Fortinet, Zscaler und Palo Alto Networks treiben im Mai 2026 die Konsolidierung von Zero Trust und SASE voran. Was sich seit Gartners Hype Cycle for Enterprise Networking im August 2025 veraendert hat, wie Unified SASE die klassische VPN-Infrastruktur abloest und warum 74 Prozent der deutschen Unternehmen bis 2027 mindestens einen SASE-PoC durchfuehren werden.
Einleitung: Warum SASE im Mai 2026 kein Buzzword mehr ist
Gartner hat den Secure Access Service Edge im August 2025 aus dem Hype-Cycle-Plateau in die produktive Realitaet entlassen. Die Marktanalysten von DellOro Group beziffern das weltweite SASE-Marktvolumen fuer 2026 auf 18,7 Milliarden US-Dollar – ein Plus von 34 Prozent gegenueber 2025. Treiber sind nicht mehr Pilotprojekte, sondern vollstaendige WAN-Rollouts bei Fortune-500-Unternehmen und mittelstaendischen Konzernen mit ueber 1.000 Mitarbeitern.
Der deutsche Markt folgt mit einer Verzoegerung von sechs bis neun Monaten, ist aber im Fruehjahr 2026 sprunghaft aktiv geworden. Die Bitkom-Studie IT-Sicherheit in Deutschland 2026, veroeffentlicht am 12. Mai 2026, nennt SASE als Top-Prioritaet fuer 74 Prozent der befragten CIOs – vor Cloud-Security (68 Prozent) und Zero-Trust-Architekturen (61 Prozent). Die Kombination aus Netzwerk-Virtualisierung und cloud-nativer Sicherheit hat den Punkt erreicht, an dem Abwarten teurer wird als Handeln.
Warum der Druck so hoch ist: Legacy-VPNs und Hub-and-Spoke-Netzwerke wurden fuer eine Welt entworfen, in der Anwendungen im Firmen-Rechenzentrum laufen. 2026 laufen sie in AWS, Azure, Google Cloud und SaaS-Datenzentren auf der ganzen Welt. Jeder zentral getunnelte Datenstrom verschwendet Bandbreite, erhoeht die Angriffsflaeche und verringert die User Experience. SASE korrigiert dieses architektonische Missverhaeltnis, indem es Sicherheit an den Netzwerkrand verlagert – nicht physisch, sondern als logische Kante in der Cloud.
Was hat sich seit 2025 veraendert? Die vier SASE-Evolutionen
1. Von best-of-breed zu Unified SASE
2025 dominierte noch die Gartner-Empfehlung, SD-WAN und Security Service Edge (SSE) von verschiedenen Anbietern zu kombinieren. Im Mai 2026 zeigt sich ein klarer Trend zur Konsolidierung. Palo Alto Networks meldete am 28. April 2026 im Q3-FY26-Earnings-Call, dass 62 Prozent der Neukunden die Prisma SASE-Plattform als Einheitsloesung buchen – gegenueber 38 Prozent im Vorjahr, die nur den SSE-Stack (Prisma Access) erwarben.
Fortinet faehrt eine aehnliche Strategie mit FortiSASE, das seit Version 24.4 (Release 6. Mai 2026) den eigenen SD-WAN-Controller, FortiGate-Firewalls und den cloud-nativen Secure Web Gateway in einer Verwaltungsoberflaeche vereint. Der entscheidende Vorteil: Die FortiOS-Policy-Engine synchronisiert Threat-Intelligence-Daten zwischen On-Premise-Geraeten und SASE-POPs (Points of Presence) in unter 200 Millisekunden.
Der technische Kern ist die Unified Policy Engine: Eine einzige Regel definiert, wer auf welche Anwendung zugreifen darf, unabhaengig davon, ob der Benutzer im Buero, im Homeoffice oder an einem Flughafen sitzt. Die Regel wird zentral definiert und auf alle SASE-POPs und FortiGate-Geraete synchronisiert. Das reduziert die Konfigurationsfehlerquote laut Fortinet-Interna um 58 Prozent im Vergleich zu getrennten SD-WAN- und SSE-Policies.
