinst. Und von dort kam es also. Aber es gibt so viele Dinge, die ohne jeglichen Grund irgendwie unantastbar werden, nur weil niemand weiß, woher sie kommen. Und jemand hat es einmal gesagt und dann stellt es niemand in Frage. Es mangelt uns wirklich an intellektueller Neugier auf dieser Welt. Und das gilt für alles, was ich jemals gesagt habe, von dem ich mich wahrscheinlich nicht mehr an die Hälfte erinnern kann.

0:11:15.6 John Kindervag: Aber ja, du musst die Dinge, die alle sagen, bestätigen und prüfen, ob sie wahr sind. Richtig. Ich war die einzige Person, die fragte, was ist die Definition von Vertrauen? Und das ist wirklich schwer zu definieren, denn bis in die 50er Jahre wurde es nur in philosophischen oder religiösen Gesprächen verwendet. Es war ein Kunstbegriff aus diesen beiden Bereichen. Und ich habe vor einigen Jahren gesagt, dass Vertrauen eine Verwundbarkeit ist, was zu einem meiner Redewendungen wurde. Und dann fand ich später heraus, weil immer mehr Sachen im Internet veröffentlicht wurden, dass es einen Typen namens Morton Deutsch gab, der Theoretiker am Arbeitsplatz war. Und 1958 sagte er dasselbe. Ich wusste es nicht, als ich sagte, Vertrauen sei eine Schwachstelle, aber er definierte Vertrauen speziell als die Bereitschaft einer Person, sich einer anderen Person gegenüber verwundbar zu zeigen. Das ist Vertrauen. So hat er es am Arbeitsplatz definiert.

0:12:19.6 John Kindervag: Und ich denke, das ist eine so gute Definition. Und es passt genau zu dem, was ich zu sagen versucht habe. Ich denke also an eine technische Sicherheitslücke, dieses Vertrauen ist genauso eine Sicherheitslücke wie das Nichtpatchen Ihres Computers. Es ist, als ob die Tatsache, dass Sie etwas vertrauen, verrückt ist, weil es ein digitales System ist und es keine menschlichen Emotionen benötigt, Vertrauen, oder? Das ist ein menschliches Gefühl, das wir in digitale Systeme injiziert haben, weil wir versuchen, sie aus einer menschlichen Perspektive zu verstehen. Wir vermenschlichen oft Dinge. Wir sagen Dinge wie, John ist im Netzwerk, Raghu und John sprechen im Netzwerk und sie sind beide im Netzwerk. Und keiner von uns ist im Netzwerk. Wir sind nicht zu subatomaren Partikeln zusammengeschrumpft, und wir wurden nicht über das öffentliche Internet geschickt, damit wir diese Konversation führen können.

0:13:07.5 John Kindervag: Dieses Gespräch ist ziemlich wunderbar, oder? Ich erinnere mich, als 2001 der Film Space Odyssey wieder herauskam, lange bevor du geboren wurdest. Wir haben uns das als Kinder angesehen und sie machen einen Videoanruf vom Weltraum zur Erde und wie wow, ist das überhaupt möglich? Ein Videoanruf? Wie wäre das möglich? Und so war es jahrelang unmöglich. Und jetzt ist das Unmögliche unser tägliches Leben. Und das ist verrückt in der Zeit, in der wir so viele technologische Fortschritte gesehen haben.

0:13:44.7 Raghu Nandakumara: Also, bevor wir zu Zero Trust kommen, richtig? Ich möchte nur noch ein paar Minuten mit Vertrauen verbringen. Im Laufe der Zeit haben Unternehmen also so viel Zeit und Mühe darauf verwendet, im Wesentlichen eine vertrauenswürdige Infrastruktur aufzubauen und aufrechtzuerhalten, oder? Angefangen bei der Verkabelung, die sie in ihren Rechenzentren verlegen, über die Netzwerkgeräte, über den Computer, der daran angeschlossen ist, bis hin zum Betriebssystem und den Anwendungen, die darauf laufen, richtig? Also im Grunde genommen, und dann die Benutzer, die letztendlich darauf zugreifen. Glauben Sie, dass die Besessenheit, Vertrauen aufrechtzuerhalten, sowohl die Produktivität als auch die Cybersicherheit wirklich beeinträchtigt hat?

0:14:28.9 John Kindervag: Ja, weil sie selbstgefällig werden. Ja? Ja? Also sie, ich war kurz vor der Pandemie in Deutschland. Deutschland, Schweiz. Irgendwo, wo Deutsch gesprochen wurde, und sie führten eine lange Diskussion auf Deutsch über Vertrauen, und sie versuchten, es zu definieren. Und sie haben sich ein Wort ausgedacht. Und er sagt, Oh, das heißt einfach faul. Die Leute sind faul und wollen nichts anderes machen. Sie werden ihm also vertrauen, oder? Wenn ich denke, dass dies eine vertrauenswürdige Umgebung ist, muss ich nichts daran ändern. Ich kann deswegen faul sein. Und ich erinnere mich, dass ich das einem CISO gesagt habe, als er sagte, er vertraue Verify an. Ich sagte, okay, ich verstehe, was Vertrauen ist, es bedeutet, dass du nichts tun wirst. Aber was tun Sie, um zu überprüfen, wenn er sagte, vertrauen mit verifizieren? Und er sagte: „Oh, nichts, weil es sich um vertrauenswürdige Benutzer handelt. Es wäre also unhöflich, das zu überprüfen.“

0:15:19.5 John Kindervag: Okay, Sie tun also eigentlich absolut nichts im Bereich Cybersicherheit. Das ist wunderbar zu hören. Und das habe ich immer wieder gesehen, wo fast buchstäblich nichts passiert. Und doch pontifizieren die Leute über all die wichtigen Dinge, die sie tun, obwohl sie in Wirklichkeit fast nichts tun.

0:15:39.9 Raghu Nandakumara: Ich finde es toll, wie du gerade zum Ausdruck gebracht hast, dass Vertrauen zu Selbstgefälligkeit führt. Und dieser Ansatz ist letztlich kein Fortschritt in der Cybersicherheit. Tatsächlich kann es sich um eine Regression handeln. Also, lassen Sie uns jetzt irgendwie über Zero Trust sprechen. Und unter Bezugnahme auf zwei, ich würde sagen, wegweisende Artikel, die Sie als Analyst bei Forrester veröffentlicht haben, keine zähen Center mehr und bauen Sicherheit in die DNA Ihres Netzwerks ein, die Zero-Trust-Netzwerkarchitektur. Natürlich ging die Motivation dahinter über das bloße Bild einer Firewall mit einer vertrauenswürdigen und einer nicht vertrauenswürdigen Schnittstelle hinaus und zu sagen, das ist wirklich dämlich. Erzählen Sie uns etwas mehr über die Motivation hinter diesen Artikeln und darüber, was Sie bei der Veröffentlichung festhalten wollten.

0:16:24.5 John Kindervag: Nun, als ich zu der Zeit bei Forrester war, war es wirklich wichtig, innovative Forschung zu betreiben. Wir hatten... Ich erinnere mich an meinen ersten Tag meiner Analystenausbildung, Ellen, die verantwortliche Frau, eine unglaublich brillante Person, eine Physikerin. Sie hat unsere Stellenbeschreibung an die Tafel geschrieben. Und es waren drei Worte: „Denke große Gedanken.“ Also habe ich an einem Ort gearbeitet, der Anreize für große und störende Gedanken bot. Und das gab dir die Möglichkeit, an Orte zu gehen, vor denen du in anderen Organisationen wahrscheinlich Angst gehabt hättest. Also wurde mir eine Frage gestellt: Warum funktioniert Cybersicherheit nicht? Richtig. Und diese Frage wurde 2008 gestellt. Und nach zwei Jahren Primärforschung veröffentlichte ich „No More Chewy Centers“. Im Laufe der Zeit wurde mir klar: Oh, all diese Cybersicherheitsvorfälle, Datenschutzverletzungen, sie alle wurden durch die Ausnutzung dieses Vertrauensmodells verursacht, das ich meiner Meinung nach immer das Modell des gebrochenen Vertrauens nenne.

