Firewall

Kaum ein Sicherheitsbegriff ist so verbreitet wie die Firewall. Seit Jahrzehnten bildet sie die erste Verteidigungslinie zwischen Unternehmensnetzwerk und Internet, und in fast jedem Sicherheitskonzept steht sie an zentraler Stelle. Zugleich hat sich ihre Rolle deutlich gewandelt: Cloud-Dienste, Homeoffice und mobile Endgeräte haben den klassischen Netzwerkrand aufgelöst, den eine zentrale Firewall einst schützte.

Für IT-Entscheider lohnt sich deshalb ein genauer Blick. Wer versteht, was eine Firewall leistet und wo ihre Grenzen liegen, verteilt Budgets sinnvoller und plant Sicherheitsarchitekturen, die zur heutigen Arbeitsweise passen.

Was ist eine Firewall?

Eine Firewall ist ein Sicherheitssystem, das den Datenverkehr zwischen Netzwerken überwacht und anhand definierter Regeln zulässt oder blockiert. Üblicherweise steht sie am Übergang zwischen internem Netzwerk und Internet, sie kann aber auch interne Bereiche voneinander trennen. Der Name lehnt sich an die Brandmauer im Bauwesen an, die die Ausbreitung eines Feuers stoppt.

Technisch existieren Firewalls als dedizierte Hardware, als Software auf Servern und Endgeräten sowie als Dienst aus der Cloud. In Unternehmen wirken meist mehrere Ebenen zusammen: eine zentrale Firewall am Internetübergang, Host-Firewalls auf einzelnen Systemen und zunehmend cloudbasierte Kontrollpunkte für mobile Nutzer und verteilte Standorte. Router und Betriebssysteme bringen ebenfalls einfache Firewall-Funktionen mit, für Unternehmensanforderungen reichen diese allein jedoch selten aus.

Das Regelwerk folgt idealerweise dem Prinzip der minimalen Rechte: Erlaubt wird, was ausdrücklich benötigt wird, alles andere bleibt gesperrt. Qualität und Pflege dieser Regeln entscheiden maßgeblich darüber, wie wirksam eine Firewall tatsächlich ist.

So funktioniert es

Jede Firewall prüft Datenpakete gegen ein Regelwerk. Die Typen unterscheiden sich vor allem darin, wie tief sie den Verkehr analysieren:

  • Paketfilter: Die einfachste Form prüft einzelne Pakete anhand von Absender- und Zieladresse, Port und Protokoll. Das arbeitet schnell und ressourcenschonend, bleibt aber blind für Zusammenhänge zwischen Paketen.
  • Stateful Inspection: Diese Generation verfolgt den Zustand jeder Verbindung. Antworten auf legitime interne Anfragen werden erkannt und durchgelassen, unaufgeforderte Pakete von außen verworfen. Stateful Firewalls gelten heute als Mindeststandard.
  • Next-Generation Firewall (NGFW): Sie analysiert zusätzlich die Anwendungsebene, erkennt also, welche Applikation eine Verbindung nutzt, und verknüpft Regeln mit Benutzeridentitäten. Funktionen wie Intrusion Prevention, TLS-Inspektion und die Filterung schädlicher Inhalte sind integriert.
  • Web Application Firewall (WAF): Sie schützt gezielt Webanwendungen und APIs vor Angriffsmustern wie SQL-Injection oder Cross-Site-Scripting. Eine WAF ersetzt keine Netzwerk-Firewall, sie ergänzt den Schutz um die Anwendungsschicht.

Moderne Architekturen verlagern diese Funktionen zunehmend in die Cloud. Firewall as a Service stellt Kontrollpunkte dort bereit, wo Nutzer und Anwendungen tatsächlich arbeiten, und bündelt sie in SASE/SSE-Plattformen mit weiteren Sicherheitsdiensten. Für Entscheider zählt dabei weniger die Produktkategorie als die Frage, an welchen Stellen der Verkehr überhaupt kontrolliert wird.

Was eine Firewall leistet und wo ihre Grenzen liegen

  • Sie reduziert die Angriffsfläche: Unerwünschte Ports, Protokolle und Quellen bleiben draußen, viele automatisierte Angriffe laufen ins Leere.
  • Sie erzwingt Richtlinien: Zugriffe lassen sich nach Anwendung, Benutzergruppe und Standort steuern und revisionssicher protokollieren.
  • Sie sieht verschlüsselten Verkehr nur mit Zusatzaufwand: Ohne TLS-Inspektion bleibt ein großer Teil des Datenstroms eine Blackbox.
  • Sie schützt kaum vor gestohlenen Zugangsdaten: Meldet sich ein Angreifer mit gültigen Anmeldedaten an, passiert er die Kontrolle wie ein legitimer Nutzer.
  • Sie kontrolliert internen Verkehr oft gar nicht: Hat ein Angreifer den Perimeter überwunden, breitet er sich hinter der Firewall häufig ungehindert aus.
  • Sie ist nur so gut wie ihr Regelwerk: Über Jahre gewachsene, zu breite oder widersprüchliche Regeln öffnen unbemerkt Lücken.

