Netztrends 2026

RZ als Besonderheit

Das LAN im Rechenzentrum (RZ) unterliegt eigenen Trends. Nicht zuletzt aufgrund der zunehmenden Sicherheitsvorfälle ist die von Firewalls bewachte Trennung zwischen Rechenzentren und der Außenwelt zum Standardfall geworden. Je stärker diese Trennung wird, desto geringer ist der Grad der Integration des Netzes im RZ in die Infrastrukturen außerhalb des Rechenzentrums, weshalb man die Netze für die beiden Bereiche (RZ und die Außenwelt) gesondert behandeln muss.

Trotz des anhaltenden Cloud-Trends kenne ich kaum ein Unternehmens-RZ, das in den letzten zwei Jahren wesentlich weniger virtuelle Maschinen beherbergt hat als vor 2024. In vielen Rechenzentren sind die Server mit einer Virtualisierungsplattform das Herzstück. Die Bitraten der Server-LAN-Adapter steigen mit jeder neuen Server-Generation. Die Server werden mit zwei- bis dreistelligen Gigabit-Raten an das LAN angebunden. Zwischen den RZ-Switches werden 100G-Leitungen und bald auch leistungsfähigere Links genutzt. Storage, sofern ein dediziertes Speichersystem und nicht Storage in den Servern genutzt wird, nutzt ähnliche Anbindungen wie die Server.

Die physische RZ-Netzstruktur sieht überall ähnlich aus. Die logische LAN-Segmentierung im RZ unterscheidet sich jedoch von Umgebung zu Umgebung.

Zero Trust als bestimmender Trend

In den letzten Jahren bin ich an dieser Stelle wiederholt auf Zero Trust als den bestimmenden Trend bei der Gestaltung von IT-Infrastrukturen eingegangen. Viele RZ-Betreiber leiten von der Orientierung an Zero Trust (nie vertrauen, immer verifizieren) die Mikrosegmentierung ab. Die Idee dabei: die Verteidigungslinie immer weiter in Richtung der zu schützenden Ressource rücken. Am Ende dieser Entwicklung haben wir es dann mit Ressourcen zu tun, die der Außenwelt überhaupt nicht mehr vertrauen und jede Kommunikationsbeziehung verifizieren. Ein solches System verhält sich so, als ob es an das unsicherste aller Netze, das Internet, angeschlossen wäre.

Wir kommen somit von völlig offenen Netzen und werden künftig wieder alle Netze als unsicher behandeln. Der Ausgangspunkt und das Ziel der Entwicklung der Netze sind identisch.

Die Reise geht jedoch über Zwischenstationen. Kaum ein Unternehmen legt den Hebel einfach auf die letzte Stufe der von Zero Trust bestimmten Entwicklung um. In der Praxis sieht es so aus, dass ein RZ-Betreiber, häufig getrieben von Audits und Compliance, als unverzichtbaren Schritt zunächst das RZ-Netz von der Außenwelt trennen und die Kommunikation dazwischen über Firewalls leiten muss. Danach macht man sich, wiederum vorgegeben durch übergeordnete Richtlinien, an die Makrosegmentierung, d.h. die Bildung von Zonen im RZ. Und ab hier unterscheiden sich die Entwicklungen in den verschiedenen Rechenzentren.

Verschiedene Verfahren der Netzsegmentierung im RZ

Das logische Design des RZ-Netzes muss sich an dem Verfahren orientieren, das bei der Netzsegmentierung im RZ angewandt wird. Geht man den Weg, die zunehmende Anzahl der RZ-LAN-Segmente über dedizierte Firewalls zu koppeln, braucht man keine komplexen Sicherheitsmechanismen auf den RZ-Switches. Diese müssen nur die virtuelle Segmentierung, meistens VLAN-basierend, unterstützen. In sehr großen Rechenzentren kann dabei die maximale Anzahl von ca. 4.000 VLANs eine Grenze sein, an die man stößt. Daher gibt es andere Verfahren wie VXLAN. Sowohl Switches als auch Firewalls der führenden Hersteller unterstützen VXLAN-basierende Segmentierung.

Während die VLAN-Konfiguration meistens auf jedem Switch manuell erfolgt, empfiehlt sich für die Bildung einer Vielzahl von VXLAN-Segmenten zumindest die Nutzung eines zentralen Management-Systems. Jeder führende Switch-Hersteller bietet dafür mindestens eine Lösung an, einige Hersteller sogar mehr als eine. Ein wesentlicher Unterschied zwischen den Herstellern besteht darin, ob die sogenannte Control Plane (Steuerebene) auf jedem Switch eigenständig bleibt (verteilte Control Plane) oder die Switches nur noch über sogenannte Controller konfiguriert werden (zentrale Control Plane). Ferner ist zu entscheiden, ob man neben Firewalls zusätzlich Filter-Regeln auf den Switches nutzt, am besten zentral gesteuert.

Die zentrale Control Plane ist auch ein wesentliches Element der von VMware angebotenen Lösung NSX, bei der man keine komplexen Sicherheitsmechanismen der Switches benötigt. Solche Mechanismen sind Teil der Software-basierenden Lösung (Software-Defined Data Center, SDDC). In einem SDDC können Netz, Server und Speicher abgestimmt aufeinander zentral verwaltet werden. Ähnlich funktioniert Azure Local, die SDDC-Lösung von Microsoft.