0:17:31.5 John Kindervag: Weil es nicht das Vertrauensmodell ist, es ist gebrochenes Vertrauen. Das gipfelte in zwei Jahren, in denen ich Vorträge und Webinare hielt und die Vermarktung testete und mich an Experten wandte, von denen ich weiß, dass sie diesbezüglich Löcher schüren. Es gab eine Menge Leute, die sagten: „Mir gefällt die Idee nicht, aber ich sehe nichts Falsches daran.“ Manche Leute sagten: „Wow, das ist unglaublich.“ Es gab also genug Ermutigung zum Gehen, okay, damit mache ich weiter. Und so liefen die ganzen Recherchen bei Forrester damals ab. Und so dreht sich alles um Anreize im Leben, oder? Charlie Munger, der Partner von Warren Buffett, ist der weniger bekannte der beiden, aber er ist vor ein paar Wochen gestorben. Und er sagte die ganze Zeit, dass sich alles um Anreize dreht. Erzählen Sie mir, wie Menschen Anreize erhalten, und ich sage Ihnen, wie sie sich verhalten.

0:18:22.0 John Kindervag: Und wir haben viele perverse Anreize im Bereich Cybersicherheit. Wir haben solche Angst, Dinge kaputt zu machen, oder? Wir haben dieses CIA-Dreieck. Sie kennen das CIA-Dreieck. Was ist es?

0:18:34.0 Raghu Nandakumara: Absolut.

0:18:34.0 John Kindervag: Was sind die drei Dinge, die ich tun werde, du wirst zurückgefragt werden.

0:18:39.0 Raghu Nandakumara: Zumindest weiß ich das, und das ist all den CIS-Trainings zu verdanken, die ich im Laufe der Jahre gemacht habe. C für Vertraulichkeit, I für Integrität, A für Verfügbarkeit.

0:18:50.3 John Kindervag: Richtig. Und es sollte dieses gleichseitige Dreieck sein, oder? Außer dass es das nicht ist. Was ist dort am wichtigsten? Sind sie alle gleich?

0:18:58,5 Raghu Nandakumara: Das ist eine interessante Frage. Wenn ich also darüber spreche und ich mit Kunden und Interessenten darüber spreche, sage ich: „Sind sie gleichwertig?“ Offensichtlich liegt ihnen der Schutz ihrer Daten und deren Integrität am Herzen, aber sie haben am meisten Angst davor: „Nun ja, was ist, wenn meine Bewerbung kaputt geht?“ Sie sind also besessen von Verfügbarkeit. Sie können also keine Sicherheitsvorkehrungen treffen, es sei denn, Sie können mir absolut versichern, dass die Verfügbarkeit nicht beeinträchtigt wird. Je nachdem, ob Sie den Eigentümer der Anwendung fragen, wird er antworten: Mir ist wichtig, dass meine Anwendung funktioniert, und dann sind mir die anderen Dinge wichtig.

0:19:27.6 John Kindervag: Ja. Ja, ich würde sagen, Verfügbarkeit ist so wichtig, dass es jetzt, ich weiß nicht, was ist das? Ein gleichschenkliges Dreieck? Wenn Sie eine wirklich lange Hypotenuse haben, ist das Verfügbarkeit, oder? Und dann Integrität. Ich bin mir nicht einmal mehr sicher, was das bedeutet, wegen Hashing. Und es ist ziemlich einfach, die Integrität Ihrer Daten zu kontrollieren. Aber ich scherze, dass das C jetzt für Kompromiss steht. Wir haben viele hochverfügbare, kompromittierte Netzwerke. Weil Verweildauer, wir hatten dieses Gespräch vor ein paar Wochen, wie viel Verweildauer? Wie lauten die Daten zur Verweildauer? Wie lange sind die Bösewichte in Ihrer Organisation, bis sie erwischt werden? Richtig? Und es ist, was hast du gesagt, die neuesten Daten stammen von IBM.

0:20:11.6 Raghu Nandakumara: Aus dem diesjährigen Bericht von IBM über Datenschutzverletzungen geht hervor, dass Unternehmen im Durchschnitt 277 Tage benötigen, um Cyberangriffe zu erkennen und dann einzudämmen.

0:20:23.0 John Kindervag: Da haben wir's. 277 Tage. Also, wenn C für Vertraulichkeit steht, ist es kein sehr, sondern ein kleines C, oder? Es ist tatsächlich so, dass sie dort 200 und etwas Tage lang kompromittiert sind. Das ist fast ein Jahr für fast ein Jahr. Die schlechten Leute sind in deinem Haus. Ich scherze, es ist, als ob das Vertrauensmodell so ist. Wenn ich mit meiner Frau vor dem Fernseher sitze und ich sehe, wie ein Typ Bier aus dem Kühlschrank holt, sage ich: „Schatz, kennst du die Person, die Bier aus dem Kühlschrank holt?“ Und sie sagt: „Nein, das tue ich nicht.“ Ich sagte: „Nun, er kann Bier aus dem Kühlschrank holen, also kann ich daraus schließen, dass er hier sein sollte. Also sollten wir das Gästezimmer herrichten.“ Holst du dir saubere Bettwäsche und ich werde das Bett wechseln. Genau das passiert in diesen Organisationen. Das ist die falsche Schlussfolgerung, weil Sie in das Netzwerk gelangen können. Du solltest hier sein, nicht hier. Und wenn du hier sein solltest, nehmen wir dich ins Netzwerk auf. Das ist das Problem. Daher sind alle wichtigen Sicherheitsereignisse und 100-prozentigen Datenschutzverletzungen funktionell eine Ausnutzung dieses gebrochenen Vertrauensmodells.

0:21:35.6 Raghu Nandakumara: Absolut. Und ich liebe die Analogie, die Sie dort angegeben haben. Sie sind also bei Forrester, Sie schreiben diese beiden wegweisenden Forschungsarbeiten. Und ich weiß mit Sicherheit, dass, als ich bei einem früheren Arbeitgeber Sicherheitskontrollen für Private Clouds entwarf, einer unserer Sicherheitsexperten buchstäblich auf einem Workshop zu mir kam und mir ein Referat vorlegte und sagte: „Raghu, das ist es, was wir in unserer privaten Cloud-Umgebung brauchen.“ Also, das haben Sie geschrieben. Was war Ihre Erwartung, was Praktizierende auf dieser Grundlage tun würden?

0:22:10.9 John Kindervag: Meine Erwartung war ziemlich niedrig. Ich denke, in dieser Rolle merkt man, dass man nur versucht, eine Idee zu verbreiten, die vielleicht durchsickert. Ich dachte nicht, dass sich dieses Zero-Trust-Zeug so durchsetzen würde. Es fing bestimmt nicht früh Feuer. Aber dann gab es ein paar wichtige Leute, über die ich nicht wirklich sprechen kann, ein paar wichtige Designs, an denen ich gearbeitet habe, und mir wurde klar, wow, es gibt mehr Leute, die das lesen und sich das anhören und jetzt darüber sprechen wollen, als mir bewusst war. Und dann stand ich letztendlich auf einer großen Konferenz für einen der größten Netzwerk- und Cybersicherheitsanbieter der Welt, einfach eine riesige Konferenz. Und die Nummer zwei in diesem ganzen Unternehmen hielt eine Präsentation über Zero Trust. Und ein Freund von mir stand neben mir.

