Unternehmen müssen Connectivity holistisch denken Wieso SASE-Projekte an mangelnder Konnektivität scheitern

Viele Unternehmen betrachten den Security Access Service Edge als reine Beschaffungsmaßnahme: einfach kaufen, auf die bestehende Infrastruktur aufsetzen und laufen lassen. Ein fataler Fehler, denn ohne das richtige Fundament kann SASE mehr schaden als nützen. Viele Unternehmen haben heute kein SASE-Problem, sondern ein Umsetzungsproblem.

Wenn Unternehmen heute über Security Access Service Edge (SASE) sprechen, geht es meist um den Security-Aspekt, also Zero Trust Network Access (ZTNA), Secure Web Gateways (SWG) oder Cloud Access Security Broker (CASB). Das ist verständlich, aber es greift zu kurz. In der Arbeit mit global verteilten Organisationen erleben Experten regelmäßig, dass SASE-Architekturen an einer Stelle scheitern, die niemand auf dem Schirm hatte: der Konnektivität (Connectivity) darunter. Denn hier beginnt die Lücke zwischen Architektur und Realität.

Die Einführung von SASE verändert nicht nur Sicherheitsmodelle, sondern auch Traffic-Flows grundlegend. So greifen Nutzer von überall auf zentral verwaltete Anwendungen zu, Administratoren führen Sicherheitsprüfungen verteilt durch und Cloud- sowie SaaS-Dienste werden direkt ans Unternehmensnetzwerk angebunden. Datenströme verlaufen somit nicht mehr zwischen festen Standorten, sondern dynamisch zwischen Nutzern, Cloud-Regionen, Rechenzentren und Security Enforcement Points. Wenn die zugrundeliegende Verbindungsinfrastruktur nicht auf diese neue Realität ausgelegt ist, entstehen Performance-Probleme, die häufig (fälschlicherweise) dem SASE-Modell selbst zugeschrieben werden. Das Problem liegt dabei jedoch selten in der Architektur, sondern oft in der fehlenden Kontrolle über die zugrundeliegende Connectivity.

SD-WAN und Cloud sind kein Allheilmittel

Historisch wurde die Connectivity in Unternehmen vor allem als statische Verbindung zwischen Standorten verstanden. Via MPLS-Technologie (Multiprotocol Label Switching) verbanden sie Niederlassungen mit einem zentralen Rechenzentrum, in dem Security-Komponenten zum Schutz des Netzwerks konzentriert implementiert wurden. Dieses Modell passt jedoch nicht mehr zu hybriden, Cloud-zentrierten IT-Landschaften.

SASE verlagert daher die Sicherheitsfunktionen in die Cloud und verteilt Enforcement Points global. Die sich dadurch verändernden Routing-Pfade, Latenzanforderungen und Bandbreitenbedarfe sorgen nicht nur für eine ganz neue Netzwerkarchitektur. Sie machen auch deutlich, dass Connectivity nicht länger eine Beschaffungsentscheidung sein kann. Wer sie weiterhin als solche behandelt, schafft ein strukturelles Missverhältnis zwischen Architektur und Betrieb.

Viele Unternehmen machen beispielsweise den Fehler zu glauben, SD-WAN oder cloudbasierte Security-Funktionen könnten Defizite in ihrer Connectivity ausgleichen. Tatsächlich optimieren Overlay-Technologien jedoch lediglich bereits vorhandene Verbindungen, sind also nicht in der Lage, physikalische Einschränkungen zu beseitigen. Unternehmen versuchen damit häufig, strukturelle Schwächen in der Connectivity mit Technologie zu kaschieren – ein Ansatz, der nicht funktioniert. Ein klassisches Beispiel: instabile Last-Mile-Anbindungen an einem Standort in Asien, die in Kombination mit ungünstigem ISP-Peering dazu führen, dass die SASE-Security-Inspektion den Traffic eines Büros in Tokio über Frankfurt leitet. Das Ergebnis ist kein SASE-Problem, sondern ein Connectivity-Problem.

Instabile Last-Mile-Anbindungen, ungünstiges ISP-Peering (Internet Service Provider) oder unvorhersehbare Internetpfade wirken sich somit auch direkt auf die SASE-Performance aus. Die Implementierung neuer oder leistungsstärkerer Security-Komponenten fügt dann zusätzliche Latenz hinzu, statt Transparenz und Kontrolle zu verbessern. Anwendungen reagieren träge, Collaboration-Tools zeigen so genannte Jitter, und Nutzer verlieren Vertrauen in die Architektur, obwohl die Ursache eben nicht an SASE, sondern in der Ebene darunter liegt.

Der Erfolg von SASE hängt von der Connectivity ab

Für Unternehmen hat das konkrete Folgen: Moderne SASE-Architekturen liefern nur dann konsistente Nutzererfahrungen, wenn Traffic-Pfade stabil und vorhersehbar sind. Ohne geeignete Connectivity reagieren Cloud-Anwendungen beim Zugriff aus bestimmten Regionen langsamer, Remote-Zugriffe variieren stark in der Qualität und die Effekte von Sicherheitsfunktionen wirken inkonsistent. Besonders kritisch sind diese Einschränkungen in global verteilten Unternehmen, deren Nutzer, Anwendungen und Daten über mehrere Kontinente verteilt sind. Jeder zusätzliche Umweg durch zentralisierte Inspection Points erhöht die Latenz und die Auslastung des Backbones. Das Ergebnis sind ineffiziente Traffic Flows und eine wahrnehmbare Verschlechterung der User Experience. Was entsteht, ist der klassische „Execution Gap“: die Architektur ist definiert, die Realität bleibt dahinter zurück.