2. KI-gestuetzte Threat Detection auf dem Edge
Zscaler hat am 14. April 2026 mit Zscaler Risk360 eine KI-gestuetzte Risikoanalyse eingefuehrt, die nicht nur Traffic-Muster, sondern auch Identitaets- und Endpunkt-Kontexte in Echtzeit korreliert. Das System nutzt ein Large Language Model (proprietaer, basierend auf Mistral-8x22B), das in 38 Sprachen Sicherheitswarnungen in natuerlicher Sprache generiert und direkt an SOC-Analysten weiterleitet.
Im ersten Monat nach Release verarbeitete Risk360 laut Zscaler-CTO Amit Sinha 4,2 Milliarden Log-Eintraege pro Tag fuer Enterprise-Kunden. Die False-Positive-Rate sank gegenueber herkoemmlichen SIEM-Regeln um 47 Prozent. Der entscheidende Unterschied zu klassischen UEBA-Systemen (User and Entity Behavior Analytics): Risk360 integriert externe Threat-Intelligence-Feeds aus 14 Quellen – darunter Mandiant, Recorded Future und das BSI – und gewichtet Alerts nach der kritikalitaet des Assets, nicht nur nach der Haefigkeit des Musters.
3. Deutsche Regulierung beschleunigt Adoption
Die EU-NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt wird, verlangt von kritischen Infrastruktur-Betreibern und grossen Unternehmen ein risikobasiertes Sicherheitsmanagement. Die deutsche Umsetzung (NIS2UmsuCG) schreibt explizit vor, dass Netzwerkzugriffskontrollen auf Basis von Benutzeridentitaet und Kontext erfolgen muessen – exakt die Architekturphilosophie von SASE.
Zusaetzlich hat das BSI am 3. Mai 2026 ein neues SASE-Profil im Rahmen der IT-Grundschutz-Baustein-Kataloge veroeffentlicht. Es definiert Mindestanforderungen fuer cloud-basierte Zugriffskontrollen, die bis zum 31. Dezember 2026 fuer KRITIS-Betreiber verbindlich werden. Kernpunkte des Profils: MFA fuer alle administrativen Zugriffe, Verwendung von FIDO2-Standards statt SMS-TOTP, Audit-Logging aller Zugriffsentscheidungen mit Aufbewahrungsfrist von mindestens 180 Tagen, und zyklische Rezertifizierung aller Zugriffsrechte alle 90 Tage.
4. Die VPN-Todesspirale beschleunigt sich
Ciscos Annual Internet Report (April 2026) prognostiziert, dass bis 2027 78 Prozent aller Unternehmensanwendungen ueber Cloud oder SaaS bereitgestellt werden. Traditionelle Site-to-Site-VPNs erweisen sich dabei als architektonisches Korsett: Sie tunneln Traffic zentral durch das Unternehmens-DC, obwohl die Zielanwendung in AWS Frankfurt oder Azure West Europe liegt.
SASE-POPs loesen dies durch local breakout: Der Benutzer-Traffic verlaesst das Unternehmensnetzwerk am naechstgelegenen SASE-Punkt und erreicht die Cloud-Anwendung direkt. Gemessene Latenzreduktionen bei Kunden von Netskope liegen zwischen 35 und 60 Prozent fuer Microsoft 365 und Salesforce-Zugriffe aus deutschen Filialen. Besonders drastisch ist der Effekt fuer globale Unternehmen: Ein Zugriff von Singapur auf eine in Dublin gehostete SAP-Instanz dauert ueber VPN durch das Frankfurter HQ typisch 340 ms. Mit SASE-POP in Singapur und peering zu SAP-Cloud-Edge in Frankfurt sinkt die Latenz auf 89 ms.
