ADMIN

2026

02

2026-01-27T12:00:00

Hybrid Work

SCHWERPUNKT

078

Hybride Arbeitsplätze

WAN-Architekturen

Secure Access Service Edge

Homeoffice mit SD-WAN und SASE anbinden

Daten nach Maß

von Anne Springwald

Veröffentlicht in Ausgabe 02/2026 - SCHWERPUNKT

Unternehmen operieren zunehmend in stark verteilten IT-Umgebungen. Angestellte arbeiten teils dauerhaft remote, Applikationen laufen überwiegend in Public-Cloud- und SaaS-Modellen und die Datenflüsse folgen nicht mehr den klassischen Pfaden über zentrale Rechenzentren. VPNs skalieren in diesem Szenario nur begrenzt. Gefragt sind vielmehr Ansätze, die sich an Identität, Anwendung und Kontext orientieren, nicht an Standort und IP-Segmenten. SD-WAN und SASE adressieren diese Problemstellungen.

Konventionelle WAN-Architekturen orientieren sich stark an statischen Topologien und dedizierter Hardware. Sie stützen sich häufig auf MPLS-Backbones, die hohe Betriebskosten verursachen, begrenzt skalieren und auf dynamische Cloud- und SaaS-Lastprofile nur unzureichend reagieren können. SD-WAN (Software-defined Wide Area Network) hingegen geht diese strukturellen Einschränkungen direkt an, indem es die Steuerungslogik von der physischen Transportebene entkoppelt und in eine zentral orchestrierbare Softwarekontrolle überführt.
SD-WAN bewertet kontinuierlich die Leistungsparameter verfügbarer Zugangstechnologien wie Glasfaser, DSL, LTE oder 5G und leitet Datenströme anwendungsabhängig über jeweils geeignete Pfade. Latenz- und jitterkritische Workloads profitieren von diesem adaptiven Routing unmittelbar, da das System Netzschwankungen in Echtzeit erkennt und Prioritäten entsprechend neu setzt.
Das Konzept nutzt mehrere Verbindungen parallel anstatt einer einzelnen. Diese Aggregation erhöht die Resilienz gegenüber Leitungsausfällen und reduziert die Abhängigkeit von MPLS. Durch lokale Internetzugänge ermöglicht SD-WAN zudem den Zugriff auf Cloud- und SaaS-Dienste, wodurch das klassische Backhauling über zentrale Gateways entfällt. Dies senkt Latenzen signifikant und verbessert die Performance insbesondere in Remote- und Homeoffice-Szenarien.
Konventionelle WAN-Architekturen orientieren sich stark an statischen Topologien und dedizierter Hardware. Sie stützen sich häufig auf MPLS-Backbones, die hohe Betriebskosten verursachen, begrenzt skalieren und auf dynamische Cloud- und SaaS-Lastprofile nur unzureichend reagieren können. SD-WAN (Software-defined Wide Area Network) hingegen geht diese strukturellen Einschränkungen direkt an, indem es die Steuerungslogik von der physischen Transportebene entkoppelt und in eine zentral orchestrierbare Softwarekontrolle überführt.
SD-WAN bewertet kontinuierlich die Leistungsparameter verfügbarer Zugangstechnologien wie Glasfaser, DSL, LTE oder 5G und leitet Datenströme anwendungsabhängig über jeweils geeignete Pfade. Latenz- und jitterkritische Workloads profitieren von diesem adaptiven Routing unmittelbar, da das System Netzschwankungen in Echtzeit erkennt und Prioritäten entsprechend neu setzt.
Das Konzept nutzt mehrere Verbindungen parallel anstatt einer einzelnen. Diese Aggregation erhöht die Resilienz gegenüber Leitungsausfällen und reduziert die Abhängigkeit von MPLS. Durch lokale Internetzugänge ermöglicht SD-WAN zudem den Zugriff auf Cloud- und SaaS-Dienste, wodurch das klassische Backhauling über zentrale Gateways entfällt. Dies senkt Latenzen signifikant und verbessert die Performance insbesondere in Remote- und Homeoffice-Szenarien.
