Was ist der Unterschied zwischen SD-WAN, SASE und SSE?

SD-WAN (Software-Defined WAN) ist die Netzwerk-Komponente: Mehrere Underlay-Verbindungen (MPLS, Internet, LTE/5G, Starlink) werden zu einem logischen WAN gebündelt, mit zentraler Policy und application-aware Routing. SASE (Secure Access Service Edge, Gartner-Begriff seit 2019) konvergiert SD-WAN plus Cloud-Security-Stack (SWG, CASB, ZTNA, FWaaS, DLP) als einheitlichen Cloud-Dienst. SSE (Security Service Edge) ist SASE ohne SD-WAN-Komponente – nur die Security-Layer, oft als Ergänzung zu bestehendem SD-WAN oder reinem Internet-Zugang. Faustregel: Wer Standorte hat, will SD-WAN oder SASE. Wer nur User absichern muss (Home Office, BYOD), reicht SSE.

Welche SASE-Anbieter sind für Schweizer KMU relevant?

Single-Vendor-SASE-Markt 2026: (1) Cato Networks – Cloud-natives Single-Pass, gute KMU-Pakete, eigene globale Backbone, in CH gut platziert. (2) Netskope SASE – stark im CASB/DLP, PoP in Zürich. (3) Zscaler Zero Trust Exchange – Marktführer Enterprise, Schweizer Datacenter, eher Mid-Market+. (4) Palo Alto Prisma SASE – Top-Tier, hohe Komplexität. (5) Fortinet Unified SASE – attraktiv für bestehende FortiGate-Kunden, Single-Vendor-Konsolidierung. SSE-Only für KMU: Cloudflare One (sehr KMU-freundlich, Pay-as-you-go), Skyhigh Security, Forcepoint. Faustregel: KMU mit FortiGate-Bestand → Fortinet, Multi-Site Greenfield → Cato, Cloud-First ohne Standorte → Cloudflare One.

Was kosten SD-WAN und SASE für ein KMU?

Realistisch Schweiz 2026: (1) SD-WAN-Edge-Gerät (Box pro Standort): CHF 800–3'500 einmalig (Fortinet 40F/60F, Cisco Meraki MX67/MX85, Versa CSG) plus Wartung. (2) SD-WAN-Lizenz pro Standort: CHF 30–150/Monat je Funktionsumfang. (3) SASE-Lizenz pro User: CHF 8–25/User/Monat (Cato, Netskope, Zscaler) inkl. SWG, CASB, ZTNA, FWaaS. (4) Cloudflare One (SSE) ab ca. CHF 6/User/Monat im Enterprise-Plan, Pay-as-you-go-Tarif für kleine Setups. (5) Implementierung: CHF 8'000–40'000 je nach Standortzahl und Komplexität. Typischer 3-Standort-KMU mit 50 Usern: ca. CHF 1'500–2'500/Monat OpEx plus CHF 15'000–25'000 Setup. MPLS-Ablösung amortisiert sich oft innert 18 Monaten.

Lohnt sich SASE für ein kleines KMU mit 20 Usern?

Ja – aber differenziert. Single-Site-KMU mit 20 Usern und Cloud-First-Setup (M365, Google Workspace, SaaS) braucht kein SD-WAN, sondern SSE: Cloudflare One, Zscaler oder Netskope absichern User-Zugriffe, ersetzen VPN durch ZTNA und schützen vor Phishing/Malware (SWG). Kosten unter CHF 300/Monat realistisch. Multi-Site-KMU mit 2–5 Standorten und MPLS-Vertrag profitiert massiv von SD-WAN – Internet-Breakout, dynamisches Routing, Home-Office-Integration. Vollständige Single-Vendor-SASE (Cato, Fortinet Unified) wird ab ca. 30–50 Usern wirtschaftlich. Unter 20 Usern: SSE plus bestehende Firewall reicht meist – kein Overkill.

SD-WAN & SASE KMU Schweiz 2026: Fortinet, Cato, Netskope, Zscaler

Kurz vorweg: SD-WAN = Netzwerk (Multi-Link, application-aware Routing, zentrale Policy). SASE = SD-WAN + Cloud-Security (Gartner 2019). SSE = SASE ohne SD-WAN. Für Schweizer KMU mit Standorten lohnt sich SD-WAN ab CHF 800/Box, vollständiges Single-Vendor-SASE ab CHF 8/User/Monat. Wichtigste Anbieter 2026: Cato Networks, Netskope, Zscaler, Palo Alto Prisma, Fortinet Unified SASE (Single-Vendor); Fortinet, Cisco Meraki, Versa, Aruba EdgeConnect (Pure SD-WAN); Cloudflare One, Skyhigh, Forcepoint (SSE-Only). MPLS-Ablösung amortisiert sich meist innert 18 Monaten.