SASE für den Zugriff auf RZ- und Cloud-Ressourcen

Was Zero Trust für das RZ ist, ist SASE für Netze außerhalb der Rechenzentren: der bestimmende Trend. SASE steht für Secure Access Service Edge, einen Oberbegriff für folgende Technologien, die für das WAN sowie den Internet- und Cloud-Zugang genutzt werden:

• Software-Defined WAN (SD-WAN): Immer mehr Unternehmen nutzen SD-WAN statt klassischer WAN-Plattformen wie MPLS. Zum einen wird dieser Trend durch die steigende Leistungsfähigkeit und Verfügbarkeit von Internetanschlüssen bestimmt, und zum anderen durch den Bedarf, mit derselben Technologie den sicheren Zugriff sowohl auf eigene RZ- als auch auf Cloud-Ressourcen zu steuern.
• Zero Trust Network Access (ZTNA): Statt klassischer VPNs nutzen einige Unternehmen bereits ZTNA. Dabei handelt es sich um eine Lösung, die abhängig von User-Identitäten und Gerätetypen den Zugang zu Applikationen im RZ oder in Clouds gewährt und steuert. Der Zugang kann an Bedingungen wie Ort, Zeit und Faktoren auf dem Endgerät wie zum Beispiel Virenschutz geknüpft werden.
• Secure Web Gateway (SWG): Für den sicheren Zugriff auf Ressourcen im Internet werden Forward Proxies schon länger genutzt. Die Proxy-Instanz einer SWG-Lösung kann auch in einer Cloud sein.
• Firewall as a Service (FWaaS): Eine SASE-Lösung kann ebenfalls einen Cloud-basierenden Firewall-Service beinhalten, der die Aufgaben der Segmentierungsinstanz beim Zugriff auf das Rechenzentrum übernimmt.
• Cloud Access Security Broker (CASB): CASB kann für die Steuerung und Kontrolle von Zugriffen auf Clouds verschiedene Funktionen übernehmen, von Sicherheitsfunktionen bis zum Monitoring.

AI-Ops

Im Netzwerk Insider vom Dezember 2025 bin ich auf AI-Ops (KI-unterstützten Netzbetrieb) als einen Trend im Netzmanagement eingegangen. Wichtige Erkenntnisse dazu haben wir vom Hersteller-Roundtable Netz und Security gewonnen, einer Veranstaltung der ComConsult Akademie vom Oktober 2025. Bei diesem Event haben die Hersteller Alcatel-Lucent, Arista, Cisco, Extreme, Fortinet, HPE und LANCOM u.a. davon berichtet, wie sie das eigene Netzmanagement anreichern. Eine Gemeinsamkeit der meisten Hersteller besteht darin, dass die Netzkomponenten wie Firewalls, Switches und die WLAN-Infrastruktur Daten sammeln und mittels KI diese Daten zum Beispiel für folgende Funktionen nutzen:

• Empfehlungen zur Optimierung
• Erkennung aufkommender Probleme
• kontextabhängige anstelle statischer Dashboards
• Hilfestellung bei der Konfiguration
• Bereitstellung eines Assistenten nach dem Modell der bekannten KI-Chatbots

Die Hersteller sind noch mitten in der Entwicklung ihrer AI-Ops-Lösungen, wobei einige von ihnen von einer dreistufigen KI-Roadmap sprechen. Zum Beispiel nennt Cisco die Stufen Assurance (einfache Machine-Learning-Funktionen), AI Assistant und Agentic AI. Die Bezeichnung „Agentic“ wird für Software verwendet, die anstelle des Menschen für ihn bestimmte Aufgaben übernimmt. Einige Beobachter prognostizieren, dass auch im Web die Nutzung durch Agenten bald die Nutzung durch Menschen übertreffen wird (Agentic Web).

Sourcing-Strategie

Neben den oben genannten technischen Aspekten zeigen sich auch einige Trends in der Organisation der Implementierung und des Betriebs von Netzen. Dazu gehört eine Sourcing-Strategie. Diese soll bestimmen, wie Hardware, Software, Service sowie Dienstleistungen für Implementierung und Betrieb beschafft werden. ComConsult begleitet in Vergabeprozessen immer mehr Unternehmen, von denen die Beschaffung aller dieser Zutaten für ein sicheres, zuverlässiges und erschwingliches Netz zusammen betrachtet wird. Viele dieser Unternehmen haben den Fachkräftemangel als ein chronisches Risiko des IT-Betriebs identifiziert. Sie nutzen ihre Einkaufsmacht und Attraktivität als Kunden, um Dienstleistungsunternehmen als eine Art verlängerte Werkbank für die Durchführung von Aufgaben in Zusammenhang mit der IT-Infrastruktur einzubinden.

Webinar zum selben Thema

Ausführlicher als im Rahmen des vorliegenden Textes möglich gehe ich auf die Netztrends 2026 im Rahmen des gleichnamigen Webinars der Woche (WdW) der ComConsult Akademie ein, die am 11.02.2026 stattfindet. Ich freue mich auf Ihre Teilnahme an diesem für Sie kostenlosen Event!