Firewall as a Service
Cloud-bereitgestellte Firewall-Funktionalität, die als Service konsumiert wird — mit NGFW-Fähigkeiten, aber ohne lokale Firewall-Hardware.
Firewall as a Service (FWaaS) bezeichnet Firewall-Funktionalität, die nicht mehr auf einer lokalen Appliance betrieben, sondern als cloud-basierter Dienst konsumiert wird. Statt an jedem Standort eigene Hardware zu beschaffen, zu warten und zu patchen, terminiert der Datenverkehr an den Points of Presence des Anbieters, wird dort inspiziert und nach einheitlicher Richtlinie weitergeleitet. FWaaS erbt dabei die Fähigkeiten einer modernen Next-Generation Firewall — skaliert diese aber elastisch und wendet eine konsistente Policy auf verteilte Nutzer, Standorte und Cloud-Workloads an. Als Kernbaustein von SSE und SASE ist FWaaS einer der Hebel, mit denen Unternehmen vom Hardware-Perimeter zu einem identitäts- und cloud-zentrierten Sicherheitsmodell wechseln.
Funktionsweise
Technisch unterscheidet sich die Inspektion bei FWaaS kaum von einer On-Prem-NGFW: Stateful Inspection verfolgt den Verbindungszustand, ein integriertes IPS erkennt Angriffsmuster, Application Awareness identifiziert Anwendungen unabhängig vom Port, und TLS-Inspektion bricht verschlüsselten Verkehr zur Prüfung auf. Der entscheidende Unterschied liegt im Bereitstellungsmodell. Der Anbieter betreibt die Inspektions-Engine in einer mandantenfähigen Cloud, sodass Rechenkapazität bei Lastspitzen elastisch mitwächst und neue Standorte oder Remote-Nutzer ohne Hardwareausrollung angebunden werden. Richtlinien werden zentral definiert und gelten überall gleich — ein wesentlicher Vorteil gegenüber dem manuellen Pflegen separater Regelwerke pro Appliance.
FWaaS, klassische Firewall und WAF im Vergleich
FWaaS, eine klassische Firewall und eine Web Application Firewall werden in der Praxis häufig verwechselt, adressieren aber unterschiedliche Schutzbereiche. Eine WAF schützt gezielt Webanwendungen auf Layer 7 vor Angriffen wie SQL-Injection oder XSS — ein anderer Fokus als die breite Netzwerkabsicherung einer FWaaS. Die folgende Gegenüberstellung ordnet die drei Konzepte ein:
| Merkmal | Klassische / Next-Gen Firewall | FWaaS | WAF |
|---|---|---|---|
| Bereitstellung | On-Premises-Appliance (HW/VM) | Cloud-Service | Cloud, Appliance oder Host |
| Schutzfokus | Netzwerkverkehr (L3–L7) | Netzwerkverkehr (L3–L7) | Webanwendungen (L7, HTTP(S)) |
| Skalierung | Begrenzt durch Hardware | Elastisch über Anbieter-Cloud | Je nach Modell |
| Policy-Verwaltung | Pro Appliance | Zentral, standortübergreifend | Pro Anwendung |
| Typischer Kontext | Standort-Perimeter | SSE / SASE | Vor Webservern und APIs |
Einordnung in SSE und SASE
FWaaS steht selten allein. Innerhalb einer SSE-Plattform arbeitet es mit dem Secure Web Gateway und ZTNA zusammen: Das SWG übernimmt die feingranulare Filterung von Web- und SaaS-Verkehr auf URL- und Inhaltsebene, während FWaaS den breiteren Netzwerkverkehr inklusive Nicht-Web-Protokollen absichert. In einer vollständigen SASE-Architektur ergänzt SD-WAN diese Sicherheitsdienste um intelligentes Routing. Für Unternehmen bedeutet das: FWaaS ersetzt nicht jede Einzelfunktion, sondern fügt sich als Sicherheitsschicht in eine konvergente Plattform ein, in der eine Policy-Engine über alle Komponenten hinweg greift.
Grenzen und ehrliche Einordnung
FWaaS verlagert nicht nur Hardware, sondern auch Verantwortung und Abhängigkeit in die Cloud. Fällt die Verbindung zum Anbieter oder dessen Plattform aus, kann der gesamte abgesicherte Verkehr betroffen sein — die Verfügbarkeit des Dienstes wird damit geschäftskritisch. Hinzu kommen Latenz- und Egress-Überlegungen: Verkehr, der zur Inspektion an einen entfernten PoP umgeleitet wird, kann je nach Anbindung spürbar langsamer werden, und Datenmengen verursachen unter Umständen zusätzliche Egress-Kosten. Schließlich gilt ein Modell geteilter Verantwortung (Shared Responsibility): Der Anbieter betreibt die Plattform, das Unternehmen bleibt für korrekte Richtlinien und die Klassifizierung seiner Daten zuständig. Für deutsche Unternehmen sind dabei der Standort der Inspektion und die Frage der Datenresidenz unter der DSGVO zentral — insbesondere, weil bei der TLS-Inspektion potenziell sensible Inhalte beim Anbieter aufgebrochen werden.
Relevanz für KMUs
Für mittelständische Unternehmen ist FWaaS oft attraktiv, weil es den Betrieb eigener Firewall-Hardware an mehreren Standorten überflüssig macht und planbare Kosten statt Investitionszyklen mit sich bringt. Gerade Organisationen mit verteilten Standorten, Homeoffice und Cloud-Anwendungen profitieren von einer einheitlichen Richtlinie, die überall gleich greift — ohne ein großes Netzwerkteam. Vor der Einführung sollten KMUs jedoch zwei Punkte klären: Wo verarbeitet der Anbieter den Verkehr, und genügt das den eigenen DSGVO-Anforderungen? Und wie ist die eigene Internetanbindung dimensioniert, damit die Auslagerung der Inspektion nicht zum Flaschenhals wird? In der Praxis bewährt sich ein schrittweiser Einstieg, häufig im Verbund mit ZTNA als VPN-Ersatz, bevor weitere SSE-Komponenten ergänzt werden.