Was ist SD-WAN?

Multi-Link Underlay

Mehrere Verbindungen parallel: MPLS-Restverträge, Glasfaser-Internet (Init7, Quickline, Swisscom), Kabel, LTE/5G, Starlink. Aggregation auf Layer 4–7.

Application-Aware Routing

M365-Traffic direkt ins Internet (Local Breakout), SAP über die stabilste Leitung, Sprache mit niedrigster Latenz. Pro App eigene Policy.

Zentrale Orchestrierung

Eine Konsole für alle Standorte: Policies, Routing, QoS, Firewall-Regeln. Zero-Touch-Provisioning – Box per Versand, ans Internet hängen, Konfig per Cloud.

Forward Error Correction

Paketverlust-Tolerant durch FEC und Packet Duplication. Sprache und Video bleiben stabil, auch wenn eine Leitung 5 % Loss hat.

Dynamische Pfadwahl

Latenz/Jitter/Loss werden pro Tunnel gemessen, Verkehr wechselt automatisch auf den besseren Pfad – ohne BGP-Re-Konvergenz.

Integrierte Security (Grundlage)

IPsec, Stateful Firewall, IPS, AV. Komplexe Threats (SWG, CASB, DLP) gehören in den SASE-Layer – nicht jeder SD-WAN-Box.

Was ist SASE (und was SSE)?

Gartner definierte SASE 2019 als Konvergenz aus SD-WAN und Cloud-delivered Security. Statt jeden Standort mit eigener Firewall, Proxy, Sandbox auszustatten, läuft der Traffic durch globale Cloud-PoPs des Anbieters – einmalige Inspektion (Single-Pass), konsistente Policy für Standort, Home Office und Mobile. SSE (Security Service Edge) ist die Security-Hälfte ohne SD-WAN – ideal, wenn das Netzwerk-Underlay schon steht.

SWG (Secure Web Gateway): URL-Filter, Malware-Scan, SSL-Inspektion – ersetzt klassischen Proxy.
CASB (Cloud Access Security Broker): SaaS-Sichtbarkeit, Shadow-IT-Discovery, DLP für M365/Google/Salesforce/Box.
ZTNA (Zero Trust Network Access): App-spezifischer Zugriff ohne klassischen VPN-Tunnel – User sieht nur, was er darf.
FWaaS (Firewall as a Service): Cloud-Firewall mit IPS/IDS, ersetzt physische Firewall am Internet-Breakout.
DLP (Data Loss Prevention): Kreditkarten, AHV-Nummern, Mandanten-Daten werden vor dem Upload zu SaaS gestoppt.
RBI (Remote Browser Isolation): Riskante Webseiten werden in der Cloud gerendert – nur Pixel zum User.
DEM (Digital Experience Monitoring): End-to-End-Sicht von User über PoP bis SaaS-Backend.
Single-Pass-Architektur: Traffic wird einmal inspiziert, alle Security-Engines arbeiten parallel – Latenz unter 10 ms.

Anbieter-Vergleich 2026

Cato Networks – Single-Vendor SASE

Cloud-natives SASE der ersten Stunde, eigener globaler Private Backbone mit über 80 PoPs (Zürich/Frankfurt für CH-Traffic). Einheitliche Konsole, KMU-freundliche Lizenzierung pro User. Beste Wahl für Greenfield-Multi-Site-KMU ohne Vendor-Bias. CHF 10–18/User/Monat plus Edge-Box.

Netskope SASE – CASB-Stärke

Marktführer im CASB/DLP, ausgezeichnete SaaS-Visibility, Borderless-SD-WAN nach Infiot-Übernahme. PoP in Zürich. Eher Mid-Market+, komplex aber tief. CHF 12–22/User/Monat.

Zscaler Zero Trust Exchange

Enterprise-Marktführer, ZIA (Internet Access) + ZPA (Private Access) + ZDX (Experience). Schweizer Datacenter, sehr stabil. Kein eigenes klassisches SD-WAN, kooperiert mit Partnern (Aruba, Versa). CHF 15–25/User/Monat.

Palo Alto Prisma SASE

Top-Tier Cloud-Security plus Prisma SD-WAN (CloudGenix). Höchste Feature-Tiefe, aber auch höchste Komplexität und Preis. Sinnvoll für KMU mit Palo-Alto-Bestand. CHF 18–30/User/Monat.

