Eine Firewall ist wie der Türsteher Ihres Unternehmensnetzwerks. Doch selbst der beste Türsteher ist nutzlos, wenn er keine klaren Anweisungen hat. Wir zeigen, wie Sie Ihre Firewall optimal konfigurieren – auch ohne großes IT-Team.
Warum die Standard-Konfiguration nicht reicht
Viele kleine Unternehmen in München, Frankfurt und Umgebung verlassen sich auf die Werkseinstellungen ihrer Firewall. Das ist besser als nichts, aber weit entfernt von optimalem Schutz. Eine Firewall "out of the box" ist wie ein Schloss ohne Schlüssel – es sieht sicher aus, bietet aber keinen echten Schutz.
Die richtige Konfiguration macht den Unterschied zwischen einer echten Sicherheitslösung und einem teuren Placebo.
Die Grundprinzipien
Deny All, Allow Specific
Das wichtigste Prinzip: Standardmäßig alles blockieren und nur gezielt erlauben, was benötigt wird. Viele machen es umgekehrt – ein fataler Fehler.
Falsch: Alles erlauben, bekannte Bedrohungen blockieren
Richtig: Alles blockieren, notwendige Verbindungen erlauben
Least Privilege
Jede Regel sollte so restriktiv wie möglich sein. Statt "alle internen IPs dürfen ins Internet" besser "diese 5 Server dürfen zu diesen spezifischen Diensten".
Defense in Depth
Die Firewall ist nur eine Schutzschicht. Kombinieren Sie sie mit Endpoint-Protection, Netzwerksegmentierung und Monitoring.
10 Best Practices für Ihre Firewall
1. Standard-Passwörter ändern
Klingt selbstverständlich, wird aber erschreckend oft vergessen. Ändern Sie das Admin-Passwort der Firewall sofort nach der Installation auf ein starkes, einzigartiges Passwort.
2. Firmware aktuell halten
Firewall-Hersteller veröffentlichen regelmäßig Updates, die Sicherheitslücken schließen. Aktivieren Sie automatische Updates oder prüfen Sie mindestens monatlich auf neue Versionen.
3. Nicht benötigte Dienste deaktivieren
Viele Firewalls haben Funktionen wie eingebaute VPN-Server oder Web-Proxies, die Sie vielleicht nicht nutzen. Deaktivieren Sie alles, was Sie nicht brauchen – jeder aktive Dienst ist ein potenzielles Angriffsziel.
4. Logging aktivieren und überwachen
Aktivieren Sie ausführliche Protokollierung. Noch wichtiger: Schauen Sie sich die Logs auch an! Idealerweise fließen sie in ein zentrales Security Information and Event Management (SIEM).
5. Outbound-Traffic kontrollieren
Viele konzentrieren sich nur auf eingehenden Traffic. Aber wenn Malware bereits im Netzwerk ist, kommuniziert sie nach außen. Erlauben Sie ausgehenden Traffic nur zu bekannten Zielen auf bekannten Ports.
6. VPN statt Port-Forwarding
Mitarbeiter müssen von zu Hause auf interne Systeme zugreifen? Nutzen Sie ein VPN, statt Ports für RDP oder andere Dienste zu öffnen. Port-Forwarding ist ein Sicherheitsrisiko.
7. Geo-Blocking einsetzen
Wenn Ihr Unternehmen keine Geschäftsbeziehungen nach Nordkorea hat, blockieren Sie Traffic von dort. Geo-Blocking reduziert die Angriffsfläche erheblich.
8. Application Control nutzen
Moderne Firewalls können nicht nur Ports, sondern auch Anwendungen erkennen und kontrollieren. Erlauben Sie nur benötigte Anwendungen – auch wenn sie Standard-Ports nutzen.
9. Intrusion Prevention aktivieren
IPS-Funktionen erkennen bekannte Angriffsmuster und blockieren sie automatisch. Aktivieren Sie diese Funktion und halten Sie die Signaturen aktuell.
10. Regelmäßige Audits
Prüfen Sie Ihre Firewall-Regeln mindestens vierteljährlich. Entfernen Sie obsolete Regeln, die für alte Mitarbeiter oder Systeme angelegt wurden. Weniger Regeln = weniger Fehlerquellen.
Typische Konfigurationsfehler
Diese Fehler sehen wir bei unseren Kunden immer wieder:
- "Any" in Regeln: Regeln mit "Any" als Quelle, Ziel oder Port sind fast immer zu weit gefasst
- Veraltete Regeln: Ex-Mitarbeiter haben noch VPN-Zugang, abgeschaltete Server noch offene Ports
- Keine Dokumentation: Niemand weiß, warum eine Regel existiert
- Deaktivierte Sicherheitsfunktionen: IPS abgeschaltet "weil es Probleme machte"
- Kein Backup: Die Konfiguration wurde nie gesichert
Firewall-Typen für KMU
UTM-Firewalls (Unified Threat Management)
All-in-One-Lösungen, die Firewall, VPN, Antivirus, Web-Filter und mehr kombinieren. Ideal für kleine Unternehmen ohne dediziertes Security-Team.
Empfohlene Hersteller: Sophos, Securepoint, Fortinet, WatchGuard
Next-Generation Firewalls (NGFW)
Bieten zusätzlich Deep Packet Inspection, Application Awareness und oft Cloud-basierte Threat Intelligence. Für Unternehmen mit höheren Sicherheitsanforderungen.
Monitoring und Wartung
Eine Firewall ist kein "Set and Forget"-Gerät. Für optimalen Schutz brauchen Sie:
- Tägliche Log-Auswertung (automatisiert oder manuell)
- Monatliche Firmware-Updates
- Vierteljährliche Regel-Reviews
- Jährliche Penetrationstests
Nicht genug Ressourcen dafür? Unser Managed Security Service übernimmt das für Sie.
Fazit
Die richtige Firewall-Konfiguration ist keine einmalige Aufgabe, sondern ein laufender Prozess. Mit den hier beschriebenen Best Practices haben Sie bereits einen großen Schritt in Richtung bessere IT-Sicherheit gemacht.
"Die beste Firewall nützt nichts, wenn sie schlecht konfiguriert ist. Die Investition in professionelle Einrichtung zahlt sich immer aus."
Unsicher, ob Ihre Firewall optimal konfiguriert ist? Unsere Security-Experten in München und Frankfurt prüfen Ihre Konfiguration und geben konkrete Verbesserungsvorschläge. Kontaktieren Sie uns für einen kostenlosen Firewall-Check.