top of page

Next Generation Firewalls: Zentraler Baustein einer Zero-Trust-Architektur

Legacy-Firewalls schauen auf Ports und Protokolle. Das war vor zwanzig Jahren ausreichend. Heute läuft praktisch der gesamte schädliche Verkehr über Port 443 – verschlüsselt, getarnt als legitime Webanwendung. Eine Firewall, die nicht in den Anwendungs-Layer schaut, ist Sicherheitstheater. Next Generation Firewalls sehen, was wirklich durchgeht: Anwendung, Nutzer, Inhalt, Bedrohung. Auf Layer 7. Bei Enterprise-Geschwindigkeit. Mit echter Erkennung statt nur Filterung.

Vom Paketfilter zur Anwendungs-Firewall

Firewalls sind so alt wie das Internet im Unternehmen. Die ersten Generationen waren stateless Paketfilter: Quelle, Ziel, Port – erlauben oder blockieren. Dann kam Stateful Inspection: die Firewall merkte sich Verbindungszustände und konnte Antwortpakete legitimer Verbindungen durchlassen. Beides reicht heute nicht mehr.

Der Grund: Anwendungen lassen sich nicht mehr an Ports erkennen. Wenn alles über HTTPS auf Port 443 läuft – legitime Cloud-Anwendungen, Schatten-IT, Datenexfiltration, Command-and-Control-Verkehr, Tunneling-Tools – dann hilft ein klassischer Portfilter nicht mehr. Er sieht nur, dass etwas auf 443 raus will. Was es ist, kann er nicht beurteilen.

Warum Legacy-Firewalls in Enterprise-Umgebungen ausgedient haben:

  • Keine Anwendungserkennung – Cloud-Dienste, Tunneling-Tools, Schatten-IT bleiben unsichtbar

  • Keine Nutzerintegration – Policies basieren auf IP-Adressen statt auf Identität

  • Keine Tiefeninspektion verschlüsselten Verkehrs

  • Keine integrierte Bedrohungserkennung (IPS, Malware-Analyse, URL-Filterung)

  • Begrenzte Performance bei modernen Bandbreitenanforderungen

  • Fehlende Integration in Identity- und Cloud-Plattformen

Wer billig kauft, kauft zweimal.

Der Mittelstand hat lange auf günstige UTM-Geräte gesetzt. Das war pragmatisch in einer anderen Zeit. Heute, mit Cloud-überwiegender IT, Ransomware-Industrialisierung und NIS-2-Pflichten, ist eine Enterprise-grade NGFW kein Luxus mehr, sondern Grundausstattung. Eine Firewall, die nicht TLS entschlüsselt, keine Application-IDs sauber identifiziert und keine Threat-Intelligence in Echtzeit nutzt, ist im Jahr 2026 keine Sicherheitskomponente mehr – sondern ein Hindernis, das Budget verbrennt.

Was eine Next Generation Firewall ausmacht

Eine echte NGFW unterscheidet sich von einer klassischen Firewall in fundamentalen Punkten. Sie arbeitet nicht nur auf Layer 3/4 (Netzwerk- und Transport-Layer), sondern bis hinauf in den Anwendungs-Layer (Layer 7). Sie sieht die Anwendung selbst, nicht nur den Port, auf dem sie kommuniziert.

Die Kernfunktionen einer modernen NGFW

  1. Application-Awareness (Layer 7)
    Die Firewall erkennt Anwendungen anhand ihres tatsächlichen Verhaltens und Datenmusters – nicht anhand des Ports. Sie weiß, dass über Port 443 gerade ein Cloud-Speicherdienst läuft, ein Videokonferenz-Tool, ein Tunneling-Werkzeug oder ein Command-and-Control-Kanal. Policies werden anwendungsbasiert formuliert: „Marketing darf Social Media, aber kein File-Upload zu privaten Cloud-Speichern.“ Statt: „Marketing darf Port 443 zu IP X.“

  2. User-Awareness (Identity-Integration)
    Policies basieren auf Nutzern und Gruppen, nicht auf IP-Adressen. Die Firewall integriert sich mit Active Directory, Azure AD/Entra ID, SAML-Identity-Providern. Eine Regel „Finanzbuchhaltung darf auf das ERP-System zugreifen“ funktioniert unabhängig davon, von welchem Gerät und welcher IP der Nutzer kommt.