Fortinet Unified SASE

Beste Wahl für KMU mit bestehendem FortiGate. FortiSASE plus FortiGate-SD-WAN aus einer Hand, Single-Vendor-Konsolidierung, Schweizer Channel breit aufgestellt. Edge-Box ab CHF 800, SASE-Lizenz CHF 8–15/User/Monat.

Cisco Meraki SD-WAN

Pure SD-WAN, Cloud-managed, sehr einfache Bedienung. MX67/MX85 für KMU, ab ca. CHF 1'200/Box plus jährliche Lizenz. Ergänzung mit Cisco+ Secure Connect (SSE) oder Drittanbieter. Beliebt bei kleineren Multi-Site-Setups.

VMware VeloCloud (Broadcom)

Etablierter SD-WAN-Spieler, nach Broadcom-Übernahme Unsicherheit bei Lizenz-Modell und KMU-Ausrichtung. Bestandskunden okay, Neuevaluation derzeit kritisch prüfen.

Versa Networks / Aruba EdgeConnect (HPE)

Versa: SD-WAN + SSE aus einer Hand, technisch stark, KMU-fit. Aruba EdgeConnect (vorher Silver Peak, jetzt HPE): exzellente Latenz-Optimierung für Cloud-Apps, Partnerschaft mit Zscaler/Netskope für Security.

Cloudflare One (SSE-Only)

Reinrassige SSE-Plattform, sehr KMU-freundlich, Pay-as-you-go möglich. Zero Trust, Gateway (SWG), CASB, Browser Isolation. Kein SD-WAN, sondern Magic WAN als Light-Variante. Ab ca. CHF 6/User/Monat. Beste Wahl für Cloud-First-KMU ohne klassische Standort-Logik.

Skyhigh Security / Forcepoint (SSE-Only)

Skyhigh (ex-McAfee MVISION) stark im CASB-Erbe, gute DLP. Forcepoint mit starkem DLP- und RBI-Fokus. Beide solide SSE-Alternativen, eher Mid-Market.

Anwendungsfälle Schweizer KMU

Multi-Site Zürich–Genf–Basel: Drei Standorte mit Glasfaser plus LTE-Failover, application-aware Routing für SAP und M365. SD-WAN ersetzt teures MPLS-Sternenetz.
Home Office / Hybrid Work: ZTNA statt klassischem VPN – User greift nur auf erlaubte Apps zu, kein flaches Netzwerk. Erspart die VPN-Concentrator-Headaches.
M365 / SaaS-Performance: Local Internet Breakout direkt zum nächsten M365-PoP (Zürich, Frankfurt) statt Backhaul ins Headquarter. Spürbarer Speedup.
MPLS-Ablösung: Swisscom MPLS-Vertrag läuft aus, SD-WAN über zwei Internet-Anschlüsse plus LTE bietet vergleichbare SLA zu 30–50 % der Kosten.
Bau-/Pop-up-Standorte: Container-Büro, Baustelle, Pop-up-Store. SD-WAN-Box mit LTE/5G/Starlink in Minuten online – Zero-Touch-Provisioning.
Filial-Banking / Versicherung: ZTNA für Bestands- und Vertragsverwaltung, FWaaS statt veralteter physischer Firewall, FINMA-konforme Logs zentral.
Detailhandel mit POS: Karten-Scope sauber segmentiert via SD-WAN-VLANs, SASE-Inspektion für Mitarbeiter-Traffic, separate SSID-Trennung.
Logistik / Distribution: Multi-Site mit LTE-Backup, OT/IIoT-Segmentierung, garantierte SLA für ERP-Anbindung.

12-Wochen-Roadmap zu SD-WAN/SASE

Woche 1–2 – Bestandsaufnahme

Standorte, Underlay-Verträge (MPLS, Glasfaser, LTE), aktuelle Firewall/VPN-Landschaft, Applikations-Mix (M365, SAP, ERP, Voice), User-Zahlen, Home-Office-Quote inventarisieren.

Konkret: Standort-Matrix, Traffic-Profile, Vertragslaufzeiten.

Woche 3 – Anforderungen & Architektur

SD-WAN-only, SSE-only oder Single-Vendor-SASE? Hub-and-Spoke ablösen, ZTNA für Home Office, MPLS-Sunset-Datum. Sicherheits- und SLA-Anforderungen festschreiben.