Gleichzeitig steigt die operative Komplexität. Viele Unternehmen setzen auf Multi-Provider-WAN-Modelle, kombinieren also Breitbandverbindungen, dedizierte Internetzugänge, Cloud-Interconnects (die Verbindung zwischen lokalem Unternehmensnetzwerk und der Cloud) und unterschiedliche Carrier. Dieses hohe Maß an Flexibilität verbessert zwar die Beschaffungssituation, erschwert jedoch den Betrieb und die Fehleranalyse erheblich. Das eigentliche Problem liegt dabei weniger in der Technologie als in den Zuständigkeiten.

Wenn Performance-Probleme etwa mehrere Provider, Cloud-Zugangspunkte und Security-Komponenten betreffen, fehlt häufig eine ganzheitliche Sicht auf die gesamte Infrastruktur. Die Fehlersuche wird dann zu einem Koordinationsproblem zwischen Anbietern, während die interne IT mit steigenden Betriebsaufwänden konfrontiert ist. Am Ende ist oft unklar, wer die Verantwortung für Performance und Sicherheit tatsächlich trägt. In solchen Szenarien wird deutlich, dass die Connectivity für Unternehmen nicht nur ein technischer, sondern auch ein operativer Erfolgsfaktor für SASE ist.

Der Pfad zum Glück

Damit SASE-Modelle ihr volles Potenzial entfalten können, muss Connectivity daher integraler Bestandteil der Netzwerkarchitektur sein. Das beginnt mit einer differenzierten Last-Mile-Strategie: Nicht jeder Standort benötigt dieselbe Ausfallsicherheit oder Bandbreite. Produktionsumgebungen, kritische Standorte oder Cloud-nahe Infrastrukturen erfordern redundante Anbindungen mit klar definierten SLAs (Service Level Agreements). Für kleinere Büros oder Vertriebsstandorte können Unternehmen stärker auf internetbasierte Zugänge setzen, sofern sie Routing und Priorisierung intelligent steuern. Entscheidend ist, dass die Connectivity den tatsächlichen Anforderungen von Anwendungen und Nutzern entspricht.

Ebenso wichtig ist eine leistungsfähige Backbone-Strategie. Während SD-WAN den Zugriff auf unterschiedliche Zugangstechnologien ermöglicht, bestimmt das Backbone, wie effizient Traffic global transportiert wird. Nutzt er die öffentliche Internet-Middle-Mile unkontrolliert, entstehen unvorhersehbare Latenzen und Paketverluste. Ein optimierter Backbone mit Nähe zu Cloud- und SaaS-Endpunkten reduziert diese Variabilität und ermöglicht konsistente Performance über Regionen hinweg. Gerade bei SASE, wo Traffic häufig zu verteilten Enforcement Points geleitet wird, wird der Backbone zum zentralen Performance-Faktor.

Security und Connectivity aus einem Guss

Darüber hinaus müssen Unternehmen ihr Security- und Connectivity-Design als Einheit betrachten. Die Platzierung von ZTNA-Konnektoren, SWG-Instanzen oder CASB-Enforcement beeinflusst unmittelbar die Netzarchitektur. Zentralisierte Inspection kann administrativ einfacher erscheinen, führt jedoch häufig zu ineffizienten Traffic-Pfaden. Gleichzeitig verbessern verteilte Enforcement-Modelle die Performance, erfordern aber eine passende Connectivity mit regional optimierten Routen. Somit sorgt erst das Zusammenspiel aus intelligenter Platzierung und geeigneter Netzstruktur dafür, dass Sicherheit nicht auf Kosten der Nutzererfahrung geht.

Mit der zunehmenden Fragmentierung der WAN-Landschaft gewinnt zudem Managed Connectivity an Bedeutung. Da Unternehmen heute ihre Konnektivität aus einer Vielzahl lokaler und globaler Provider beziehen, erhöht sich die Komplexität erheblich. Das liegt unter anderem an unterschiedlichen SLAs, Supportmodellen und Betriebsprozessen. In der Praxis zeigt sich: Ohne ein integriertes Betriebsmodell lassen sich diese Strukturen kaum effizient steuern. Ansätze, die Last-Mile-Provisionierung, Backbone und Betrieb zusammenführen, schaffen hier erstmals eine durchgängige Sicht auf Performance, Verfügbarkeit und Traffic Flows. Gleichzeitig reduziert sich der Koordinationsaufwand für interne IT-Teams, die sich dann stärker auf Architektur und Governance konzentrieren können.

Connectivity avanciert zum strategischen Faktor

Doch ob aus eigener Hand oder in Form von Managed Connectivity: die Verbindungsfähigkeit von Unternehmen ist heute ein klar strategischer Faktor. Sie bestimmt, wie performant Cloud-Anwendungen erreichbar sind, wie effizient die Security-Inspection funktioniert und wie stabil globale Standorte miteinander kommunizieren. SASE liefert das architektonische Framework für konvergente Netzwerk- und Sicherheitsmodelle, ohne eine entsprechend gestaltete Connectivity bleibt dieses Framework jedoch hinter seinen Möglichkeiten zurück.

Unternehmen, die SASE erfolgreich implementieren wollen, müssen daher Connectivity neu denken und sie als integralen Bestandteil der Architektur, nicht als nachgelagerte Beschaffung ansehen. Erst durch abgestimmte Last-Mile-Konzepte, eine leistungsfähige Backbone-Strategie und ein integriertes Betriebsmodell entstehen die Voraussetzungen für konsistente Performance, robuste Sicherheit und skalierbare globale IT-Strukturen. Oder anders gesagt: SASE definiert das Zielbild. Connectivity entscheidet, ob es in der Praxis funktioniert.

Über den Autor

Jeroen Wisse ist Director Global Connectivity Services bei Open Systems.

(ID:50842751)