
Die Art, wie Unternehmen arbeiten, hat sich fundamental verändert: Mitarbeiter greifen von zuhause, vom Buero, aus der Filiale und unterwegs auf Applikationen zu - die mehrheitlich nicht mehr im eigenen Rechenzentrum, sondern in der Cloud laufen. Microsoft 365, Salesforce, SAP S/4HANA Cloud, Teams, SharePoint - sie alle liegen außerhalb des klassischen Netzwerkperimeters.
Das klassische Sicherheitsmodell - Firewalls am Netzwerkrand, VPN für Remote-Zugriff, Backhauling des gesamten Traffics über das Rechenzentrum - ist für diese Realität nicht gemacht. Es verursacht unnötige Latenz, schafft Engpässe und gibt Angreifern nach einer erfolgreichen Kompromittierung breiten Netzwerkzugang. NIS2 und der steigende Druck durch Ransomware-Angriffe erhöhen den Handlungsdruck zusätzlich.
SASE wurde 2019 von Gartner als Architekturkonzept definiert. Es beschreibt die Konvergenz von Netzwerk- und Sicherheitsfunktionen in einem cloud-nativen, identitätszentrierten Service. Der Kerngedanke: Nicht mehr das Netzwerksegment, sondern die Identität des Nutzers und der Zustand seines Geraets entscheiden über den Zugriff.
Ein vollstaendiger SASE-Stack besteht aus zwei Säulen: SD-WAN für die Netzwerkseite (intelligente WAN-Verbindung, Branch-Vernetzung, Applikationssteuerung) und SSE (Security Service Edge) für die Sicherheitsseite (ZTNA, SWG, CASB, DLP). HPE Aruba Networking vereint beide Säulen unter einer einzigen Management-Plattform mit einer einzigen Policy-Engine.
Hinweis: HPE Aruba Networking EdgeConnect SD-WAN unterstützt neben dem Single-Vendor-SASE-Ansatz auch die automatisierte Orchestrierung zu Dritt-Anbieter-SSE-Lösungen (Zscaler, Netskope, Palo Alto Networks, Skyhigh Security, Broadcom u. a.) - fuer Unternehmen, die bereits in eine spezifische SSE-Plattform investiert haben.
HPE Aruba Networking SSE (Security Service Edge) ist die Sicherheitssäule des SASE-Stacks. Sie vereint ZTNA, SWG, CASB und DLP in einem einzigen Codebase mit einer gemeinsamen Policy-Engine - und wird über globale PoPs auf AWS, Microsoft Azure und Google Cloud bereitgestellt.
ZTNA ist der bedeutendste Paradigmenwechsel in der Netzwerksicherheit der letzten Jahre. Das Prinzip: Kein Nutzer und kein Gerät erhält automatisch Netzwerkzugang - jeder Zugriff wird auf Basis von Identität, Gerätezustand und Kontext einzeln geprüft und auf die minimal notwendige Applikation beschränkt.
Kriterium | Klassisches VPN | ZTNA (Zero Trust Network Access) |
Zugriffsprinzip | Netzwerkzugang – wer einmal drin ist, hat breiten Zugriff | Applikationszugang – Zugriff nur auf genehmigte Ressourcen, nicht aufs Netz |
Vertrauen | Implizit – Netzwerksegment als Vertrauensgrenze | Explizit – Identität, Gerätezustand und Kontext bei jedem Zugriff geprüft |
Angriffsoberfläche | Gross – laterale Bewegung möglich nach Kompromittierung | Klein – kein Netzwerkzugang; nur genehmigte Apps erreichbar |
Remote-Erfahrung | Oft langsam durch Backhauling über zentrale Gateways | Direkter Zugriff; Traffic wird intelligent geroutet |
Skalierbarkeit | Aufwendig – VPN-Kapazität muss manuell skaliert werden | Cloud-skalierbar; keine dedizierten VPN-Konzentratoren notwendig |
Sichtbarkeit | Begrenzt – kein Einblick in Applikationsnutzung | Vollständige Sichtbarkeit – wer greift wann auf welche App zu |
HPE Aruba Networking ZTNA unterstützt sowohl agent-basierten Zugriff (für verwaltete Unternehmensgeräte) als auch agentlosen Zugriff (für BYOD, Partner und Drittanbieter) - ohne Einschränkungen in der Sicherheitsrichtlinie. Ab April 2025 beinhaltet jeder ZTNA-Kauf eine kostenfreie Lizenz für Aruba Networking Private Edge für sicheren Zugriff auf private, on-premises gehostete Applikationen.
