Warum „Vertraue niemandem“ der neue Standard ist
Ein genauerer Blick auf die Lösungen von Extreme Networks und Cisco
Das Ende des sicheren Perimeters
Noch vor nicht allzu langer Zeit war Netzwerksicherheit, in gewisser Hinsicht, überschaubar. Man baute eine Mauer um das Unternehmensnetzwerk, Firewalls, VPNs, DMZ-Zonen, und allem, was sich darin befand, wurde vertraut. Ordentlich, wenn auch im Rückblick etwas naiv.
Aber diese Zeit ist vorbei.
Die Verlagerung hin zu hybridem Arbeiten, der Umstieg auf Cloud-Anwendungen, die Vielzahl an IoT-Geräten und immer raffinierteren Cyberangriffen haben den traditionellen Perimeter still und leise bedeutungslos gemacht. Mitarbeitende arbeiten von zu Hause, aus Cafés, aus verschiedenen Zeitzonen. Anwendungen laufen längst nicht mehr im eigenen Rechenzentrum eines Unternehmens, sie sind über mehrere Clouds verteilt. Und Angreifer sind mittlerweile ziemlich gut darin geworden, aus einem einzigen kompromittierten Zugangstoken maximalen Schaden herauszuholen.
Die Frage, die Sicherheitsteams früher gestellt haben, lautete: „Ist dieser Nutzer innerhalb oder außerhalb unseres Netzwerks?“ Die Frage, die sie heute stellen sollten, ist: „Hat dieser konkrete Nutzer, auf diesem konkreten Gerät, in diesem Moment, tatsächlich das Recht, auf diese bestimmte Ressource zuzugreifen?“ Diese Veränderung im Denken ist, mehr oder weniger, worum es bei Zero Trust geht.
Was „Zero Trust“ wirklich bedeutet
Zero Trust ist kein Produkt. Man kauft es nicht einfach aus dem Regal und ist fertig. Es ist eher eine Philosophie, oder eine Architektur, eine Art, über Sicherheit nachzudenken, die auf drei Grundgedanken beruht.
Der erste lautet: niemals vertrauen, immer verifizieren. Kein Nutzer und kein Gerät wird automatisch als vertrauenswürdig eingestuft, selbst wenn es sich bereits im Netzwerk befindet. Der zweite ist Least Privilege Access: Personen und Systeme sollen nur auf das zugreifen können, was sie wirklich brauchen, nicht mehr. Der dritte ist vielleicht der unbequemste: von einem Sicherheitsvorfall ausgehen. Handeln Sie so, als wäre ein Angreifer bereits irgendwo in Ihrem Netzwerk, und gestalten Sie Ihre Abwehr so, dass der mögliche Schaden begrenzt bleibt.
Das Konzept wurde 2010 vom Analysten John Kintervag vom Forrester Research eingeführt und später von Google im großen Maßstab durch ihr internes BeyondCorp-Projekt in die Praxis umgesetzt. Heute gilt es bei Organisationen wie CISA und NIST sowie bei den meisten seriösen IT-Anbietern als eine Art Grundlage.
Warum VPNs allein nicht ausreichen
Es gibt eine Version dieses Gesprächs, die bei manchen IT-Teams etwas unangenehm ist, besonders bei denen, die stark in VPN-Infrastruktur investiert haben. Die ehrliche Antwort ist jedoch, dass das reine Vertrauen auf VPNs für den Fernzugriff ein ernstes Risiko darstellt.
Das Problem liegt darin, was nach dem Einloggen passiert. Sobald sich ein Nutzer über VPN authentifiziert hat, erhält er in der Regel breiten Netzwerkzugang, ohne weitere laufende Überprüfung. Das ist ein „Einmal drin, immer vertraut“-Modell. Und wenn diese Zugangsdaten jemals gestohlen werden, kann sich ein Angreifer ohne große Hindernisse lateral durch die Infrastruktur bewegen.
Zero Trust umgeht dies, indem jede Zugriffsanfrage im Moment selbst neu bewertet wird, auch von Nutzern, die bereits eingeloggt sind. Identität, Gerätezustand und Kontext spielen dabei alle eine Rolle. Die Implementierung ist anspruchsvoller, aber es ist auch erheblich schwerer zu missbrauchen.
Extreme Networks: Universelles ZTNA als Kernstrategie
Extreme Networks hat Zero Trust zu einem zentralen Bestandteil seines Angebots gemacht, was erwähnenswert ist, weil viele Anbieter es eher als Feature behandeln als ein Fundament.
Was ihren Ansatz etwas unterscheidet, ist der Aufwand. Netzwerkmanagement und Sicherheit in einer einzigen Plattform zusammenzuführen, wofür man früher separate Tools gebraucht hätte.
