Inhaltsverzeichnis
Warum die Firewall im Router nicht reicht
Fast jedes Unternehmen hat bereits eine Firewall — sie steckt im Router oder im Gerät, das der Internetanbieter gestellt hat. Die naheliegende Frage lautet daher: Reicht das nicht? Aus über 15 Jahren Netzwerk- und Firewall-Praxis lautet die ehrliche Antwort: für einen Privathaushalt ja, für ein Unternehmen fast nie.
Die im Router integrierte Firewall arbeitet in aller Regel als sogenannte Stateful-Paketfilterung. Sie merkt sich, welche Verbindungen von innen nach außen aufgebaut wurden, und lässt die zugehörigen Antworten wieder herein. Unaufgeforderte Verbindungsversuche aus dem Internet blockiert sie. Das ist ein wichtiger und richtiger Grundschutz — aber es ist eben nur eine Prüfung auf Ebene von Absender, Ziel und Port. Was tatsächlich in den Datenpaketen steckt, sieht diese Firewall nicht.
Für ein Unternehmen entstehen daraus konkrete Lücken. Ein Mitarbeiter, der auf einen Phishing-Link klickt, baut die Verbindung selbst aktiv nach außen auf — die Router-Firewall lässt sie anstandslos passieren, weil sie von innen initiiert wurde. Schadsoftware, die über eine erlaubte HTTPS-Verbindung nachlädt, fällt nicht auf. Kommunikation zwischen einem bereits infizierten Rechner und einem Command-and-Control-Server im Internet läuft über gängige Ports und bleibt unsichtbar. Und innerhalb des eigenen Netzes findet gar keine Kontrolle statt: Ist ein Gerät kompromittiert, kann es sich meist ungehindert zu allen anderen Systemen ausbreiten.
Hinzu kommen Anforderungen, die ein Consumer-Router technisch nicht abdeckt: getrennte Netze für Gäste, Produktion und Verwaltung, saubere und protokollierte VPN-Zugänge fürs Homeoffice, zentrale Protokollierung für Nachweispflichten, sowie regelmäßige Sicherheitsupdates mit definiertem Support-Zeitraum. Genau an diesen Punkten setzt eine dedizierte Unternehmens-Firewall an.
Was eine Next-Generation-Firewall leistet
Der Begriff Next-Generation-Firewall (NGFW) beschreibt eine Firewall, die die klassische Port- und IP-Filterung um Funktionen erweitert, die den Inhalt und Kontext des Datenverkehrs bewerten. Vier Fähigkeiten bilden dabei den Kern.
Deep-Packet-Inspection (DPI)
Statt nur Header-Informationen wie Quell- und Zieladresse zu betrachten, schaut die Firewall in den eigentlichen Inhalt der Datenpakete. Damit lässt sich erkennen, welches Protokoll und welche Anwendung tatsächlich hinter einer Verbindung steckt — unabhängig davon, welchen Port sie nutzt. Ein wesentlicher Teil des heutigen Verkehrs ist verschlüsselt; um ihn zu prüfen, ist TLS-Inspection nötig, bei der die Firewall die Verbindung kontrolliert aufbricht und neu verschlüsselt. Das ist wirkungsvoll, aber nicht trivial: Es erfordert eigene Zertifikate auf den Endgeräten und sauber gepflegte Ausnahmen für Dienste, die kein Aufbrechen zulassen (etwa Banking oder bestimmte Behördenportale).
Intrusion-Prevention-System (IPS)
Ein IPS gleicht den Datenverkehr laufend mit Signaturen bekannter Angriffsmuster und Schwachstellen ab und blockiert verdächtige Verbindungen aktiv, bevor sie ihr Ziel erreichen. Damit werden etwa Exploit-Versuche gegen verwundbare Dienste abgefangen — auch dann, wenn das betroffene System selbst noch nicht gepatcht ist. Die Signaturen müssen dafür fortlaufend aktuell gehalten werden.
Application-Control
Application-Control erlaubt Regeln auf Ebene einzelner Anwendungen statt nur auf Ebene von Ports. So lässt sich beispielsweise geschäftliche Cloud-Software zulassen, während bestimmte Filesharing- oder Fernwartungs-Tools blockiert werden — selbst wenn sie über denselben Port wie legitimer Web-Verkehr laufen. Das ersetzt das grobe Alles-oder-nichts früherer Portfreigaben durch eine differenzierte Steuerung.
