Warum viele Zero-Trust-Initiativen an der Betriebsrealität scheitern

Die strategische Entscheidung für Zero Trust und SASE ist in den meisten Unternehmen bereits gefallen. Ob diese Modelle sinnvoll sind, wird kaum noch infrage gestellt.

In den vergangenen Jahren zeigte sich diese strategische Ausrichtung in Verwaltungsratsdebatten, regulatorischen Vorgaben und Anbieter-Roadmaps, die heute stark auf Identity-zentrierte Sicherheit und SASE-Prinzipien ausgerichtet sind. Entsprechend hat sich die Diskussion von der Frage ob hin zur Frage wie verschoben: wie sich Zero Trust und SASE in komplexen hybriden Umgebungen umsetzen lassen.

Gleichzeitig wächst bei vielen Security- und IT-Verantwortlichen die Frustration. Trotz klarer Strategie und beträchtlicher Investitionen kommt der Fortschritt langsamer voran als erwartet. Die Komplexität bleibt hoch, die Transparenz lückenhaft, und der operative Aufwand steigt statt zu sinken. Woran liegt das?

Zunehmend zeigt sich: Die eigentliche Herausforderung ist nicht mehr die Strategie, sondern die Umsetzung.

Hybrid ist kein Übergangszustand mehr

Lange galt «hybrid» als Zwischenphase auf dem Weg in eine stärker cloud-zentrierte Zukunft. Diese Sicht ist überholt. Heute ist Hybrid das Standard-Betriebsmodell globaler Unternehmen. Mitarbeitende arbeiten von überall, Anwendungen laufen über mehrere Clouds und Rechenzentren hinweg, und Zugriffe durch Drittparteien sind alltäglich. Niederlassungen, Partner und Remote-Teams sind Teil desselben digitalen Ökosystems.

Die Konnektivität hat sich in solchen Umgebungen deutlich verbessert, Transparenz und Kontrolle jedoch nicht im gleichen Mass. Je grösser und verteilter die Umgebung, desto schwieriger wird es, alles konsistent zu überwachen und zu steuern. Viele Unternehmen stellen fest, dass Modelle aus der Welt zentralisierter Netzwerke und statischer Perimeter für verteilte, Identity-basierte Zugriffe nicht mehr skalieren.

Die Komplexität hybrider IT wächst schneller als die operative Kapazität der meisten Teams.

Das Transparenzproblem, über das zu wenig gesprochen wird

Eine der am meisten unterschätzten Herausforderungen moderner Sicherheit ist nicht der Schutz, sondern die Transparenz. In klassischen Umgebungen fühlen sich viele Teams bei der Überwachung zentraler Anwendungen noch relativ sicher. An den Rändern nimmt diese Sicherheit jedoch deutlich ab:

• Remote- und Hybrid-User
• Multi-Cloud-Verkehr
• Zugriffe durch Drittparteien und Lieferanten

Genau dort ist das Risiko am grössten. Das moderne Unternehmen hat keinen klar definierten Perimeter mehr – der Rand ist das Unternehmen. Gerade hier fehlt jedoch oft die durchgängige Sichtbarkeit und der nötige Kontext.

Ohne einheitliche Transparenz lassen sich selbst gute Richtlinien nicht konsistent durchsetzen. Reaktionszeiten bei Vorfällen verlängern sich, Troubleshooting wird fragmentiert, und Security- sowie Netzwerkteams verbringen mehr Zeit mit der Korrelation von Signalen als mit der eigentlichen Problemlösung.

Die zentrale Lücke ist operative Transparenz: die Fähigkeit, Aktivitäten über User, Identitäten, Clouds und Partner hinweg ganzheitlich zu sehen, zu verstehen und darauf zu reagieren. Fehlt diese Grundlage, werden Sicherheit und Fehleranalyse unnötig langsam, manuell und reaktiv.

Zero Trust ist Realität, aber oft unvollständig

Zero Trust wird breit eingeführt und gewinnt weiter an Bedeutung. Vollständig integrierte Zero-Trust-Umgebungen bleiben jedoch selten. Viele Unternehmen starten mit ZTNA für Remote-Zugriffe. Das ist sinnvoll, weil es rasch Verbesserungen bei Sicherheit und Nutzererlebnis bringt. Die eigentliche Herausforderung folgt danach.

Zero Trust über Niederlassungen, Rechenzentren und Partnerökosysteme hinweg konsistent umzusetzen, ist deutlich anspruchsvoller. Identity-Abgleich, Richtlinienkonsistenz und Traffic-Transparenz müssen ineinandergreifen. Häufig entsteht ein Zwischenzustand: moderne Zugriffskontrollen auf gewachsener Infrastruktur. Die Sicherheit verbessert sich punktuell, während die operative Komplexität insgesamt zunimmt.

