IT-Administrator: Netzwerksicherheit steht aktuell vor einem grundlegenden Umbruch hin zu einer plattformbasierten, identitäts- und serviceorientierten Architektur. Welche technologischen wie organisatorischen Entwicklungen treiben diesen Wandel aus Ihrer Sicht am stärksten?

Alexander Jost: Wir sehen drei Faktoren, die diese Transformation am stärksten vorantreiben. Erstens die massive Ausweitung der Angriffsfläche: Mit hybridem Arbeiten, Cloudnutzung und verteilten Anwendungen hat sich der klassische Perimeter faktisch aufgelöst. Sicherheit muss Identitäten, Geräten und Services folgen – unabhängig davon, wo sie sich befinden. Zweitens wächst der Druck zur Vereinfachung. Viele Organisationen sind von der Vielzahl separater Netzwerk- und Security-Tools überfordert. Sie suchen nach einem einheitlichen, plattformbasierten Ansatz, der Transparenz schafft und betriebliche Reibungsverluste reduziert. Drittens erwarten Unternehmen, dass ihre Infrastruktur mindestens so schnell skaliert wie ihre Cloudstrategie. Traditionelle Architekturen halten mit dieser Nachfrage nach Agilität, Automatisierung und Skalierbarkeit oft nicht mehr Schritt.

Viele Unternehmen arbeiten noch mit historisch gewachsenen Netzwerk- und Security-Architekturen. Wo sehen Sie heute die größten Schwächen klassischer WAN- und Perimetermodelle?

Legacy-WAN- und Perimeterdesigns wurden für eine andere Welt entwickelt: Eine Welt, in der Traffic von der Niederlassung ins Rechenzentrum floss und die meisten Anwendungen lokal liefen. Dieses Modell gerät an seine Grenzen, sobald Mitarbeiter remote arbeiten oder Anwendungen in die Cloud verlagert werden. Typische Folgen sind Performanceeinbußen, Sichtbarkeitslücken, inkonsistente Security-Durchsetzung und hohe Betriebskosten. Ich treffe dabei häufig auf Kunden, die mit komplexen VPN-Landschaften, schwer anpassbaren MPLS-Verbindungen und Firewalls kämpfen, die je Standort unterschiedlich betrieben werden. Für ein "Internet-first-/Cloud-first"-Umfeld sind diese Architekturen schlicht nicht entworfen worden.

SASE verspricht, Netzwerk und Sicherheit in einer cloudnativen Architektur zu vereinen. Welche konkreten Probleme adressiert dieses Modell, die sich mit Einzellösungen nur schwer lösen lassen?

SASE dreht sich um ein Grundproblem: Netzwerk und Sicherheit sind eng gekoppelt, werden aber traditionell in getrennten Stacks betrieben. Wenn beides aus einer einzigen, cloudnativen Plattform kommt, müssen Organisationen nicht mehr Firewalls, VPN, SD-WAN, CASB und Threat-Detection einzeln kombinieren und aufwendig integrieren. Stattdessen erhalten sie konsistente Policies, durchgängige Transparenz und kontinuierlichen Schutz über Standorte und Nutzer hinweg. Weil Traffic nicht mehr zwingend über ein zentrales Rechenzentrum geroutet werden muss, verbessert sich zudem die Performance deutlich. Das sind Effekte, die Punktlösungen in Summe oft nicht vollständig erreichen.

Zero Trust funktioniert am besten, wenn es sich für Nutzer natürlich anfühlt

Der Umstieg auf SASE erfolgt selten als Greenfield-Projekt. Welche typischen Herausforderungen erleben Sie bei der Integration bestehender Standorte, Anwendungen und Sicherheitsrichtlinien?

Die größte Herausforderung ist häufig, zunächst genau und korrekt zu verstehen, was bereits existiert. Viele IT-Teams stoßen auf undokumentierte Trafficflüsse, Legacy-Abhängigkeiten oder Firewallregeln, die seit Jahren niemand mehr angefasst hat. Das in ein modernes Policymodell zu übersetzen, erfordert Zeit und Sorgfalt. Hinzukommt das Management der Hybridphase während der Migration, in der alte Infrastruktur und neue SASE-Plattform vorübergehend koexistieren. Identitätsintegration, Routingübergänge und minimale Ausfallzeiten bedürfen einer sehr präzisen Planung. Und nicht zuletzt gibt es den menschlichen Aspekt: Teams wechseln vom Betrieb einzelner Silos hin zum Management globaler Policies. Das ist oft auch ein kultureller Wandel.

Zero Trust gilt als konzeptionelle Basis moderner Netzwerksicherheit. Wie lässt sich dieses Prinzip in der Praxis umsetzen, ohne Betrieb, Performance oder Benutzererlebnis zu beeinträchtigen?

Zero Trust funktioniert am besten, wenn es sich für Nutzer möglichst "natürlich" anfühlt. Das heißt: Zugriffsentscheidungen basieren auf starker Identität sowie Geräte- und Kontextsignalen, nicht auf starren Gateways. Gleichzeitig werden Risiken kontinuierlich bewertet, statt Nutzer permanent zur erneuten Authentifizierung zu zwingen. Wenn Zero-Trust-Mechanismen direkt in die Netzwerk- und Security-Fabric eingebettet sind, kann das die Nutzererfahrung deutlich verbessern, weil Policies zentral durchgesetzt und Prozesse stärker automatisiert werden. So wird Sicherheit zur eingebauten Eigenschaft der Umgebung – und nicht zum Bremsklotz.

