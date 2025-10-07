Blickt man auf die schiere Menge an erfolgreichen Cyberangriffen in den letzten Monaten, so scheint es, als seien die Angreifer schneller, besser koordiniert und finanzstärker als je zuvor. Reflexartig wird gefordert, dass angesichts der Bedrohungslage mehr Geld für die Sicherheit ausgegeben werden muss. Und das, obwohl auch viele der von Sicherheitsverletzungen betroffenen Unternehmen hohe Beträge in ihre Sicherheit investiert haben. Offensichtlich bricht der traditionelle Ansatz – die Schichtung von Punktlösungen in einer »Defense-in-Depth«-Strategie – gerade unter seinem eigenen Gewicht zusammen.
Seit Jahren setzen CIOs auf eine mehrschichtige Sicherheitsstrategie, um den physischen Perimeter, die Endpunkte, die Anwendungen und die zwischen ihnen fließenden Daten zu schützen. Eine Zeit lang schien diese Idee aufzugehen: Durch mehrere Verteidigungslinien sollte das Risiko eines einzelnen Ausfallpunkts (Single Point of Failure) verringert werden.
Die Praxis sieht jedoch anders aus und hat zu einer wahren Produktflut geführt. Sicherheitsverantwortliche sehen sich einem Flickenteppich aus unterschiedlichen Tools und Konsolen gegenüber. Alle diese Lösungen sind zwar gut für ihre jeweilige Aufgabe geeignet, aber nicht auf eine Zusammenarbeit ausgelegt. Dies führt zu Transparenzlücken, Unmengen an Warnmeldungen, langen Reaktionszeiten, widersprüchlichen Richtlinien, steigenden Kosten und einer insgesamt geringeren Sicherheitseffizienz.
SASE als Antwort auf veränderte Realitäten
Heute explodiert das Datenvolumen, das durch Unternehmensumgebungen fließt. Gleichzeitig ist die Zahl der Hybrid- und Remote-Benutzer stark angestiegen. Die Anwendungen laufen auf lokalen Servern, über SaaS und in Multi-Cloud-Umgebungen. Die Angriffsfläche hat sich so verändert, dass herkömmliche Ansätze der zunehmenden Komplexität heutiger Netzwerke nicht mehr gerecht werden.
Und genau hier kommt SASE ins Spiel. Secure Access Service Edge (SASE) führt Sicherheit und Netzwerke in einer einzigen, integrierten, cloudbasierten Plattform zusammen – und vereinfacht so die Vernetzung und das Management sowohl lokal als auch in der Cloud.
Die folgenden fünf Elemente zeigen, wie der moderne Ansatz die Cybersecurity von Grund auf neu gestaltet:
-
Konvergenz von Security und Netzwerk:
In älteren Architekturen werden Security-Lösungen wie SWG, VPN oder CASB von Netzwerkkomponenten (zum Beispiel Routern, SD-WAN-Controllern und WAN-Optimierern) voneinander getrennt aufgebaut und betrieben – oftmals auch von unterschiedlichen Teams. Jedes Tool verfügt über eine eigene Policy-Engine und steuert seinen eigenen Datenfluss. Dadurch wird ein Zusammenspiel dieser Komponenten ausgesprochen komplex.
Fortschrittliche SASE-Lösungen beseitigen diese Trennung, indem sie die Funktionen nicht nur miteinander verbinden, sondern auch vereinheitlichen. Anstelle einer Hop-by-Hop-Prüfung über mehrere Geräte hinweg wird die Sicherheit nativ innerhalb des Datenverkehrs umgesetzt. Auf diese Weise wird eine nahtlose Netzwerk- und Richtliniendurchsetzung gewährleistet. Dies optimiert die Prozesse, reduziert Latenzen und schließt Lücken zwischen den Teams.
-
Transparenz auf einen Blick:
Bei herkömmlichen Tools müssen Sicherheitsteams ständig zwischen verschiedenen Schnittstellen und Konsolen hin und her wechseln und versuchen, Anzeichen für Kompromittierungen anhand verzögerter oder widersprüchlicher Daten manuell zu identifizieren.
Im Gegensatz dazu bietet SASE Netzwerk- und Sicherheitsteams eine einheitliche Oberfläche. Sie erhalten vollständige Transparenz über Benutzer, Geräte, Anwendungen und Bedrohungen in der gesamten Infrastruktur – vom lokalen Netzwerk über die Cloud bis hin zu Remote-Endpunkten. Dadurch werden die Protokollkorrelationen beschleunigt, die Daten zusätzlich angereichert und Reaktionen in Echtzeit ermöglicht.