Teilweise umgesetzter Zero Trust kann die Komplexität zunächst erhöhen, bevor er Risiken senkt. Das ist kein Scheitern, sondern ein Zeichen dafür, dass das Betriebsmodell noch nicht mit der Architektur Schritt hält.

Beim Wechsel von netzwerk- zu Identity-basiertem Zugriff verändert sich nicht nur die Technologie, sondern auch die Art, wie Zugriffe bewertet, gesteuert und betrieben werden. Identität wird zur zentralen Steuerungsebene für Zugriffsentscheidungen. Dieser Wandel stärkt die Sicherheit, erhöht aber zugleich die Anforderungen an die Umsetzung. Genau deshalb ist Betrieb wichtiger als Absicht.

Die eigentliche Hürde: operative Kapazität

Bei näherem Hinsehen sind Budget oder Management-Support selten die grössten Hürden. Entscheidend sind operative Realitäten:

• Fachkräftemangel
• Integrationsaufwand bei Identity-Systemen
• Abstimmungsprobleme zwischen Netzwerk- und Security-Teams
• Parallelbetrieb von VPN und ZTNA

Traditionelle Betriebsmodelle wurden für statische Perimeter und langsamere Veränderungszyklen entwickelt. Moderne Architekturen verlangen hingegen eine kontinuierliche Abstimmung zwischen Identität, Richtlinien und Datenverkehr.

Das erfordert Zeit, Know-how und einen nachhaltigen operativen Fokus. Hier entsteht die SASE-Execution-Lücke: Die Komplexität wächst schneller als die Kapazität.

Warum SASE zur Betriebsmodell-Entscheidung wird

Anfangs wurde SASE oft als Technologieprojekt verstanden: Plattform auswählen, ausrollen, abschliessen. Diese Sicht wandelt sich. Immer mehr Unternehmen erkennen, dass SASE kein einmaliges Projekt ist, sondern ein fortlaufendes Betriebsmodell. Entsprechend müssen Fragen geklärt werden wie:

• Wer verantwortet Identity-Governance?
• Wer betreibt Richtlinien im Alltag?
• Wie werden Vorfälle teamübergreifend bearbeitet?
• Was bleibt intern, was übernehmen Partner?

Ohne klare Antworten können selbst gut konzipierte SASE-Architekturen Reibung zwischen Teams erzeugen und Fortschritt bremsen. Richtlinien ändern sich, Bedrohungen entwickeln sich weiter, Umgebungen wachsen, Integrationen müssen gepflegt werden. Sicherer Zugriff ist eine Daueraufgabe — keine einmalige Implementierung.

Deshalb gewinnen Co-Managed- und Managed-Modelle an Bedeutung. Nicht als Rückkehr zum Outsourcing, sondern als pragmatische Antwort auf operative Belastung. Ziel ist nicht, Kontrolle abzugeben, sondern sie langfristig sicherzustellen. Unternehmen wollen Governance und Transparenz behalten und gleichzeitig die tägliche Betriebsarbeit mit einem vertrauenswürdigen Partner teilen.

Was erfolgreiche Organisationen anders machen

Unternehmen, die mit Zero Trust und SASE nachhaltig vorankommen, zeigen gemeinsame Muster:

• Sie priorisieren Transparenz vor Expansion: erst beobachten und steuern, dann ausweiten.
• Sie planen den Zwischenzustand bewusst und managen den Parallelbetrieb von VPN und ZTNA aktiv.
• Sie richten Rollen, Verantwortlichkeiten und Betriebsmodell an realistischer Kapazität aus – entscheidend ist, was langfristig tragfähig ist.

Kurz gesagt: Sie verstehen Sicherheit als operative Disziplin, nicht nur als Architekturfrage.

Vom Anbieter zum Betriebspartner

Die Erwartungen von Käufern verändern sich. Architekturdiagramme und Feature-Listen verlieren an Gewicht, operative Glaubwürdigkeit gewinnt.

Gefragt sind:

• verlässliche 24×7-Betriebsmodelle
• ausgeprägte Compliance-Kompetenz
• Transparenz bei Datenstandorten
• nachweisbare operative Tiefe

Die Beziehung entwickelt sich vom Anbieter zum Betriebspartner: von der Produktlieferung zur geteilten Verantwortung. Das spiegelt eine einfache Realität: Nachhaltiger Zero Trust braucht kontinuierlichen Betrieb.

Von der Architektur zur Umsetzung

Über das Ziel herrscht Einigkeit: Zero Trust und SASE. Der Unterschied liegt heute nicht darin, wer zuerst beginnt, sondern wer Fortschritt dauerhaft aufrechterhält.

Erfolgreich sind nicht die Unternehmen mit den meisten Tools, sondern jene mit Betriebsmodellen, die langfristige Konsistenz ermöglichen. Denn in einer hybriden Welt ist Resilienz letztlich eine Frage des Betriebs.