Typische Szenarien

In der Praxis übernehmen Firewalls je nach Einsatzort verschiedene Aufgaben:

  • Absicherung des Internetübergangs: Eine NGFW steuert am Hauptstandort, welche Dienste erreichbar sind, blockiert bekannte Schadquellen und protokolliert Auffälligkeiten.
  • Homeoffice-Zugriffe: Cloudbasierte Firewall-Funktionen aus einem SASE/SSE-Dienst prüfen den Verkehr mobiler Mitarbeitender direkt, ohne Umweg über die Zentrale.
  • Schutz des Onlineshops: Eine WAF filtert Angriffsmuster und automatisierte Bots, bevor sie die Anwendung erreichen, und hält den Shop auch unter Last erreichbar.
  • Interne Trennung: Firewalls zwischen Produktions- und Büronetz begrenzen die Folgen eines kompromittierten Arbeitsplatzrechners und schützen empfindliche Anlagen vor direktem Zugriff.
  • Regelwerk-Audit: Nach Jahren des Wachstums bereinigt ein Team hunderte historisch gewachsene Regeln, entfernt Altlasten und schließt riskante Freigaben.

Firewall, Segmentierung und Zero Trust: warum der Perimeter allein zu wenig ist

Die klassische Firewall-Architektur folgt dem Bild einer Burg: außen die Mauer, innen die Vertrauenszone. Dieses Modell passt immer weniger zur Realität, denn Anwendungen laufen in der Cloud und Mitarbeitende arbeiten von unterwegs oder zu Hause. Der Netzwerkrand ist damit einer von vielen Kontrollpunkten, und wer sich einmal im Inneren befindet, genießt in traditionellen Netzen viel zu viel Vertrauen.

Zero Trust setzt genau hier an: Kein Zugriff gilt als vertrauenswürdig, nur weil er aus dem internen Netz stammt. Jede Verbindung wird anhand von Identität, Gerät und Kontext geprüft. Mikrosegmentierung überträgt dieses Prinzip in das Netzwerkinnere und zieht Kontrollgrenzen bis auf die Ebene einzelner Server und Anwendungen. Ein kompromittiertes System bleibt damit isoliert, statt zum Sprungbrett für den Angriff auf das gesamte Netzwerk zu werden.

Die Firewall bleibt in dieser Architektur ein wichtiger Baustein, verliert aber die Rolle der alleinigen Schutzmauer. Sie wirkt im Verbund mit Identitätsprüfung, Segmentierung und kontinuierlicher Überwachung. Auch Dienstleisterzugriffe und Cloud-Verbindungen brauchen dieselbe Kontrolle wie der klassische Internetübergang.

Schutz mit KAEMI

KAEMI plant und betreibt mehrschichtige Sicherheitsarchitekturen als Managed Service. Mit SASE/SSE verlagern wir Firewall-Funktionen und Zugriffskontrollen in die Cloud, mit Zero-Trust-Mikrosegmentierung sichern wir das Netzwerkinnere gegen die Ausbreitung von Angriffen ab. Für Webanwendungen ergänzt Application Security den Schutz um WAF, DDoS-Abwehr und Bot-Management. Über die Kontaktseite vereinbaren Sie eine Bestandsaufnahme Ihrer aktuellen Architektur.

Häufige Fragen zu Firewall

Brauchen Unternehmen trotz Cloud-Nutzung noch eine eigene Firewall?

Ja, allerdings verschiebt sich die Form. Standorte mit lokaler Infrastruktur benötigen weiterhin eine Firewall am Übergang. Für mobile Mitarbeitende und Cloud-Anwendungen übernehmen cloudbasierte Kontrollpunkte aus einem SASE/SSE-Dienst dieselben Aufgaben. Entscheidend ist ein durchgängiges Regelwerk über alle Standorte und Nutzer hinweg statt einer einzelnen zentralen Appliance.

Was unterscheidet eine Next-Generation Firewall von einer klassischen Firewall?

Eine klassische Firewall entscheidet anhand von Adressen, Ports und Verbindungszuständen. Eine Next-Generation Firewall erkennt zusätzlich Anwendungen und Benutzer, inspiziert Inhalte auf Schadcode und bringt Funktionen wie Intrusion Prevention und TLS-Inspektion mit. Regeln lassen sich damit deutlich präziser formulieren, etwa: Der Vertrieb darf die CRM-Anwendung nutzen, Filesharing bleibt für alle gesperrt.

Schützt eine Firewall vor Ransomware?

Teilweise. Eine gepflegte Firewall blockiert bekannte Schadquellen und reduziert die Angriffsfläche. Gelangt Ransomware jedoch über Phishing oder gestohlene Zugangsdaten ins Netz, findet die Ausbreitung hinter der Firewall statt, wo diese oft keine Kontrolle mehr hat. Wirksamer Schutz kombiniert die Firewall deshalb mit Mikrosegmentierung, Endpunktschutz, Multi-Faktor-Authentifizierung und getesteten Backups.

Wie oft sollte das Firewall-Regelwerk überprüft werden?

Bewährt hat sich eine vollständige Überprüfung mindestens einmal jährlich, ergänzt um anlassbezogene Reviews bei größeren Änderungen wie Migrationen, neuen Anwendungen oder Standortwechseln. Dabei werden ungenutzte Regeln entfernt, zu breite Freigaben eingegrenzt und Verantwortlichkeiten dokumentiert. Regulierte Branchen geben teils kürzere Zyklen vor. Ein Managed Service hält das Regelwerk fortlaufend aktuell.

Was ist Firewall as a Service (FWaaS)?

Firewall as a Service verlagert die Firewall-Funktionen von lokalen Geräten in eine Cloud-Plattform. Der Verkehr aller Standorte und mobilen Nutzer läuft durch zentrale Kontrollpunkte, in denen ein einheitliches Regelwerk gilt. Vorteile sind eine konsistente Sicherheitsrichtlinie, geringerer Hardware-Aufwand und schnelle Skalierung. FWaaS ist ein Kernbaustein von SASE/SSE-Architekturen.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.