Cato Networks, Vordenker des SASE-Konzepts (Secure Access Service Edge)) erweitert seine SASE-Lösung um die Funktionen XDR (Extended Detection and Response) und EPP (Endpoint Protection).
Grundprinzip der SASE-Lösungen ist Zero Trust: Vertrauenswürdig ist grundsätzlich nichts und niemand, Zugriff auf Ressourcen hat nur, wer oder was sicher authentifiziert und zuverlässig autorisiert ist.
(Bild: Alexander - stock.adobe.com)
Sicherheitsfunktionen wandern mit der technologischen Entwicklung: Von der Firewall über das Netzwerk in die Cloud. Dort werden die entsprechenden Funktionen nicht mehr zum Kauf, sondern als Service angeboten. Der Gründer von Cato Networks, Shlomo Kramer ist noch heute CEO des Unternehmens. Kramer hat die Entwicklung von IT-Sicherheitstechnologien maßgeblich mitgestaltet. Er gehörte zunächst zu den Mitgründern von Checkpoint, wo die erste kommerzielle Firewall entwickelt wurde. Weiter gehörte er zu den Mitbegründern von Imperva, dem Erfinder der Web Application Firewall. Außerdem finanzierte er Palo Alto Networks und andere einschlägige Unternehmen mit.
Viele Services unter einem Dach
„Wir wollen Netzwerk- und Sicherheitsmanagement enger verzahnen“, Eyal Webber-Zvik, Vice President Marketing and Strategic Alliances bei Cato Networks.
(Bild: Cato Networks)
Mit Cato Networks erfolgte der nächste technologische Schritt, der in Richtung Cloud, erklärt Eyal Webber-Zvik, Vice President Marketing and Strategic Alliances bei Cato Networks. Das dazugehörige Konzept heißt SASE (Secure Access Service Edge) und wurde vom Marktforschungsinstitut Gartner 2019 firmenneutral definiert. SASE führt Netzwerk- und Sicherheitsfunktionen sowie verschiedene Cloud-basierte Security-Ansätze zusammen und bietet sie als voll integrierten Cloud-Service an.
Grundprinzip der SASE-Lösungen ist Zero Trust: Vertrauenswürdig ist grundsätzlich nichts und niemand. Zugriff auf Ressourcen hat nur, wer oder was (z.B. Netzwerkgeräte) sicher authentifiziert und zuverlässig autorisiert ist, die betreffenden Daten zu nutzen oder eine bestimmte Funktion auszuführen. Zu den Funktionen, die Zero Trust Network Access (ZTNA) voraussetzt, gehören eín Cloud Access Security Broker (CASB), Software-definiertes WAN (SD-WAN), SWG (Secure Web Gateway) und eine Next-Generation Firewall (NGFW).
Enge Integration versus Stückwerk
Bei der engen Integration beziehungsweise Konvergenz der Bereiche, so Webber-Zvik, liege das Alleinstellungsmerkmal seines Unternehmens. „SASE bieten heute die meisten Mitbewerber in irgendeiner Form an. Aber nur wir haben die gesamte Cloud-basierte und Cloud-nativ umgesetzte Sicherheitsfunktionalität aus einem Guss vom Reißbrett entwickelt.“ Woanders dagegen würden meist heterogene, zugekaufte Lösungen irgendwie zusammengestrickt. Das führe oft zu langen Antwortzeiten oder wenig perfekter Einsichtstiefe.
Schnellere Reaktion
Eine von Grund auf konzipierte, Konvergenzlösung bedeute für die Anwender mehr Speed, mehr Transparenz und tiefere Einsichten. An letzterer ist, wie inzwischen üblich, auch ein gerütteltes Maß an KI beteiligt, denn Störmeldungen werden zentral gesammelt und analysiert, ohne allerdings Datenschutz und -sicherheit der Kunden zu kompromittieren.
Zudem verweist Cato auf ein dicht geknüpftes Netz weltweit aktiver PoPs – insgesamt sind es mehr als 80. In Deutschland befinden sich zwei, einer in Frankfurt/Main und einer in München. „Wir erreichen jeden Kunden in weniger als 25 ms, viele auch schneller.“ Alle Funktionen werden in einem Durchgang abgewickelt. Beides – die räumliche Nähe und die gemeinsame Abwicklung der Funktionen – sorgen für optimale Leistung.
Von Mittelstand bis Großunternehmen
Forrester sortiert Cato in den Führungsquadranten zum Thema Zero Trust Edge Solutions.
(Bild: Forrester)
Die 2015 gegründete Cato beschäftigt derzeit rund 1000 Mitarbeiterinnen und Mitarbeiter und bedient weltweit rund 2100 Kunden, darunter auch Mittelständler. Großkunden schätzen den Wert eines konvergenten SASE-Konzepts ohne angeflanschte Funktionsmodule mit eigentlich anderer Technologie. Rund 35000 Niederlassungen und mehr als 800.000 einzelne Arbeitsplätze werden mit Cato-Sicherheitsfunktionen versorgt.
