← Alle Beiträge

Warum Mikrosegmentierung zählt – eine Begegnung mit John Kindervag

Ich habe John Kindervag getroffen, den Begründer von Zero Trust – und war beeindruckt, wie klar er macht: Ohne Mikrosegmentierung bleibt Zero Trust Theorie. Ein persönlicher Rückblick und was das für die Praxis bedeutet.

John Kindervag, Begründer von Zero Trust – Porträt; Beitrag über Mikrosegmentierung und eine persönliche Begegnung (KAEMI)

Manche Begegnungen bleiben. Ich hatte kürzlich die Gelegenheit, John Kindervag persönlich zu treffen – den Mann, der den Begriff Zero Trust geprägt hat. Beeindruckt hat mich nicht der Titel „Erfinder von Zero Trust", sondern seine Klarheit: keine Buzzwords, kein Produktverkauf, sondern ein einfaches, konsequent zu Ende gedachtes Prinzip. Und ein Punkt, den er mit Nachdruck betonte: Ohne Mikrosegmentierung bleibt Zero Trust Theorie.

Wie Zero Trust entstand

Kindervag hat Zero Trust nicht am Reißbrett erfunden, sondern durch das konsequente Hinterfragen einer Selbstverständlichkeit. Jahrzehntelang galt: innen vertrauenswürdig, außen gefährlich – die Firewall zieht die Grenze. Genau dieses implizite Vertrauen im Inneren ist der Konstruktionsfehler. Innentäter und vor allem die seitliche Bewegung eines Angreifers, der einmal drin ist, hebeln das Modell aus. Seine Konsequenz: Kein Netzwerkabschnitt verdient automatisch Vertrauen.

Eine Haltung, die er auf eine schöne Formel bringt: „You must validate the things everyone says and see if they're true." Man muss prüfen, was alle für selbstverständlich halten – auch und gerade in der Sicherheit.

Der Punkt, der bei mir hängenblieb: Mikrosegmentierung ist kein Detail

In vielen Gesprächen wird Zero Trust auf Identität und MFA verkürzt. Kindervag stellt klar: Mikrosegmentierung ist der Mechanismus, der Zero Trust überhaupt durchsetzt. Sie unterteilt das Netzwerk nicht grob, sondern feingranular bis auf Workload-Ebene und regelt, wer mit wem kommunizieren darf. Damit begrenzt sie den Radius eines Vorfalls: Wird ein System kompromittiert, kann sich der Angreifer nicht seitlich weiterhangeln – der Schaden bleibt lokal, statt zum Vollzugriff zu eskalieren.

Angriffsfläche verkleinern statt Perimeter verteidigen

Der Perspektivwechsel, den er beschreibt, ist entscheidend: Statt eine immer größere Angriffsfläche außen zu verteidigen, verkleinert man die zu schützende Fläche innen – die „Protect Surface". Man schützt gezielt das Wertvolle – Daten, Anwendungen, Dienste – und regelt den Verkehr dorthin nach dem Least-Privilege-Prinzip. Mikrosegmentierung ist die Technik, die genau das im laufenden Betrieb umsetzt, unabhängig vom klassischen Netzwerkschnitt.

Es geht um Workloads, nicht um Misstrauen

Ein Missverständnis begegnet mir immer wieder: Zero Trust klinge, als würde man den eigenen Kolleginnen und Kollegen misstrauen. Kindervag räumt damit auf – und das fand ich befreiend. Zero Trust ist keine Aussage über Menschen, sondern über Technik: Kontrollen schützen Pakete und Workloads, nicht „die Leute im Netz". Mikrosegmentierung entscheidet nicht, wem wir vertrauen, sondern welche Systeme überhaupt miteinander sprechen dürfen. Diese Entkopplung nimmt der Debatte die Emotion und macht sie zu dem, was sie ist: eine Architekturfrage.

Sichtbarkeit zuerst – schützen, was man sieht

Ein Punkt, der in der Praxis oft übersprungen wird und Projekte scheitern lässt: Man kann nur schützen, was man kennt. Bevor man segmentiert, muss man die Anwendungslandschaft und ihre Abhängigkeiten sichtbar machen – welcher Dienst spricht mit welchem, über welche Ports, in welche Richtung. Erst diese Karte macht sinnvolle Regeln möglich; ohne sie segmentiert man blind und bricht entweder legitime Abläufe oder lässt Lücken offen. Sichtbarkeit ist deshalb kein Vorgeplänkel, sondern der erste echte Schritt.

Sein wichtigster Praxis-Rat: nicht zu groß, nicht zu schnell

Was mir als Praktiker besonders gefiel: Kindervag warnt ausdrücklich davor, zu groß und zu schnell zu starten. Zero Trust scheitert selten am Prinzip, sondern an Big-Bang-Projekten. Sein Weg ist iterativ – eine überschaubare Protect Surface zuerst, Erfahrungen sammeln, dann die nächste. Diese Bescheidenheit ist es, die das Konzept überhaupt alltagstauglich macht.

Mehr als Seitwärtsbewegung: Ransomware eindämmen

Der Wert der Mikrosegmentierung endet nicht beim Stoppen lateraler Bewegung. Sie begrenzt auch die Wirkung von Ransomware und Datenabfluss: Was nicht kommunizieren darf, kann sich nicht ausbreiten und nichts abfließen lassen. Das verkürzt die Verweildauer von Angreifern und senkt Schadenshöhe, rechtliche Risiken und Reputationsschäden – ein Argument, das auch jenseits der Technik überzeugt. Und weil klare, kleinteilige Regeln den Betrieb vereinfachen, entlastet gute Segmentierung nebenbei die Sicherheitsteams.

Warum mich das bei KAEMI bestätigt

Für uns ist das keine graue Theorie. Als Illumio EMEA Partner of the Year setzen wir Mikrosegmentierung tagtäglich um – als den Teil von Zero Trust, der laterale Bewegung wirklich stoppt und nicht nur verspricht. Die Begegnung mit John Kindervag hat mich in einer Überzeugung bestärkt, die unsere Arbeit trägt: Zero Trust ist eine Strategie, kein Produkt – und Mikrosegmentierung ist der Punkt, an dem sie im Ernstfall den Unterschied macht. Technologieoffen, in Phasen und an der Realität unserer Kunden ausgerichtet.

— Sven Launspach, CEO KAEMI

Fragen zu diesem Thema?

Sprechen wir über Netzwerk- und Sicherheitsziele – unverbindlich.

Kontakt aufnehmen