ISMS

Firewall-Konfiguration für KMU: Regeln, Zonen und Best Practices

TL;DR
  • Eine Firewall ohne durchdachtes Regelwerk bietet keinen wirksamen Schutz. Die Default-Konfiguration der meisten Hersteller ist zu permissiv für einen sicheren Betrieb.
  • Das Zonenmodell teilt das Netzwerk in Sicherheitsbereiche: WAN, LAN, DMZ, Server, Gäste-WLAN, OT/IoT. Zwischen den Zonen regeln Firewall-Regeln den erlaubten Datenverkehr.
  • Grundprinzip: Alles ist verboten, was nicht explizit erlaubt ist (Default Deny). Jede Regel muss einen dokumentierten Geschäftszweck haben.
  • Next-Generation-Firewalls erweitern das Regelwerk um Application Control, Intrusion Prevention, SSL-Inspektion und Content-Filtering. Diese Features müssen aktiviert und konfiguriert werden.
  • Regelmäßige Regelwerk-Reviews (mindestens halbjährlich) sind Pflicht. Ungenutzte, veraltete oder zu weit gefasste Regeln sind das häufigste Sicherheitsrisiko.

Warum die Firewall-Konfiguration entscheidend ist

Jedes Unternehmen hat eine Firewall. Aber eine erschreckend hohe Zahl hat eine Firewall, die kaum besser schützt als gar keine. Der Grund: Die Default-Konfiguration vieler Firewall-Produkte erlaubt ausgehenden Datenverkehr nahezu uneingeschränkt, die Logging-Funktion ist deaktiviert oder auf Minimaleinstellungen reduziert, und die erweiterten Sicherheitsfunktionen (IPS, Application Control, SSL-Inspektion) sind nicht aktiviert.

Eine Firewall ist kein Gerät, das du einmal anschließt und dann vergisst. Sie ist ein Werkzeug, das kontinuierlich konfiguriert, überwacht und angepasst werden muss. Die Konfiguration muss die spezifischen Anforderungen deines Unternehmens widerspiegeln: Welche Dienste werden benötigt? Welche Systeme müssen miteinander kommunizieren? Welche Kommunikation ist unnötig und kann blockiert werden?

ISO 27001 fordert in Annex A.8.20 (Network security) und A.8.22 (Segregation of networks) explizit die Absicherung von Netzwerken und die Kontrolle des Datenverkehrs. Die Firewall-Konfiguration ist eine der zentralen technischen Maßnahmen, um diese Anforderungen zu erfüllen.

Firewall-Typen: Was du brauchst

Paketfilter-Firewall

Die einfachste Form einer Firewall. Sie prüft jedes Datenpaket anhand von Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und Protokoll und entscheidet auf Basis statischer Regeln, ob das Paket durchgelassen oder blockiert wird. Paketfilter sind schnell, aber blind für den Inhalt der Kommunikation. Ein erlaubter HTTP-Zugriff auf Port 443 könnte genauso gut ein legitimer Website-Besuch sein wie ein Command-and-Control-Kanal einer Schadsoftware.

Stateful Inspection Firewall

Erweitert den Paketfilter um eine Zustandstabelle (State Table), die den Kontext einer Verbindung kennt. Sie weiß, ob ein eingehendes Paket zu einer bestehenden, erlaubten Verbindung gehört oder ob es eine neue, unerlaubte Verbindung initiiert. Das ist die Mindestanforderung für jede Unternehmens-Firewall.

Next-Generation Firewall (NGFW)

Die aktuelle Generation von Enterprise-Firewalls kombiniert Stateful Inspection mit mehreren zusätzlichen Sicherheitsfunktionen:

  • Application Control: Erkennung und Steuerung von Anwendungen unabhängig vom Port. Die Firewall erkennt, ob auf Port 443 tatsächlich HTTPS läuft oder ob eine andere Anwendung den Port nutzt.
  • Intrusion Prevention System (IPS): Erkennung und Blockierung bekannter Angriffsmuster im Netzwerkverkehr.
  • SSL/TLS-Inspektion: Entschlüsselung und Inspektion von verschlüsseltem Datenverkehr, um Schadsoftware und Angriffe auch in HTTPS-Verbindungen zu erkennen.
  • URL-/Content-Filtering: Blockierung von Websites nach Kategorie (Malware, Phishing, Gambling, Adult Content).
  • Sandboxing: Verdächtige Dateien werden in einer isolierten Umgebung ausgeführt, um ihr Verhalten zu analysieren.
  • DNS-Filtering: Blockierung von DNS-Anfragen zu bekannten bösartigen Domains.