Identitäten gewinnen im Netzwerk zunehmend an Bedeutung, auch jenseits klassischer Benutzerkonten. Wie verändert der Blick auf Geräte-, Workload- und Maschinenidentitäten die Sicherheitsarchitektur?

Identität betrifft heute nicht mehr nur Nutzer. Geräte, Workloads, APIs, Container und OT-Systeme besitzen eigene Identitäten und kommunizieren teilweise autonom. Das erfordert den Wechsel von statischen Access-Control-Listen hin zu dynamischen, kontextbasierten Trust-Entscheidungen. Und Policies folgen zunehmend Attributen wie Gerätezustand, Workload-Typ oder Serviceverantwortung. Gleichzeitig müssen Security-Teams den Lebenszyklus kurzlebiger Maschinenidentitäten managen, die in cloudnativen Umgebungen extrem dynamisch sind. Das treibt Architekturen in Richtung verstärkter Automatisierung, reichhaltiger Kontexte und granularerer Segmentierung.

Parallel wächst der Einsatz von Cloud- und SaaS-Diensten sowie Remotearbeitsplätzen. Welche Angriffsszenarien beobachten Sie aktuell besonders häufig in diesen verteilten Umgebungen?

Wir sehen vor allem identitätsbezogene Angriffe auf Nutzer und SaaS-Plattformen. Statt Infrastruktur direkt anzugreifen, stehlen Angreifer lieber Credentials, Tokens oder Sessions, um sich in cloudbasierte Services vermeintlich legitim einzuloggen. Remote Work erhöht das Risiko zusätzlich, weil Anwender aus weniger kontrollierten Umgebungen und teils von nicht verwalteten Geräten zugreifen. Zunehmend relevant ist auch der Missbrauch von OAuth-Berechtigungen und Drittanbieter-SaaS-Integrationen: User gewähren dabei (oft unbewusst) bösartigen Anwendungen dauerhafte Rechte. Insgesamt gilt immer öfter: Angreifer brechen nicht mehr ein, sondern sie loggen sich ein und missbrauchen Vertrauen.

Angreifer nutzen zunehmend KI-gestützte Methoden. Wie reagieren moderne Netzwerksicherheitsplattformen auf diese Entwicklung, und wo sehen Sie heute schon konkrete Mehrwerte durch KI?

Moderne Plattformen reagieren, indem sie sich von rein statischen Regeln hin zu verhaltensbasierter Erkennung bewegen. Sie lernen kontinuierlich, wie sich Nutzer, Geräte und Anwendungen üblicherweise verhalten, und erkennen Abweichungen, die auf automatisierte oder KI-gestützte Angriffe hindeuten. Weil Erkennung und Durchsetzung enger integriert sind, lassen sich verdächtige Aktivitäten schneller eindämmen, etwa über adaptive Zugriffskontrolle oder Trafficisolierung. Gleichzeitig kann KI helfen, die Alert-Flut zu reduzieren und Untersuchungen zu beschleunigen, sodass Security-Teams auch bei skalierenden Angriffen handlungsfähig bleiben.

Neben direkten Angriffen rücken Supply-Chain- und Drittpartei-Risiken stärker in den Fokus. Welche Rolle spielt das Netzwerk dabei, solche Risiken frühzeitig zu erkennen und einzugrenzen?

Häufig ist das Netzwerk ist der Ort, an dem Warnsignale frühzeitig sichtbar werden. Wenn ein Partnersystem plötzlich ungewöhnlich kommuniziert oder ein Drittanbieter-Service sich abnormal verhält, zeigt sich das zuerst im Traffic. Eine SASE-Plattform kann solche Muster global korrelieren, Segmentierung durchsetzen (um laterale Bewegungen zu verhindern) und verdächtigen Traffic automatisch isolieren. Damit fungiert sie zugleich als Sensor und als Durchsetzungspunkt (Enforcement Point), und wird damit eine Kombination, die entscheidend ist, um Supply-Chain-Risiken zu stoppen, bevor sie sich in der Organisation ausbreiten.

Welche technischen und wirtschaftlichen Kennzahlen sollten Unternehmen heranziehen, um den Erfolg einer konsolidierten SASE-Strategie realistisch zu bewerten?

Erfolg sollte technisch und wirtschaftlich gemessen werden. Technisch sind zentrale Indikatoren: bessere Sichtbarkeit, schnellere Incident Response, weniger Fehlkonfigurationen und bessere Performance für Cloudanwendungen. Wirtschaftlich sehen Unternehmen typischerweise weniger operativen Aufwand, weniger Anbieter, geringere Hardware- und Lifecycle-Kosten sowie Einsparungen durch den Ersatz von MPLS oder mehreren Einzelsystemen.

Vielen Dank für das Gespräch!

Weitere spannende Beiträge zu diesem Thema finden Sie in

IT-Administrator April 2026
Netzwerksicherheit

Remote Work, künstliche Intelligenz und vernetzte Industriesysteme verändern die Anforderungen an die IT-Security spürbar. Die April-Ausgabe des IT-Administrator bringt Sie beim Thema Netzwerksicherheit auf den neuesten Stand. Sie erfahren unter anderem, wie Cyberkriminelle KI für Angriffe nutzen, werfen einen Blick auf Open-Source-Intrusion-Detection und lesen, wie Sie sichere Netzwerke in Azure aufbauen.

Bestellen Sie hier das Einzelheft – gedruckt oder digital.
Für Abonnenten stehen alle Artikel außerdem im Heftarchiv bereit.