SSECybersecurity

Security Service Edge

Cloud-basierte Bündelung der Sicherheitsdienste von SASE — Secure Web Gateway, CASB, ZTNA und zunehmend FWaaS und DLP — ohne den Netzwerkteil (SD-WAN).

Security Service Edge (SSE) ist die cloud-basierte Sicherheitshälfte von SASE. Der Begriff wurde 2021 von Gartner eingeführt, um die in SASE gebündelten Sicherheitsdienste klar von der Netzwerkkomponente abzugrenzen. Die Formel ist einfach: SASE = SD-WAN (das Netzwerk) + SSE (die Sicherheit). Wer SSE einführt, übernimmt also den Schutzteil der SASE-Architektur — Web-Filterung, Cloud-Zugriffskontrolle und identitätsbasierten Anwendungszugriff aus der Cloud — ohne gleichzeitig sein Weitverkehrsnetz neu aufstellen zu müssen.

Die Kernkomponenten von SSE

SSE ist kein einzelnes Produkt, sondern ein Bündel konvergierter Sicherheitsdienste, die über eine gemeinsame Policy-Engine und ein einheitliches Management bereitgestellt werden. Drei Dienste bilden seit jeher den Kern, zwei weitere werden zunehmend integriert.

Komponente	Funktion
SWG (Secure Web Gateway)	Filtert Web- und Internet-Traffic auf Bedrohungen und Richtlinienverstöße
CASB (Cloud Access Security Broker)	Sichtbarkeit und Kontrolle über genutzte SaaS-Dienste
ZTNA (Zero Trust Network Access)	Identitätsbasierter Zugriff auf einzelne Anwendungen statt aufs Netzwerk
FWaaS (Firewall as a Service)	Cloud-basierte Firewall ohne lokale Hardware
DLP (Data Loss Prevention)	Erkennt und verhindert den Abfluss sensibler Daten

SWG, CASB und ZTNA gelten als die Pflichtkomponenten, an denen sich SSE-Plattformen messen lassen. FWaaS und DLP werden von den meisten Anbietern inzwischen ebenfalls als Bestandteil der Plattform geführt, sodass die Grenze zwischen 'Kern' und 'Erweiterung' zunehmend verschwimmt.

Warum SSE als eigener Begriff entstand

In der Theorie führt man SASE als Ganzes ein — Netzwerk und Sicherheit aus einer Hand, vom selben Anbieter, über dieselben Points of Presence. In der Praxis verläuft die Einführung jedoch selten so geradlinig. Viele Organisationen übernehmen zuerst den Sicherheits-Stack, häufig getrieben durch einen einzelnen Hersteller, dessen Plattform sie bereits nutzen, und behalten ihr bestehendes SD-WAN oder ihre klassische Netzwerkarchitektur vorerst bei. Die Neuarchitektur des Netzwerks ist aufwändiger, langfristiger und oft an Vertragslaufzeiten der WAN-Anbindung gebunden. Gartner trug dieser Realität 2021 Rechnung und gab der Sicherheitshälfte mit SSE einen eigenen Namen — damit Unternehmen die beiden Bausteine getrennt beschaffen und einführen können.

Zusammenhang mit Zero Trust

SSE ist eine der zentralen Architekturen, über die sich das Zero-Trust-Prinzip in der Breite umsetzen lässt. ZTNA als Kernkomponente ersetzt den impliziten Vertrauensvorschuss klassischer VPN-Zugänge durch granulare, kontextabhängige Zugriffsentscheidungen pro Anwendung. SWG und CASB ergänzen dies, indem sie auch den ausgehenden Web- und SaaS-Traffic kontinuierlich prüfen, statt sich auf einen einmal etablierten Netzwerk-Perimeter zu verlassen. SSE liefert damit die cloud-basierte Durchsetzungsschicht, die Zero Trust für verteilte Belegschaften praktikabel macht.