0:23:00.1 John Kindervag: Er sagte: „Dir ist klar, dass deine gesamte Karriere von nun an Zero Trust ist.“ Und ich sagte: „Nein, ist es nicht.“ Ich habe über SIM berichtet und viele interessante Nachforschungen über die Zukunft der Verschlüsselung und andere Dinge angestellt. Und er sagte: „Nein, das ist es.“ Und es stellte sich heraus, dass er recht hatte. Und ich schätze, ich muss ihm auch viel Anerkennung zollen. Er hat es gesehen, bevor ich es gesehen habe, aber es ist etwas, das wirklich bis auf die höchsten Ebenen jeder Organisation ankommt. Also, Anfang dieser Woche hatte ich ein Telefonat mit einer ausländischen Regierung und jemandem... es war Teil eines Ministeriums, das sich mit Cybersicherheit befasst. Und sie sagten: „Oh, wenn Sie hierher kommen, müssen wir Sie vor den Premierminister bringen.“ Das war sein Kommentar, oder? Die Tatsache, dass der Präsident der Vereinigten Staaten dazu eine Exekutivverordnung erlassen hat. Regierungen wie Australien und Singapur haben Richtlinien erlassen, um in diese Richtung zu gehen. Es ist ziemlich verrückt für mich, ein Kind von einer Farm in Nebraska, oder? Mein ganzes Lebensziel als Kind war es, nicht um fünf Uhr morgens aufzustehen und Vieh zu füttern. Die Messlatte war also sehr niedrig und ich musste seit vielen Jahren nicht mehr um fünf Uhr morgens aufstehen und Vieh füttern. Also, dafür bin ich sehr dankbar.

0:24:16.1 Raghu Nandakumara: Nun, ich glaube, diese Geschichte ist der Grund, warum du der Pate bist. Hey, in deiner Karriere wird es von nun an um Zero Trust gehen. Die Frage, die ich dann habe, ist, dass Sie, als Sie die Entwicklung nach 2010 und die Reaktion auf Zero Trust und einige der Kommentare dazu beobachtet haben, frustriert waren, dass der Anstieg langsam war? Aber bis zu einem gewissen Grad gab es auch eine Menge Neinsager, die sagten, das ist eigentlich unpraktisch.

0:24:49.8 John Kindervag: Nein, war ich nicht. Zuallererst gefiel mir, dass der Anstieg langsam war, weil ich eine Zeit lang die einzige Person war, die das tat. Also muss ich alle Fehler selbst machen und dann über diese Fehler schreiben und dir sagen, was sie sein würden, damit du sie nicht machen musst. Und ich dachte, das wäre eine wertvolle Sache für jemanden in meiner Position. Wenn Sie also in Schritt zwei des Fünf-Schritte-Modells darüber im N-Stack-Bericht oder so lesen, werden Sie feststellen, dass das aus einer großen Katastrophe hervorgegangen ist, die wir hatten, weil wir nicht wussten, wie das System funktioniert. Und jemand hat einen Server ausgeschaltet, weil er gesagt hat, er sei alt. Das waren die Kriterien. Das war alt und hat ein ganzes Netzwerk zum Erliegen gebracht. Es gibt also einige dieser Katastrophen und es ist besser, wenn ich sie habe.

0:25:31.2 John Kindervag: Dann passieren sie gleichzeitig auf der ganzen Welt und alle sagen, Mann, du hast alles vermasselt. Dann die Person sein zu können, die sagt, tu das nicht, weil es gefährlich ist, oder tu das, weil es funktioniert, ist sehr erfreulich. Und dann passt du es einfach an. Das ist so ein junges Unternehmen, wir denken, Leute, oh, ich habe einmal jemanden zu mir sagen lassen, ich habe 30 Jahre Erfahrung im Bereich Cybersicherheit und ich dachte immer wieder, oh Mann, ich wette, die ganze SNA (Systemnetzwerkarchitektur) ist praktisch. Und ich sage den Leuten, dass ich sechs Monate Erfahrung im Bereich Cybersicherheit habe, oder? Ich habe die letzten sechs Monate, ich habe die nächsten sechs Monate, und dann sind alles andere Kriegsgeschichten, weil sich das so sehr ändert. Also, wenn ich die Dinge so mache, wie ich es vor einem Jahr gemacht habe, ist das wahrscheinlich falsch, weil sich alles geändert hat.

0:26:25.0 John Kindervag: Vor einem Jahr haben wir diese Revolution der generativen KI, die zustande gekommen ist, nicht gesehen. Und wir haben nicht gesehen, wohin das führen würde, und wir haben sicherlich nicht über die Auswirkungen auf die Sicherheit nachgedacht, und wir haben auch nicht über die Möglichkeiten nachgedacht, die wir dieses Zeug im Sicherheitsbereich nutzen können. Jetzt haben wir also eine neue Technologie, die alle dazu gebracht hat, darüber nachzudenken. Jeder. Ich weiß, dass das aufgezeichnet wurde, aber gestern Abend habe ich eine Podiumsdiskussion über KI und Cybersicherheit moderiert. Und eines der Dinge, auf die ich hingewiesen habe, war Henry Kissinger, der kürzlich im Alter von 100 Jahren gestorben ist. Sein letzter Artikel, den er je über all die Dinge geschrieben hat, die er je geschrieben hat, war über KI und ihre Fähigkeit, die rationale Art und Weise, wie wir denken und tun, irgendwie zu beenden, war im Wesentlichen der Kern davon. Es ist im Atlantik. Das sollte jeder lesen. Das ist ein faszinierender Anblick von jemandem, der die Welt seit 80 Jahren aus nächster Nähe betrachtet hat. Schönheit und Hässlichkeit zugleich. Und ich fand es eine faszinierende Lektüre.

0:27:40.0 Raghu Nandakumara: Ja, und ich liebe es im Wesentlichen, meine Erfahrungen der letzten sechs Monate und der nächsten sechs Monate zum Ausdruck zu bringen. Und der Rest sind Kriegsgeschichten, oder? Das ermöglicht uns, frisch und relevant zu bleiben. Bevor wir weitermachen, möchte ich einfach reden, du hast über Lernen gesprochen. Es ermöglichte mir, aus dem Fehler zu lernen, sodass es nicht alle anderen tun müssen. Was waren andere wichtige Fehler in der Zero-Trust-Strategie, die Sie beobachtet haben und die Sie jetzt in Ihrem eigenen Kopf korrigiert oder zumindest irgendwie rationalisiert haben und von denen Sie glauben, dass sie verbessert und schmackhafter und akzeptabler gemacht wurden?

