Widerstandsfähigkeit beginnt mit strategischem Fernzugriff. Verschiedene Störungen, wie Pandemien, geopolitische Krisen oder Naturkatastrophen, sind für Führungskräfte längst keine Ausnahmen mehr, sondern Teil der Realität. Entsprechend müssen sie planen. Für CISOs steht dabei eine zentrale Frage im Fokus: „Ist unsere Infrastruktur so gestaltet, dass sie auch unter schwierigen Bedingungen den sicheren Geschäftsbetrieb gewährleistet?“
Zwei Ansätze dominieren in der Praxis:
- Die Erweiterung bestehender VPN-Kapazitäten.
- Die Einführung eines Secure-Access-Service-Edge-(SASE)-Modells.
Beide Optionen haben ihre Berechtigung – sie unterscheiden sich jedoch grundlegend in ihrer Zielrichtung: Während der VPN-Ansatz vor allem taktisch agiert und auf kurzfristige Engpässe reagiert, verfolgt SASE einen strategischen Pfad, der auf Resilienz, Skalierbarkeit und konsistente Sicherheit ausgelegt ist.
Taktik versus Strategie: Kurzfristige Lösungen mit Langzeitfolgen
In der Krise greifen viele Unternehmen reflexartig zu VPN-Erweiterungen. Diese Entscheidung ist nachvollziehbar:
- Die Technologie ist vertraut.
- Der Rollout kann kurzfristig erfolgen.
- Die Kontrolle bleibt intern.
Doch mit jedem weiteren VPN-Tunnel steigt die Komplexität – ebenso wie der Aufwand für Verwaltung, Monitoring und Wartung. Sicherheitsrisiken entstehen häufig an Schnittstellen oder durch Konfigurationsfehler, insbesondere in hybriden oder schnell wachsenden Umgebungen.
Typische Fragen in diesem Kontext lauten daher:
- Müssen zusätzliche Appliances angeschafft werden – und wo sollen sie aufgesetzt werden?
- Wie redundant ist der Zugang wirklich?
- Wie skalierbar ist die Lösung im Krisenfall?
- Welche Auswirkungen hat der Betrieb auf das Security Operations Team?
SASE: Strategische Grundlage für moderne Zugriffskontrolle
SASE bietet einen konvergenten, cloud-basierten Ansatz, der Netzwerkzugang und Sicherheitsdienste vereint. Ziel ist es, allen Mitarbeitern, unabhängig vom Standort, sicheren Zugriff auf Unternehmens-Ressourcen zu ermöglichen – und zwar so, dass die Sicherheitsrichtlinien durchgängig und zentral verwaltbar sind.
Zu den Kernkomponenten zählen:
- Zero-Trust-Network-Access (ZTNA).
- Secure-Web-Gateway (SWG).
- Firewall-as-a-Service (FWaaS).
- Cloud-Access-Security-Broker (CASB).
- SD-WAN für standortübergreifende Resilienz.
Ein strategischer Vorteil liegt in der Konsolidierung: Anstatt unterschiedliche Einzellösungen zu verwalten, bietet SASE ein integriertes Framework. Das reduziert nicht nur Komplexität, sondern verbessert auch die Sichtbarkeit und Steuerbarkeit; beides kritische Faktoren in Krisensituationen.
SD-WAN: Auch das Büro bleibt resilient
Gerade in Szenarien, wenn lokale Infrastruktur weiterhin genutzt wird, ist SD-WAN als Teil von SASE ein entscheidender Baustein. Es optimiert den Datenverkehr auf Basis verfügbarer Leitungen, ermöglicht automatisches Failover und erhöht damit die Ausfallsicherheit für Bürostandorte.
Das ist besonders relevant, wenn hybride Arbeitsmodelle dauerhaft etabliert sind oder wenn zum Beispiel ein zentrales Rechenzentrum durch einen physischen Vorfall unzugänglich wird. Dann entscheiden Architekturkonzepte über Ausfallsicherheit.
Nicht jede SASE-Lösung ist gleich leistungsfähig. Man achte bei der Auswahl auf:
- Globale Präsenzpunkte (PoPs): Minimieren Latenzen und verbessern Benutzererfahrung weltweit.
- Hybride Architekturen: Ermöglichen die Kombination aus lokalen Geräten und Cloud-Sicherheit, je nach Risiko-Bewertung und eigenem Reifegrad.
- Zentrale Verwaltung: Ein einheitliches Policy-Dashboard ist essenziell für schnelle Anpassungen.
- Integration statt Ersatz: Idealerweise lässt sich SASE in bestehende Infrastrukturen integrieren ohne kompletten Technologiewechsel.
Fazit: Strategie schlägt Reaktion
In einer Welt ständig andersartiger Bedrohungslagen ist es die Aufgabe des CISO, die Weichen nicht nur für kurzfristige Lösungen zu stellen, sondern für nachhaltige Resilienz. SASE ist kein Allheilmittel, aber es bietet ein zukunftsfähiges Fundament, auf dem sich moderne Sicherheitsarchitekturen aufbauen lassen.
Wichtig ist: Die Wahl der Lösung muss auf fundierter Evaluierung basieren, denn wie immer im Bereich der Cybersicherheit gilt: nicht die Technologie entscheidet, sondern ihre richtige Anwendung im Kontext der Geschäftsziele.
Von Marco Eggerling, Global CISO bei Check Point Software Technologies
