Firewall: Warum sie für jedes Unternehmen unverzichtbar ist
Eine Firewall ist die erste Verteidigungslinie eines Netzwerks. Sie überwacht den Datenverkehr und blockiert unerwünschte oder gefährliche Verbindungen, bevor sie ins interne Netz gelangen. Moderne Firewalls erkennen zudem Angriffe und steuern Anwendungen gezielt. Dieser Beitrag erklärt, wie Firewalls funktionieren, welche Typen es gibt und worauf kleine Unternehmen bei der Auswahl achten sollten.

Was ist eine Firewall?
Eine Firewall überwacht und kontrolliert den Datenverkehr zwischen deinem internen Netzwerk und dem Internet. Sie entscheidet anhand definierter Regeln - welche Verbindungen zugelassen und welche blockiert werden. Ohne Firewall steht dein Netzwerk offen wie ein Büro ohne Eingangstür.
Der Name stammt aus dem Bauwesen: Eine Brandmauer verhindert - dass Feuer von einem Gebäudeteil auf einen anderen übergreift. Dieselbe Aufgabe hat eine Firewall im digitalen Bereich: Sie verhindert - dass Bedrohungen aus dem Internet in dein Unternehmensnetzwerk eindringen.
Warum braucht jedes Unternehmen eine Firewall?
Jedes Gerät - das mit dem Internet verbunden ist - ist potenziell angreifbar. Ohne Firewall können Angreifer:
- Offene Ports scannen und ungepatchte Dienste ausnutzen
- Schadsoftware einschleusen - die sich im Netzwerk ausbreitet
- Daten abgreifen - etwa Kundendaten - Finanzdaten oder Geschäftsgeheimnisse
- Fernzugriff einrichten und dein Netzwerk für weitere Angriffe missbrauchen
- Ransomware verteilen - die alle Systeme verschlüsselt
Auch für Unternehmen - die Cloud-Dienste nutzen - bleibt eine Firewall relevant. Sie schützt das lokale Netzwerk - VPN-Verbindungen und den Datenverkehr zu Cloud-Anwendungen.
Firewall-Typen im Überblick
Paketfilter-Firewall
Die einfachste Form. Sie prüft einzelne Datenpakete anhand von Quell- und Zieladresse - Port und Protokoll. Erlaubte Pakete werden weitergeleitet - alle anderen verworfen. Paketfilter arbeiten schnell - erkennen aber keine komplexen Angriffsmuster.
Stateful Inspection Firewall
Diese Variante merkt sich den Status aktiver Verbindungen. Sie erkennt - ob ein eingehendes Paket zu einer bestehenden - legitimem Verbindung gehört oder ob jemand versucht - sich unerlaubt Zugang zu verschaffen. Das ist deutlich sicherer als ein reiner Paketfilter.
Application-Layer-Firewall (Proxy)
Hier wird der Datenverkehr auf Anwendungsebene analysiert. Die Firewall versteht Protokolle wie HTTP - SMTP oder DNS und kann verdächtige Inhalte erkennen - etwa einen Dateianhang mit Schadsoftware in einer E-Mail. Der Nachteil: höherer Ressourcenverbrauch.
Next-Generation Firewall (NGFW)
Moderne NGFWs kombinieren alle genannten Funktionen und ergänzen sie um:
- Intrusion Prevention (IPS): Erkennt und blockiert bekannte Angriffsmuster in Echtzeit
- Deep Packet Inspection: Analysiert den Inhalt von Datenpaketen - nicht nur die Header
- Application Control: Steuert den Zugriff auf Anwendungsebene - z.B. erlaubt Microsoft Teams - blockiert aber TikTok
- SSL/TLS-Inspektion: Entschlüsselt und prüft auch verschlüsselten Datenverkehr
- Sandboxing: Verdächtige Dateien werden in einer isolierten Umgebung ausgeführt und analysiert
NGFWs sind der aktuelle Standard für Unternehmen jeder Größe.
UTM-Firewall (Unified Threat Management)
Eine UTM-Firewall bündelt mehrere Sicherheitsfunktionen in einem Gerät: Firewall - Antivirus - Spam-Filter - VPN - Content-Filter und IDS/IPS. Für KMU ist das oft die wirtschaftlichste Lösung - weil alles aus einer Hand kommt. Unser Partner Securepoint bietet UTM-Firewalls - die speziell für den deutschen Mittelstand entwickelt wurden.
UTM vs. NGFW: Was ist der Unterschied?
