In diesem Artikel (4)
CISA benennt die Architektur: Wie das neue SASE-TIC 3.0-Dokument Behörden einen echten Migrationspfad weg von Legacy-VPN bietet
Kernaussagen
- CISAs SASE-TIC 3.0-Dokument vom Juni 2026 ist nach Bundesmaßstäben präskriptiv: Es nennt SASE als Migrationsrichtung und identifiziert das veraltete VPN-Backhauling als das abzulösende Modell.
- Die Leitlinien tragen die Kennzeichnung TLP:CLEAR und gelten in erster Linie für zivile Bundesbehörden der Exekutive, doch die Beschaffungs- und Architekturanforderungen werden sich auch auf Auftragnehmer und Integratoren erstrecken.
- Dieses Dokument ist Teil von CISAs laufender Reihe 'Journey to Zero Trust', weshalb Architekten es als lebendige Referenz betrachten sollten, die künftige TIC-Richtlinienaktualisierungen prägen wird, und nicht als eigenständige Empfehlung.
Noa · Jun 26, 2026Endlich benennt ein bundesweites Leitdokument eine Architektur, beschreibt eine Richtung und erklärt, was im Weg steht.
Ausnahmsweise einmal benennt ein föderales Leitdokument eine Architektur, beschreibt eine Richtung und erklärt, was im Weg steht.
Bundesweite Netzwerksicherheitsvorgaben haben sich einen wohlverdienten Ruf erarbeitet, Behörden zu sagen, was erreicht werden soll, während bewusst offen gelassen wird, wie das gelingen soll. TIC 3.0, eingeführt als Ersatz für das starre „Alles-zurückführen"-Modell von TIC 2.0, wurde von CISA selbst als „flexible, nicht vorschreibende Leitlinie" beschrieben – eine Formulierung, die Architekten stillschweigend mit „Findet selbst einen Weg" übersetzt haben. Das im Juni 2026 veröffentlichte Dokument mit dem Titel „The Journey to Zero Trust: Using Secure Access Service Edge in a Modern TIC 3.0 Solution" bricht mit dieser Tradition. Es benennt eine Architektur, beschreibt eine Migrationsrichtung und identifiziert Legacy-VPN als das Hindernis. Das ist nicht nichts.
Was TIC 3.0 schon immer ermöglichen sollte
Die Trusted Internet Connections-Initiative begann als Konsolidierungsprogramm: Den gesamten föderalen Internetverkehr durch eine kleine Anzahl überwachter Zugangspunkte leiten und dort prüfen. Dieses Modell funktionierte, als Behörden monolithische On-Premises-Systeme betrieben. Es erzeugt Reibung, wenn Behörden Cloud-Workloads, remote arbeitende Belegschaften und Multi-Cloud-Umgebungen betreiben, denn das Weiterleiten des gesamten Datenverkehrs über veraltete Prüfknoten bringt Latenz und Komplexität mit sich, die moderne Architekturen eigentlich vermeiden sollen.
Laut dem im Juni 2026 veröffentlichten CISA-Leitliniendokument wurde TIC 3.0 gezielt entwickelt, um Behörden des zivilen Zweigs der Bundesexekutive (FCEB) beim Übergang von perimeterorientierten Architekturen hin zu modernen Sicherheitspraktiken zu unterstützen – im Einklang mit dem OMB-Memorandum M-19-26. Die in TIC 3.0 eingebaute Flexibilität war stets dazu gedacht, Ansätze wie SASE zu ermöglichen; dieses Dokument macht das explizit, anstatt es implizit zu lassen.
SASE – Secure Access Service Edge – verbindet Wide-Area-Networking mit cloudbasierten Sicherheitsfunktionen, organisiert nach dem Zero-Trust-Prinzip, das CISA mit „niemals vertrauen, immer verifizieren" zusammenfasst. Anstatt davon auszugehen, dass ein Nutzer innerhalb eines Netzwerkperimeters sicher ist, setzt das Modell bei jeder Verbindung identitätsbewusste, kontextsensitive Zugriffsentscheidungen durch. Laut dem CISA-PDF-Dokument ist die Leitlinie die neueste Ausgabe einer umfassenderen Reihe namens „The Journey to Zero Trust", die Cybersicherheitsfähigkeiten und Architekturthemen zur Unterstützung der organisationalen Einführung moderner Zero-Trust-Prinzipien abdeckt.
Der Architekturwandel, den das Dokument tatsächlich beschreibt
Die praktischen Anweisungen hier sind nicht subtil. Ältere TIC-Implementierungen verlangten von Behörden, den Datenverkehr über zentralisierte Prüfpunkte zurückzuführen, bevor er das Internet oder Cloud-Dienste erreichen konnte. SASE kehrt diesen Fluss um: Die Sicherheitsprüfung findet am Edge statt, nahe beim Nutzer oder Workload, über einen cloudbasierten Stack, der Funktionen wie sichere Web-Gateways, Cloud Access Security Broker und Firewall-as-a-Service-Fähigkeiten umfasst.