0:28:22.6 John Kindervag: Der größte Fehler, den ich sehe und der war immer verlockend, war, zu schnell zu groß zu werden. Jeder versucht jetzt, alles auf einmal für seine gesamte Organisation zu erledigen und das Konzept einer Schutzfläche wirklich zu kodifizieren. Im Fünf-Stufen-Modell. Die erste lautet „Definieren Sie Ihre Schutzfläche“. Und schon früh hieß es „Definieren Sie Ihre Daten“. Und da gab es einige Probleme, und so sagten die Leute: „Nun, ich möchte Zero Trust für andere Dinge als den Datenschutz verwenden.“ Das eigentliche ursprüngliche Ziel bestand darin, Daten zu schützen und das Netzwerk zu einem leistungsstarken Durchsetzungspunkt für die Datensicherheit zu machen. Also, als ich darüber nachdachte und mir wurde klar, oh, in dieser Branche passieren eine Menge Dinge, die irgendwie, ich weiß nicht, fadenscheinig sind, wie die Abwehr von Angriffsflächen. Ich sehe mir die Angriffsfläche an und denke, oh Mann, das ist wie das Universum.

0:29:16.4 John Kindervag: Es wird ständig erweitert. Ich meine, es gab einen großen Technologieknall und es war die Entwicklung des Computerchips, richtig? Und bei allem, was 1957 passiert ist, war ich mit Jack Kilby zusammen, der einen Nobelpreis für die Erfindung der integrierten Schaltung erhielt, die der Vorläufer dafür ist. Ich war an dem Tag bei ihm, als er seinen Nobelpreis gewann. Also habe ich ihn getroffen und mit ihm darüber gesprochen, wie das passiert ist und so. Und ab 1957, weil Bob Noyce im selben Jahr auch eine andere Version der integrierten Schaltung erfand. Und sie waren sich einig, sich jeweils als Miterfinder des Computerchips zu betrachten. Aber seit diesem Tag im Jahr 1957, was nicht wirklich lange her ist, haben wir diesen Urknall erlebt, bei dem sich alles ausdehnt und explodiert. Und sobald man das Internet hat, wächst es einfach und wächst. Ich bin alt genug, um einen der Typen getroffen zu haben, die die ursprüngliche Domain erstellt haben. Ich weiß nicht, wie du sie nennen würdest, wenn du... Es ist so etwas wie bei den ursprünglichen Domain-Registraren, würde ich sagen.

0:30:22.4 John Kindervag: Aber es waren nur zwei Typen, die mit einem physischen Notizbuch herumliefen und aufschrieben: „Oh, du willst www sein, oder?“ Das Internet war so klein, dass sie es in einem Notizbuch aufbewahren und auf Papier aufschreiben konnten. Es war ein Typ namens John Postel. Und jetzt ist er tot, aber Rodney Joffe, ein alter Freund von mir, die beiden haben es gerade aufgeschrieben. Ich meine, das ist verrückt. Und das ist noch nicht so lange her. Das erste Passwort wurde 1961 am MIT vergeben, das ist alles sehr, sehr neu im Vergleich zur Weltgeschichte. Es hat wahrscheinlich länger gedauert, bis das Rad angenommen wurde, als bis die erste Website erstellt wurde. Also, wir stecken ein bisschen dahinter. Und die Innovation ist so aufregend, dass ihre Sicherung so weit zurückliegt. Es hat gedauert... Es wurden Tausende von Jahren lang Gebäude gebaut, bis Hammurabi in seinem Gesetzbuch darüber schrieb, dass wir, wenn ein Gebäude einstürzt und jemanden tötet, den Erbauer hinrichten und das, was wir als Tragwerksplanung und Bauvorschriften bezeichnen, geschaffen haben, richtig? Das haben wir noch nicht für das Internet und für Netzwerke getan und Menschen dafür zur Rechenschaft gezogen, dass sie die Dinge nicht richtig gemacht haben. Hammurabi hat es geschafft. Wir müssen unseren Hammurabi irgendwie finden.

0:31:41.0 Raghu Nandakumara: Richtig. Und wenn du dir ansiehst... Heutzutage, wenn ich glaube, wir sind irgendwie übergegangen von Zero Trust, einer neuartigen Idee und dem Feedback, das eigentlich ist, wird das nicht wirklich funktionieren. Es ist nicht wirklich anpassbar an die Gegenwart, die Erzählung besagt, dass sie sich einig sind, dass die Zero-Trust-Strategie absolut richtig ist, aber es ist sehr schwierig, sie umzusetzen. Wenn Sie das heute hören, was ist Ihre Reaktion und wie reagieren Sie darauf?

0:32:10.6 John Kindervag: Ich denke, viele Leute lassen es schwieriger klingen als es ist und machen es komplexer. Es ist sehr einfach, oder? Es gibt vier Designprinzipien und dafür gibt es ein fünfstufiges Modell. Es gibt also neun Dinge, die Sie wissen müssen. Es ist so konzipiert, dass es sehr, sehr einfach zu handhaben ist. Anfang des Jahres erhielt ich einen Anruf von einem Freund von mir, General Greg Tohill, der der Erste war, er ist ein pensionierter General der Air Force. Er war der erste CISO der US-Bundesregierung. Und er ist jetzt drüben bei CERT. Er leitet CERT und wir alle wissen, was CERT ist, oder? Drüben bei Carnegie Mellon. Aber er rief mich an und sagte, John, „Warum lassen die Leute Zero Trust so kompliziert klingen?“ Und ich sagte, und wir nennen ihn General Zero Trust. Also sagte ich: „Meine Güte, General, ich weiß nicht.

0:32:55.0 John Kindervag: Ich habe keine Ahnung, warum die Leute es kompliziert klingen lassen.“ Weil ich Sachen lese, die andere Leute darüber geschrieben haben. Und ich sage, wow, ich hätte auch Angst davor, das zu tun, wenn ich es nicht schon getan hätte. Richtig? Und ich hatte Auseinandersetzungen mit Leuten. Ich hatte einen Streit mit einem Typen auf einer Netzwerkveranstaltung über Zero Trust, und er wusste, wer ich bin, aber er wollte streiten, weil er gerade in Zero Trust promoviert. Ich denke, was? Warum bräuchtest du einen Doktortitel in dem Bereich? Geh einfach raus und mach es. Richtig? Aber er stritt mit mir darüber wegen Dingen, die er in seiner Kursarbeit gehört oder gelesen hatte. Ich sagte, nein, nein, nein, nein, nein, nein, das stimmt nicht. Und nein, aber, und ich sagte, hast du es jemals getan? Nun, nein. Okay, dann solltest du es tun.

0:33:37.4 John Kindervag: Das ist erfahrungsgemäß. Unser ganzes Geschäft ist erlebnisorientiert. Wir sind nicht in einem akademischen Geschäft tätig. Wenn Pakete nicht sicher und effizient von Punkt A nach B gelangen, haben wir versagt. Und es spielt keine Rolle, was wir darüber geschrieben haben, was Pakete tun sollten oder nicht, die Tatsache, dass sie es getan haben oder nicht, ist wichtig. Deshalb denke ich, das Wichtigste ist, öffnen Sie Ihren Laptop. Auch die Idee eines Laptops ist für mich immer noch verrückt, denn mein erster Computer war ein K Pro 484, der transportabel war, aus Metall gefertigt war und ungefähr 25 Pfund wog und man kann ihn von Ort zu Ort bewegen. Und er hatte ein 14,4-Bod-Modem und eine 40-Megabyte-Festplatte. 40 Megabyte. Beeindruckend. Das war auf dem neuesten Stand der Technik. Das ist alles sehr, sehr schnell gekommen, und du musst raus und es tun. Sie würden nicht wollen, dass ein Mechaniker an Ihrem Auto arbeitet, der noch nie an Ihrem Auto gearbeitet hat, aber sie haben einen Doktortitel in Automechanik, das wäre katastrophal. Oh Mann, ich dachte, die Zündkerzen müssten hier drüben sein. Da steht, dass sie hier sind, in diesem Buch. Richtig? Und du sagst, also ja, mach dir die Hände schmutzig.

