Wollen Fertigungsunternehmen auch in Zukunft sichere OT-Infrastrukturen betreiben, müssen sie sich auf den Schutz des Zugangs zu den OT-Geräten und -Controllern konzentrieren, für deren Verwaltung, Aktualisierung und Kommunikation mit anderen Geräten ein Netzwerkzugang benötigt wird. Herkömmliche Ansätze wie die Isolierung der Operational Technology von der IT und dem Internet sind nicht mehr praktikabel.
Die fünf Must-haves für SASE sind SD-WAN, Firewall, Zero Trust Network Access, Secure Web Gateways und Cloud Access Security Broker.
(Bild: ParinApril - stock.adobe.com)
Das traditionelle Rechenzentrum hat ausgedient. Applikationen laufen immer häufiger in der Cloud in Form von Software-as-a-Service (SaaS). Und auch die Mitarbeitenden sitzen nicht mehr im Büro und arbeiten innerhalb sicherer lokaler Unternehmensnetzwerke, sondern „fully remote“ oder „hybrid“. Die Folge: Der bisher bekannte Sicherheitsperimeter verschiebt sich drastisch. Dieses Phänomen betrifft auch Fertigungsbetriebe. Sie erweitern ihre bis dato praktisch abgeschirmten OT (Operational Technology)-Anlagen mittlerweile reihenweise durch IoT (Internet of Things)-Anwendungen, die ihnen Produktionssteigerungen und planbarere Wartungsfenster ermöglichen. Letztere beugen insbesondere Ausfällen der Anlage und damit mitunter horrenden Verlusten vor. Die Kehrseite der Medaille ist allerdings, dass Fertigungsstraßen wie jeder andere Teil der IT-Infrastruktur der Gefahr durch Cyberangriffe ausgesetzt sind.
Die Virtualisierung des Netzwerks
Was die Kommunikation zwischen Clients, Applikationen, Clouds und dem Internet sowie zwischen IT und OT ermöglicht, sind natürlich Netzwerke. Früher haben Unternehmen noch einen recht geringen Aufwand gehabt, sie einzurichten und abzusichern: Es genügten virtuelle private Netzwerke (VPNs), um den Zugriff zu regulieren, und MPLS (Multiprotocol Label Switching)-Lösungen, um den Datenverkehr optimal zwischen allen Knoten und Endpunkten zu routen. Dieser Ansatz ist jedoch teuer und nicht mehr zeitgemäß, weil es nur ganz wenige zentrale Knotenpunkte gibt, über welche die Mitarbeiter Zugriff auf die Applikationen und das Internet haben. Da sich der Sicherheitsperimeter drastisch verschoben hat, ist dieser traditionelle Ansatz nicht flexibel und agil genug und führt zudem zu einer schlechten User Experience. An seine Stelle tritt daher folgerichtig mehr und mehr das SD-WAN, also das softwaredefinierte Wide Area Network. Die Virtualisierung des Netzwerks sorgt dafür, dass Unternehmen beispielsweise auf Softwareebene entscheiden können, welche Applikationen oder Clients über welche Verbindungen kommunizieren. In diesem Zusammenhang geht es insbesondere um die Priorisierung von Netzwerkapplikationen, sodass unternehmenskritische Anwendungen optimal ausführbar sind – immerhin hängt die Sicherheit der Unternehmens-IT maßgeblich von einem sicheren Netzwerk ab. SD-WAN ist somit der entscheidende Faktor, um zusammenzuführen, was zusammengehört. Um höchste Sicherheit in hoch vernetzten IT-Umgebungen zu erreichen, müssen Unternehmen den Datenverkehrsfluss virtualisieren und an den virtuellen Knotenpunkten die Schutzmaßnahmen durchsetzen. Die Virtualisierung steigert die Agilität, Flexibilität und führt zudem noch zu einem kosteneffektiven Ansatz, um die User Experience und somit die Produktivität zu steigern.
