Firewall für KMU — Netzwerksicherheit, Koreva eG

Firewall für KMU: Was Sie wirklich brauchen

Die Firewall im Router reicht für ein Unternehmen selten aus. Was eine Next-Generation-Firewall leistet, wie sich UTM und NGFW unterscheiden — und welche Konfigurationsfehler in der Praxis am häufigsten vorkommen.

Inhaltsverzeichnis

Warum die Firewall im Router nicht reicht

Fast jedes Unternehmen hat bereits eine Firewall — sie steckt im Router oder im Gerät, das der Internetanbieter gestellt hat. Die naheliegende Frage lautet daher: Reicht das nicht? Aus über 15 Jahren Netzwerk- und Firewall-Praxis lautet die ehrliche Antwort: für einen Privathaushalt ja, für ein Unternehmen fast nie.

Die im Router integrierte Firewall arbeitet in aller Regel als sogenannte Stateful-Paketfilterung. Sie merkt sich, welche Verbindungen von innen nach außen aufgebaut wurden, und lässt die zugehörigen Antworten wieder herein. Unaufgeforderte Verbindungsversuche aus dem Internet blockiert sie. Das ist ein wichtiger und richtiger Grundschutz — aber es ist eben nur eine Prüfung auf Ebene von Absender, Ziel und Port. Was tatsächlich in den Datenpaketen steckt, sieht diese Firewall nicht.

Für ein Unternehmen entstehen daraus konkrete Lücken. Ein Mitarbeiter, der auf einen Phishing-Link klickt, baut die Verbindung selbst aktiv nach außen auf — die Router-Firewall lässt sie anstandslos passieren, weil sie von innen initiiert wurde. Schadsoftware, die über eine erlaubte HTTPS-Verbindung nachlädt, fällt nicht auf. Kommunikation zwischen einem bereits infizierten Rechner und einem Command-and-Control-Server im Internet läuft über gängige Ports und bleibt unsichtbar. Und innerhalb des eigenen Netzes findet gar keine Kontrolle statt: Ist ein Gerät kompromittiert, kann es sich meist ungehindert zu allen anderen Systemen ausbreiten.

Hinzu kommen Anforderungen, die ein Consumer-Router technisch nicht abdeckt: getrennte Netze für Gäste, Produktion und Verwaltung, saubere und protokollierte VPN-Zugänge fürs Homeoffice, zentrale Protokollierung für Nachweispflichten, sowie regelmäßige Sicherheitsupdates mit definiertem Support-Zeitraum. Genau an diesen Punkten setzt eine dedizierte Unternehmens-Firewall an.

Was eine Next-Generation-Firewall leistet

Der Begriff Next-Generation-Firewall (NGFW) beschreibt eine Firewall, die die klassische Port- und IP-Filterung um Funktionen erweitert, die den Inhalt und Kontext des Datenverkehrs bewerten. Vier Fähigkeiten bilden dabei den Kern.

Deep-Packet-Inspection (DPI)

Statt nur Header-Informationen wie Quell- und Zieladresse zu betrachten, schaut die Firewall in den eigentlichen Inhalt der Datenpakete. Damit lässt sich erkennen, welches Protokoll und welche Anwendung tatsächlich hinter einer Verbindung steckt — unabhängig davon, welchen Port sie nutzt. Ein wesentlicher Teil des heutigen Verkehrs ist verschlüsselt; um ihn zu prüfen, ist TLS-Inspection nötig, bei der die Firewall die Verbindung kontrolliert aufbricht und neu verschlüsselt. Das ist wirkungsvoll, aber nicht trivial: Es erfordert eigene Zertifikate auf den Endgeräten und sauber gepflegte Ausnahmen für Dienste, die kein Aufbrechen zulassen (etwa Banking oder bestimmte Behördenportale).

Intrusion-Prevention-System (IPS)

Ein IPS gleicht den Datenverkehr laufend mit Signaturen bekannter Angriffsmuster und Schwachstellen ab und blockiert verdächtige Verbindungen aktiv, bevor sie ihr Ziel erreichen. Damit werden etwa Exploit-Versuche gegen verwundbare Dienste abgefangen — auch dann, wenn das betroffene System selbst noch nicht gepatcht ist. Die Signaturen müssen dafür fortlaufend aktuell gehalten werden.