ExtremeCloud Universal ZTNA
Das Flaggschiff hier ist ExtremeCloud Universal ZTNA, das Network Access Control und Zero Trust Network Access in einer cloudbasierten Plattform vereint. Im Mittelpunkt steht eine einzige Policy Engine, die sowohl den Netzwerkzugang als auch den Anwendungszugang verwaltet. Unabhängig davon, ob jemand im Büro, zu Hause oder irgendwo dazwischen arbeitet.
Das identitätsbasierte Zugriffsmodell bedeutet, dass Zugriffsentscheidungen davon abhängen, wer der Nutzer ist, welches Gerät er verwendet und von wo er sich verbindet, nicht einfach vom Netzwerkstandort. Sicherheitsrichtlinien können automatisch auf Switches, Zugangspunkte und Cloud-Infrastruktur angewendet werden, einschließlich Hardware von Drittanbietern, was für Unternehmen, die keine homogene Umgebung betreiben, ein praktischer Aspekt ist.
Es gibt auch eine Shadow-IT-Verwaltungsfunktion. Die Plattform kann erkennen, welche privaten Anwendungen Mitarbeitende tatsächlich nutzen, einschließlich nicht genehmigter KI-Tools und lässt Administratoren diese mit einem Klick zulassen oder sperren. Ich vermute, dass diese Funktion allein für viele IT-Abteilungen still und leise sehr nützlich ist.
Die Integration umfasst die üblichen Identitätsanbieter, Microsoft Entra ID, Google Workspace und Okta, was den Onboarding-Prozess verhältnismäßig unkompliziert hält.
Extreme Platform ONE Security
Im Dezember 2025 lancierte Extreme die Extreme Platform ONE Security, das die Integration weiter vertieft, indem Netzwerk- und Sicherheitsmanagement an einem einzigen Ort zusammengeführt werden. KI ist eingebettet, um die Richtliniendurchsetzung zu automatisieren und Echtzeittransparenz über das gesamte Netzwerk zu unterstützen. In der Praxis bedeutet das, dass Sicherheitsrichtlinien in einer einzigen Aktion auf alle verbundenen Geräte ausgerollt werden können, anstatt alles einzeln konfigurieren zu müssen.
Extreme Fabric
Extreme Fabric übernimmt die Segmentierung, sowohl auf Makroebene als auch bis hinunter zu einzelnen Workloads. Wenn sich etwas im Netzwerk ändert, passt sich die Sicherheitsrichtlinie automatisch an. Für dynamische Umgebungen wie Krankenhäuser, Campus-Netzwerke oder Produktionshallen, in denen Geräte ständig verbunden und getrennt werden, ist diese Art automatischer Anpassung wahrscheinlich nützlicher, als es auf den ersten Blick erscheint.
Wi-Fi 7 und die Switches der 4000er-Serie
Auf der Hardwareseite verfügen die cloud-verwalteten Switches der 4000er-Serie von Extreme über eine direkte Integration mit ExtremeCloud Universal ZTNA über das sogenannte „Instant Secure Port“-Verfahren. Neue Geräte, die sich mit dem Netzwerk verbinden, werden sofort in das Zero-Trust-Framework aufgenommen, ohne manuelle Konfiguration. Eine kleine Sache, aber für größere Bereitstellungen spart das eine nennenswerte Menge Zeit.
Cisco: Zero Trust direkt im Netzwerk verankert
Ciscos Position in diesem Bereich ist etwas anders, als einer der wenigen Anbieter mit echter Tiefe sowohl in der Vernetzung als auch in der Sicherheit, was ihnen ermöglicht, Zero Trust gleichzeitig auf mehreren Ebenen der Infrastruktur zu verankern.
Das Ergebnis ist ein breiteres Ökosystem, mit Vor- und Nachteilen. Umfassender, sicher. Aber möglicherweise auch komplexer in der Bereitstellung, je nach Umgebung.
Cisco Secure Access und Universal ZTNA
Die Cisco Secure Access-Plattform steht im Mittelpunkt ihres Zero-Trust-Ansatzes. Sie vereint ZTNA, Secure Internet Access und einen VPN-Client in einem einheitlichen Client. Die Idee ist, dass Nutzer überall geschützt sind, ohne je nach Tätigkeit oder Aufenthaltsort zwischen verschiedenen Tools wechseln zu müssen.