Die Marktforscher von Forrester ordnen die noch recht junge Cato Networks im Segment der SASE/Zero-Trust-Lösungen mit den größeren Konkurrenten Palo Alto und Fortinet in den Leaders-Quadranten ein. Vorteilhaft wirkt sich zudem wohl die Einheitlichkeit der Lösung aus. Dell`Oro betont, dass SASE-Lösungen aus einem Guss auf dem Markt deutlich bessere Karten haben sollten.
Der ToR-Switch muss weichen
SASE-Lösungen können ohne neue Geräteanschaffungen in die Infrastruktur der Kunden integriert werden. Ganz ohne Umstellungen kommen Firmen, die auf Cato-SASE umsteigen wollen, aber nicht aus. Der gern benutzte Top-of-Rack (ToR)-Switch verschwindet und wird durch eine von Cato aufgestellte und gewartete Box, Cato Socket, ein Edge-WAN-Device ersetzt, das zum Cato-Service gehört. Alle Metadaten der Kommunikationsvorgänge im Netzwerk werden über Cloud Socket an die zentrale Info-Sammelstelle zur Speicherung und Auswertung übergeben. Das Gerät bietet bis zu 10 Gbit/s Bandbreite.
Umstieg bei Gerätewechsel
Deshalb sieht Webber die besten Chancen für einen Einstieg bei Neukunden immer dann, wenn bei diesen ohnehin ein Hardware-Refresh ansteht. „Dann können wir unsere Boxen dort ins Kundennetz integrieren, und der Kunde verliert sein Investment nicht“, sagt er. Ein Einstieg mit nur einigen wenigen Remote-Arbeitsplätzen sei durchaus üblich. Die Flexibilität der Lösung lasse hier nahezu jede vom Kunden gewünschte Vorgehensweise zu.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Preismodell: Schleierhaft
Zum Preismodell mag Cato eher wenig sagen, es sei, wie es in solchen Fällen oft heißt, zu multifaktoriell und zu komplex. Bandbreiten und die Zahl der Nutzer spielten eine wichtige Rolle. Ohnehin gehe es den Kunden weniger um Einsparungen beim Einkauf als darum, die sich aus der Nutzung ergebenden Vorteile zu genießen. Die seien durchaus auch finanziell spürbar. Lauf Forrester soll sich Cato in weniger als sechs Monaten amortisieren. Der Gewinn läge über die Nutzungsdauer bei 246 Prozent gegenüber dem Anschaffungspreis.
Wiederinbetriebnahme im Schnellgang
Auch in Deutschland hat Cato bereits Kunden. Bei Haefele, einem Spezialisten für Möbel- und Baubeschläge, schlugen die Hacker ausgerechnet während eines SASE-PoC zu, an dem neben Cato auch noch die Konkurrenz beteiligt war. Dank intakter Backups, Catos Wissen und der Cato SASE Cloud Networks konnten das Active Directory schon nach einer Woche die Arbeit wieder aufnehmen, SAP ging nach zwei Wochen wieder in Betrieb, nach zwei weiteren Wochen die Lagersteuerung. Das überzeugte das Unternehmen, Cato global bei 180 Sites einzusetzen.
Neue Services: XDR und EPP
Nun hat Cato sein Service-Portfolio um zwei ebenfalls konvergent zum bisherigen SASE-Service realisierte Lösungsbausteine erweitert: XDR und EPP. XDR (Extended Detection and Response) nutzt und integriert intelligent Informationen aus allen Bereichen der Infrastruktur, um Angriffe schon in der ersten Phase zu erkennen, abzublocken und zu ihren Ursprüngen zurückzuverfolgen, wenn möglich.
EPP ist besonders für das Sicherheitsmanagement sämtlicher Endpunkte zuständig. Damit sind nicht nur die Arbeitsplatzrechner gemeint, sondern auch mobile Systeme wie beispielsweise Laptops. Deren Sicherung stellt in der Regel besonders hohe Ansprüche.
Beide Funktionen gehören nicht zum Standard-Leistungsumfang von SASE laut Gartner-Definition, wohl aber zu den verbreiteten Sicherheitslösungen in Unternehmen. Weitere Zusatzfunktionen sind daher denkbar – beispielsweise die Überwachung der Netzwerkfunktionen direkt über SASE, was schon weit ins Infrastrukturmanagement hineinreicht.
„Wir folgen mit dieser Ankündigung dem Wunsch vieler Kunden, Netzwerk- und Sicherheitsmanagement enger zu verzahnen“, erklärt Webber.-Zvik „Silolösungen haben unserer Meinung nach mit steigender Angriffskomplexität und Bedeutung digitaler Geschäftsprozesse keine Chance mehr.“ Sie seien schlicht zu arbeitsaufwändig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/c4/47/c4478656bc6c7380c711f5af5214dc28/90808007v6.jpeg "SASE (Secure Access Service Edge) ist der Name für eine Kombination von WAN-Services und Edge-Security-Funktionen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ef/8b/ef8bd7f2996fc3c84e546388b5f86b9a/0127599270v1.jpeg "Versa verbindet sein Secure SD-WAN mit Microsoft Entra Internet Access zu einer automatisierten SASE-Lösung. (Bild: KI-generiert)")