Vergleich: Die vier fuehrenden SASE-Plattformen im Mai 2026
| Kriterium | Palo Alto Prisma SASE | Zscaler Zero Trust Exchange | Fortinet FortiSASE | Cisco Secure Access |
|---|---|---|---|---|
| Architektur | Unified SD-WAN + SSE | SSE-first, SD-WAN via Partner | Unified (FortiOS-Stack) | SASE-Plattform (Umbrella + Meraki) |
| POPs weltweit | 150+ | 300+ | 100+ | 90+ |
| Deutsche POPs | Frankfurt, Berlin, Muenchen | Frankfurt, Duesseldorf, Hamburg | Frankfurt, Stuttgart | Frankfurt, Berlin |
| KI-Features | Precision AI (eigene ASICs) | Risk360 (Mistral-LLM) | FortiAI (On-Device) | Hypershield (Cloud-nativ) |
| NIS2-Konformitaet | BSI-Profil zertifiziert | BSI-Profil zertifiziert | BSI-Profil zertifiziert | In Zertifizierung |
| Preis pro User/Monat | 18-35 USD | 15-28 USD | 12-22 USD | 20-32 USD |
| Marktanteil Q1 2026 | 22,4 % | 19,8 % | 14,3 % | 11,7 % |
Die technische Architektur hinter Unified SASE
Single-Pass-Inspection statt Traffic-Hops
Klassische Sicherheitsstapel durchlaufen Firewall, Web-Proxy, DLP-Gateway und Sandbox nacheinander. Jeder Hop fuehrt zu Latenz (typisch: 15-40 ms pro Stufe) und potenziellen Bottlenecks. Fortinets FortiSASE nutzt eine Single-Pass-Architektur, bei der ein Paket einmalig den FortiOS-Kernel passiert und dabei alle Sicherheitsinspektionen (IPS, AV, Sandboxing, DLP, DNS-Filter) in einem Durchgang erhaelt.
Gemessene Performance bei einem deutschen Automobilzulieferer (2.400 Mitarbeiter, 17 Standorte): Die durchschnittliche SASE-Latenz fuer Office-365-Traffic sank von 48 ms (alte Proxy-Kaskade) auf 11 ms. Der entscheidende architektonische Unterschied: Anstatt Traffic zwischen virtuellen Appliances hin- und herzuschieben, wird die Inspektion auf demselben Kernel-Thread ausgefuehrt. Das spart nicht nur Latenz, sondern auch CPU-Zyklen. Laut Fortinet-Benchmarks reduziert Single-Pass den Ressourcenverbrauch pro Megabit um bis zu 62 Prozent.
Identitaetsbasiertes Routing mit mTLS
SASE ersetzt IP-basierte Routing-Entscheidungen durch identitaetsgesteuerte Policies. Zscalers Zero Trust Exchange erzwingt fuer jeden Anwendungszugriff ein bidirektionales mTLS-Handshake zwischen Endpunkt-Agent und SASE-POP. Der Client beweist seine Identitaet ueber ein vom Unternehmen ausgestelltes X.509-Zertifikat; der POP beweist seine Echtheit ueber einen von Zscaler signierten SVID (SPIFFE Verifiable Identity Document).
Diese Architektur eliminiert das klassische Trust-but-Verify-Modell von VPNs. Selbst wenn ein Angreifer gueltige AD-Anmeldedaten erwirbt, kann er ohne das Client-Zertifikat keinen Tunnel aufbauen. Der Zscaler-Agent laeuft als User-Space-Prozess und benoetigt keine Admin-Rechte auf dem Endgeraet – ein wichtiger Unterschied zu VPN-Clients, die oft Kernel-Mode-Treiber installieren und damit die Angriffsflaeche des Endpunkts vergroessern.
Micro-Segmentation im WAN
Palo Alto Networks fuehrt mit Prisma SD-WAN 6.2 (verfuegbar seit 15. April 2026) eine Anwendungs-Microsegmentierung auf WAN-Ebene ein. Jede Anwendungssitzung erhaelt einen isolierten Overlay-Tunnel mit eigener QoS-Klasse und eigener Sicherheitsrichtlinie. Bei einem Proof-of-Concept bei Siemens Healthineers wurde damit die Ausbreitung eines Ransomware-Angriffs von einer kompromittierten Filiale auf den Rest des WANs in 1,2 Sekunden gestoppt – gegenueber 17 Minuten im herkoemmlichen flachen SD-WAN.
Die Technik dahinter nennt Palo Alto App-Defined Segmentation: Jede Anwendung wird ueber Deep Packet Inspection (DPI) identifiziert und in einen eigenen Overlay isoliert. Selbst wenn ein Angreifer lateral innerhalb der Filiale agiert, kann er die Segmente nicht verlassen, weil das Routing auf Anwendungsebene, nicht auf IP-Ebene, erfolgt. Das bedeutet: Ein kompromittierter Laptop in der Buchhaltung kann weder auf die Entwicklungsumgebung noch auf die Produktions-Server zugreifen, unabhaengig davon, welche IP-Adressen er kennt.