DNS- und Web-Filter
Auf DNS-Ebene lassen sich Aufrufe bekannter Phishing- und Malware-Domains blockieren, bevor überhaupt eine Verbindung aufgebaut wird. Web-Filter ergänzen das um Kategorien und Reputationsbewertungen. In WLAN- und Netzwerkprojekten — etwa in Schulen oder im Gesundheitsbereich — ist gerade diese Kombination aus DNS-Filterung und kategoriebasierter Web-Kontrolle oft die praktikabelste Schutzschicht, weil sie zentral greift und die Endgeräte nicht belastet.
UTM vs. NGFW — die Begriffe sortiert
Rund um Firewalls kursieren zwei Abkürzungen, die häufig durcheinandergeworfen werden: UTM und NGFW. Beide beschreiben Firewalls, die mehr können als reine Paketfilterung, setzen aber unterschiedliche Schwerpunkte.
UTM (Unified Threat Management) steht für ein Gerät, das mehrere Sicherheitsfunktionen in einer Box bündelt: Firewall, Virenscanner, Spam-Filter, VPN, Web-Filter und oft weitere Dienste. Der Gedanke dahinter ist Konsolidierung — statt vieler Einzellösungen ein zentrales Gerät, das gerade für kleinere Unternehmen einfacher zu beschaffen und zu verwalten ist. UTM ist historisch der ältere Begriff und stärker auf den KMU-Markt gemünzt.
NGFW (Next-Generation-Firewall) legt den Schwerpunkt auf die tiefe Analyse des Datenverkehrs: DPI, IPS, Application-Control und Nutzeridentität als Grundlage für Firewall-Entscheidungen. Der Begriff kommt eher aus dem Enterprise-Umfeld.
In der Praxis sind die Grenzen längst verschwommen. Moderne Firewall-Appliances vereinen die Fähigkeiten beider Konzepte, und die Hersteller verwenden die Begriffe uneinheitlich als Marketing-Label. Für die Auswahl ist die Abkürzung auf dem Datenblatt daher zweitrangig. Entscheidend ist, welche Funktionen konkret enthalten, lizenziert und aktiviert sind — und ob sie zu den eigenen Anforderungen passen. Ein Gerät, das UTM auf dem Karton stehen hat, kann in der Sache eine vollwertige NGFW sein und umgekehrt.
Firewall und Netzwerk-Segmentierung
Eine Firewall entfaltet ihren vollen Nutzen erst im Zusammenspiel mit einer durchdachten Netzstruktur. Viele KMU betreiben ihr gesamtes Netz als einen einzigen, flachen Bereich: Arbeitsplätze, Server, Drucker, Kassensysteme, IoT-Geräte und Gäste-WLAN liegen im selben Netz und können frei miteinander kommunizieren. Wird ein einziges Gerät kompromittiert, steht dem Angreifer damit das ganze Netz offen.
Die Antwort darauf ist Segmentierung: Das Netz wird in getrennte Bereiche aufgeteilt — üblicherweise per VLAN — und die Firewall kontrolliert, welcher Bereich mit welchem kommunizieren darf. Ein sinnvoller Grundschnitt trennt etwa Arbeitsplätze, Server, Gäste-WLAN und unsichere IoT-Geräte voneinander. Der Verkehr zwischen den Segmenten läuft dann über die Firewall und unterliegt dort Regeln, statt ungeprüft durchzulaufen.
Konsequent weitergedacht führt dieser Ansatz zu Zero Trust: dem Grundsatz, keinem Gerät und keiner Verbindung allein aufgrund ihres Standorts im Netz zu vertrauen, sondern jeden Zugriff einzeln zu prüfen. Segmentierung ist dafür die technische Grundlage. Und sie ist zugleich eine der wirksamsten Maßnahmen gegen die Ausbreitung von Ransomware: Ist ein Segment betroffen, verhindert die Firewall im Idealfall, dass die Verschlüsselung auf Server und Backups übergreift.
Die 5 häufigsten Konfigurationsfehler aus der Praxis
Die beste Firewall-Hardware nützt wenig, wenn sie falsch konfiguriert ist. Aus der Praxis wiederholen sich einige Fehler immer wieder — unabhängig vom Hersteller.
1. „Any-Any"-Regeln
Regeln, die jeden Verkehr von überall nach überall erlauben, tauchen häufiger auf, als man denkt — oft als schnelle Lösung, um ein akutes Problem aus der Welt zu schaffen. Danach bleiben sie stehen. Eine solche Regel hebt einen Großteil der Schutzwirkung auf. Firewall-Regeln sollten nach dem Prinzip der minimalen Rechte formuliert sein: erlaubt wird nur, was nachweislich gebraucht wird, der Rest wird blockiert.