0:35:02.3 Raghu Nandakumara: Ich mag das wirklich, weil es... Sie sprechen aus der Erfahrung von jemandem, der die Zero-Trust-Theorie nicht nur grundlegend ausgearbeitet hat, sondern sie dann durch jahrelange Praxis sogar verfeinert hat. Und wie Sie schon sagten, Sie machen Fehler und lernen dann daraus, um es zu übernehmen, um ein verfeinertes Modell zu entwickeln, das die Übernahme erleichtert. Richtig? Und zweifellos setzen immer mehr Praktiker eine Zero-Trust-Strategie ein, oder? Das wird sich im Laufe der Zeit weiterentwickeln. Und was wir heute als Strategie betrachten, ist es morgen vielleicht nicht mehr. Gehen wir also davon aus.

0:35:41.5 John Kindervag: Nun, eigentlich gibt es da einen Kommentar. Denn denken Sie daran, Zero Trust hat zwei große Bereiche, Strategie und Taktik. Also die Strategie der großen Idee, die dahinter steckt. Ich glaube nicht, dass sich das ändern wird.

0:35:53.0 Raghu Nandakumara: Ja.

0:35:54.8 John Kindervag: Ich denke, du meinst die Taktik, die Art und Weise, wie wir das machen, oder? Und einer meiner Mentoren, ein Oberst der Luftwaffe, der Chefstratege, der Chefstratege des ersten Golfkriegs, der mir etwas über Strategie und Denkweisen beigebracht hat, sagte, jeder verwechselt Strategie und Taktik. Sie denken, dass sie strategisch vorgehen, aber sie handeln taktisch. Und das ist wichtig zu verstehen: Was ist Strategie und was ist Taktik? Taktik ist Zeug, Dinge, die man tut, richtig? Also, wenn man Technologie anfasst, ist das taktisch, oder? Das ist die Essenz davon. Das ist Taktik. Wir können es fühlen. Strategie sind Ideen, die Leitprinzipien haben, um ein Missionsziel oder eine Gesamtstrategie zu erreichen. Deshalb ist es ziemlich wichtig, das zu verstehen. Und der Erfolg von Zero Trust hat nichts mit der Taktik zu tun. Ich habe nur kommerziell erhältliche Technologie verwendet, aber ich habe sie so eingesetzt, dass diese Führung, ob es nun Regierungsführung, militärische Führung oder Unternehmensleitung war, verstehen konnte, wie man Cybersicherheitssysteme entwickeln kann, mit denen ein Missionsziel oder ein großes strategisches Ziel erreicht werden kann.

0:37:16.1 John Kindervag: Und jemand vom Militär schrieb einmal, dass John das Wichtigste, was John zur Cybersicherheit und Zero Trust beigetragen hat, das Konzept der Gesamtstrategie war, über das noch nie zuvor jemand gesprochen hatte. Und genau das vermissen die Leute ständig. „Ich mache das schon ewig. Ich habe die Multifaktor-Authentifizierung verwendet.“ Sicher, haben Sie, aber Sie wussten nicht, warum Sie es verwendet haben, oder? Es beantwortet also die Frage: „Warum?“ Und das nicht nur, weil ich Personen authentifizieren möchte, sondern weil ich möchte, dass diese bestimmten Geschäftsergebnisse auf eine Weise erzielt werden, die mein Unternehmen auf bestimmte Weise wachsen lässt.

0:37:52.4 Raghu Nandakumara: Ja, ich stimme zu. Und Worte sind wichtig. Du hast absolut recht. Ich meinte, die Taktik kann sich im Laufe der Zeit entwickeln, aber die Strategie ist, die Gesamtstrategie ist so, wie Sie sie definiert haben, die durchweg ziemlich konstant sein sollte. Deshalb möchte ich jetzt zu etwas übergehen, das Sie zuvor angesprochen haben, und das ist der Fokus verschiedener Regierungen weltweit, wobei die USA am prominentesten sind, aber wir haben gesprochen, Sie haben Singapur, Australien und das Vereinigte Königreich als andere Beispiele genannt. Zunächst einmal, was hat die Bewegung zur Einführung einer Zero-Trust-Strategie und deren Kodifizierung ausgelöst? Wir haben diese massiven Cybervorfälle, diese Cyberverletzungen, seit einer riesigen Anzahl von Jahren. Was ist es also, das die US-Regierung als Beispiel wirklich gezwungen hat, Zero Trust in den letzten zwei bis drei Jahren so ernst zu nehmen?

0:38:51.8 John Kindervag: Nun, es war die OPM-Datenschutzverletzung, der Snowden, der Manning, der Texeira-Zeug, Sachen, die sehr schädlich waren. Und es brachte die Regierung dazu, aufzuwachen und zu sagen: „Oh, Cybersicherheit ist in vielerlei Hinsicht auch Gegenspionage.“ Und so haben wir diese Filmhandlungsszenarien gesehen, und jetzt spielen sie sich ab. Im echten Leben, und wir müssen uns ihnen stellen, ist die Art und Weise, wie sie es sehen. Es steckt viel Arbeit in der quantenresistenten Verschlüsselung und solchen Dingen, bei denen sie versuchen, sich vor etwas zu stellen, das nicht wirklich existiert, nämlich Quantencomputer. Aber sie verstehen, dass, wenn es einmal passiert, es kurzfristig unglaublich schädlich sein wird, wenn wir nicht darauf vorbereitet sind. Deshalb denke ich, dass eine der Lehren aus der Technologie darin besteht, zu versuchen, sich früher auf die schlimmsten Szenarien vorzubereiten, anstatt viel später, nachdem sie passiert sind.

0:39:49.7 Raghu Nandakumara: Ich weiß also, dass Sie an den CISA NSTAC-Berichten, den Empfehlungen an den Präsidenten rund um Zero Trust und Identität, beteiligt waren oder sehr stark daran beteiligt waren. Und ich möchte aus den vier Schlußfolgerungen zwei herausgreifen. Ich möchte nur zwei dieser Schlußfolgerungen erörtern oder Ihre Kommentare dazu hören. Und in einer davon heißt es, dass die US-Regierung quasi riskiert, dass Zero Trust zu einem unvollständigen Experiment wird, zu einer Sammlung unzusammenhängender technischer Sicherheitsprojekte, die in Jahren gemessen werden, und nicht zur Grundlage einer dauerhaften, kohärenten und transformativen Strategie, die in Jahrzehnten gemessen wird. Was ist also die Herausforderung bei dieser Art von kleinen Experimenten? Besteht jetzt die Absicht, einen solchen einheitlichen Ansatz für Zero Trust zu verfolgen?

0:40:31.6 John Kindervag: Ich denke, die Absicht ist, die Menschen dazu zu bringen, sich in diese Richtung zu bewegen. Ich spreche darüber, als ob wir alle in dieselbe Richtung gehen oder generell alle nach Norden, rechts, in Richtung Nordstern, wenn Sie sich auf der Nordhalbkugel befinden. Wenn Sie sich auf der Südhalbkugel befinden, fahren Sie zum Kreuz des Südens. Aber wenn ihr alle in die gleiche Richtung geht, obwohl es hier eine Menge Parallelisierung geben kann, landet ihr am selben Ort, ihr werdet irgendwann zusammenlaufen. Und das finde ich aufregend, dass wir alle irgendwie in dieselbe Richtung gehen. Dieser NSTAC-Bericht ist sozusagen der Polarstern dafür, wohin wir gehen sollten. Und wir sehen tatsächlich nicht ganz so viel Fragmentierung, wie ich dachte. Wir haben diesen Bericht am 20. Februar, am 23. Februar '22, vorgelegt. Richtig?

