SASE/SSE

Anwendungen laufen heute teils im eigenen Rechenzentrum, teils in Cloud-Umgebungen, während Mitarbeitende von überall darauf zugreifen. Die klassische Sicherheitsarchitektur mit zentraler Firewall am Hauptstandort passt zu dieser Realität immer schlechter: Der Datenverkehr wird über zentrale Knoten umgeleitet, die er fachlich gar nicht mehr braucht. Das kostet Performance und erzeugt blinde Flecken. SASE/SSE beantwortet diese Entwicklung mit einem Architekturmodell, das Netzwerk- und Sicherheitsfunktionen zusammenführt und als verteilten Cloud-Dienst bereitstellt. Geprüft und gefiltert wird dort, wo Nutzer und Anwendungen tatsächlich sind, statt an einem einzigen zentralen Ort.

Was ist SASE/SSE?

Der Begriff Secure Access Service Edge (SASE) wurde 2019 vom Marktforschungsunternehmen Gartner geprägt. Er beschreibt die Konvergenz von Weitverkehrsnetz und IT-Sicherheit: Funktionen, die früher als einzelne Appliances im Rechenzentrum standen, wandern in eine verteilte Cloud-Plattform mit Zugangspunkten nahe an Nutzern und Standorten. Zwei Jahre später ergänzte Gartner den Begriff Security Service Edge (SSE) für die reine Sicherheitsschicht dieses Modells, also für den Teil ohne die Netzwerkfunktionen. Weil beide Begriffe zusammengehören, hat sich in der Praxis die Schreibweise SASE/SSE etabliert. Der Grundgedanke bleibt gleich: Die Sicherheit folgt dem Nutzer, statt den Datenverkehr zum zentralen Standort zurückzuholen. Dahinter steht eine einfache Beobachtung: Wenn Anwendungen und Nutzer verteilt sind, muss auch die Kontrolle verteilt stattfinden.

So funktioniert es

Eine SASE/SSE-Plattform bündelt mehrere Dienste, die über gemeinsame Richtlinien gesteuert werden:

  • ZTNA: Zero Trust Network Access prüft Identität, Gerätezustand und Kontext und verbindet Nutzer gezielt mit einzelnen Anwendungen statt mit ganzen Netzen.
  • Secure Web Gateway: Der Web-Verkehr aller Nutzer wird in der Cloud gefiltert, inklusive Schutz vor Schadsoftware und Kontrolle riskanter Ziele.
  • CASB: Ein Cloud Access Security Broker macht die Nutzung von SaaS-Diensten sichtbar und setzt Regeln für Datenzugriffe und Freigaben durch.
  • FWaaS: Firewall as a Service verlagert Firewall-Regeln in die Plattform, sodass Standorte ohne eigene Sicherheits-Appliances auskommen.
  • SD-WAN: Auf der Netzwerkseite steuert Software-defined WAN die Anbindung der Standorte und wählt pro Anwendung den passenden Übertragungsweg.
  • Zentrale Richtlinien: Eine Verwaltungskonsole definiert Regeln einmal und wendet sie auf alle Nutzer und Standorte an, unabhängig vom Aufenthaltsort.

Technisch verbindet sich jeder Nutzer und jeder Standort mit dem nächstgelegenen Zugangspunkt der Plattform. Dort greifen die Richtlinien, danach fließt der Verkehr direkt zum Ziel. Die Entscheidung, wer worauf zugreifen darf, wandert damit vom Standortperimeter an den Rand des Netzes, nahe an den Nutzer.

Warum es wichtig ist

  • Sicherheitsregeln gelten einheitlich am Standort wie im Homeoffice.
  • Der Datenverkehr nimmt den direkten Weg zur Anwendung, Umwege über das Rechenzentrum entfallen.
  • Der Betrieb einzelner Sicherheits-Appliances an jedem Standort entfällt, ebenso deren Update-Rückstände.
  • Zugriffe folgen dem Zero-Trust-Prinzip und lösen pauschale Netzwerkfreigaben ab.
  • Neue Standorte und Nutzergruppen lassen sich über die Plattform zügig anbinden.
  • Sichtbarkeit über Nutzer und Datenflüsse entsteht an einer zentralen Stelle.

Typische Szenarien

  • Ein mittelständisches Unternehmen ersetzt den Fernzugriff per VPN durch ZTNA und reduziert damit die aus dem Internet erreichbare Angriffsfläche.
  • Ein Betrieb mit zwölf Niederlassungen verbindet die Standorte über SD-WAN und filtert den gesamten Web-Verkehr zentral in der Cloud.
  • Nach einer Cloud-Migration soll die Nutzung von SaaS-Diensten kontrolliert werden, inklusive der Erkennung nicht freigegebener Dienste per CASB.
  • Ein Unternehmen mit vielen Fremdzugriffen gibt Dienstleistern gezielt einzelne Anwendungen frei, ohne ihnen einen Netzwerkzugang einzurichten.
  • Ein international tätiges Unternehmen steuert Sicherheitsrichtlinien für alle Regionen aus einer Konsole und vereinfacht damit Audits.