Cisco beschreibt vier zentrale Zero-Trust-Funktionen: Vertrauen aufbauen, vertrauensbasierten Zugriff durchsetzen, Vertrauen kontinuierlich überprüfen und auf Veränderungen im Vertrauen reagieren. Letztere, auf Veränderungen im Vertrauen reagieren, ist vielleicht das Element, das eine echte Zero-Trust-Implementierung von einer weitgehend theoretischen unterscheidet.
Cisco Hybrid-Mesh-Firewall
Auf dem Cisco Live 2025 angekündigt, ist die Hybrid Mesh Firewall eine verteilte Sicherheitsarchitektur, die die Zero-Trust-Segmentierung auf Rechenzentren, Campus-Netzwerke und IoT-Umgebungen ausweitet. Sie arbeitet gemeinsam mit Universal ZTNA, um konsistente Sicherheit über die gesamte Infrastruktur zu gewährleisten. Für große Unternehmen, die gleichzeitig mehrere Umgebungen verwalten, ist diese Art von Kohärenz über den gesamten Stack mit Einzellösungen nur schwer zu replizieren.
Cisco Duo: Identität als Fundament
Cisco Duo übernimmt die Multi-Faktor-Authentifizierung und Identitätsverifikation und ist wahrscheinlich das Stück des Cisco-Portfolios, das die meisten Menschen bereits kennen. Es deckt MFA, passwortloses Anmelden, Single Sign-on und Geräteverifizierung ab, alles an einem Ort.
SASE: Netzwerk und Sicherheit als Einheit
Ciscos breitere Vision ist ihr Single-Vendor-SASE-Ansatz, bei dem Cisco Secure Access und Catalyst SD-WAN in einer Plattform zusammengeführt werden. Das Ziel ist ein konsistentes Zero-Trust-Regelwerk für Nutzer, Anwendungen, Geräte und Netzwerke, wo auch immer sie sich befinden. Für Unternehmen, die jahrelang Netzwerk und Sicherheit als vollständig getrennte Bereiche verwaltet haben, stellt dieses einheitliche Modell eine deutliche Veränderung in der Art und Weise dar, wie das Ganze betrieben wird.
KI-Agenten absichern
Auf dem Cisco Live 2026 wies Cisco auch auf etwas hin, das künftig immer wichtiger werden wird: die Absicherung von KI-Agenten. Während Unternehmen zunehmend autonome KI-Systeme einsetzen, müssen auch diese auf dieselbe Weise verifiziert, überwacht und eingeschränkt werden wie jeder andere Nutzer oder jedes andere Gerät. Cisco entwickelt Mechanismen, um KI-Agenten zu registrieren, ihren Zugriff über kurzlebige Tokens zu verwalten und ungewöhnliches Verhalten in Echtzeit zu erkennen. Es ist noch früh, aber es ist das richtige Problem, über das man bereits nachdenken sollte.
Extreme vs. Cisco: Ein kurzer Vergleich
Keiner der beiden Anbieter ist objektiv besser. Sie adressieren etwas unterschiedliche Probleme, und die richtige Wahl hängt stark von Größe, Komplexität und bestehender Infrastruktur Ihres Unternehmens ab.
| Kategorie | Extreme Netzwerke | Cisco |
| Kernlösung | ExtremeCloud Universal ZTNA | Cisco Secure Access + Duo |
| Ansatz | Netzwerk und Sicherheit auf einer Plattform | Umfangreiches Ökosystem spezialisierter Tools |
| Kernkompetenzen | Einfachheit, schnelle Bereitstellung, Hardware-Integration | Skalierbarkeit, für Unternehmen geeignet, vollständiges SASE |
| KI-Integration | Agentenbasierte KI für die Automatisierung von Richtlinien | Sicherheit von KI-Agenten, Verwaltung von „Shadow AI“ |
| Zielgruppe | mittlere bis große Unternehmen, Hochschulgelände | Unternehmen, Behörden, Multi-Cloud |
| Identitätsanbieter | Microsoft Entra, Google Workspace, Okta | Cisco Duo + externe Identitätsanbieter |
| Vor-Ort-Support | Ja, mit Cloud- und On-Premise-NAC | Ja, mit hybridem privatem Zugang |
Zero Trust ist keine Option mehr
Das ist kein Hype und kein Marketingzyklus. Zero Trust ist eine echte Reaktion auf die Veränderungen im Bedrohungsumfeld und in den Arbeitsgewohnheiten der letzten zehn Jahre oder so. Der traditionelle Netzwerkperimeter existiert in der Praxis nicht mehr, und das darauf aufgebaute Sicherheitsmodell kommt kaum noch hinterher.