Ehrliche Einordnung: Single-Vendor oder Best-of-Breed

So attraktiv die Konsolidierung klingt, sie hat einen Preis. Eine SSE-Plattform bindet das Unternehmen eng an einen einzelnen Hersteller — Policies, Reporting und Betriebs-Know-how sind auf dessen Konsole zugeschnitten, ein späterer Wechsel ist entsprechend aufwändig. Daraus ergibt sich die strategische Grundentscheidung zwischen einem einzelnen Anbieter, der alle Komponenten integriert liefert, und einem Best-of-Breed-Ansatz, bei dem man für jede Disziplin das jeweils stärkste Produkt wählt. Wer SSE von einem Anbieter und SD-WAN von einem anderen bezieht, sollte zudem mit Integrationslücken rechnen: Die saubere Verzahnung von Netzwerk-Routing und Sicherheits-Policy, die SASE verspricht, entsteht nicht automatisch, wenn die beiden Hälften aus unterschiedlichen Häusern stammen. In der Praxis sind dann manuelle Abstimmung, doppelte Policy-Pflege und unklare Verantwortlichkeiten bei Störungen die Folge.

Relevanz für KMUs

Für mittelständische Unternehmen ist SSE oft der pragmatischere Einstieg als ein vollständiges SASE-Projekt. Die Sicherheitshälfte lässt sich einführen, ohne das gewachsene Netzwerk anzufassen — ein wichtiger Vorteil, wenn bestehende WAN-Verträge laufen oder kein großes Netzwerkteam vorhanden ist. Häufig sind erste SSE-Bausteine bereits lizenziert, aber nicht konfiguriert: Wer Microsoft 365 in höheren Plänen nutzt, hat über Defender for Cloud Apps und Entra Private Access bereits CASB- und ZTNA-Funktionen zur Hand. Der sinnvolle Startpunkt ist daher selten der Plattformkauf, sondern die Bestandsaufnahme: Welche Komponenten sind vorhanden, welche fehlen, und wie stark möchte man sich auf einen einzelnen Anbieter festlegen, bevor später auch das Netzwerk Richtung SD-WAN modernisiert wird.

Häufige Fragen

Was ist der Unterschied zwischen SASE und SSE?+

SASE umfasst Netzwerk und Sicherheit aus einer Hand, SSE nur die Sicherheitshälfte. Die Formel lautet: SASE = SD-WAN (das Netzwerk) + SSE (die Sicherheit). Wer SSE einführt, übernimmt also den Schutzteil der SASE-Architektur, ohne gleichzeitig sein Weitverkehrsnetz neu aufstellen zu müssen.

Welche Komponenten gehören zu SSE?+

Den Kern bilden drei Pflichtkomponenten: Secure Web Gateway (SWG) für Web-Filterung, Cloud Access Security Broker (CASB) für die Kontrolle der SaaS-Nutzung und Zero Trust Network Access (ZTNA) für identitätsbasierten Anwendungszugriff. FWaaS und DLP werden zunehmend ebenfalls in die Plattform integriert, sodass die Grenze zwischen Kern und Erweiterung verschwimmt.

Warum wurde SSE als eigener Begriff neben SASE eingeführt?+

Gartner prägte SSE 2021, weil in der Praxis viele Organisationen zuerst den Sicherheits-Stack übernehmen und ihr bestehendes SD-WAN vorerst behalten. Die Neuarchitektur des Netzwerks ist aufwändiger, langfristiger und oft an Vertragslaufzeiten der WAN-Anbindung gebunden. Der eigene Name erlaubt es, die beiden Bausteine getrennt zu beschaffen und einzuführen.

Single-Vendor oder Best-of-Breed — was ist sinnvoller?+

Eine Single-Vendor-SSE-Plattform vereinfacht Betrieb und Integration, bindet das Unternehmen aber eng an einen Hersteller, was einen späteren Wechsel aufwändig macht. Ein Best-of-Breed-Ansatz wählt für jede Disziplin das stärkste Produkt, riskiert dafür Integrationslücken — besonders wenn SSE und SD-WAN aus unterschiedlichen Häusern stammen. Die Entscheidung hängt davon ab, wie stark man sich festlegen möchte und wie viel Integrationsaufwand tragbar ist.

Unser Angebot

Netzwerksicherheit

Weiterführende Artikel

Zero Trust Architektur: Der vollständige Leitfaden für 2026