Application-Control

Application-Control erlaubt Regeln auf Ebene einzelner Anwendungen statt nur auf Ebene von Ports. So lässt sich beispielsweise geschäftliche Cloud-Software zulassen, während bestimmte Filesharing- oder Fernwartungs-Tools blockiert werden — selbst wenn sie über denselben Port wie legitimer Web-Verkehr laufen. Das ersetzt das grobe Alles-oder-nichts früherer Portfreigaben durch eine differenzierte Steuerung.

DNS- und Web-Filter

Auf DNS-Ebene lassen sich Aufrufe bekannter Phishing- und Malware-Domains blockieren, bevor überhaupt eine Verbindung aufgebaut wird. Web-Filter ergänzen das um Kategorien und Reputationsbewertungen. In WLAN- und Netzwerkprojekten — etwa in Schulen oder im Gesundheitsbereich — ist gerade diese Kombination aus DNS-Filterung und kategoriebasierter Web-Kontrolle oft die praktikabelste Schutzschicht, weil sie zentral greift und die Endgeräte nicht belastet.

UTM vs. NGFW — die Begriffe sortiert

Rund um Firewalls kursieren zwei Abkürzungen, die häufig durcheinandergeworfen werden: UTM und NGFW. Beide beschreiben Firewalls, die mehr können als reine Paketfilterung, setzen aber unterschiedliche Schwerpunkte.

UTM (Unified Threat Management) steht für ein Gerät, das mehrere Sicherheitsfunktionen in einer Box bündelt: Firewall, Virenscanner, Spam-Filter, VPN, Web-Filter und oft weitere Dienste. Der Gedanke dahinter ist Konsolidierung — statt vieler Einzellösungen ein zentrales Gerät, das gerade für kleinere Unternehmen einfacher zu beschaffen und zu verwalten ist. UTM ist historisch der ältere Begriff und stärker auf den KMU-Markt gemünzt.

NGFW (Next-Generation-Firewall) legt den Schwerpunkt auf die tiefe Analyse des Datenverkehrs: DPI, IPS, Application-Control und Nutzeridentität als Grundlage für Firewall-Entscheidungen. Der Begriff kommt eher aus dem Enterprise-Umfeld.

In der Praxis sind die Grenzen längst verschwommen. Moderne Firewall-Appliances vereinen die Fähigkeiten beider Konzepte, und die Hersteller verwenden die Begriffe uneinheitlich als Marketing-Label. Für die Auswahl ist die Abkürzung auf dem Datenblatt daher zweitrangig. Entscheidend ist, welche Funktionen konkret enthalten, lizenziert und aktiviert sind — und ob sie zu den eigenen Anforderungen passen. Ein Gerät, das UTM auf dem Karton stehen hat, kann in der Sache eine vollwertige NGFW sein und umgekehrt.

Firewall und Netzwerk-Segmentierung

Eine Firewall entfaltet ihren vollen Nutzen erst im Zusammenspiel mit einer durchdachten Netzstruktur. Viele KMU betreiben ihr gesamtes Netz als einen einzigen, flachen Bereich: Arbeitsplätze, Server, Drucker, Kassensysteme, IoT-Geräte und Gäste-WLAN liegen im selben Netz und können frei miteinander kommunizieren. Wird ein einziges Gerät kompromittiert, steht dem Angreifer damit das ganze Netz offen.

Die Antwort darauf ist Segmentierung: Das Netz wird in getrennte Bereiche aufgeteilt — üblicherweise per VLAN — und die Firewall kontrolliert, welcher Bereich mit welchem kommunizieren darf. Ein sinnvoller Grundschnitt trennt etwa Arbeitsplätze, Server, Gäste-WLAN und unsichere IoT-Geräte voneinander. Der Verkehr zwischen den Segmenten läuft dann über die Firewall und unterliegt dort Regeln, statt ungeprüft durchzulaufen.

Konsequent weitergedacht führt dieser Ansatz zu Zero Trust: dem Grundsatz, keinem Gerät und keiner Verbindung allein aufgrund ihres Standorts im Netz zu vertrauen, sondern jeden Zugriff einzeln zu prüfen. Segmentierung ist dafür die technische Grundlage. Und sie ist zugleich eine der wirksamsten Maßnahmen gegen die Ausbreitung von Ransomware: Ist ein Segment betroffen, verhindert die Firewall im Idealfall, dass die Verschlüsselung auf Server und Backups übergreift.

Die 5 häufigsten Konfigurationsfehler aus der Praxis

Die beste Firewall-Hardware nützt wenig, wenn sie falsch konfiguriert ist. Aus der Praxis wiederholen sich einige Fehler immer wieder — unabhängig vom Hersteller.