  3. Content-Inspection (TLS-Entschlüsselung)
    Über 90 Prozent des Internetverkehrs sind verschlüsselt. Eine Firewall, die TLS nicht aufbrechen kann, sieht von diesem Verkehr nichts. Moderne NGFWs entschlüsseln Verkehr selektiv, prüfen Inhalt auf Malware, Datenexfiltration und Bedrohungen – und verschlüsseln vor Zustellung neu. Selektive Entschlüsselung respektiert dabei Datenschutz und Compliance (Bankenverkehr, Gesundheitsdaten bleiben unangetastet).

  4. Integriertes Intrusion Prevention (IPS)
    Bekannte Exploits, Schwachstellen-Ausnutzungsversuche, Protokoll-Anomalien werden inline erkannt und blockiert. Nicht als Zusatzgerät, sondern integraler Bestandteil der Firewall.

  5. URL-Filterung & DNS-Security
    Zugriffe auf bekannte schädliche Domains werden blockiert. Kategorienbasierte Filterung (Glücksspiel, Adult, Phishing, Malware-Hosting) auf Basis kontinuierlich aktualisierter Bedrohungs-Feeds. DNS-Tunneling – ein beliebter Exfiltrationskanal – wird erkannt und gestoppt.

  6. Sandboxing für unbekannte Dateien
    Verdächtige Dateien werden in einer isolierten Cloud-Sandbox detoniert. Was Malware ist, wird identifiziert – auch ohne vorhandene Signatur. Erkennungen fließen automatisch in die globalen Threat-Feeds des Herstellers ein.

  7. Threat Intelligence in Echtzeit
    Globale Bedrohungsdaten werden minütlich aktualisiert. Eine neue C2-Domain, die in Australien entdeckt wird, ist in Deutschland innerhalb von Minuten blockiert.

  8. Hochverfügbarkeit und Performance
    Enterprise-NGFWs leisten zweistellige bis hohe dreistellige Gigabit-Durchsätze, auch bei aktivierter Tiefeninspektion. Cluster-Setups, automatisches Failover, sub-second-Failover-Zeiten gehören zum Standard.

Legacy-Firewall vs. Next Generation Firewall

Anwendungsfelder einer modernen NGFW

Perimeter-Schutz (Internet-Edge)

Der klassische Einsatzfall: Schutz des Übergangs vom internen Netzwerk ins Internet. Heute erweitert um Cloud-Anbindungen, Site-to-Site-VPNs, SD-WAN-Funktionalität und Remote-Access für mobile Mitarbeiter.

 

Rechenzentrums-Segmentierung

Trennung zwischen Produktionsumgebung, Entwicklung, Testumgebung, Management-Netzen. Inspection von Ost-West-Verkehr zwischen Servern – nicht nur Nord-Süd-Verkehr ins Internet.
 

Cloud- und Hybrid-Cloud

Virtuelle NGFW-Instanzen in Azure, AWS oder GCP – mit derselben Policy-Engine wie die On-Premise-Geräte. Konsistente Sicherheit unabhängig vom Ort der Workload.

 

Industrielle Netze (OT / SCADA)

Spezialvarianten mit Industrieprotokoll-Erkennung (Modbus, DNP3, IEC-104, PROFINET). Trennung zwischen IT- und OT-Netzen ohne den Produktionsbetrieb zu blockieren.

 

Remote Access & Zero-Trust-Network-Access

Moderne NGFWs lösen klassische VPN-Konzentratoren ab. Identitäts- und gerätekontextbasierter Zugriff statt vollvermaschtem Netzwerkzugriff nach VPN-Login.

 

Filialvernetzung & SD-WAN

Zentrale Policy, dezentrale Durchsetzung. Filialen mit kleineren Appliances, gemanagt aus der Zentrale, mit direktem sicheren Internet-Breakout zu Cloud-Anwendungen.