SASE/SSE oder nur SSE: Wo liegt der Unterschied?

Die beiden Abkürzungen werden häufig synonym verwendet, bezeichnen aber unterschiedliche Zuschnitte. Das vollständige Rahmenwerk umfasst Sicherheits- und Netzwerkfunktionen, schließt also SD-WAN ausdrücklich ein. SSE beschränkt sich auf die Sicherheitsdienste, im Kern ZTNA, Secure Web Gateway, CASB und FWaaS. SSE ist damit die Security-Teilmenge des Gesamtmodells. Praktisch relevant wird die Unterscheidung bei der Einführung: Viele Unternehmen starten mit den SSE-Diensten, weil sich diese unabhängig vom bestehenden Netz einführen lassen, und modernisieren die Standortvernetzung in einem zweiten Schritt. Wer bereits ein SD-WAN betreibt, kombiniert es mit einer SSE-Plattform und erreicht so das vollständige Modell.

Wie KAEMI unterstützt

KAEMI begleitet Sie von der Analyse der bestehenden Zugriffswege bis zum laufenden Betrieb der Plattform. Als Managed Service Provider für sichere Unternehmensnetzwerke verbindet KAEMI die Sicherheitsdienste mit der Vernetzung Ihrer Standorte, damit Richtlinien und Support aus einer Hand kommen. Dazu gehören der Betrieb und die Anpassung der Richtlinien ebenso wie das laufende Monitoring der Plattform. Den Leistungsumfang finden Sie unter SASE/SSE: Sicherer Zugriff . Ist die Standortvernetzung Teil des Projekts, ergänzt SD-WAN die Plattform um die Netzwerkseite. Für eine erste Einschätzung Ihrer Ausgangslage sprechen Sie uns an .

Häufige Fragen zu SASE/SSE

Was ist der Unterschied zwischen SASE/SSE und einer klassischen Firewall?

Eine klassische Firewall schützt den Übergang an einem Standort und sieht Verkehr erst, wenn er dorthin geleitet wird. SASE/SSE stellt Filterung und Zugriffskontrolle als verteilten Cloud-Dienst bereit, der Nutzer unabhängig vom Aufenthaltsort bedient. Richtlinien werden zentral gepflegt und gelten überall gleich, ohne dass Verkehr zum Rechenzentrum umgeleitet werden muss.

Müssen wir für SASE/SSE unser Netzwerk komplett umbauen?

Nein. Die Sicherheitsdienste der SSE-Schicht lassen sich unabhängig von der bestehenden Standortvernetzung einführen, häufig beginnend mit ZTNA für den Fernzugriff. Ein vorhandenes SD-WAN bleibt nutzbar und wird mit der Plattform kombiniert. Der Umbau erfolgt schrittweise, Nutzergruppe für Nutzergruppe und Dienst für Dienst, ohne Stichtagsumstellung.

Ersetzt SASE/SSE unser VPN?

Für den Fernzugriff von Mitarbeitenden übernimmt der ZTNA-Baustein diese Rolle: Er verbindet Nutzer mit einzelnen Anwendungen und macht das klassische Einwahl-VPN mittelfristig überflüssig. In der Übergangsphase laufen beide Verfahren oft parallel. Für die Kopplung ganzer Standorte bleibt eine Netzwerklösung nötig, üblicherweise SD-WAN als Teil des Gesamtmodells.

Was bedeutet SSE genau?

SSE steht für Security Service Edge und bezeichnet die Sicherheitsdienste des Modells: ZTNA, Secure Web Gateway, CASB und Firewall as a Service. Die Netzwerkseite, insbesondere SD-WAN, gehört nicht dazu. Gartner hat den Begriff eingeführt, um Projekte zu beschreiben, die zuerst die Sicherheitsschicht modernisieren und die Standortvernetzung später angehen.

Für welche Unternehmensgröße lohnt sich SASE/SSE?

Das Modell skaliert in beide Richtungen. Für kleinere Unternehmen ersetzt es einzelne Appliances durch einen Dienst mit planbaren Kosten, für größere vereinheitlicht es Richtlinien über viele Standorte und Regionen hinweg. Entscheidend ist weniger die Größe als das Nutzungsprofil: verteilte Teams, Cloud-Anwendungen und externe Zugriffe sprechen für die Einführung.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.