Für KMU ab 20 Mitarbeitern ist eine NGFW die empfohlene Wahl. Die Preise sind in den letzten Jahren deutlich gesunken, und die meisten Funktionen lassen sich schrittweise aktivieren.

Bekannte Hersteller für KMU

Für den Mittelstand haben sich diese Hersteller etabliert: Fortinet FortiGate, Sophos XGS, WatchGuard Firebox, Palo Alto Networks PA-Series, Barracuda CloudGen Firewall. Für kleinere Budgets sind auch pfSense (Open Source) und OPNsense (Open Source) geeignet, erfordern aber mehr Konfigurationsaufwand.

Das Zonenmodell: Netzwerk in Sicherheitsbereiche aufteilen

Ein Zonenmodell teilt das Netzwerk in Bereiche mit unterschiedlichem Sicherheitsniveau. Die Firewall sitzt an den Übergängen zwischen den Zonen und kontrolliert den Datenverkehr.

Typische Zonen für KMU

WAN (Internet). Das Internet. Höchste Bedrohungsstufe. Jede Kommunikation von und zum Internet durchläuft die Firewall.

DMZ (Demilitarized Zone). Eine isolierte Zone für Systeme, die vom Internet erreichbar sein müssen: Webserver, E-Mail-Gateway, Reverse Proxy, VPN-Gateway. Systeme in der DMZ dürfen keine direkten Verbindungen ins interne LAN aufbauen. Wenn ein System in der DMZ kompromittiert wird, bleibt der Schaden auf die DMZ begrenzt.

Server-Zone. Interne Server: Domaincontroller, Dateiserver, Datenbank-Server, ERP-System, Backup-Server. Nur definierte Ports und Protokolle sind vom LAN aus erreichbar. Der Server-Zone wird ein höheres Schutzniveau zugewiesen als dem Client-LAN.

Client-LAN. Arbeitsplatzrechner der Mitarbeiter. Standardmäßig haben Clients Zugriff auf die Server-Zone (definierte Ports) und auf das Internet (über die Firewall), aber nicht auf die DMZ oder die OT-Zone.

Gäste-WLAN. Vollständig isoliert vom internen Netzwerk. Gäste haben Internetzugang, aber keinen Zugriff auf interne Ressourcen. Diese Zone wird typischerweise als eigenes VLAN konfiguriert und über die Firewall geroutet.

OT/IoT-Zone. Produktionsanlagen, Gebäudetechnik, Drucker, IP-Kameras, Smart-Devices. Diese Geräte haben oft veraltete Software und sind besonders anfällig (siehe OT-Sicherheit). Sie gehören in eine eigene Zone mit strengen Firewall-Regeln.

Management-Zone. Zugang zur Verwaltungsoberfläche der Firewall, zu Switches, Access Points und anderen Netzwerkkomponenten. Nur autorisierte Administratoren dürfen in diese Zone. Kein regulärer Nutzerdatenverkehr.

Zonenregeln definieren

Für jede Zonenkombination definierst du, welcher Datenverkehr erlaubt ist. Das Grundprinzip lautet: Default Deny. Alles ist verboten, was nicht explizit erlaubt ist.

Beispiel-Regeln für ein KMU mit 80 Mitarbeitern:

Von Nach Erlaubt Zweck
Client-LAN Server-Zone TCP 445, 389, 636, 88, 3389 (nur Admins) Dateizugriff, AD, RDP
Client-LAN Internet TCP 443, TCP 80 Webzugriff (über Proxy/NGFW)
Client-LAN DMZ Nicht erlaubt Kein direkter Zugriff
Server-Zone Internet TCP 443 (nur definierte Server) Updates, Cloud-Anbindung
DMZ Server-Zone Nicht erlaubt (Ausnahme: definierte Ports zum Mail-Server) Isolation
DMZ Internet TCP 443, TCP 25 Webserver, E-Mail
Internet DMZ TCP 443 (HTTPS) Zugriff auf Webserver
Internet Alle anderen Zonen Nicht erlaubt Schutz
Gäste-WLAN Internet TCP 443, TCP 80 Nur Internetzugang
Gäste-WLAN Alle internen Zonen Nicht erlaubt Vollständige Isolation
OT/IoT Internet Nicht erlaubt (Ausnahme: Update-Server) Isolation
OT/IoT Server-Zone Nur definierte Ports Minimaler Zugriff

Firewall-Regeln: Best Practices

Das Regelwerk strukturieren

Ein Firewall-Regelwerk wird schnell unübersichtlich. Strukturiere es von Anfang an:

Reihenfolge beachten. Firewall-Regeln werden von oben nach unten abgearbeitet. Die erste passende Regel wird angewendet. Das bedeutet: Spezifische Regeln vor allgemeinen Regeln. Block-Regeln für bekannte Bedrohungen ganz oben. Die Default-Deny-Regel ganz unten.