Während SD-WAN primär den Transport optimiert, verbleibt die Sicherheitslogik in klassischen WAN-Umgebungen meist fragmentiert in lokalen Firewalls, Proxies oder Secure-Web-Gateways. Dieser Bruch zwischen Netzwerk- und Sicherheitsarchitektur bildet den Übergangspunkt zu SASE, das beide Ebenen in einem integrierten, cloudbasierten Modell zusammenführt.
SASE: Konvergente Sicherheit aus der Cloud
SASE (Secure Access Service Edge) ergänzt SD-WAN nicht nur, sondern integriert dessen Transportlogik direkt in ein global verteiltes Sicherheits-Framework. Statt Sicherheitsmechanismen standortgebunden zu betreiben, konsolidiert SASE diese Funktionen in einer zentral steuerbaren Cloudplattform. Die Kernkomponenten bilden dabei mehrere spezialisierte Dienste:
- ZTNA (Zero Trust Network Access): ZTNA ersetzt klassische VPN-Mechanismen durch strikt identitäts- und kontextgesteuerte Zugriffskontrollen. Nutzer authentifizieren sich gegenüber einzelnen Anwendungen statt gegenüber ganzen Netzsegmenten, wodurch die Angriffsfläche deutlich sinkt.
- CASB (Cloud Access Security Broker): CASB überwacht und reguliert die Nutzung von Cloudanwendungen. Der Dienst analysiert Datenflüsse, detektiert nicht autorisierte SaaS-Nutzung und setzt Richtlinien zur Datenklassifikation, Verschlüsselung und Exfiltrationsprävention durch.
- FWaaS (Firewall-as-a-Service): FWaaS stellt eine vollständig cloudnative Firewall bereit, die ortsunabhängig konsistente Richtlinien anwendet und Sicherheitsfilter ohne lokale Appliance-Infrastruktur ermöglicht.
- Secure Web Gateway (SWG): Ein SWG kontrolliert Webzugriffe, prüft Inhalte und URLs, blockiert Schadsoftware und verhindert unerwünschte Datenabflüsse. Es bildet die unmittelbare Schutzschicht für ausgehenden Internetverkehr.
Diese Komponenten laufen in einem globalen Netz verteilter Points of Presence. Nutzer verbinden sich stets mit dem geografisch optimalen Einstiegsknoten, wodurch Sicherheitsprüfungen ohne zusätzliche Latenz stattfinden. SASE schafft damit einen konsistenten, identitätsorientierten Sicherheitsperimeter, der unabhängig von Standort, Endgerät oder Netzwerkpfad funktioniert.
Identitätszentrierter Zugriff
Der zentrale Unterschied zwischen klassischen VPN-Architekturen und modernen SASE- beziehungsweise ZTNA-Modellen basiert auf dem zugrundeliegenden Sicherheitsprinzip. VPNs authentifizieren Benutzer gegenüber einem Netzwerk und etablieren anschließend einen durchgehenden Tunnel in das interne Routing- und Adressierungssystem. Mit dieser Verbindung erhält der Nutzer in der Regel Zugriff auf ein breites Netzsegment – unabhängig davon, welche konkreten Anwendungen oder Ressourcen tatsächlich erforderlich sind. Dieses Modell erhöht die potenzielle Angriffsfläche und erleichtert laterale Bewegungen, sobald ein Konto kompromittiert ist.
ZTNA und SASE verfolgen einen diametral anderen Ansatz. Die Zugriffskontrolle richtet sich nicht mehr nach Netzwerkzugehörigkeit, sondern nach eindeutig verifizierten Identitäten und Kontextparametern wie Gerätestatus, Standort, Risikoindikatoren oder Complianceanforderungen. Der Zugriff erfolgt applikationsspezifisch und bleibt strikt auf den vorgesehenen Funktionsumfang begrenzt. Nutzer erhalten keine Sichtbarkeit auf interne Netzstrukturen, was eine laterale Ausbreitung faktisch verhindert.