Ein häufiger Einwand gegenüber SASE-Plattformen: 'Wir haben bereits in Zscaler / Netskope / Palo Alto investiert.' HPE Aruba Networking EdgeConnect SD-WAN löst dieses Problem pragmatisch:
Fuer IT-Leiter bedeutet das: Sie sind nicht in einen einzelnen Security-Vendor eingesperrt. HPE Aruba Networking SASE wachst mit Ihrer bestehenden Sicherheitsinvestition - und ermöglicht einen schrittweisen Umstieg auf Single-Vendor SASE, wenn es strategisch sinnvoll ist.
Die NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt werden muss, stellt explizite Anforderungen an Netzwerksicherheit, Zugriffssteuerung und Incident-Response. HPE Aruba Networking SASE adressiert mehrere NIS2-Kernpflichten direkt:


SASE ist kein Big-Bang-Projekt. Der typische Einstieg erfolgt entweder über SD-WAN (Ablösung bestehender Router und WAN-Verbindungen) oder über ZTNA (Ablösung von VPN für Remote-Zugriff) - jeweils unabhängig voneinander. Beide Wege liefern sofort messbaren Mehrwert und können zu einer vollständigen SASE-Architektur ausgebaut werden. Die Concat AG entwickelt mit Ihnen einen realistischen Migrationspfad, der Ihre bestehenden Investitionen berücksichtigt.
EdgeConnect SD-WAN ist nicht auf die sofortige MPLS-Ablösung angewiesen. Viele Unternehmen starten mit einem Hybrid-Ansatz: MPLS als primärer Pfad für kritische Applikationen, Breitband als sekundärer Pfad für Cloud-Traffic und allgemeines Internet. Mit Ablauf der MPLS-Vertragslaufzeit kann MPLS schrittweise durch günstigere Broadband- und 5G-Verbindungen ersetzt werden - EdgeConnect verwaltet beide Szenarien.
HPE Aruba Networking EdgeConnect SD-WAN bietet automatisierte, zertifizierte Integration mit Zscaler. Sie können EdgeConnect als SD-WAN-Plattform einführen und Zscaler als SSE-Komponente weiter nutzen - mit automatisierter Orchestrierung und einheitlicher Richtliniensteuerung. Wenn Ihr Zscaler-Vertrag abläuft, können Sie zu HPE Aruba Networking SSE wechseln und profitieren dabei von einer noch tieferen Integration.
NIS2 schreibt keine spezifische Technologie vor, sondern definiert Sicherheitsziele (Zugriffssteuerung, Segmentierung, Verschlüsslung, Monitoring). SASE und Zero Trust sind der effizienteste technische Weg, um diese Ziele in hybriden, verteilten Unternehmensumgebungen zu erreichen. Die Concat AG unterstützt Sie bei der Dokumentation der NIS2-Konformitaet Ihrer SASE-Implementierung.
EdgeConnect SD-WAN wird pro Branch-Standort als Subscription lizenziert - Foundation oder Advanced, je nach benötigtem Funktionsumfang. HPE Aruba Networking SSE wird pro Nutzer lizenziert. Über HPE GreenLake ist auch ein as-a-Service-Modell mit monatlicher Abrechnung möglich. Die Concat AG erstellt Ihnen ein auf Ihre Umgebung zugeschnittenes Lizenz- und Kostenmodell.