Logische Gruppierung. Fasse Regeln nach Zonen, Abteilungen oder Funktionsbereichen zusammen. Die meisten Firewalls unterstützen Regelgruppen oder -sektionen. Nutze diese Funktion.

Kommentare und Dokumentation. Jede Regel braucht einen Kommentar, der den Geschäftszweck beschreibt: "Marketing-Team: Zugriff auf Social-Media-Management-Tool Hootsuite". Ohne Kommentare kann nach einem Jahr niemand mehr nachvollziehen, warum eine Regel existiert.

Verfallsdatum setzen. Für temporäre Regeln (Projektarbeit, externe Dienstleister) setze ein Verfallsdatum. Viele Firewalls unterstützen das nativ. Wenn nicht, dokumentiere das Ablaufdatum im Kommentar.

Grundlegende Regeln, die jede Firewall haben sollte

Default Deny am Ende. Die letzte Regel im Regelwerk blockiert allen Datenverkehr, der nicht von einer vorherigen Regel explizit erlaubt wurde. Diese Regel muss geloggt werden, damit du siehst, was blockiert wird.

Ausgehende DNS-Kontrolle. DNS-Anfragen dürfen nur an definierte DNS-Server gehen (dein interner DNS-Server oder definierte externe Server wie Quad9 oder Cloudflare). Direkter DNS-Verkehr von Clients ins Internet wird blockiert. Das verhindert DNS-Exfiltration und DNS-Tunneling.

Ausgehende SMTP-Kontrolle. Nur dein E-Mail-Server darf SMTP-Verkehr (Port 25/587) ins Internet senden. Kein anderes System darf direkt E-Mails versenden. Das verhindert, dass kompromittierte Systeme Spam oder Phishing-Mails versenden.

Geo-Blocking. Blockiere eingehenden Datenverkehr aus Ländern, mit denen du keine Geschäftsbeziehungen hast. Das reduziert die Angriffsfläche erheblich, besonders für Brute-Force-Angriffe und automatisierte Scans.

Bogon-Filtering. Blockiere Datenverkehr von und zu IP-Adressen, die im Internet nicht geroutet werden sollten (Bogon-Adressen): private Adressbereiche (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), Link-Local (169.254.0.0/16) und reservierte Bereiche. Dieser Verkehr am WAN-Interface ist immer illegitim.

Next-Generation-Features aktivieren

Eine NGFW, deren erweiterte Features nicht aktiviert sind, ist nur eine teure Stateful-Inspection-Firewall. Aktiviere mindestens:

Application Control. Erlaube nur bekannte, geschäftsrelevante Anwendungen. Blockiere Peer-to-Peer-Verkehr, anonyme Proxies (Tor), unbekannte Anwendungen.

IPS. Aktiviere die Intrusion Prevention mit aktuellen Signaturen. Konfiguriere die Aktion auf "Block" für kritische und hohe Schweregrade, auf "Alert" für mittlere.

SSL-Inspektion. Aktiviere die Inspektion von HTTPS-Verkehr. Ohne SSL-Inspektion ist die Firewall blind für mehr als 90 % des Webverkehrs. Beachte: Du musst ein internes CA-Zertifikat auf allen Clients verteilen, und bestimmte Verbindungen (Banking, Gesundheitswesen) solltest du von der Inspektion ausnehmen.

DNS-Filtering. Blockiere DNS-Anfragen zu bekannten Malware-Domains, Phishing-Domains und C2-Servern.

Logging und Monitoring

Eine Firewall, die nicht loggt, ist wie eine Alarmanlage ohne Sirene. Konfiguriere das Logging so, dass du im Ernstfall nachvollziehen kannst, was passiert ist.

Was du loggen solltest:

  • Alle blockierten Verbindungen (Default Deny)
  • Alle Verbindungen zur und von der DMZ
  • Alle Verbindungen zur Management-Zone
  • IPS-Alerts und -Blocks
  • VPN-Verbindungen (Aufbau und Abbau)
  • Administrative Zugriffe auf die Firewall-Verwaltung
  • Regelwerk-Änderungen

Wohin loggen? Nicht nur auf die Firewall selbst. Leite die Logs an einen zentralen Syslog-Server oder ein SIEM weiter – eine durchdachte Logging- und Monitoring-Strategie ist unverzichtbar. Wenn ein Angreifer die Firewall kompromittiert, kann er lokale Logs löschen, aber nicht die extern gespeicherten.