SD-WAN und SASE im operativen Betrieb
In der Praxis verändern SD-WAN und SASE vor allem drei Dinge: den Weg, den Daten nehmen, die Art, wie Admins ihr Netzwerk steuern, und die Kontrolle darüber, wer auf welche Anwendungen zugreift. Diese Bereiche greifen ineinander und schaffen zusammen eine Arbeitsumgebung, die im Homeoffice ebenso stabil und nachvollziehbar funktioniert wie im Büro.
Der erste sichtbare Effekt entsteht direkt im Routing. SD-WAN bewertet laufend die Qualität jeder verfügbaren Verbindung und reagiert sofort auf Schwankungen. So entsteht ein deutlich flüssigerer Datenstrom:
- Die Plattform erkennt Anwendungen wie Microsoft 365 oder Zoom automatisch und leitet ihren Traffic ohne Umwege ins Internet. Nutzer erreichen Clouddienste schneller und deutlich stabiler.
- Sobald Latenz, Jitter oder Paketverlust steigen, wechselt SD-WAN auf einen besseren Pfad. Aktive Sitzungen laufen weiter, ohne dass etwas abbricht.
- Die Applikationen landen in Kategorien wie VoIP oder Collaboration. Dadurch entstehen weniger Einzelregeln, und Änderungen lassen sich schneller umsetzen.
- SD-WAN isoliert den geschäftlichen Datenverkehr automatisch vom privaten Heimnetz. So bleibt der Zugriff auf interne Ressourcen geschützt, selbst wenn zahlreiche Geräte gleichzeitig aktiv sind.
Mit SD-WAN und SASE gewinnt der tägliche Betrieb eine einheitliche Steuerzentrale. Alle Konfigurationen, Analysen und Sicherheitsrichtlinien laufen dort zusammen und lassen sich ohne Ortsbezug verwalten:
- Appliances melden sich nach dem Einschalten direkt beim Controller und laden ihre Konfiguration automatisch. Der Rollout reduziert sich auf wenige Minuten.
- Routing-, Webfilter- oder ZTNA-Regeln entstehen zentral und gelangen in Sekunden zu allen Nutzern. Das sorgt für klare und konsistente Vorgaben.
- Die Konsole zeigt Latenzen, App-Verhalten und Sicherheitsereignisse übersichtlich an. Dadurch lassen sich Fehler im Homeoffice deutlich schneller eingrenzen.
- APIs ermöglichen automatisierte Abläufe, zum Beispiel Complianceprüfungen oder Konfigurationsupdates, wodurch sich der manuelle Aufwand spürbar reduziert.
SASE verknüpft jede Zugriffsentscheidung mit einer Identität. Häufig kommen Identity Provider (IdP) wie Microsoft Entra ID, Okta, Ping Identity oder Google Cloud Identity zum Einsatz. Dies bringt verschiedene Vorteile:
- Egal ob Büro, Homeoffice oder unterwegs – Berechtigungen bleiben konsistent, weil sie an die Identität gebunden sind.
- Die Plattform prüft laufend Gerätestatus, Standort, Risikoindikatoren und Compliance. Erst wenn die Bedingungen stimmen, erhält die Person Zugriff.
- Single Sign-on erleichtert den Alltag und reduziert Fehler.
- Mehrstufige Authentifizierung und automatische Statusprüfungen blockieren untypische oder riskante Zugriffe frühzeitig.
Homeoffice in drei Schritten anbinden
Ein typischer Implementierungsablauf für eine moderne Remoteanbindung mit SD-WAN und SASE folgt drei klaren Phasen: Zuerst schaffen Sie eine belastbare Netzwerkgrundlage, anschließend aktivieren Sie konsistente Sicherheitsfunktionen und zum Schluss etablieren Sie eine einheitliche Identitätssteuerung.
