In den letzten Jahren ist das Interesse daran gewachsen, verteilte Infrastrukturen und entfernte Mitarbeiter über Cloud-gehostete Dienste anzubinden, zu managen und abzusichern. Für dieses innovative Konzept gibt es in der Branche einige unterschiedliche Bezeichnungen, die bekannteste ist Gartners Secure Access Service Edge (SASE).
Die Einführung von SASE kann sich als komplex und schwierig erweisen – aber, es führt oft kein Weg daran vorbei!
Wenn es um die Absicherung einer Organisation geht, gilt es, viele Punkte zu berücksichtigen: Wo arbeiten die Nutzer überwiegend – vor Ort oder remote? Sind in den kommenden Jahren Veränderungen diesbezüglich absehbar? Betreibt das Unternehmen On-Premises-Lösungen im Rechenzentrum oder verwendet es hauptsächlich cloudbasierte Anwendungen? Wie vielfältig sind die Anwendungen und Datentypen, von denen die Produktivität der Nutzer abhängt?
Keine zwei Organisationen sind gleich aufgebaut. Einige verfügen über branchenspezifische Kundenapplikationen, andere verwenden allgemeine Produktivitätsanwendungen. Und wenn all diese Faktoren auch noch an verteilten Standorten in mehreren Regionen – mit jeweils unterschiedlichen Service Providern, die die Verbindungen und unterschiedlichen Sicherheitskontrollen mit jeweils eigenen Verwaltungssystemen unterstützen – auftreten, wird deutlich, wie viele Variablen berücksichtigt werden müssen.
Sobald Organisationen diese Konzepte verstanden haben, wird die Komplexität der Infrastruktursicherung deutlicher. Der Schutz dieses komplexen Technologiedurcheinanders ist für viele Security- und Infrastrukturteams seit mehr als 20 Jahren ein operativer Balanceakt.
In den letzten Jahren ist das Interesse daran gewachsen, diese Technologien auf Cloud-gehostete Dienste zu übertragen, die als Paket angeboten werden. Denn wer könnte diese Technologien besser einstellen als die Anbieter, die sie entwickeln, einsetzen und betreiben? Für dieses innovative Konzept gibt es in der Branche einige unterschiedliche Bezeichnungen, die bekannteste ist Gartners Secure Access Service Edge (oder SASE).
Unterschiedliche Wege für unterschiedliche Bedürfnisse
SASE liefert die entscheidenden Fähigkeiten, die Sicherheitsarchitekturen bieten sollen, darunter:
Production class Uptime
Häufiges Überprüfen der Sicherheitswirksamkeit
Einsatzflexibilität
Benutzerfreundlichkeit
SASE eignet sich sehr gut für neue Standorte oder die großflächige Umstellung auf diesen Dienst. Nahezu alle Organisationen haben jedoch bereits in Technologien oder Verfahren investiert, sodass eine Einführung en gros schwierig ist – wenn nicht gar unmöglich. Darüber hinaus führen Dienste und Anwendungen, die Übernahme durch interne Stakeholder und die Betriebszeitvorgaben, die kein Zeitfenster für eine Umstellung zulassen, dazu, dass die Einführung von SASE für die meisten Unternehmen ein langwieriges Projekt bedeutet.
Policy-Engines
Die betrieblichen Vorteile von SASE lassen sich nicht vollständig nutzen, wenn noch Anwendungen in eigenen Rechenzentren laufen und gleichzeitig SaaS und/oder öffentliche Cloud-gehostete Anwendungen eingesetzt werden. Bei der Behebung von Problemen mit dem Benutzererlebnis oder Applikationen ist die Richtlinienkonsistenz von entscheidender Bedeutung. Mehrere Policy-Engines, bei denen die Konfigurationen schwierig oder die Lösungen von Problemen unmöglich sind, schaffen eine neue betriebliche Herausforderung, die die Transparenz eher trübt als verbessert. Wenn die betriebliche Agilität eine der Grundlagen dieser neuen Sicherheitsvision ist, sollte eine Policy Engine das Ziel sein. Andernfalls entstehen neue Wartungs- oder Betriebsprobleme bei alltäglichen Aktivitäten und Herausforderungen, bei Vorfällen oder Untersuchungen, die die Reaktion oder Lösung durch die Mitarbeiter verzögern.
Wie sieht es mit der Leistung vom oder zum Point of Presence (POP) für den SASE-Dienst oder der Ansammlung mehrerer Links, sowohl mit Punkt-zu-Punkt-Verbindungen zwischen Rechenzentren und Campus oder Homeoffices zur Cloud aus? SD-WAN löst einige dieser Probleme; dennoch kann es schwierig sein, eine qualitativ hochwertige Benutzererfahrung zu gewährleisten, wenn Sicherheitsdienste die Telemetrie und Details verdecken, auf die man sich oft verlässt.
„Choose your own adventure“
Heute verfügen viele Angebote über mehrere Richtlinienkonfigurations- und Bereitstellungsmechanismen für verschiedene Standorte im Netzwerk. Da jede Instanz ihre eigene Management-UI, Richtlinienstruktur und ihr eigenes Ereignisformat hat, ist eine Fehlerbehebung so gut wie unmöglich, geschweige denn der Einblick in das Verhalten eines bestimmten Dienstes oder einer Anwendung in der gesamten Umgebung. Cloud-gehostete Sicherheit sollte den betrieblichen Verbrauch einfacher, nicht komplexer machen.
Mike Spanbauer.
(Bild: Juniper Networks)
Fazit
Eines ist klar: Die User Experience bleibt für die meisten Unternehmen der Maßstab des Erfolgs. Ausgezeichnete Sicherheit sollte für den Endbenutzer so transparent wie möglich sein. Einige Ansätze sehen jedoch zusätzliche UIs, zusätzliche Hardware und mehrere Policy-Engines vor, was die Komplexität erhöht. Kunden auf ihrem Weg in die Cloud dort abzuholen, wo sie sich aktuell befinden, ist der beste Weg, diesen Herausforderungen zu begegnen, ohne den Betrieb weiter zu erschweren.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hier finden Sie Teil 2 unserer dreiteiligen SASE-Miniserie:
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/55/c3/55c3c5900f94ea17a1564852d3f9eb6a/94940514.jpeg "Für die Erfolgreiche Einführung von Secure Access Service Edge (SASE) braucht man Geduld, einen Plan und ein Team! Was genau das bedeutet, erläutert Mike Spanbauer von Juniper. (Bild: © yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/47/c4478656bc6c7380c711f5af5214dc28/90808007v6.jpeg "SASE (Secure Access Service Edge) ist der Name für eine Kombination von WAN-Services und Edge-Security-Funktionen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3c/41/3c4152e3f0a779dbd189f393d07ec6e1/0124384762v2.jpeg "Die Nutzung von SASE-Lösungen bedeutet für Unternehmen immer auch einen Neuanfang, in dem verschiedene, wichtige Fragen geklärt werden müssen. (Bild: photoopus - stock.adobe.com)")