Firewall
Sicherheitssystem, das den Netzwerkverkehr anhand definierter Regeln filtert und unbefugte Zugriffe blockiert.
Eine Firewall ist ein Sicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr überwacht und anhand vordefinierter Regeln erlaubt oder blockiert. Sie bildet seit Jahrzehnten eine der grundlegenden Schutzschichten jeder IT-Infrastruktur — vom kleinen Büronetzwerk bis zum verteilten Unternehmensstandort. In der Praxis zeigt sich jedoch, dass eine Firewall allein längst nicht mehr ausreicht, um moderne Angriffsvektoren abzuwehren.
Funktionsweise
Firewalls arbeiten auf verschiedenen Schichten des Netzwerkmodells. Einfache Paketfilter prüfen Quell- und Zieladressen sowie Ports, während Stateful-Inspection-Firewalls den Zustand bestehender Verbindungen verfolgen und nur erwartete Antwortpakete durchlassen. Application-Layer-Firewalls (auch Proxy-Firewalls) analysieren den tatsächlichen Inhalt des Datenverkehrs und können protokollspezifische Anomalien erkennen — etwa verdächtige HTTP-Anfragen oder ungewöhnliche DNS-Abfragen.
Typen im Vergleich
| Typ | Schicht | Prüftiefe | Typischer Einsatz |
|---|---|---|---|
| Paketfilter | Netzwerk (L3/L4) | IP-Adressen, Ports | Router-ACLs, einfache Perimeter |
| Stateful Inspection | Transport (L4) | Verbindungszustand | Klassische Netzwerk-Firewalls |
| Application Firewall | Anwendung (L7) | Protokollinhalte | Web Application Firewalls, Proxy |
| Next-Generation Firewall (NGFW) | L3–L7 | Deep Packet Inspection, IPS, TLS-Entschlüsselung | Unternehmensperimeter |
| Cloud-native Firewall | L3–L7 | API-gesteuert, skalierbar | Cloud-Workloads, SASE-Architekturen |
Next-Generation Firewalls
NGFWs kombinieren klassische Paketfilterung mit Deep Packet Inspection, Intrusion Prevention, Anwendungserkennung und häufig auch TLS-Entschlüsselung. Sie identifizieren Applikationen unabhängig vom verwendeten Port und können granulare Richtlinien auf Anwendungsebene durchsetzen. Wir finden in Assessments allerdings regelmäßig, dass NGFW-Funktionen wie IPS oder SSL-Inspection zwar lizenziert, aber nie aktiviert wurden — die Firewall arbeitet dann faktisch wie ein einfacher Paketfilter.
Firewall und Zero Trust
Das klassische Perimeter-Modell — alles hinter der Firewall ist vertrauenswürdig — gilt als überholt. In einer Zero-Trust-Architektur wird jeder Zugriff einzeln authentifiziert und autorisiert, unabhängig vom Netzwerkstandort. Firewalls bleiben dabei relevant, verlagern sich aber von der reinen Perimetersicherung hin zu Mikrosegmentierung innerhalb des Netzwerks. Identitätsbasierte Richtlinien ergänzen oder ersetzen die klassischen IP-basierten Regeln.
Häufige Fehlkonfigurationen
In der Praxis sind Firewalls nur so wirksam wie ihre Regelwerke. Über Jahre gewachsene Regelsets enthalten oft redundante, veraltete oder zu weit gefasste Regeln. Typische Probleme sind Any-Any-Regeln für temporäre Ausnahmen, die nie zurückgenommen wurden, fehlende Egress-Filterung (ausgehender Verkehr wird nicht kontrolliert) und unzureichendes Logging, das eine Nachverfolgung von Vorfällen erschwert. Regelmäßige Firewall-Audits und automatisierte Regelanalysen sind deshalb unverzichtbar.
Relevanz für KMUs
Für kleine und mittlere Unternehmen ist die Firewall oft die erste und manchmal einzige Verteidigungslinie. Eine sauber konfigurierte NGFW mit aktiviertem IPS, Anwendungskontrolle und Egress-Filterung bietet bereits einen soliden Grundschutz. Entscheidend ist jedoch, dass Regelwerke regelmäßig überprüft, Firmware aktuell gehalten und Logs aktiv ausgewertet werden. In Kombination mit Netzwerksegmentierung, EDR und einem durchdachten Patch-Management entsteht ein mehrschichtiger Schutz nach dem Prinzip Defense in Depth.