Sicherer durch SASE
Die schlechte Nachricht: Um den Schutz der IT- und gegebenenfalls OT-Infrastruktur sowie ein optimales Unternehmensnetzwerk wirklich flächendeckend zu gewährleisten, bedarf es einiger Tools und Services, die Experten unter dem Begriff Secure Access Service Edge (SASE) zusammenfassen. Neben dem SD-WAN benötigen Unternehmen natürlich eine Firewall, mit der sie ihr Netzwerk in unterschiedliche Sicherheitszonen segmentieren und den Datenverkehr insgesamt überprüfen können. Das ist auch im Zusammenhang mit einem Zero-Trust-Ansatz von entscheidender Bedeutung, der sich leider nicht mit einem einzigen Produkt implementieren lässt. Auf Netzwerkebene sollten Unternehmen ihn beispielsweise in Form eines Zero Trust Network Access (ZTNA) durchsetzen, der eine anwendungszentrierte Zugriffskontrolle realisert und auf diese Weise das traditionelle VPN für Clients ablöst. ZTNA sorgt in erster Linie dafür, dass kein „goldener Schlüssel“ für das Unternehmensnetzwerk mehr existiert. Konnten Mitarbeitende früher nach der Verbindung mit dem VPN quasi ungehindert agieren, lässt sich mit ZTNA der Zugang auf bestimmte Netzwerkapplikationen feingranular konfigurieren. Wird ein Account gehackt können Unternehmen den potenziellen Schaden somit minimieren.
Da viele Firmen SaaS- und Cloud-Lösungen einsetzen, benötigen sie einen Cloud Access Security Broker (CASB). Er stellt zwei essenzielle Funktionalitäten bereit: Zum einen erhöht er die Visibilität des IT-Teams und versorgt sie mit den dringend notwendigen Informationen darüber, welche SaaS-Lösungen die Mitarbeiter überhaupt nutzen. Das sind oft mehr, als die Administratoren erwarten, in großen Firmen kann die Zahl an Services in die Tausende gehen. Zum anderen bietet CASB auch die Möglichkeit der Regulierung. Über den Broker kann das IT-Team die Nutzung bestimmter SaaS- oder Cloud-Lösungen einschränken oder ganz verbieten. Das geht zum Teil sogar auf Funktionsebene, sodass zum Beispiel das Herunterladen von Daten aus einer bestimmten Cloud möglich, das Hochladen allerdings verboten ist. Das letzte Puzzlestück sind Secure Web Gateways (SWGs), die den Internet-Traffic überwachen und filtern. Sie sind in der Lage, Gefahren aus dem Web zu erkennen und deren Schadenspotenzial auf diese Weise zu reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
SASE und seine Herausforderungen
Unternehmen, die diese fünf essenziellen Sicherheits-Tools implementieren, dürfen sich mit Fug und Recht als „SASE First“ bezeichnen. Es ist jedoch so, dass die Implementierung und der Betrieb eines Secure Access Service Edge in Eigenregie nicht gerade einfach ist. Die praktische Umsetzung eines SASE-Projekts dauert in der Regel zwischen sechs und zwölf Monaten, sofern ein entsprechend großes Team vorhanden ist. Das sollte nicht weniger als acht Personen umfassen, um auch später den Betrieb rund um die Uhr in einem gesunden Maß durchführen zu können. Diese 24/7-Bereitschaft ist notwendig, denn Netzwerke und die IT-Infrastruktur haben keinen Feierabend und auch Cyberattacken finden nicht nur während allgemeiner Geschäftszeiten statt. Allein der Fachkräftemangel macht dieses Unterfangen bereits schwierig, zudem sind die Kosten für ein solch großes Network Operation Center (NOC) für die wenigsten Unternehmen zu bezahlen.