0:41:18.6 John Kindervag: Und wir hatten es ursprünglich am 22. Februar geliefert. Wir könnten also sagen, es war 22.02.22. Und dann musste es eine Revision geben. Es wurde also 23.2.22. Aber wie dem auch sei, das ist einfach eine komische Sache, die niemand sonst für interessant hält. Aber ich, aber was wir herausgefunden haben, ist, dass seit dieser Zeit jede einzelne Bundesbehörde ein Zero-Trust-Programmverwaltungsbüro und einen Zero-Trust-Programmdirektor hat. Das ist also eine riesige Bewegung, Sie haben jemanden, der sich dafür einsetzt, dass dies seine Aufgabe ist, sie zu erledigen. Und so haben Sie die Anreizstruktur in etwa einem Jahr geändert. Und auch hier sind Anreize sehr wichtig. Um auf Charlie Munger zurückzukommen: Die Leute werden sich danach verhalten, wie ihnen Anreize geboten werden. Und die Anreize sind vorhanden. Das bedeutet also, dass das Ergebnis letztlich auf die richtige Art und Weise zustande kommen wird. Wird es 10 Jahre dauern?

0:42:13.7 John Kindervag: Wird es drei Jahre dauern? Ich weiß nicht. Ich bin schon lange auf lange Sicht dabei, weil mir klar wurde, dass es das Internet zumindest aus meiner Sicht noch eine Weile geben wird. Richtig? Es geht also nirgendwohin. Wir müssen uns nicht beeilen und es reparieren, bevor es stirbt oder so. Es ist nicht wie in meinem Alter, wo ich mich beeilen und Dinge reparieren muss. Denn wenn ich es nicht tue, bin ich vielleicht nicht früh da. Also wird mich das Internet überleben. Und Zero Trust wird mich überleben. Aber ich hoffe, dass es den Menschen einen Nordstern gibt, auf den sie zusteuern und herausfinden können, wie sie ihre Daten, ihre Vermögenswerte, ihre Anwendungen und ihre Dienste schützen können. Es geht nicht darum, wie man das im Allgemeinen als konzeptionelle Referenzarchitektur macht.

0:43:00.4 John Kindervag: Es geht darum, wie Sie dies speziell für diesen einen bestimmten Datentyp tun, den Sie in Ihrer Organisation haben. Und dann fahren Sie mit dem nächsten Datentyp oder der nächsten Anwendung fort. Und Sie tun es schrittweise, Sie tun es iterativ. Und indem Sie es in diesen kleinen Teilen tun und die Cybersicherheit, die ein großes Problem darstellt, in die kleinen, verbrauchbaren Teile zerlegen. Jetzt haben Sie es auch so gemacht, dass es nicht störend ist. Wenn du es vermasselst, wirst du etwas vermasseln, das so klein ist, dass die meisten Leute es nicht einmal bemerken. Und für mich ist das der Vorteil, dass Sie keine Angst davor haben müssen. Während meiner gesamten Karriere wusste ich, dass es erfolgreich sein würde, wenn ich an einigen der ersten Workshops und Diskussionen teilnahm. Und es wird immer jemanden geben, der es so sehr gehasst hat, einfach hart, und fast so weit, dass er einen Kampf provozieren wollte.

0:43:51.0 John Kindervag: Und ich musste lernen, ruhig zu bleiben und ihre Fragen in aller Ruhe zu beantworten und alles durchzugehen. Aber es gab immer einen Moment, in dem ich die Glühbirne sehen konnte, einfach klicken. Und plötzlich wurde diese bestimmte Person der größte Verfechter dessen, wogegen sie vor ein paar Minuten noch gekämpft hatte. Ich habe das auf einer Konferenz gesehen, wo ich gerade an einem Flipchart stand und etwas für jemand anderen zeichnete. Und jemand geht hin und geht, das ist vollständig und völlig, sagen wir mal, ein fieser Kommentar, den er gemacht hat. Und ich sage: „Oh okay, nun, was denkst du?“ Und der Typ, für den ich es gezeichnet habe und der das gerade gesagt hatte, sagte, er blätterte die Seite um, er sagte: „Nein, du verstehst nicht.“ Und er meinte, weil ich gerade dasselbe Gespräch geführt habe. Also ging es von mir, ich verteidigte Zero Trust und zeigte dieser Person, warum es funktioniert, bis er jemand anderem zeigte, warum es funktioniert. Richtig?

0:44:42.5 Raghu Nandakumara: Ja.

0:44:44.8 John Kindervag: Und so sah ich, wie diese kleinen Glühbirnen im Laufe der Zeit immer wieder aufleuchteten. Und mir wurde klar, dass es teilweise die Angst war, dass ich lernen muss, etwas anderes zu tun. Mein Job wird sich ändern. Ich mag keine Veränderung. Teilweise war es... Und ich habe das die ganze Zeit gehört: „So haben wir das nicht immer gemacht.“ Und meine Antwort war: „Nun, Mann, die Art, wie wir das immer gemacht haben, hat nicht wirklich gut funktioniert, oder?“ Und drittens heißt es: „Ich möchte nichts Neues machen oder mehr, ich möchte nicht härter arbeiten.“ Und wenn ich ihnen zeigen könnte, dass ich es dir leichter machen würde. Es gab einen Typen, sagte er zu mir, wir haben länger über Zero Trust gestritten, als ich gebraucht habe, um das erste Zero-Trust-Netzwerk aufzubauen. Und er sagte: „Es ging so schnell.

0:45:33.3 John Kindervag: Und es war so stabil, dass ich direkt danach in den Urlaub gefahren bin.“ Es ist so, dass die Leute nicht glauben konnten, dass ich in den Urlaub fahren würde. Ich sagte: „Ja, ich kann in den Urlaub fahren, das funktioniert.“ Und wenn es ein Problem gibt, kannst du mich anrufen, aber du kannst intuitiv herausfinden, wie du es beheben kannst. Und das war ein entscheidender Moment — es gab einfach diese Punkte auf einer Linie, an denen Sie sagen: Oh, das Bild zeichnet sich allmählich ab durch individuelle Erfahrungen mit verschiedenen Organisationen, die jeweils unterschiedliche Probleme hatten, aber sie waren in der Lage, die Prinzipien auf die Geschäftsprobleme anzuwenden und Erfolge zu erzielen.

0:46:08.8 Raghu Nandakumara: John, ich werde einfach... Ich will nur sagen, richtig, ich denke, dass die letzten fast fünf Minuten oder so dauern, ich finde, Sie haben wunderbar zusammengefasst, warum die Strategie wichtig ist, wie Sie sie aus taktischer Sicht angehen sollten, um realistische Fortschritte zu erzielen. Und auch der Teil davon, dass, sobald dieser Aha-Moment, diese Glühbirne, sobald Ihre Gegner diesen Aha-Moment haben, fast zu Ihren stärksten Befürwortern werden, oder? Und ich denke, wenn du dir in dieser Folge nichts anderes anhörst, dann sind das die fünf Minuten, die du verdauen musst. Also möchte ich zu etwas anderem übergehen. Und du noch einmal, du hast es in diesem letzten Teil über Kultur angesprochen.