Konkret: Zielarchitektur-Skizze, RFP-Kriterien.

Woche 4–5 – Anbieter-Shortlist & RFP

Drei Anbieter auswählen (z. B. Fortinet, Cato, Cloudflare). RFP mit Kosten, PoP-Lage, Schweizer Datenschutz, SLA, Support, Roadmap. Referenzkunden anfragen.

Konkret: RFP versandt, Angebote im Vergleich.

Woche 6–7 – Proof of Concept

Pilot-Standort mit Edge-Box, 5–10 User auf SASE-Lizenz, Performance-Test (M365, SAP, Voice), Failover-Test (Glasfaser raus, LTE rein), ZTNA-Test mit Home-Office-User.

Konkret: PoC-Report mit Messwerten, Go/No-Go-Entscheidung.

Woche 8 – Vertrag & Sizing

Anbieter-Wahl, Vertrag mit Schweizer Datenschutz-Annex (DPA, ggf. DPF), Lizenz-Sizing für 12–36 Monate, Edge-Boxen bestellen, Underlay (Zweit-Internet, LTE-SIMs) bestellen.

Konkret: Vertrag unterschrieben, Hardware-Lieferung getaktet.

Woche 9 – Pilot-Standort live

Erster Produktivstandort migriert, ZTNA für Home-Office-Pioniere, M365-Breakout aktiv, Monitoring 7 Tage. Lessons Learned dokumentieren.

Konkret: Pilot stabil, Runbook für Rollout aktualisiert.

Woche 10–11 – Rollout Standorte

Weitere Standorte gemäss Welle, MPLS bleibt parallel als Fallback. Schulung Helpdesk, User-Kommunikation, Change-Window pro Standort.

Konkret: Alle Standorte auf SD-WAN/SASE, Doku gepflegt.

Woche 12 – MPLS-Sunset & Operate

MPLS kündigen (Vorlaufzeit beachten – meist 3 Monate), Operate-Runbook, monatliches Capacity-Review, vierteljährliche Policy-Audits. SASE-Reports auf Geschäftsleitung ausrichten.

Konkret: MPLS gekündigt, Betriebsmodus aktiv, Reporting läuft.

Typische Stolpersteine

SD-WAN ohne Security gedacht: Reine Multi-Link-Optimierung ohne SWG/CASB/ZTNA verschiebt Risiko nur. SASE/SSE ist Pflicht-Layer, nicht Nice-to-have.
Fehlende Underlay-Diversität: Zwei Anschlüsse vom gleichen Anbieter über die gleiche Trasse sind keine Redundanz. Carrier-Diversität (Swisscom + Init7/Sunrise) plus LTE als Out-of-Band.
ZTNA überschätzt – Apps nicht ZTNA-tauglich: Legacy-Apps mit dynamischen Ports, Multicast oder Broadcast brauchen weiterhin klassischen Site-to-Site oder Connector-Lösungen.
Single-Vendor-Lock-in unterschätzt: Single-Vendor-SASE bringt Bedienkomfort, aber Verhandlungsmacht sinkt nach 2–3 Jahren spürbar. Vertragsausstiegs-Klauseln verhandeln.
Latenz-Annahmen falsch: SASE-PoP-Lage entscheidet. Anbieter ohne PoP in CH oder Frankfurt routen über London/Amsterdam – Latenz für M365/SAP spürbar.
Schweizer Datenschutz vernachlässigt: SASE-Inspektion verarbeitet Inhaltsdaten. Datenstandort, DPA, ggf. DPF-Adäquanz prüfen – revDSG-konform dokumentieren.
Sizing zu knapp: Lizenz pro User mit Wachstum kalkulieren, sonst regelmässige Nachbestellungen zu schlechten Konditionen.
MPLS zu früh gekündigt: MPLS bleibt 3–6 Monate parallel als Fallback. Kündigungsfrist beachten – sonst Doppelkosten oder Notfall-Rollback unmöglich.
Edge-Box-Wahl ohne Skalierung: Kleinste Box wird beim Wachstum zum Bottleneck (Durchsatz mit IPsec/IPS deutlich tiefer als Datenblatt). 30 % Headroom einplanen.
Helpdesk nicht geschult: User melden „M365 langsam" – ohne SASE-Visibility und DEM-Tools rätselt der Support. Schulung und Dashboards Pflicht.