Die Begriffe UTM-Firewall und Next-Generation Firewall (NGFW) werden oft synonym verwendet - es gibt aber wichtige Unterschiede:
UTM (Unified Threat Management)
- Konzept: Alles in einem Gerät - Firewall - Antivirus - IDS/IPS - VPN - Spam-Filter - Content-Filter - Web-Application-Firewall
- Zielgruppe: KMU - die eine einfach verwaltbare All-in-One-Lösung suchen
- Vorteil: Ein Ansprechpartner - eine Oberfläche - eine Lizenz
- Nachteil: Bei sehr hohem Durchsatz kann die Performance durch die vielen aktivierten Module sinken
- Beispiel-Hersteller: Securepoint (Deutschland) - Sophos - WatchGuard - Zyxel
NGFW (Next-Generation Firewall)
- Konzept: Klassische Firewall mit Deep Packet Inspection - Application Control und IPS - aber oft ohne integrierte Zusatzmodule wie Spam-Filter oder Antivirus
- Zielgruppe: Größere Unternehmen oder Umgebungen mit spezialisierten Anforderungen
- Vorteil: Höhere Performance bei großen Datenvolumen - granularere Kontrolle
- Nachteil: Zusatzfunktionen müssen oft separat lizenziert werden
- Beispiel-Hersteller: Palo Alto Networks - Fortinet - Cisco
Unsere Empfehlung für KMU
Für die meisten KMU ist eine UTM-Firewall die bessere Wahl: Sie liefert alle notwendigen Sicherheitsfunktionen in einem Gerät - ist einfacher zu verwalten und kostet weniger als eine NGFW mit allen Zusatzlizenzen. Erst ab Umgebungen mit mehreren hundert gleichzeitigen Nutzern oder speziellen Performance-Anforderungen lohnt sich der Blick auf dedizierte NGFWs.
Securepoint UTM: Die deutsche Firewall für den Mittelstand
Als zertifizierter Securepoint-Partner setzen wir deren UTM-Firewalls bei unseren Kunden ein. Warum?
Made in Germany
Securepoint entwickelt und fertigt seine Produkte in Lüneburg - Deutschland. Die Software enthält keine Backdoors und unterliegt deutschem Datenschutzrecht. Für Unternehmen - die auf DSGVO-Konformität achten - ist das ein entscheidender Vorteil gegenüber US-amerikanischen Herstellern.
Funktionsumfang
Eine Securepoint UTM-Firewall enthält:
- Stateful Inspection Firewall mit Deep Packet Inspection
- VPN (IPsec - SSL/TLS - WireGuard)
- Antivirus und Antispam (Cyren - ClamAV)
- IDS/IPS (Intrusion Detection/Prevention)
- Content-Filter mit Kategoriefilterung
- Application Control
- Web Application Firewall (Reverse Proxy)
- Cluster-fähig für High Availability
- Zentrales Management über Securepoint Unified Security Console
Preisbeispiel
Für ein KMU mit 30 Mitarbeitenden kostet eine Securepoint UTM-Appliance (Hardware + 3-Jahres-Lizenz) typischerweise 2.000 bis 4.000 Euro - je nach Modell und Durchsatzanforderung. Vergleichbare Lösungen von Fortinet oder Palo Alto liegen deutlich darüber.
Häufige Fehler bei der Firewall-Konfiguration
Eine Firewall ist nur so gut wie ihre Konfiguration. Diese Fehler sehen wir regelmäßig:
- Default-Passwörter nicht geändert: Viele Firewalls werden mit Standard-Zugangsdaten ausgeliefert - die öffentlich bekannt sind
- Zu offene Regeln: "Allow All"-Regeln - die eigentlich nur temporär gedacht waren - bleiben jahrelang aktiv
- Keine regelmäßigen Updates: Firmware-Updates schließen Sicherheitslücken. Ohne Updates wird die Firewall selbst zum Einfallstor
- Fehlende Segmentierung: Ohne Netzwerksegmentierung kann sich ein Angreifer nach dem Eindringen frei im gesamten Netzwerk bewegen
- Kein Logging und Monitoring: Wenn niemand die Firewall-Logs auswertet - bleiben Angriffe unbemerkt
- VPN ohne MFA: Ein VPN-Zugang nur mit Benutzername und Passwort ist leicht angreifbar
Firewall und Homeoffice
Seit der Pandemie arbeiten viele Mitarbeitende remote. Das stellt besondere Anforderungen an die Firewall:
- VPN-Verbindungen müssen sicher konfiguriert sein - idealerweise mit Multi-Faktor-Authentifizierung
- Split Tunneling muss bewusst gesteuert werden: Welcher Datenverkehr läuft über das Firmennetz - welcher direkt ins Internet?
