IT-Lexikon
Cybersecurity

Firewall

Sicherheitssystem, das den Netzwerkverkehr anhand definierter Regeln filtert und unbefugte Zugriffe blockiert.

Eine Firewall ist ein Sicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr überwacht und anhand vordefinierter Regeln erlaubt oder blockiert. Sie bildet seit Jahrzehnten eine der grundlegenden Schutzschichten jeder IT-Infrastruktur — vom kleinen Büronetzwerk bis zum verteilten Unternehmensstandort. In der Praxis zeigt sich jedoch, dass eine Firewall allein längst nicht mehr ausreicht, um moderne Angriffsvektoren abzuwehren.

Funktionsweise

Firewalls arbeiten auf verschiedenen Schichten des Netzwerkmodells. Einfache Paketfilter prüfen Quell- und Zieladressen sowie Ports, während Stateful-Inspection-Firewalls den Zustand bestehender Verbindungen verfolgen und nur erwartete Antwortpakete durchlassen. Application-Layer-Firewalls (auch Proxy-Firewalls) analysieren den tatsächlichen Inhalt des Datenverkehrs und können protokollspezifische Anomalien erkennen — etwa verdächtige HTTP-Anfragen oder ungewöhnliche DNS-Abfragen.

Typen im Vergleich

Typ Schicht Prüftiefe Typischer Einsatz
Paketfilter Netzwerk (L3/L4) IP-Adressen, Ports Router-ACLs, einfache Perimeter
Stateful Inspection Transport (L4) Verbindungszustand Klassische Netzwerk-Firewalls
Application Firewall Anwendung (L7) Protokollinhalte Web Application Firewalls, Proxy
Next-Generation Firewall (NGFW) L3–L7 Deep Packet Inspection, IPS, TLS-Entschlüsselung Unternehmensperimeter
Cloud-native Firewall L3–L7 API-gesteuert, skalierbar Cloud-Workloads, SASE-Architekturen

Next-Generation Firewalls

NGFWs kombinieren klassische Paketfilterung mit Deep Packet Inspection, Intrusion Prevention, Anwendungserkennung und häufig auch TLS-Entschlüsselung. Sie identifizieren Applikationen unabhängig vom verwendeten Port und können granulare Richtlinien auf Anwendungsebene durchsetzen. Wir finden in Assessments allerdings regelmäßig, dass NGFW-Funktionen wie IPS oder SSL-Inspection zwar lizenziert, aber nie aktiviert wurden — die Firewall arbeitet dann faktisch wie ein einfacher Paketfilter.

Firewall und Zero Trust

Das klassische Perimeter-Modell — alles hinter der Firewall ist vertrauenswürdig — gilt als überholt. In einer Zero-Trust-Architektur wird jeder Zugriff einzeln authentifiziert und autorisiert, unabhängig vom Netzwerkstandort. Firewalls bleiben dabei relevant, verlagern sich aber von der reinen Perimetersicherung hin zu Mikrosegmentierung innerhalb des Netzwerks. Identitätsbasierte Richtlinien ergänzen oder ersetzen die klassischen IP-basierten Regeln.

Häufige Fehlkonfigurationen

In der Praxis sind Firewalls nur so wirksam wie ihre Regelwerke. Über Jahre gewachsene Regelsets enthalten oft redundante, veraltete oder zu weit gefasste Regeln. Typische Probleme sind Any-Any-Regeln für temporäre Ausnahmen, die nie zurückgenommen wurden, fehlende Egress-Filterung (ausgehender Verkehr wird nicht kontrolliert) und unzureichendes Logging, das eine Nachverfolgung von Vorfällen erschwert. Regelmäßige Firewall-Audits und automatisierte Regelanalysen sind deshalb unverzichtbar.

Relevanz für KMUs

Für kleine und mittlere Unternehmen ist die Firewall oft die erste und manchmal einzige Verteidigungslinie. Eine sauber konfigurierte NGFW mit aktiviertem IPS, Anwendungskontrolle und Egress-Filterung bietet bereits einen soliden Grundschutz. Entscheidend ist jedoch, dass Regelwerke regelmäßig überprüft, Firmware aktuell gehalten und Logs aktiv ausgewertet werden. In Kombination mit Netzwerksegmentierung, EDR und einem durchdachten Patch-Management entsteht ein mehrschichtiger Schutz nach dem Prinzip Defense in Depth.