Fazit: SD-WAN/SASE ist 2026 KMU-tauglich

Die Zeiten, in denen SASE nur Konzernen vorbehalten war, sind vorbei. Cato, Cloudflare One, Fortinet Unified SASE und Cisco Meraki bieten KMU-taugliche Pakete – mit transparenten User-Lizenzen, schlanken Edge-Boxen und Schweizer Channel-Support. Wer 2026 noch Standorte über VPN-Hub-and-Spoke verbindet, M365 ins Headquarter backhault und Home-Office über Concentrator-VPN abwickelt, lässt Performance, Sicherheit und Betriebskosten liegen.

Der pragmatische Weg: Bestandsaufnahme, klare Architektur-Entscheidung (SD-WAN, SSE oder Single-Vendor-SASE), drei Anbieter im RFP, ehrlicher PoC mit Messwerten, Rollout in Wellen. MPLS bleibt drei Monate parallel als Fallback, danach Sunset. Wirtschaftlich amortisiert sich der Wechsel typischerweise innert 18 Monaten – plus deutlich besserer User-Experience und konsistenter Security-Policy. Tipp: Vor jeder Vertragsunterschrift einen unabhängigen Architektur-Review – Single-Vendor-Lock-in wird sonst teuer.

SD-WAN/SASE für Ihr KMU – herstellerneutral evaluiert

Wir analysieren Ihre Standorte, schreiben das RFP, begleiten den PoC und führen den Rollout durch. Ohne Vendor-Bias, mit Fokus auf Schweizer Datenschutz und Wirtschaftlichkeit.

Beratung anfragen

SD-WAN & SASE 2026:
Netzwerk + Security konvergiert

Was ist SD-WAN?

Multi-Link Underlay

Application-Aware Routing

Zentrale Orchestrierung

Forward Error Correction

Dynamische Pfadwahl

Integrierte Security (Grundlage)

Was ist SASE (und was SSE)?

Anbieter-Vergleich 2026

Cato Networks – Single-Vendor SASE

Netskope SASE – CASB-Stärke

Zscaler Zero Trust Exchange

Palo Alto Prisma SASE

Fortinet Unified SASE

Cisco Meraki SD-WAN

VMware VeloCloud (Broadcom)

Versa Networks / Aruba EdgeConnect (HPE)

Cloudflare One (SSE-Only)

Skyhigh Security / Forcepoint (SSE-Only)

Anwendungsfälle Schweizer KMU

12-Wochen-Roadmap zu SD-WAN/SASE

Woche 1–2 – Bestandsaufnahme

Woche 3 – Anforderungen & Architektur

Woche 4–5 – Anbieter-Shortlist & RFP

Woche 6–7 – Proof of Concept

Woche 8 – Vertrag & Sizing

Woche 9 – Pilot-Standort live

Woche 10–11 – Rollout Standorte

Woche 12 – MPLS-Sunset & Operate

Typische Stolpersteine

Fazit: SD-WAN/SASE ist 2026 KMU-tauglich

SD-WAN/SASE für Ihr KMU – herstellerneutral evaluiert

Passende Leistungen für Ihr KMU

SD-WAN & SASE 2026: Netzwerk + Security konvergiert

Was ist SD-WAN?

Multi-Link Underlay

Application-Aware Routing

Zentrale Orchestrierung

Forward Error Correction

Dynamische Pfadwahl

Integrierte Security (Grundlage)

Was ist SASE (und was SSE)?

Anbieter-Vergleich 2026

Cato Networks – Single-Vendor SASE

Netskope SASE – CASB-Stärke

Zscaler Zero Trust Exchange

Palo Alto Prisma SASE

Fortinet Unified SASE

Cisco Meraki SD-WAN

VMware VeloCloud (Broadcom)

Versa Networks / Aruba EdgeConnect (HPE)

Cloudflare One (SSE-Only)

Skyhigh Security / Forcepoint (SSE-Only)

Anwendungsfälle Schweizer KMU

12-Wochen-Roadmap zu SD-WAN/SASE

Woche 1–2 – Bestandsaufnahme

Woche 3 – Anforderungen & Architektur

Woche 4–5 – Anbieter-Shortlist & RFP

Woche 6–7 – Proof of Concept

Woche 8 – Vertrag & Sizing

Woche 9 – Pilot-Standort live

Woche 10–11 – Rollout Standorte

Woche 12 – MPLS-Sunset & Operate

Typische Stolpersteine

Fazit: SD-WAN/SASE ist 2026 KMU-tauglich

SD-WAN/SASE für Ihr KMU – herstellerneutral evaluiert

Passende Leistungen für Ihr KMU

SD-WAN & SASE 2026:
Netzwerk + Security konvergiert