1. „Any-Any"-Regeln

Regeln, die jeden Verkehr von überall nach überall erlauben, tauchen häufiger auf, als man denkt — oft als schnelle Lösung, um ein akutes Problem aus der Welt zu schaffen. Danach bleiben sie stehen. Eine solche Regel hebt einen Großteil der Schutzwirkung auf. Firewall-Regeln sollten nach dem Prinzip der minimalen Rechte formuliert sein: erlaubt wird nur, was nachweislich gebraucht wird, der Rest wird blockiert.

2. Verwaiste und veraltete Regeln

Über die Jahre wachsen Regelwerke unkontrolliert. Freigaben für längst abgeschaltete Server, temporäre Ausnahmen, die dauerhaft blieben, Regeln für Mitarbeiter, die das Unternehmen verlassen haben — all das summiert sich. Jede überflüssige Regel vergrößert die Angriffsfläche und erschwert die Nachvollziehbarkeit. Ein regelmäßiger Review ist deshalb Pflicht.

3. Fehlende oder falsch konfigurierte TLS-Inspection

Weil der Großteil des Web-Verkehrs verschlüsselt ist, sehen DPI und IPS ohne TLS-Inspection nur einen Bruchteil des tatsächlichen Datenstroms. Wird sie gar nicht aktiviert, laufen zentrale NGFW-Funktionen ins Leere. Wird sie unsauber eingerichtet — ohne verteilte Zertifikate oder ohne Ausnahmen für sensible Dienste — kommt es zu Zertifikatswarnungen und Fehlern, woraufhin sie in der Praxis oft wieder abgeschaltet wird.

4. Ungenutzte oder nicht aktualisierte Sicherheitsdienste

IPS, Web-Filter und Application-Control sind bei vielen Appliances lizenzpflichtige Zusatzdienste. Es kommt vor, dass die Hardware angeschafft, die Lizenzen aber nie aktiviert oder nach Ablauf nicht verlängert werden. Dann arbeitet ein teures NGFW-Gerät faktisch als einfache Paketfilterung. Ebenso wichtig: Signaturen und Firmware müssen laufend aktualisiert werden, sonst veraltet der Schutz.

5. Management-Zugang und Logging vernachlässigt

Ein aus dem Internet erreichbares Firewall-Management ohne Zugriffsbeschränkung und Mehr-Faktor-Authentifizierung ist ein ernstes Risiko — die Firewall selbst wird zum Angriffsziel. Ebenso häufig fehlt eine brauchbare Protokollierung: Ohne ausgewertete Logs bleiben Angriffe und Fehlkonfigurationen unbemerkt. Firewall-Logs sollten zentral gesammelt und regelmäßig, idealerweise über ein Monitoring- oder SIEM-System, ausgewertet werden.

Firewall auswählen und betreiben — für KMU

Bei der Auswahl steht weniger die Frage nach dem „besten" Produkt im Vordergrund als die Frage nach den eigenen Anforderungen. Wie viele Nutzer und Standorte gibt es? Wird Homeoffice per VPN angebunden? Welche Bandbreite muss die Firewall bei aktiver Inspection verarbeiten, ohne zum Flaschenhals zu werden? Gibt es Compliance- oder Nachweispflichten? Und — oft unterschätzt — wer betreibt und pflegt das Gerät dauerhaft?

Auf dem Markt stehen grundsätzlich zwei Wege offen. Kommerzielle Appliances etablierter Hersteller wie Fortinet (FortiGate), Sophos (XGS) oder WatchGuard bieten gebündelte Sicherheitsdienste, Support und Wartungsverträge; ihre Sicherheitsfunktionen sind meist als Abonnement lizenziert. Open-Source-Firewalls wie OPNsense und pfSense laufen auf passender Standard-Hardware, sind lizenzkostenfrei und sehr flexibel, verlangen aber eigenes Know-how für Einrichtung, Pflege und Aktualisierung. Beide Wege sind für KMU tragfähig — die richtige Wahl hängt vom vorhandenen Know-how und von der Bereitschaft ab, die Firewall dauerhaft zu betreuen.

Denn der wichtigste Punkt ist genau das: Eine Firewall ist kein Gerät, das man einmal einrichtet und dann vergisst. Signaturen und Firmware müssen aktuell gehalten, Regeln regelmäßig überprüft, Logs ausgewertet und neue Anforderungen sauber eingepflegt werden. Ohne diesen laufenden Betrieb verliert auch die teuerste Next-Generation-Firewall über die Zeit ihren Schutzwert. Für viele KMU ist deshalb die Entscheidung zwischen internem Betrieb und einem betreuten Modell mit einem IT-Dienstleister mindestens so wichtig wie die Wahl des Geräts selbst.