0:46:48.2 Raghu Nandakumara: Und ich kenne deinen Freund George Finney, der letztes Jahr ein Buch über Zero Trust geschrieben hat, von dem ich glaube, dass du es ziemlich vorwärtsgeschrieben hast, an das er viel über Kultur spricht. Auch dies ist eine der anderen Schlussfolgerungen aus dem NSTAC-Bericht. Um Zero Trust als echte Strategie zu verwirklichen, die die Ergebnisse der Cybersicherheit in den nächsten zehn Jahren und darüber hinaus erheblich verändert, muss die US-Regierung jetzt eine Reihe von politischen Maßnahmen ergreifen, um eine Zero-Trust-Kultur zu institutionalisieren. Was bedeutet also eine Zero-Trust-Kultur? Wofür steht sie?

0:47:20.8 John Kindervag: Nun, ich denke, das Erste, was es bedeutet, ist, dass es Menschen zusammenbringt, um dieses große strategische Ziel mithilfe von Zero Trust zu erreichen. Ich erinnere mich also, dass ich zu Beginn eines Zero-Trust-Workshops für ein großes Unternehmen abgehalten habe. Ich hatte 70 Leute aus 17 verschiedenen Abteilungen. Alle 17 Abteilungen hassten sich gegenseitig. Sie waren Konkurrenten innerhalb des Unternehmens. Und sie haben mich alle gehasst. Und sie hassten es, dass sie dort sein mussten. Am Ende hatten wir viele dieser Barrieren überwunden. Und wir hatten herausgefunden, wie man etwas Kollaboratives schaffen kann. Und ich schlage immer vor, dass die Leute etwas in der Art eines Zero-Trust-Exzellenzzentrums schaffen, in das sie nicht nur Technologien, sondern auch Führungskräfte einbringen.

0:48:07.3 John Kindervag: Weil diese Führungskräfte sagen können: „Okay, ich weiß, dass ich das tun sollte, aber ich habe Angst, was ist, wenn ich es falsch mache?“ Werde ich gefeuert? Aber wenn eine Führungskraft kommt und Ihnen sagt, dass Sie es tun müssen, nimmt Ihnen das die Last ab und gibt Ihnen wieder den richtigen Anreiz. Also ließ ich einmal den Chief Legal Officer an einem Workshop teilnehmen und alle sagten: „Warum ist diese Person hier?“ Nun, die Aufgabe dieser Person war es, das geistige Eigentum des Unternehmens zu schützen, die Patente, mit denen Hunderte von Millionen Dollar an Einnahmen generiert wurden. Und er hatte keine Ahnung, wie das geht. Und als er diesen dreitägigen Workshop durchgemacht hat, ist es jetzt nur noch ein Tag. Aber zu der Zeit war ich etwas ausführlicher, vermute ich, und versuchte, ehrlich gesagt, es herauszufinden.

0:48:44.4 John Kindervag: Und er hat die ganze Sache durchgemacht. Und dann sagte er: „Okay, ich werde der Champion sein, ich werde das Geld finden, ihr geht raus und macht es. Und Sie können keinen Ärger bekommen, wenn Sie etwas für den Chief Legal Officer tun, um die Patente Ihres Unternehmens zu schützen. Richtig?“ Also geht es darum, den Luftschutz zu finden oder was auch immer, um das zu tun. Und genau das hat ihnen die Exekutivverordnung des Präsidenten gegeben. So wie die US-Bundesregierung die behördenübergreifende Zero-Trust-Börse hat, eine Gruppe von CISOs in den Vereinigten Staaten. Die US-Bundesregierung, die zusammengekommen ist, um bewährte Verfahren auszutauschen, hat die Kultur selbst geschaffen, weil sie korrigieren musste. Die Tatsache, dass sie einen gemeinsamen Polarstern und ein gemeinsames Missionsziel hatten, bedeutete, dass sie die Kultur herausfinden mussten.

0:49:30.2 John Kindervag: Und das sehen wir immer wieder. In dem kürzlich veröffentlichten australischen Dokument zur Cybersicherheitsstrategie, das veröffentlicht wurde, wird Zero Trust einmal erwähnt, aber es heißt darin, dass wir uns der Schaffung einer Zero-Trust-Kultur zuwenden müssen. Richtig. Vieles davon stammt aus der Ausbildung, aus Erfahrung, aus Laborarbeiten, aus Gesprächen mit anderen Leuten und dann meistens aus dem Herausfinden, was man schützen muss. Es führt also zu einigen transformativen Ergebnissen, denn jetzt machen Sie eine Übung, in der Sie verstehen, was in Ihrer Umgebung wichtig ist, was Sie schützen sollten, damit Sie wissen, warum Sie es tun, und dann müssen Sie herausfinden, wie ich das schützen werde, sobald ich weiß, was zu schützen ist.

0:50:16.5 John Kindervag: Im Allgemeinen haben wir traditionell einfach versucht, so viel Technologie wie möglich an das Problem heranzulegen und hoffen, dass wir etwas erkennen, oder? Wenn wir einfach alles rausbringen, also ich hatte einen Kunden, ich habe einen Kunden, oder, glaube ich, in meinem vorherigen Job hatten sie 11 Hops ins Internet, 11 Hops ins Internet, alles Sicherheitstechnologien, um sicherzustellen, dass nichts Schlimmes passiert. Und das Schlimme war, es war eine unbrauchbare Umgebung. Ist dir klar, wie lange es dauert, etwas zu erledigen, wenn du 11 Hops hast? Du durchläufst etwa drei Firewalls und zwei verschiedene IPSs und zwei verschiedene Filter für Webinhalte. Und hier und da eine WAF. Es ist einfach, es war unglaublich. Und sie wussten, dass es unglaublich war, aber sie wussten nicht, wie sie das Problem lösen sollten. Weil sie nicht wussten, was sie schützen wollten. Und sie wussten nicht genau, warum sie das taten. Sie dachten nur, wenn sie mehr davon bekommen könnten, wäre es besser. Mehr ist immer besser. Richtig.

0:51:17.7 Raghu Nandakumara: Ja, absolut zu 100%.

0:51:19.7 John Kindervag: Das stimmt beim Grillen. Das muss also für Cybersicherheit zutreffen.

0:51:21.7 Raghu Nandakumara: Es ist wahrscheinlich am einfachsten, die Frage zu beantworten, was konnte nicht schief gehen? Das ist wahrscheinlich auf der einen Seite möglich. Also weiter, John, bevor wir fertig sind, oder? Wie beurteilen Sie die Bedeutung von Zero Trust für die Beschleunigung der Cloud-Einführung, richtig? Es ist ein aktuelles Thema. Cloud-Sicherheit ist sozusagen das aktuelle Thema in der Cybersicherheit. Und natürlich, richtig? Die andere Sache, die Sie bereits zuvor angesprochen haben, ist die Bedeutung von Zero Trust für generative KI, große Sprachmodelle, die sowohl von Organisationen als auch potenziell von Angreifern verwendet werden. Welche Rolle muss Zero Trust in all diesen Bereichen spielen?

0:52:10.2 John Kindervag: Nun, ich denke, am wichtigsten ist, dass in der Cloud, wenn Sie verstehen, dass die Cloud Daten oder ein Asset oder etwas anderes enthält, einen Workload, wie auch immer Sie ihn nennen wollen, das ist für Sie wichtig, das ist reguliert. Und sie ist im Allgemeinen nicht geschützt. Sie hören ständig, dass wir ein Modell der gemeinsamen Verantwortung haben. Aber ich glaube, bei Forrester haben wir uns einen besseren Begriff ausgedacht, mein Freund James Staten hat ihn sich ausgedacht. Und er nannte es einen ungleichmäßigen Handschlag. Ja, sie bieten uns grundlegende Hilfe. Sie stellen sicher, dass der Hypervisor gepatcht ist. Und es gibt einige Tools, mit denen ich Dinge irgendwie manuell sichern könnte. Aber im Allgemeinen übertrage ich das Sicherheitsrisiko nicht auf den Cloud-Anbieter. Ich speichere nur die Daten dort. Ich verwende ihren Hypervisor nur für wirtschaftliche Zwecke, hauptsächlich.