2. Verwaiste und veraltete Regeln
Über die Jahre wachsen Regelwerke unkontrolliert. Freigaben für längst abgeschaltete Server, temporäre Ausnahmen, die dauerhaft blieben, Regeln für Mitarbeiter, die das Unternehmen verlassen haben — all das summiert sich. Jede überflüssige Regel vergrößert die Angriffsfläche und erschwert die Nachvollziehbarkeit. Ein regelmäßiger Review ist deshalb Pflicht.
3. Fehlende oder falsch konfigurierte TLS-Inspection
Weil der Großteil des Web-Verkehrs verschlüsselt ist, sehen DPI und IPS ohne TLS-Inspection nur einen Bruchteil des tatsächlichen Datenstroms. Wird sie gar nicht aktiviert, laufen zentrale NGFW-Funktionen ins Leere. Wird sie unsauber eingerichtet — ohne verteilte Zertifikate oder ohne Ausnahmen für sensible Dienste — kommt es zu Zertifikatswarnungen und Fehlern, woraufhin sie in der Praxis oft wieder abgeschaltet wird.
4. Ungenutzte oder nicht aktualisierte Sicherheitsdienste
IPS, Web-Filter und Application-Control sind bei vielen Appliances lizenzpflichtige Zusatzdienste. Es kommt vor, dass die Hardware angeschafft, die Lizenzen aber nie aktiviert oder nach Ablauf nicht verlängert werden. Dann arbeitet ein teures NGFW-Gerät faktisch als einfache Paketfilterung. Ebenso wichtig: Signaturen und Firmware müssen laufend aktualisiert werden, sonst veraltet der Schutz.
5. Management-Zugang und Logging vernachlässigt
Ein aus dem Internet erreichbares Firewall-Management ohne Zugriffsbeschränkung und Mehr-Faktor-Authentifizierung ist ein ernstes Risiko — die Firewall selbst wird zum Angriffsziel. Ebenso häufig fehlt eine brauchbare Protokollierung: Ohne ausgewertete Logs bleiben Angriffe und Fehlkonfigurationen unbemerkt. Firewall-Logs sollten zentral gesammelt und regelmäßig, idealerweise über ein Monitoring- oder SIEM-System, ausgewertet werden.
Firewall auswählen und betreiben — für KMU
Bei der Auswahl steht weniger die Frage nach dem „besten" Produkt im Vordergrund als die Frage nach den eigenen Anforderungen. Wie viele Nutzer und Standorte gibt es? Wird Homeoffice per VPN angebunden? Welche Bandbreite muss die Firewall bei aktiver Inspection verarbeiten, ohne zum Flaschenhals zu werden? Gibt es Compliance- oder Nachweispflichten? Und — oft unterschätzt — wer betreibt und pflegt das Gerät dauerhaft?
Auf dem Markt stehen grundsätzlich zwei Wege offen. Kommerzielle Appliances etablierter Hersteller wie Fortinet (FortiGate), Sophos (XGS) oder WatchGuard bieten gebündelte Sicherheitsdienste, Support und Wartungsverträge; ihre Sicherheitsfunktionen sind meist als Abonnement lizenziert. Open-Source-Firewalls wie OPNsense und pfSense laufen auf passender Standard-Hardware, sind lizenzkostenfrei und sehr flexibel, verlangen aber eigenes Know-how für Einrichtung, Pflege und Aktualisierung. Beide Wege sind für KMU tragfähig — die richtige Wahl hängt vom vorhandenen Know-how und von der Bereitschaft ab, die Firewall dauerhaft zu betreuen.
Denn der wichtigste Punkt ist genau das: Eine Firewall ist kein Gerät, das man einmal einrichtet und dann vergisst. Signaturen und Firmware müssen aktuell gehalten, Regeln regelmäßig überprüft, Logs ausgewertet und neue Anforderungen sauber eingepflegt werden. Ohne diesen laufenden Betrieb verliert auch die teuerste Next-Generation-Firewall über die Zeit ihren Schutzwert. Für viele KMU ist deshalb die Entscheidung zwischen internem Betrieb und einem betreuten Modell mit einem IT-Dienstleister mindestens so wichtig wie die Wahl des Geräts selbst.
Wenn Sie unsicher sind, welche Firewall-Lösung und welche Netzstruktur zu Ihrem Unternehmen passen, unterstützen wir Sie im Bereich Netzwerk von der Auswahl über die Konfiguration bis zum laufenden Betrieb. Für eine unabhängige Einordnung Ihrer aktuellen Absicherung können Sie uns jederzeit kontaktieren.