Darüber hinaus müssen Unternehmen sich entscheiden, ob sie einen „Best of Breed“-Ansatz oder eine Tool-Konsolidierung bevorzugen. Beide Varianten haben ihre Vor- und Nachteile: Während ersterer den Einsatz der maßgeschneidertsten Lösungen für die jeweiligen Aufgaben ermöglicht, müssen diese Lösungen auch – jede für sich – verwaltet und konfiguriert werden. Außerdem müssen die IT-Experten sich spezielles Fachwissen über die jeweilige Lösung aneignen. Eine konsolidierte SASE-Lösung, die alle essenziellen Bestandteile von einem Anbieter enthält, erleichtert den Betrieb maßgeblich. Allerdings müssen Unternehmen gegebenenfalls Kompromisse schließen oder beim Anbieter bestimmte Funktionen zusätzlich einkaufen. Doch egal ob konsolidiertes Tool-Set oder „Best of Breed“: Beide Varianten gibt es auch als Software-as-a-Service. Somit haben Unternehmen vier Herangehensweisen, aus denen sie wählen können.
Managed SASE liegt im Trend
Die meisten Unternehmen zwischen 1.000 und 20.000 Mitarbeitenden tendieren mittlerweile zum sogenannten Managed SASE mit konsolidiertem Tool-Set. Bei der Wahl des Anbieters sollten sie allerdings eine sehr intensive Evaluierung vornehmen: SASE ist aktuell ein großes Buzzword. Einige Service Provider schreiben es sich gerne auf die Fahnen, haben dann allerdings in einigen Bereichen nicht genügend Know-how, um die speziellen Bedürfnisse von Unternehmen abzudecken. Die beste Vorgehensmethode ist, bereits vor einem Request for Proposals klare Service Level Agreements (SLAs) zu formulieren. Managed SASE ist überdies ein absolutes Vertrauensgeschäft, da Unternehmen sehr viel ihrer eigenen IT an den externen Service Provider auslagert. Daher sollten sie auch prüfen, ob der Partner über ähnliche Werte verfügt und ob dessen Business Roadmap den eigenen Vorstellungen entspricht.
Was Unternehmen, die auf Managed SASE setzen wollen, nicht vergessen dürfen, ist die interne Kommunikation mit ihren IT-Experten. Es ist elementar wichtig, ihnen zu vermitteln, dass sie sich um ihren Job keine Sorgen machen brauchen. Auch wenn Managed SASE bedeutet, vieles zu externalisieren, ist das für die internen Mitarbeitenden etwas Positives: Sie haben dann endlich Freiraum und Ressourcen, um das Unternehmen strategisch und durch wertschöpfende Tätigkeiten voranzutreiben. Somit wertet die verlängerte Werkbank des Networkings und der Security ihre Stellung eher auf, anstatt ab.
Über den Autor: Stefan Keller ist Chief Product Officer bei Open Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/89/2789fbf66a19362ffd79565279a2202b/0129120197v2.jpeg "Das Botnetz GoBruteforcer expandiert, indem es erfolgreich kompromittierte Linux-Server in seine Infrastruktur integriert und deren Ressourcen für weitere Brute-Force-Angriffe sowie zur Ausbeutung schwacher Passwörter nutzt. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/9f/8b9fcc672e58910cb611859b4edfe7cd/0129323780v2.jpeg "Vom 6. Februar 2026 bis zum 22. Februar 2026 finden die Olympischen Winterspiele in Mailand statt. (Bild: © amelia629 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a4f09c857d29ce37567bf2467ab3c/0129353618v1.jpeg "Ein umfassendes und automatisiertes Update-Management schützt Unternehmen vor wachsenden Cyberbedrohungen. (Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/9f/0f/9f0fc586b1460553a5f6f542474deffc/0124368337v2.jpeg "Das Sicherheitsmodell „Zero Trust“ ist die modernste und sinnvollste Herangehensweise, wenn es um den Schutz des Unternehmensnetzwerks bis an den Edge geht. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/89/ae892cb63c999b77fedb956f9c755bae/0125432495v1.jpeg "Marcel Stadler ist Product Manager SD-WAN bei Open Systems und beleuchtet in seinem Beitrag die Vorteile von Cloud-nativen SD-WAN-Lösungen. (Bild: Open Systems)")