0:53:05.2 John Kindervag: Deshalb bin ich immer noch für die Sicherung dieser Arbeitslast verantwortlich, unabhängig davon, was in dieser Arbeitslast enthalten ist. Und viele Leute beginnen das jetzt zu verstehen. Und wir haben einige signifikante Cloud-Datenschutzverletzungen gesehen, die normalerweise als Fehlkonfigurationen bezeichnet werden. Und das wäre eine weitere Diskussion für einen anderen Tag. Aber nur die nativen Kontrollen, die Sie haben, reichen gegen moderne Angriffe nicht aus. Ich habe mit Leuten gesprochen, die Pen-Tester sind. Einige von ihnen sind sehr legendär, aber sie haben keine Probleme, die nativen Cloud-Sicherheitskontrollen zu umgehen, und es ist schwierig, diese Kontrollen in Multi-Cloud-Umgebungen allgegenwärtig zu verwalten, da jede ein anderes Verwaltungskonstrukt hat. Also die Verwaltung, richtig, die betriebliche Versorgung und Verpflegung, was auch immer Sie im Sicherheitsbereich tun, ist der größte Kostenfaktor, den Sie haben werden.

0:54:06.5 John Kindervag: Es geht nicht darum, Technologie zu erwerben, sondern sie zu transportieren und zu füttern, oder? Du hast Kinder, das weißt du. Die Kinder zu bekommen war nicht so teuer. Sie zu tragen und ihnen die Langzeitpflege zu geben, und es geht einfach immer weiter und weiter. Und es ist nie fertig. Ja, das ist der größere Kostenfaktor. Die Akquisition war einfach. Operationen, das ist schwer. Und das müssen wir erkennen. Und das ist das Erste, was mit der Cloud zu tun hat. Und dann KI, ja, sie könnte in der Lage sein, einige wirklich ausgeklügelte Angriffe zu entwickeln. Aber im Internet gibt es große Leitplanken namens TCP/IP und das OSI-Modell, oder? Sie können also nicht wirklich über das hinausgehen, was sie können. Das ist potenziell kulturell viel schädlicher als für Netzwerke, weil wir tatsächlich in der Lage sein werden, KI-Technologien zu nutzen.

0:55:05.0 John Kindervag: Und meine Lieblingsdefinition von KI, die ich je gehört habe, stammt von einem befreundeten Mathematiker, der sagt: „KI ist Statistik plus wenn Aussagen.“ Und die mag ich wirklich, weil sie so präzise ist. KI funktioniert also nur, weil wir wirklich, wirklich schnelle Computer haben und wir gemeinsam mehr davon gewinnen können, damit wir das machen können. Und es sieht aus, als wäre es intelligent, obwohl es in Wirklichkeit nur rechnerisch ist. Aber wir können dieselben Technologien verwenden, um herauszufinden, welche Dinge wir... Sollte erlaubt sein und schnell auf Dinge reagieren dürfen, die uns angreifen. Es verschafft uns also einen Vorteil gegenüber den Angreifern, genauso wie es den Angreifern einen Vorteil gegenüber uns verschafft. Und vor allem, wenn wir eine Zero-Trust-Richtlinie erstellen, die mit der Standardverweigerung beginnt, und dann explizit zulassen, dass bestimmter Datenverkehr stattfindet.

0:56:00.9 John Kindervag: John kann also nur auf Ressourcen zugreifen, auf die ich zugreifen darf. Und es gibt noch andere Dinge, zu denen ich nicht komme. Und wenn ich denke, dass ich sie erreichen sollte, muss ich zum Helpdesk gehen und um Zugang bitten. Ich bin also ziemlich eingesperrt. Und das ist in Ordnung. So sollte es sein. Aber wir gewähren zu viel Zugriff auf zu viele, zu viele Daten, ohne jeglichen Grund. Deshalb waren Snowden, Manning und Teixeira in der Lage, diese großen Datenpannen zu begehen, nicht weil die Sicherheit von Natur aus schlecht war. Aber weil sie Zugriff auf Ressourcen hatten, hätten sie sie niemals anfassen oder sehen dürfen. Und gewiss hätten sie niemals in der Lage sein sollen, ein Exfil herunterzuladen.

0:56:42.9 Raghu Nandakumara: Also, John, bevor wir zum Schluss kommen, die wirklich wichtigste Frage dieses Podcasts dieser Konversation. Im gleichnamigen Film, Kindervag, der echte Pate, wer spielt dich? Und wer ist der Regisseur?

0:56:51.4 John Kindervag: Was? Wir wollen den Film nicht. Das wäre wirklich, wirklich langweilig. Frag meine Frau. Ich glaube, das ist eigentlich, ich will nicht, dass mich jemals jemand in einem Film spielt. Das wäre komisch. Ich möchte, dass sich die Leute auf die Ideen konzentrieren und nicht auf die Person. Richtig? Manchmal möchte ich aus dem Weg gehen. Ich wollte, dass George Finney das Buch Project Zero Trust schreibt. Es fing auf meiner Couch an. Und ich hatte Gelegenheit, Bücher zu schreiben. Aber die Realität ist, wenn alles von mir kommt, dann ist die Botschaft nicht so wichtig. Aber wenn mehr Menschen die Botschaft annehmen, die nicht Sie sind, dann wird sie zu einer mächtigeren Botschaft.

0:57:35.8 John Kindervag: Und die Botschaft ist das Wichtigste. Also ich möchte, dass es einen Dokumentarfilm über den Erfolg von Zero Trust, das Stoppen von Ransomware oder so gibt. Das wäre cool. Um all die Dinge zu zeigen, die ich gesehen habe, von denen mir Leute Screenshots geschickt haben, schauen Sie, dieser Ransomware-Truck hat versucht, sich in meinem Netzwerk zu bewegen, aber er ist immer nur auf einen Computer gelangt. Und dann konnte es nirgendwo anders hingehen. Und wir wurden gefunden und so haben wir uns die ganze Telemetrie angesehen, all die Pings, die versucht haben, Command and Control zu erreichen. Wir können es sofort isolieren und bereinigen. Das ist der Dokumentarfilm. Das ist der Film, den ich sehen will.

0:58:13.6 Raghu Nandakumara: Nun, John, ich kenne vielleicht jemanden auf Netflix, der das in Auftrag geben würde.

0:58:17.4 John Kindervag: In Ordnung.

0:58:18.1 Raghu Nandakumara: Vielen Dank, John. Es war mir eine große Freude, mit Ihnen zu sprechen, wie immer aufschlussreich, informativ und sehr unterhaltsam. Ich danke dir.

0:58:23.1 John Kindervag: Danke, mein Freund.

0:58:27.7 Raghu Nandakumara: Vielen Dank, dass Sie sich die Folge des Segments dieser Woche angesehen haben. Wir werden in zwei Wochen mit unserer nächsten Folge zurück sein. In der Zwischenzeit finden Sie weitere Zero-Trust-Ressourcen auf unserer Website www.illumio.com. Finden Sie uns auf LinkedIn und X über die Links in unseren Shownotes. Das ist alles für heute. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald mit mehr zurück sein.

‍