Wenn Sie unsicher sind, welche Firewall-Lösung und welche Netzstruktur zu Ihrem Unternehmen passen, unterstützen wir Sie im Bereich Netzwerk von der Auswahl über die Konfiguration bis zum laufenden Betrieb. Für eine unabhängige Einordnung Ihrer aktuellen Absicherung können Sie uns jederzeit kontaktieren.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Für ein Unternehmen in der Regel nicht. Die im Router (etwa einer FritzBox oder einem Provider-Gerät) integrierte Firewall ist im Kern eine Paketfilterung, die eingehende Verbindungen aus dem Internet blockiert. Das ist ein sinnvoller Grundschutz, aber sie prüft den Inhalt des Datenverkehrs nicht, erkennt keine Angriffe in erlaubten Verbindungen und kann Malware oder Phishing-Links in HTTPS-Traffic nicht sehen.

Sobald ein Unternehmen mehrere Mitarbeiter, sensible Daten, Homeoffice-Zugänge oder Compliance-Anforderungen hat, ist eine dedizierte Firewall mit Deep-Packet-Inspection und Intrusion-Prevention die deutlich robustere Lösung.

Eine Next-Generation-Firewall (NGFW) ist eine Firewall, die über die klassische Paketfilterung hinausgeht. Sie kombiniert die reine Port- und IP-Filterung mit Deep-Packet-Inspection (Blick in den Inhalt der Datenpakete), einem Intrusion-Prevention-System (IPS) zur Erkennung von Angriffsmustern, Application-Control (Kontrolle einzelner Anwendungen unabhängig vom Port) und oft DNS- und Web-Filterung sowie TLS-Inspection für verschlüsselten Verkehr.

Damit trifft eine NGFW Entscheidungen auf Basis dessen, was tatsächlich übertragen wird — nicht nur auf Basis von Absender, Ziel und Port.

Für kleine Unternehmen kommen grundsätzlich zwei Wege in Frage: Appliances etablierter Hersteller wie Fortinet (FortiGate), Sophos (XGS) oder WatchGuard mit Einsteigermodellen für kleine Standorte, oder Open-Source-Lösungen wie OPNsense und pfSense auf passender Hardware.

Appliances bieten Support, Wartungsverträge und gebündelte Sicherheitsdienste; Open-Source-Firewalls sind lizenzkostenfrei, erfordern aber eigenes Know-how für Einrichtung und Pflege. Die richtige Wahl hängt weniger vom Produkt ab als von Anforderungen, vorhandenem Know-how und der Bereitschaft, die Firewall dauerhaft zu betreiben und zu aktualisieren.

Eine pauschale Zahl lässt sich seriös nicht nennen, weil die Kosten stark von Nutzerzahl, Bandbreite, gewünschten Sicherheitsdiensten und Support-Umfang abhängen. Zu unterscheiden sind drei Kostenblöcke: die einmalige Anschaffung der Hardware (oder die freie Software plus Hardware bei OPNsense/pfSense), die laufenden Lizenz- und Abonnementkosten für Sicherheitsdienste wie IPS, Web-Filter und Threat-Intelligence-Feeds, sowie der Aufwand für Einrichtung, Betrieb und regelmäßige Pflege.

Gerade der Betriebsaufwand wird oft unterschätzt — eine Firewall, die nach der Installation nicht mehr gepflegt wird, verliert schnell ihren Schutzwert.

Firewall-Regeln sollten mindestens ein- bis zweimal jährlich vollständig überprüft werden, zusätzlich bei jeder größeren Änderung an Netzwerk, Anwendungen oder Standorten. In der Praxis wachsen Regelwerke über die Jahre unkontrolliert: temporäre Freigaben bleiben bestehen, Regeln für abgeschaltete Systeme werden nicht entfernt, und Ausnahmen summieren sich.

Ein regelmäßiger Review deckt verwaiste und zu weit gefasste Regeln auf, reduziert die Angriffsfläche und hält das Regelwerk nachvollziehbar. Firewall-Logs sollten darüber hinaus laufend ausgewertet werden, idealerweise zentral über ein Monitoring- oder SIEM-System.

Firewall und Netzwerk richtig aufstellen

Wir beraten herstellerunabhängig, konfigurieren Ihre Firewall sauber und betreuen sie im laufenden Betrieb — passend zu Ihrem Unternehmen.