Im ersten Schritt verbinden Sie eine SD-WAN-fähige Edge-Komponente mit Ihrem Netzwerk. Nach dem Einschalten stellt das Gerät automatisch den Kontakt zur zentralen Steuerung her, bewertet fortlaufend die Qualität der Internetverbindung und wählt für jede Anwendung den optimalen Pfad. Sie schließen die Hardware an Strom und Router an, warten den Verbindungsaufbau ab und prüfen anschließend, ob zentrale Dienste wie Teams oder Zoom stabil laufen. Die Plattform trennt privaten und beruflichen Datenverkehr automatisch, sodass Sie ohne zusätzlichen Aufwand eine klare Segmentierung erhalten.
Im zweiten Schritt aktivieren Sie die SASE-Funktionen. Die Sicherheitsprüfung erfolgt dann nicht mehr lokal, sondern vollständig in der Cloud. Sie schalten zunächst ZTNA frei, um Anwendungen ohne klassische VPN-Tunnel zu erreichen, und aktivieren die Cloudfirewall, die riskante Seiten und Datenströme früh erkennt und blockiert. Ergänzend konfigurieren Sie CASB-Regeln, wenn Sie sensible Dateien in SaaS-Diensten schützen möchten. Danach testen Sie den Zugriff auf interne und externe Anwendungen, um sicherzustellen, dass alle Richtlinien wie vorgesehen greifen.
Im dritten Schritt zentralisieren Sie die Identitätsverwaltung, indem Sie die Umgebung mit Ihrem Identity Provider verknüpfen. Damit entscheidet nicht mehr das Netzwerk, sondern die Identität über den Zugriff auf Anwendungen. Sie binden Ihre Accounts in Entra ID, Okta oder einen anderen IdP ein, aktivieren die Multifaktor-Authentifizierung und führen Gerätechecks ein, damit nur konforme Endgeräte Zugriff erhalten. Abschließend nutzen Sie Single Sign-on, um alle Anwendungen komfortabel mit einer einzigen Anmeldung zu öffnen.
Skalierbarkeit und Flexibilität
SD-WAN und SASE unterstützen verteilte Unternehmensstrukturen, indem sie Provisionierung und Transportsteuerung softwaredefiniert abbilden. Neue Standorte und Homeoffice-Arbeitsplätze lassen sich über Zero-Touch-Provisioning innerhalb weniger Minuten aktivieren. Die Geräte registrieren sich automatisch beim Orchestrator, ziehen ihre Policies aus der Cloud und integrieren sich ohne manuelle Eingriffe in das Overlay.
Gleichzeitig nutzen beide Architekturen Commodity-Internetverbindungen effizienter als klassische MPLS-Infrastrukturen. SD-WAN bündelt heterogene Access-Links, setzt Traffic Engineering dynamisch um und schafft dadurch ein skalierbares Underlay, das sich problemlos erweitern lässt. SASE ergänzt dieses Modell um cloudnative Sicherheitsfunktionen, die bei steigender Nutzerzahl automatisch mitwachsen.
Die Leistungsfähigkeit von SaaS-Anwendungen hängt maßgeblich von einer niedrigen Latenz und stabilen Transportpfaden ab. Bereits kleine Verzögerungen beeinträchtigen Collaboration-Tools, Echtzeitanalysen oder browserbasierte Geschäftsanwendungen. SD-WAN verbessert diesen Datenfluss, indem es Local Breakouts nutzt, also Cloudverbindungen direkt ins Internet führt, und durch applikationsabhängiges Routing erkennt, welche Anwendung welche Qualitätsanforderungen stellt.
Die dynamische Pfadwahl, auch Dynamic Path Selection genannt, bewertet kontinuierlich Latenz und Paketverlust und leitet den Verkehr über den jeweils geeignetsten Weg. Dienste wie Microsoft 365, Salesforce oder Zoom müssen dadurch nicht mehr das Rechenzentrum passieren, sondern erreichen ihre Cloudendpunkte direkt.