- Endpoint Protection wird wichtiger - weil Geräte außerhalb des geschützten Firmennetzwerks arbeiten
- Zero Trust Network Access (ZTNA) ist der moderne Ansatz: Jeder Zugriff wird einzeln geprüft - egal ob aus dem Büro oder von zu Hause
So unterstützt Baltaris dich beim Firewall-Schutz
Als IT-Dienstleister setzen wir auf bewährte Firewall-Lösungen und kümmern uns um den gesamten Lebenszyklus:
- Bedarfsanalyse: Wir bewerten dein Netzwerk und empfehlen die passende Firewall-Lösung
- Securepoint UTM: Wir sind zertifizierter Securepoint-Partner und setzen deren UTM-Firewalls für den Mittelstand ein. Made in Germany - DSGVO-konform - ohne versteckte Backdoors
- Professionelle Einrichtung: Korrekte Konfiguration mit Netzwerksegmentierung - VPN-Einrichtung und granularen Regelwerken
- Managed Firewall: Wir übernehmen Monitoring - Updates und Regelanpassungen - damit deine Firewall immer aktuell bleibt
- Regelmäßige Audits: Wir prüfen deine Firewall-Konfiguration auf Schwachstellen und optimieren sie
- Incident Response: Bei einem Sicherheitsvorfall reagieren wir sofort und analysieren die Firewall-Logs
Firewall und Compliance
Regulatorische Anforderungen wie die NIS2-Richtlinie - der BSI-Grundschutz oder branchenspezifische Vorgaben verlangen eine dokumentierte Netzwerksicherheit. Eine professionell konfigurierte und überwachte Firewall ist dafür die Grundlage. Wir unterstützen dich bei der Dokumentation und beim Nachweis gegenüber Auditoren.
Häufig gestellte Fragen zum Thema Firewall
Brauche ich eine Hardware-Firewall - wenn ich schon eine Software-Firewall auf dem PC habe?
Ja. Die Windows-Firewall schützt nur den einzelnen PC und arbeitet auf einem anderen Level. Eine Hardware-Firewall (UTM/NGFW) schützt das gesamte Netzwerk - analysiert den Datenverkehr zentral und bietet Funktionen wie VPN - IPS und Content-Filtering - die eine lokale Software-Firewall nicht leisten kann.
Was kostet eine Managed Firewall?
Eine Managed-Firewall-Lösung - inklusive Hardware - Lizenz - Einrichtung und laufendem Management - kostet für ein KMU mit 20 bis 50 Mitarbeitenden typischerweise 100 bis 300 € pro Monat. Das umfasst Firmware-Updates - Regelanpassungen - Monitoring und Support. Im Vergleich zu einem einmaligen Kauf ohne laufende Betreuung ist das nachhaltiger und sicherer.
Wie oft muss eine Firewall aktualisiert werden?
Firmware-Updates sollten mindestens quartalsweise eingespielt werden - bei kritischen Sicherheitslücken sofort. Signatur-Updates für IDS/IPS und Antivirus laufen in der Regel automatisch und täglich. Regelwerke sollten bei jeder Änderung der Infrastruktur überprüft werden.
Kann eine Firewall auch verschlüsselten Datenverkehr prüfen?
Ja - über SSL/TLS-Inspektion. Die Firewall entschlüsselt den Datenverkehr - prüft ihn auf Bedrohungen und verschlüsselt ihn wieder - bevor er an den Empfänger weitergeleitet wird. Das erfordert ein internes Zertifikat und muss datenschutzrechtlich sauber umgesetzt werden.
Fazit
Eine Firewall ist kein optionales Extra - sondern eine grundlegende Sicherheitsmaßnahme für jedes Unternehmen. Entscheidend ist nicht nur die Anschaffung - sondern die richtige Konfiguration - regelmäßige Wartung und kontinuierliches Monitoring.
Mit einer Managed-Firewall-Lösung von Baltaris musst du dich um nichts kümmern. Wir sorgen dafür - dass dein Netzwerk geschützt bleibt - während du dich auf dein Geschäft konzentrierst.
Du möchtest deine Firewall-Sicherheit überprüfen lassen oder suchst eine moderne Lösung für dein Unternehmen? Sprich uns an - wir beraten dich gerne.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
IT-Sicherheit im Mittelstand: Warum KMU besonders gefährdet sind
Kleine und mittlere Unternehmen sind das Hauptziel von Cyberangriffen. Wir erklären warum, und was du dagegen tun kannst.
Veeam Backup erklärt: Datensicherung für Unternehmen
Veeam ist der Marktführer für Backup und Recovery. Wir erklären Funktionen, Editionen, Lizenzmodelle und Best Practices, alles, was du für eine sichere Datensicherung wissen musst.
Patchmanagement erklärt: Warum Updates überlebenswichtig sind
Ungepatchte Systeme sind das Einfallstor Nr. 1 für Cyberangriffe. Wir erklären, was Patchmanagement ist, warum es so kritisch ist und wie du es professionell umsetzt.