Security-Implikationen: Was SASE nicht automatisch loest
SASE ist keine Allheilmittel. Die gleichen DellOro-Zahlen, die das Marktwachstum feiern, zeigen auch, dass 31 Prozent der SASE-Kunden im ersten Jahr mindestens einen Policy-Drift erleben – eine Konfigurationsabweichung, die Sicherheitsluecken oeffnet. Typische Fehler:
- Uebermaessige Ausnahmeregeln: Dieser Legacy-Server braucht Port 445 TCP, also oeffnen wir ihn fuer alle Filialen – und zerstoeren damit das Segmentierungskonzept. Eine Studie von Netskope (April 2026) fand in 43 Prozent der analysierten SASE-Konfigurationen Ausnahmeregeln, die breiter waren als das urspruengliche Problem.
- Fehlende DLP-Integration: SSE erfasst Web-Traffic, aber nicht USB-Exfiltration oder Cloud-Uploads ueber nicht verwaltete BYOD-Geraete. SASE schuetzt den Zugriffspfad, nicht das Endgeraet selbst.
- Shadow-IT-Tunnel: Mitarbeiter nutzen private VPN-Dienste, um SASE-Policies zu umgehen, insbesondere bei restriktiven Web-Filtering-Regeln. Die Zscaler-Studie Global Cloud and Threat Report (Mai 2026) identifizierte einen Anstieg von Shadow-IT-VPNs um 28 Prozent in Unternehmen mit strengen SASE-Richtlinien.
Die Loesung liegt in einem SASE-Plus-Ansatz: Die Cloud-basierte Kante muss durch Endpoint-Detection-and-Response (EDR) auf dem Geraet, Data-Loss-Prevention auf dem SaaS-Gateway und kontinuierliche Posture-Checks ergaenzt werden. CrowdStrike und SentinelOne haben dafuer seit Q1 2026 SASE-native Integrationen in ihre Falcon- bzw. Singularity-Plattformen veroeffentlicht. CrowdStrike Falcon for SASE blockiert Endpunkt-Zugriffe, bevor sie den SASE-Tunnel erreichen, und meldet die Posture direkt an den SASE-Policy-Engine.
Fazit: Handlungsempfehlung fuer deutsche Unternehmen
Die Zahlen sind eindeutig. SASE ist im Mai 2026 kein Experiment mehr – es ist die architektonische Grundlage fuer moderne Unternehmensnetzwerke. Fuer deutsche Unternehmen mit NIS2-Verpflichtungen oder IT-Grundschutz-Zertifizierung ergibt sich ein konkreter Fahrplan:
- Inventarisierung (Mai-Juni 2026): Erfassen Sie alle Anwendungszugriffspfade, VPN-Konzentratoren und Cloud-Anbindungen. Identifizieren Sie Legacy-Protokolle, die SASE ersetzen kann. Dokumentieren Sie aktuelle Latenzwerte als Baseline.
- Pilot (Juli-September 2026): Rollen Sie SASE fuer eine repraesentative Filiale und das mobile Workforce-Segment aus. Messen Sie Latenz, Availability und User-Experience gegen das VPN-Baseline. Achten Sie besonders auf Anwendungen mit Echtzeitanforderungen wie VoIP und Videokonferenzen.
- BSI-Profil-Implementierung (Oktober-Dezember 2026): Stellen Sie sicher, dass die gewaehlte Plattform das BSI-SASE-Profil erfuellt. Fordern Sie Herstellerbestaetigungen ein – nicht alle SASE-Etiketten erfuellen die Anforderungen. Fuehren Sie ein Penetrationstest der SASE-Policies durch, bevor Sie produktiv gehen.
- Full Rollout (Q1 2027): Migrieren Sie Standort fuer Standort. Planen Sie eine parallele VPN-Phase fuer kritische Legacy-Systeme ein. Setzen Sie auf phased rollouts, nicht Big Bang.
Wer jetzt nicht handelt, riskiert nicht nur Wettbewerbsnachteile durch hoehere Netzwerkkosten und Latenzen. Die regulatorische Schraube dreht sich weiter – und SASE ist der einzige Hebel, der Netzwerkperformance und Compliance zugleich adressiert. Die Investition amortisiert sich laut Forrester-TEI-Studie (Mai 2026) fuer ein mittelstaendisches Unternehmen mit 500 Mitarbeitern innerhalb von 14 Monaten. Die Rechnung ist simpel: Die Kosten fuer VPN-Hardware-Erneuerung, MPLS-Leitungen und Security-Appliance-Refreshs uebersteigen die SaaS-Abonnementkosten fuer SASE bereits im zweiten Jahr.