Durch SASE führen die global verteilten Points of Presence Entscheidungen zur Zero-Trust-Nutzung direkt am Einstiegs-ort der Verbindung aus. Ebenso prüfen sie verschlüsselte Datenströme über TLS-Inspection und kontrollieren Webzugriffe über Secure Web Gateways. Da diese Funktionen geografisch nahe an den Nutzern erfolgen, bleibt die Latenz gering. Besonders Echtzeitanwendungen profitieren, weil die Architektur Jitter reduziert und Datenverluste abfedert. Videoanrufe, Sprachkommunikation und andere interaktive Dienste laufen dadurch auch in heterogenen Heimnetzen stabil und vorhersehbar.
Zukunftstrends
Die Weiterentwicklung der Architektur konzentriert sich vor allem auf Zero Trust, KI-basierte Automatisierung und eine engere Verzahnung von Netzwerk- und Security-Funktionen. Zero Trust wird sich über die Nutzerperspektive hinaus auf Workloads, Geräte und Daten ausweiten. Systeme bewerten nicht mehr nur, wer zugreift und aus welchem Kontext, sondern auch das Verhalten des Clients, den Patchstatus oder die Einstufung der verarbeiteten Informationen.Darüber hinaus gewinnen KI-gestützte Verfahren an Einfluss. Sie analysieren Verkehrsmuster in Echtzeit, optimieren Routing-Entscheidungen unter wechselnden Bedingungen und reagieren automatisch auf Auffälligkeiten. Damit verschiebt sich die operative Kontrolle mehr und mehr in autonome Entscheidungspfade. Plattformen bündeln SD-WAN, SSE und Zero-Trust-Funktionen in konsolidierten Engines, die Datenverkehr steuern und absichern, ohne zwischen unterschiedlichen Technologien zu wechseln. Auch IoT- und OT-Umgebungen treten stärker in den Vordergrund, da identitätsbasierte Zugriffsmodelle dort bislang wenig vorkommen, aber zunehmend notwendig werden.
Identitätsbasierte Sicherheitsrichtlinien
SASE bündelt alle sicherheitsrelevanten Entscheidungen in einer zentralen Steuerungslogik, in der Identität, Gerätezustand, Standort und Risiko gemeinsam wirken. Die Plattform bewertet jede Anfrage in ihrem jeweiligen Kontext und prüft, ob die Kombination aus Nutzer, Gerät und Situation zum angeforderten Dienst passt.
Dieses Vorgehen löst das perimetergestützte Modell ab und etabliert eine Umgebung, in der nur exakt freigegebene Anwendungen erreichbar sind. Die Angriffsfläche schrumpft deutlich, da unautorisierte Wege gar nicht erst sichtbar werden und seitliche Bewegungen im Netz kaum noch möglich sind. Gleichzeitig sehen Sicherheitsteams alle relevanten Vorgänge in einer konsolidierten Ansicht, was Analysen beschleunigt und Fehlverhalten frühzeitig erkennbar macht.
Reduzierte Kosten und effizienterer IT-Betrieb
Die Kombination aus SD-WAN und SASE senkt Betriebskosten an mehreren Stellen. SD-WAN reduziert die Abhängigkeit von MPLS, nutzt kostengünstige Broadband- und 5G-Zugänge und ersetzt dedizierte Leitungsstrukturen durch ein softwaredefiniertes Overlay.
SASE eliminiert lokale Security-Appliances, verkürzt Update- und Refreshzyklen und verlagert Funktionen wie Firewalling, Webfiltering oder Threat Detection vollständig in die Cloud. Admins bündeln alle Einstellungen in einer zentralen Oberfläche. Sie automatisieren wiederkehrende Aufgaben über REST-APIs und verkürzen dadurch viele Change-Prozesse. Das tägliche Management wird überschaubarer und Sicherheitsrichtlinien greifen überall gleich – unabhängig davon, wie viele Standorte oder Homeoffice-Arbeitsplätze angebunden sind.
Operative Hürden