-
Modernisierte »Defense in Depth«:
Der mehrschichtige Security-Ansatz ist nicht tot, sondern hat sich lediglich weiterentwickelt. SASE bietet alle Grundpfeiler einer mehrschichtigen Sicherheit wie Intrusion Prevention, DLP oder ZTNA – jedoch als koordinierte Funktionen in einer einzigen Architektur. Die Richtlinien gelten dabei überall gleichermaßen. Ältere Tools bieten dies oftmals nicht. Hier gelten Richtlinien möglicherweise nur an bestimmten Standorten, was zu einer inkonsistenten Durchsetzung in einer hybriden Welt führt, in der Benutzer sich von überall aus verbinden.
Der Vorteil der Bereitstellung von Defense-in-Depth-Funktionen innerhalb einer einzigen Architektur liegt in einem kohärenten, mehrschichtigen Schutz ohne den operativen Aufwand, mehrere Punktlösungen miteinander zu verbinden. Dies ermöglicht sofortige, koordinierte Maßnahmen wie das Blockieren bösartiger URLs, das Verhindern von Datenexfiltration und das Beenden riskanter Sitzungen in Echtzeit. Die unterschiedlichen Sicherheitsfunktionen wie ZTNA, NGFW und Threat Intelligence können Kontextinformationen austauschen und einheitliche Richtlinien durchsetzen. So lassen sich Lücken reduzieren, Redundanzen beseitigen und das Management vereinfachen. Die Sicherheitslage wird gestärkt und gleichzeitig die Leistung und Effizienz verbessert.
-
Integriertes Zero Trust:
Die Philosophie »Niemals vertrauen, immer überprüfen« ist in der aktuellen Bedrohungslandschaft von entscheidender Bedeutung. Dennoch beschränken viele Unternehmen ZTNA auf Remote-Benutzer, während sie für die Authentifizierung im Büro weiterhin auf herkömmliche Perimeter-Sicherheits- und Netzwerkzugriffskontrolllösungen setzen. Dies führt zu einer unausgewogenen Sicherheitsabdeckung und lässt Lücken, durch die nach dem ersten Zugriff implizites Vertrauen bestehen bleibt.
Fortschrittliche SASE-Lösungen integrieren Zero-Trust-Prinzipien in alle Instanzen, unabhängig von ihrem Standort. Der Status eines Geräts wird kontinuierlich bewertet und der Zugriff mit geringsten Berechtigungen dynamisch durchgesetzt. Identitätsbasierte Sicherheitsrichtlinien ermöglichen zudem eine Mikrosegmentierung, um laterale Bewegungen einzuschränken. Alle Richtlinien werden zentral verwaltet und sind auditierbar, um einen konsistenten, adaptiven Schutz überall zu gewährleisten.
-
KI, wie sie sein sollte:
Moderne SASE-Plattformen legen auch den Grundstein für KI-gesteuerte Sicherheit: Sie stellen allen Instanzen angereicherte Daten zur Verfügung, die über ein einziges System analysiert und korreliert werden können. Dies verbessert auch das Zero-Trust-Modell, indem es blinde Flecken beseitigt und eine tiefere, genauere Analyse für eine schnellere Abhilfe ermöglicht. In traditionellen Lösungen stößt künstliche Intelligenz oft an Grenzen, da nur eigene integrierte KI verwendet wird und nur eigene Daten genutzt werden können. Für die Arbeit mit den angereicherten Daten anderer Lösungen ist wieder eine Drittanbieterlösung wie SIEM erforderlich, die diese Daten aufnehmen, nach Bedarf analysieren und korrelieren kann.
Um von den Vorteilen moderner SASE-Lösungen zu profitieren, sollten Sicherheitsverantwortliche genau prüfen, ob es sich bei dem jeweiligen Angebot auch um eine echte SASE-Plattform handelt. Denn nicht überall, wo SASE draufsteht, ist auch SASE drin. Einige Anbieter bieten eine Sammlung von lose integrierten Tools an, die hauptsächlich über APIs miteinander verbunden sind. Diese scheinbaren Plattformen bergen viele der gleichen Sicherheitsrisiken wie ältere Systeme – Komplexität, Inkonsistenz und unzureichende Performance. Deshalb sollten sie auf Lösungen setzen, die von Grund auf als einheitliches System auf Basis eines einzigen Software-Stacks entwickelt wurden. Nur diese können sichere, leistungsstarke Netzwerke mit vollständig integrierter Sicherheit bereitstellen.
Pantelis Astenburg, Vice President Global Sales DACH von Versa Networks