Laut der Berichterstattung von Industrial Cyber zur Leitlinie hat CISA SASE als praktischen Modernisierungspfad für TIC 3.0 eingeordnet und Bundesbehörden ausdrücklich mitgeteilt, dass sie die Abhängigkeit vom veralteten Backhaul-Modell reduzieren können, indem sie SASE-Architekturen übernehmen, die Durchsetzung verteilen statt zentralisieren.
Das Dokument ist mit TLP:KLAR gekennzeichnet, was bedeutet, dass Empfänger es ohne Einschränkungen weitergeben dürfen – das ist wichtig für Auftragnehmer und Integratoren, die seinen Inhalt mit Behördenkunden besprechen müssen. Es ist Version 1.0, datiert auf Juni 2026, erstellt von CISAs Cybersicherheitsabteilung. Laut der CISA-Pressemitteilung soll das Befolgen des Leitfadens Behörden helfen, Zero-Trust-Architekturen besser zu verstehen, zu planen und weiterzuentwickeln sowie Transparenz und Kontrolle zu verbessern. Diese Abfolge – verstehen, planen, weiterentwickeln – ist das Nächste, was das Dokument explizit als phasenweisen Fahrplan anbietet.
Wer betroffen ist und was sich in der Praxis ändert
Die primäre Zielgruppe sind Behörden des zivilen Zweigs der Bundesexekutive, aber die praktische Reichweite ist weiter. Auftragnehmer, die FCEB-Behörden unterstützen, Cloud-Dienstanbieter, die eine FedRAMP-Autorisierung anstreben, und Systemintegratoren, die Behördennetzwerke aufbauen, alle arbeiten unter TIC-Einschränkungen. Wenn CISA ein Dokument veröffentlicht, das eine spezifische Architekturrichtung befürwortet, folgt die Beschaffungssprache erfahrungsgemäß nach. Anbieter, die SASE-Fähigkeiten für Bundeskunden positioniert haben, verfügen jetzt über ein offizielles Referenzdokument, auf das sie verweisen können; Anbieter, die weiterhin zentralisierte VPN-Backhaul-Lösungen verkaufen, haben ein Problem, das sich über Beschaffungszyklen hinweg verschärfen wird.
Laut der MeriTalk-Berichterstattung zur Veröffentlichung vom 24. Juni erklärte CISA, die Leitlinie solle Behörden dabei unterstützen, Zero-Trust-Fähigkeiten auszubauen und moderne, unter TIC 3.0 unterstützte Architekturen einzuführen. Die Pressemitteilung der Behörde ordnete das Dokument als Teil ihrer fortlaufenden Bemühungen ein, Bundesbehörden und das breitere Cybersicherheitsökosystem bei der Einführung von Zero-Trust-Netzwerkarchitekturen zu unterstützen. Der Begriff „breiteres Cybersicherheitsökosystem" leistet hier echte Arbeit: Er signalisiert, dass CISA diese Leitlinie als nützlich über die strenge FCEB-Grenze hinaus betrachtet, ohne die Compliance-Pflicht formal auszuweiten.
Was Architekten sorgfältig lesen sollten
Der TLP:KLAR-Status des Dokuments und seine Einbettung in die „Journey to Zero Trust"-Reihe sind für alle, die ein Compliance-Argument oder eine Beschaffungsbegründung aufbauen, beide bemerkenswert. Die Einbettung in die Reihe bedeutet, dass dies keine einmalige Empfehlung ist; es ist Teil eines strukturierten Leitlinienkorpus, den CISA voraussichtlich erweitern wird. Architekten, die mehrjährige Modernisierungsprogramme planen, sollten dieses Dokument als Referenzpunkt behandeln, der in zukünftigen TIC-Richtlinienaktualisierungen zitiert werden wird – nicht als eigenständige Meinungsäußerung.
Die praktische Konsequenz für Netzwerkarchitekten bei FCEB-Behörden und deren Auftragnehmer ist klar: Wenn Ihre aktuelle Architektur den gesamten Nutzerverkehr über einen zentralen Prüfpunkt leitet, bevor er Cloud-Dienste erreicht, betreiben Sie ein Modell, das CISAs eigene Leitlinie nun als das beschreibt, wovon man sich wegbewegt. Das schafft keine unmittelbare Compliance-Frist, sendet aber ein Beschaffungs- und Planungssignal aus, das schwer zu ignorieren ist. Wenn das Budget für die Netzwerkmodernisierung einer Behörde das nächste Mal zur Überprüfung ansteht, wird dieses Dokument im Raum sein.
Die CISA TIC FAQ und die umfassendere Zero-Trust-Ressourcenbibliothek auf cisa.gov sind die natürlichen Begleitlektüren für alle, die intern den Fall für eine SASE-Migration aufbauen.