Die Zenith Live 2025, eine der grössten Cybersicherheitskonferenzen Europas, fand Mitte Juni in Prag statt. Über 1’700 Teilnehmer:innen informierten sich über Neuigkeiten zu Zero Trust und AI Security. Auch AVANTEC war als Silber-Sponsor mit neun Teilnehmer:innen und einem eigenen Messestand vertreten. Alle Teilnehmer:innen profitierten von über 60 technischen Sessions und Hands-on-Labs. Zudem fanden während vier Tagen Schulungen zu einzelnen Zscaler-Lösungen statt, und besonders Mutige konnten kostenlos ihre Zertifizierungsprüfungen ablegen.

Da viele Sessions parallel stattfanden, musste ich mich auf einen kleinen Teil konzentrieren. Trotzdem möchte ich zumindest meine persönlichen Highlights teilen.

Vorweg ein kurzer Disclaimer: Leider war für mich nicht immer klar, ob ein vorgestelltes Feature oder eine Lösung bereits länger verfügbar ist bzw. als GA-Release veröffentlicht wurde – oder ob sie sich noch in der Beta-Phase befindet. Auch GA-Releases sind nicht zwingend schon auf der Preisliste aufgeführt. Hier sollte sich Zscaler an anderen Herstellern orientieren und künftig transparenter kommunizieren.

Nun zu meinen persönlichen Highlights der Zenith Live 2025:

Zero Trust Everywhere

Zscaler präsentierte die konsequente Weiterentwicklung des Zero-Trust-Ansatzes mit «Zero Trust Everywhere». Ziel ist es, Sicherheit nicht mehr nur auf den Perimeter oder einzelne Nutzer zu beschränken, sondern sie auf alle Geräte, Workloads, Cloud-Umgebungen und sogar IoT-/OT-Systeme auszuweiten. Die Zscaler-Plattform ermöglicht eine feingranulare Makro- und Mikrosegmentierung zwischen und innerhalb von Ressourcen und Standorten.

Ein paar Beispiele:

  • Mit den Zero Trust Branch Appliances, einer Weiterentwicklung vom Branch-Connector, können Aussenstellen an die Zero Trust Exchange angebunden werden und gleichzeitig eine Microsegmentierung der lokalen Server sowie OT- und IoT-Geräte erreicht werden. Realisiert wird dies durch die zugekaufte Lösung Airgap. Jedes Gerät wird in ein /32-Subnetz gestellt, wobei die Zero Trust Branch Appliance als neuer Default-Gateway fungiert und sämtliche Verbindungen überwacht und kontrolliert. Besonders interessant ist, dass dafür keine komplexen VPN- oder Firewall-Konfigurationen und keine Umadressierung der Geräte notwendig sind. Zudem sollen IoT- und OT-Geräte künftig dynamisch erkannt und automatisch in die Policy aufgenommen werden. Die Lösung reduziert die Komplexität und erhöht die Sicherheit, indem sie laterale Angriffe wirksam unterbindet.

Um den damit einhergehenden höheren Performance-Anforderungen gerecht zu werden, wird Zscaler im Sommer eine weitere leistungsfähige Appliance, die ZT-8010, vorstellen.

Quelle: https://www.zscaler.com/resources/data-sheets/zscaler-zero-trust-branch.pdf, abgerufen am 20.06.2025
  • Auf AWS ist es neu möglich, einen von Zscaler gemanagten Zero Trust Gateway für Cloud Workloads, analog dem Cloud-Connector, zu betreiben. Dieser cloud-native Service unterstützt Autoscaling und soll innerhalb weniger Minuten (<10 Min.) einsatzbereit sein. Die Unterstützung weiterer Cloud-Plattformen soll zu einem späteren Zeitpunkt folgen.
  • Beim zukünftigen App Connector «Managed by Zscaler» übernimmt Zscaler auch den Unterhalt des Betriebssystems.
  • KI-gestützte Mikrosegmentierung für Cloud- und On-Premise-Workloads: Ein Agent steuert die lokale Windows-Firewall bzw. die Linux-IP-Tables der Workloads, um besonders schützenswerte Systeme («Kronjuwelen») gezielt vor lateralen Bedrohungen zu schützen.

Agentic AI: Agentenbasierte Cyber-Sicherheit

Die grösste Innovation an der Zenith Live war die Ankündigung von «Agentic AI». Künftig sollen KI-Systeme eigenständig in der Lage sein, Bedrohungen zu erkennen, zu analysieren und zu bekämpfen. Sie agieren wie ein Team spezialisierter Agenten, die verschiedene Rollen im Security Operations Center (SOC) übernehmen.

Quelle: Zenith Live 2025
  • Zscalers Vision eines agentenbasierten SOC basiert auf Exposure- und Threat Management. Noch in diesem Sommer wird Zscaler das führende MDR-Unternehmen Red Canary übernehmen und in sein Threat-Management integrieren.
Zscalers View of an Agentic SOC
Exposure ManagementThreat Management
Asset ExposureDeceptionThreat Detection and Response
Vulnerability ManagementIdentity Protection
Risk360Breach Prediction

Ich denke, die «Threat Detection and Response»-Agenten könnten sich künftig etwa folgendermassen verhalten:

  • Zscaler Eclipse überwacht die Nutzung von selbst betriebenen LLMs (Large Language Models) und generativen KI-Anwendungen. Die Lösung klassifiziert sensible Daten, kontrolliert Prompt-Eingaben und verhindert sowohl Datenabflüsse als auch Prompt-Injection-Angriffe. Aus meiner Sicht handelt es sich dabei um eine Art Web Application Firewall für KI-Anwendungen. Ein spannendes Thema, da heute fast jedes Unternehmen in KI investiert, dabei aber häufig die Sicherheit vernachlässigt.
Quelle: Zenith Live 2025

Zero Trust für B2B-Kommunikation

Zero Trust spielt häufig eine zentrale Rolle in der B2B-Kommunikation. Meist wird diese mit einer kleinen Firewall oder über IPSec-VPNs abgesichert. Wobei «sicher» dabei fast nichts ist. Auch in diesem Bereich hat Zscaler Neuigkeiten und Roadmap-Informationen geliefert:

  • Sobald eine Kommunikation mit einem Businesspartner notwendig wird, einigt man sich meist auf die altbekannten IPSec-Tunnel-Technologien. Mit Zero Trust hat dies nicht viel zu tun. Zscaler hat nun angekündigt, dass zwei Zscaler-Kunden künftig über die Zero Trust Exchange mittels Tenant Federation miteinander kommunizieren können. Dabei lassen sich dieselben Policies anwenden wie für die interne Kommunikation.
  • Auch wenn der Businesspartner kein Zscaler im Einsatz hat, kann er neu einen IPSec-Tunnel zur Zero Trust Exchange aufbauen. Der Datenverkehr wird dabei immer vom Zscaler-Kunden initiiert. Ein Kommunikationsaufbau in beide Richtungen wird bald realisiert.
  • Bei der Zscaler-PRA-Lösung wird künftig sowohl die Verwendung einer «Disposable Jumpbox» als auch der Einsatz von «Credential Rotation» möglich sein. Beides erhöht die Sicherheit beim Zugriff auf kritische Systeme.

ZPA VoIP und Server-zu-Client Kommunikation

Die VoIP und der Server initiierter Verkehr waren stets Probleme für den Private Access von Zscaler. Aber jetzt könnten auch diese Umgebungen mit veralteten oder nicht Zero Trust-fähigen Applikationen migriert werden. Zscaler hat dies elegant gelöst, indem ein sogenannter Network Connector, nebst dem App Connector, eingesetzt wird. Dieser öffnet auch nur eine ausgehende Verbindung zur Zscaler Service Edge. Ein kleiner Wermutstropfen bleibt: Es ist eine klassische Routing-Konfiguration erforderlich, und pro Benutzer fallen zusätzliche Lizenzkosten an.

Neuigkeiten zur Zero-Trust-Exchange-Plattform

Auch auf der Zscaler-Plattform gibt es diverse Änderungen und Neuerungen. Aus meiner Sicht sind die folgenden erwähnenswert:

  • Diverse Kunden sind bereits auf ZIdentity migriert. Dadurch wird auch die Nutzung der OneAPI möglich, sodass Automatisierungen zentral über alle Zscaler-Lösungen hinweg erfolgen können. Nach der Freischaltung erhält der Kunde zudem Zugriff auf das Experience Center – die einheitliche Verwaltungsoberfläche von Zscaler. Hier werden künftig regelmässig neue Funktionen bereitgestellt, etwa die Adaptive Access Engine, die Zugriffssteuerungen organisationsweit und unter Einbindung weiterer Anbieterdaten intelligent und flexibel anpasst.
Quelle: Zenith Live 2025
  • Trotz des umfassenden Schutzes durch Zscaler bleibt die Ergänzung um eine NDR-Lösung wie Vectra weiterhin unverzichtbar. Solche Systeme nutzen KI-gestützte Analysen, um auch Angriffe zu erkennen, die sonst unentdeckt bleiben könnten. Damit NDR-Lösungen wie Vectra künftig auch verschlüsselte Verbindungsinhalte analysieren können, wird Zscaler einen Packet-Capture-Stream implementieren.
Die Integration von Vectra in Zscaler, Quelle: Zenith Live 2025
  • Auch für Zscaler ist die Post-Quantum-Zukunft ein wichtiges Thema, da herkömmliche Verschlüsselungen künftig durch Quantencomputer gebrochen werden könnten. Das Unternehmen hat sich deshalb zum Ziel gesetzt, auf post-quantensichere Verschlüsselung zu migrieren.

Zum Abschluss wurde neben dem aktuellen Gartner SSE Magic Quadrant auch ein aktueller Test vom unabhängigen Testinstitut CyberRatings gezeigt, in dem Zscaler mit hervorragenden Ergebnissen überzeugen konnte.

Quelle: https://www.zscaler.com/blogs/product-insights/zscaler-achieves-100-security-efficacy-cyberratings-sse-test, abgerufen am 20.06.2025
Quelle: https://www.zscaler.com/gartner-magic-quadrant-security-service-edge-sse, abgerufen am 20.06.2025

Fazit

Die Zenith Live 2025 in Prag verdeutlichte eindrucksvoll, wie sich SSE/SASE zu ganzheitlichen Zero-Trust-Sicherheitslösungen entwickeln – weit über klassische Web-Security- und Remote-Access-Lösungen hinaus.

Der Austausch mit Zscaler-Experten und anderen Teilnehmenden war äusserst bereichernd. Wer sich für Innovationen im Bereich moderner Cybersicherheit interessiert, sollte sich aus meiner Sicht die Teilnahme an der nächsten Zenith Live 2026 vom 15. bis 18. Juni in Wien nicht entgehen lassen.

Weiterführende Links & Quellen

https://www.avantec.ch/loesungen/zscaler/