SD-WAN und SASE beseitigen zahlreiche strukturelle Schwächen klassischer Netzmodelle, bringen jedoch eigene Herausforderungen mit sich. Der Übergang von VPN- und MPLS-basierten Architekturen zu identitäts- und applikationszentrierten Modellen erfordert ein tiefes technisches Verständnis, sauber definierte Prozesse und ein realistisches Bild davon, was die Plattformen leisten können und was nicht. Parallel dazu verändert sich der Markt rasant. KI-gestützte Analysen, automatisierte Policy-Entscheidungen und weiterentwickelte Zero-Trust-Modelle fließen zunehmend in die Produkte ein und werden die Architekturentscheidungen der kommenden Jahre maßgeblich prägen.
SASE verlagert zentrale Security- und Netzwerkfunktionen in globale Clouds. Das erhöht die Leistungsfähigkeit, erfordert aber Vertrauen in die Plattform. Organisationen müssen dabei mehrere Aspekte aktiv berücksichtigen. Die enge Verzahnung von SD-WAN, ZTNA, CASB und FWaaS innerhalb eines Ökosystems erhöht das Risiko eines Vendor Lock-in. SLAs und die Abdeckung durch Points of Presence bestimmen direkt die Performance bei international verteilten Nutzern.
Ebenso gewinnt die Frage nach Compliance und Auditierbarkeit an Gewicht, da Sicherheitsfunktionen kontinuierlich Daten untersuchen. Klassische Troubleshooting-Methoden greifen in dieser Architektur nur eingeschränkt, was Telemetrie, automatisierte Analysen und cloudnative Monitoringtools auf den Plan ruft.
Migration von klassischen VPN-Strukturen
Der Wechsel von VPN zu SASE erfolgt nicht durch ein einfaches "Lift-and-Shift". Die Transformation betrifft die Struktur der gesamten Zugriffsebene. Vor dem Umstieg müssen Administratoren Zugriffsrechte, Rollen und Anwendungen neu ordnen, da Zero Trust nicht mit Netzsegmenten, sondern mit Applikationen und Identitäten arbeitet. Viele Organisationen führen deshalb eine Übergangsphase ein, in der VPN und SASE parallel laufen.
Währenddessen entsteht zusätzlicher Abstimmungsbedarf, und IT-Teams benötigen Schulungen für Orchestratoren, Policy-Engines und IdP-Integrationen. Auch Nutzer müssen verstehen, warum sie sich künftig über ZTNA-Flows und MFA anmelden. Ein geplanter Migrationspfad reduziert dabei Fehler und verhindert Sicherheitslücken.
Fazit
Die Arbeitswelt bewegt sich weiter in Richtung Dezentralität, Cloudplattformen und flexible Arbeitsmodelle. Klassische Netzwerk- und Sicherheitsansätze wie VPN erzeugen zusätzliche Latenz, binden Verkehr an zentrale Gateways und erschweren eine konsistente Policy-Durchsetzung. Gleichzeitig skalieren sie nur mit hohem finanziellem und organisatorischem Aufwand.
SD-WAN und SASE bieten ein Architekturmodell, das diese Einschränkungen systematisch überwindet. SD-WAN optimiert Datenpfade anwendungsorientiert und erhöht die Resilienz verteilter Verbindungen besonders im Homeoffice. SASE ergänzt diese Transportebene um identitäts- und kontextbasierte Sicherheitsmechanismen, die Nutzer, Geräte und Anwendungen standortunabhängig schützen und Zero Trust technisch umsetzbar machen.
Die Vorteile sind eine höhere Performance, geringere Betriebskosten, globale Skalierbarkeit und eine Sicherheitslogik, die modernen Bedrohungen deutlich besser standhält. Die Einführung bleibt allerdings anspruchsvoll und setzt ein strukturiertes Identitätsmanagement, Transparenz über die eigene Applikationslandschaft und ein bewusstes Verständnis der Cloudabhängigkeiten voraus.
(dr)