Wie lange aufbewahren? Mindestens 90 Tage, besser 180 Tage. Viele Angriffe werden erst Wochen nach der initialen Kompromittierung entdeckt. Ohne historische Logs kannst du den Angriffsverlauf nicht rekonstruieren.

Regelwerk-Review: Die unterschätzte Pflicht

Das Firewall-Regelwerk wächst über die Zeit. Neue Regeln kommen hinzu, alte werden nicht entfernt. Nach zwei Jahren hast du ein Regelwerk mit 200 Regeln, von denen 50 niemand mehr versteht und 30 nicht mehr benötigt werden. Jede überflüssige Regel ist ein potenzielles Sicherheitsrisiko.

Halbjährlicher Review. Gehe alle Regeln durch und prüfe:

  • Wird die Regel noch benötigt? (Prüfe die Hit Counter: Regeln mit null Treffern in sechs Monaten sind Kandidaten für die Löschung.)
  • Ist die Regel so eng gefasst wie möglich? (Eine Regel, die "any" als Quelle oder Ziel hat, ist fast immer zu weit.)
  • Ist der Kommentar aktuell?
  • Hat die Regel ein Verfallsdatum, das überschritten ist?

Dokumentation der Reviews. Halte fest, wer wann welche Regeln geprüft hat, welche Änderungen vorgenommen wurden und warum. In ISMS Lite lassen sich Regelwerk-Reviews als wiederkehrende Maßnahme mit Verantwortlichem und Nachweis anlegen. Diese Dokumentation brauchst du für interne Audits und Zertifizierungen.

Change Management. Jede Änderung am Firewall-Regelwerk sollte einem Change-Management-Prozess unterliegen: Antrag, Prüfung, Genehmigung, Umsetzung, Dokumentation. Das klingt bürokratisch, verhindert aber undokumentierte Änderungen, die später niemand nachvollziehen kann.

Typische Konfigurationsfehler

Ausgehenden Verkehr nicht filtern. Die meisten KMU filtern eingehenden Verkehr sorgfältig, lassen ausgehenden Verkehr aber nahezu uneingeschränkt durch. Das ist fatal, weil kompromittierte Systeme über ausgehende Verbindungen mit dem Angreifer kommunizieren (C2-Kanal), Daten exfiltrieren oder Spam versenden.

"Any/Any"-Regeln. Regeln mit "any" als Quelle, "any" als Ziel und "any" als Dienst sind offene Scheunentore. Sie kommen oft als "temporäre Lösung" in die Konfiguration und werden nie entfernt.

Management-Interface am WAN. Die Verwaltungsoberfläche der Firewall darf niemals vom Internet erreichbar sein. Beschränke den Zugriff auf die Management-Zone oder auf definierte interne IP-Adressen.

Keine Firmware-Updates. Firewalls haben Schwachstellen wie jede andere Software. Halte die Firmware aktuell und spiele Sicherheits-Patches zeitnah ein. Die Exploitation der Schwachstelle CVE-2023-27997 in FortiGate-Firewalls hat gezeigt, dass ungepatchte Firewalls ein bevorzugtes Angriffsziel sind.

Default-Passwörter nicht geändert. Es klingt trivial, aber es kommt vor: Die Standard-Zugangsdaten der Firewall (admin/admin, admin/password) wurden nicht geändert. Prüfe das bei jeder Neuinstallation als Erstes.

VPN-Zugang ohne MFA. Der VPN-Zugang über die Firewall ist mit Benutzername und Passwort geschützt, aber ohne Multi-Faktor-Authentifizierung. Kompromittierte Zugangsdaten (Phishing, Credential Stuffing) ermöglichen dann den direkten Zugang zum internen Netzwerk.

Weiterführende Artikel

Die Firewall ist und bleibt das Rückgrat der Netzwerksicherheit. Aber sie schützt nur dann wirksam, wenn du sie konfigurierst, überwachst und regelmäßig überprüfst. Ein durchdachtes Zonenmodell, ein schlankes Regelwerk nach dem Least-Privilege-Prinzip und die Aktivierung der Next-Generation-Features sind die drei Hebel, die den Unterschied machen zwischen einer Firewall, die schützt, und einer Firewall, die nur Strom verbraucht.

Firewall-Regeln im ISMS dokumentieren

ISMS Lite hilft dir, dein Firewall-Zonenmodell zu dokumentieren, Regelwerk-Änderungen nachvollziehbar zu verwalten und die Firewall-Konfiguration als Maßnahme im Risikomanagement zu verankern.

Jetzt installieren