Extreme Networks überzeugt für Unternehmen, die Schnelligkeit und Einfachheit wollen: eine Plattform, eine Policy Engine und Hardware, die sich sauber in die Sicherheitsstrategie einfügt. Wer schnell handeln möchte, ohne sich in einem komplexen Implementierungsprojekt zu verlieren, findet hier wahrscheinlich den attraktiveren Weg.
Cisco bietet etwas anderes: Tiefe und Breite über die gesamte Infrastruktur, von der Identität über das Netzwerk bis hin zu Anwendungen und jetzt auch KI-Workloads. Für große, komplexe Umgebungen mit hohen Sicherheitsanforderungen ist dieses Abdeckungsniveau schwer zu übertreffen.
Wie auch immer, die Richtung ist klar. Jeder Tag, an dem ein Unternehmen noch davon ausgeht, dass alles innerhalb des Netzwerks vertrauenswürdig ist, ist ehrlich gesagt ein Tag, den Angreifer gerne nutzen. Die Umstellung auf Zero Trust ist keine Frage des „Ob“ mehr, sondern nur noch des „Wie schnell“.
Bevor Sie den Zugriff kontrollieren können, müssen Sie wissen, was sich dort befindet
Es gibt einen Schritt, der in Zero-Trust-Gesprächen häufig übersprungen wird und Unternehmen später teuer zu stehen kommen kann. Bevor eine Policy Engine entscheiden kann, wer Zugang zu was bekommt, benötigt sie ein genaues Bild von allem, was mit dem Netzwerk verbunden ist. Nicht nur die Laptops und Server, die man kennt, sondern auch die IoT-Sensoren, den in die Jahre gekommenen Drucker in der Ecke, das Gerät, das jemand vor sechs Monaten eingestöpselt und dann vergessen hat. In der Praxis ist dieses Inventar so gut wie nie vollständig.
Genau hier wird ein Tool wie runZero relevant. Es ist eine Plattform für Asset Discovery und Exposure Management, die das gesamte Netzwerk scannt, ohne dass Agents auf jedem Gerät installiert oder Zugangsdaten für jedes System benötigt werden, und die ein vollständiges Bild dessen aufbaut, was tatsächlich vorhanden ist: IT, OT, IoT, Cloud, Mobil. Die Logik ist einfach genug. Zero-Trust-Policy-Engines sind nur so gut wie die Asset-Daten, mit denen sie arbeiten. Wenn ein Gerät nicht im Inventar steht, wird keine Richtlinie darauf angewendet, und es wird genau zu dem stillen Einfallstor, nach dem Angreifer suchen. RunZero speist diese Basisschicht, sodass Tools wie ExtremeCloud ZTNA oder Cisco Secure Access, wenn sie beginnen, Zugriffsregeln durchzusetzen, auf einem vollständigen und aktuellen Bild des Netzwerks aufbauen, und nicht auf einem optimistischen.
Bereit loszulegen?
Wenn Sie das zum Nachdenken gebracht hat, wo Ihr Unternehmen eigentlich steht, ist das wahrscheinlich die richtige Reaktion. Die meisten Netzwerke haben mehr unbekannte Geräte, mehr Lücken in der Richtlinienabdeckung und mehr veraltete Annahmen eingebaut, als man merkt, bis man wirklich genauer hinschaut. Die gute Nachricht ist, dass Sie das nicht alleine herausfinden müssen.
Damovo ist ein wichtiger Partner für Extreme Networks, Cisco und runZero, was bedeutet, dass sie Ihnen helfen können, Zero Trust als einen vollständigen Prozess anzugehen, und nicht als eine Sammlung einzelner Tools. Ob Sie mit einem Sichtbarkeits-Assessment beginnen, um zu verstehen, was tatsächlich in Ihrem Netzwerk vorhanden ist, oder ob Sie bereits weiter sind und die Zugriffskontrollen und Segmentierung verschärfen möchten: Damovo hat die Erfahrung, Sie dabei zu begleiten. Wenn Sie besprechen möchten, wo Sie anfangen sollen oder wie eine realistische Roadmap für Ihre Umgebung aussehen könnte, nehmen Sie einfach Kontakt mit dem Team auf.
Quellen
Extreme Networks – extremenetworks.com/resources/blogs/extreme-platform-one-security
Extreme Networks – extremenetworks.com/solutions/security/ztna
Cisco Newsroom – cisco.com (Ankündigungen zur Cisco Live 2025, Juni 2025)
Cisco-Blogs – blogs.cisco.com/cisco-on-cisco/cisco-its-zero-trust-evolution (November 2025)
Business Wire – Erweiterungen für Universal ZTNA von Extreme Networks (Oktober 2024)
ScienceDirect – Zero-Trust-Netzwerke: Entwicklung und Anwendung (Februar 2025)