NGFW als Pfeiler einer Zero-Trust-Architektur

Zero Trust ist kein Produkt, sondern ein Architekturprinzip: Vertraue keinem Element nur aufgrund seines Standorts im Netzwerk. Jede Anfrage wird geprüft – jedes Mal, kontextbezogen.

 

Die NGFW ist in diesem Modell ein zentraler Durchsetzungspunkt (Policy Enforcement Point). Sie übersetzt das Identitäts- und Kontextwissen anderer Systeme in tatsächliche Netzwerksteuerung. Konkret:
 

  • Mit Identity-Plattformen: Policies wirken nutzerbasiert. Wird ein Konto kompromittiert und vom Identity-System gesperrt, blockt die Firewall sofort jeden Zugriff dieses Nutzers.

  • Mit Endpoint-Security (EDR/XDR): Wird ein Endpoint als kompromittiert markiert, isoliert die Firewall ihn netzwerkseitig – auch wenn er physisch noch verbunden ist.

  • Mit Mikrosegmentierung: NGFW liefert die grobe Netzwerksegmentierung, Mikrosegmentierung kümmert sich um die Workload-zu-Workload-Granularität. Zusammen ergibt das vollständige Ost-West-Kontrolle.

  • Mit SASE / SSE: Für mobile Nutzer übernimmt die SSE-Plattform die Durchsetzung in der Cloud. Die NGFW im Rechenzentrum spiegelt dieselben Policies für lokalen Verkehr.

  • Mit SIEM / XDR: Die Firewall liefert hochwertige Telemetrie – Anwendungsmetadaten, blockierte Verbindungen, dekodierte Bedrohungen – an die zentrale Analyseplattform.

Worauf es bei der Auswahl ankommt

Auf dem Markt finden sich eine Handvoll Enterprise-Hersteller, die NGFWs in ernstzunehmender Tiefe anbieten. Die Unterschiede liegen weniger in den Schlagwörtern, sondern in der technischen Tiefe und im Betriebsmodell. Diese Kriterien sind entscheidend:

 

  • Echte Application-ID: Werden Anwendungen tatsächlich verhaltensbasiert erkannt oder nur über statische Port-/URL-Listen? Wie viele Anwendungen werden granular unterschieden – Hunderte, Tausende?

  • Single-Pass-Architektur: Wird ein Paket einmal komplett analysiert (Anwendung, Nutzer, Bedrohung, Datei) oder läuft es durch mehrere serielle Engines? Single-Pass-Designs liefern bessere Performance bei voller Inspection.

  • Performance unter Last: Datenblattzahlen sind theoretisch. Entscheidend ist Durchsatz bei aktiviertem Threat Prevention, SSL-Decryption und Logging – nicht bei „Stateful Inspection only“.

  • Management-Konsole: Lassen sich mehrere Firewalls zentral aus einer Konsole verwalten, mit Policy-Hierarchien, Rollen-basierter Verwaltung, sauberer Change-Verwaltung?

  • Automation & API: Können Policies via API gesteuert werden? Lässt sich Infrastructure-as-Code praktizieren?

  • Threat-Intelligence-Qualität: Wie schnell werden neue Bedrohungen vom Hersteller in die Plattform eingespeist? Wie groß ist das eigene Forschungs-Team? Wie viele Telemetrie-Datenpunkte fließen ein?

  • Cloud-Konsistenz: Sind die virtuellen Instanzen funktional identisch mit den Hardware-Appliances? Oder gibt es Funktionslücken in der Cloud-Variante?

  • SASE-Roadmap: Bietet der Hersteller eine eigene SASE-/SSE-Plattform, die nahtlos mit der Firewall zusammenarbeitet? Oder muss man mehrere Hersteller integrieren?

  • Lizenzmodell: Wie transparent ist das Subscription-Modell? Welche Funktionen sind im Grundpreis, welche kostenpflichtig zusätzlich? Wie verhält sich das beim Hochskalieren?

  • Support- und Service-Qualität: Wo sitzen die Support-Teams? In welchen Sprachen? Wie sind die SLAs bei kritischen Vorfällen?

Warum „günstige“ Firewalls für Enterprise-Kunden keine Option sind

Es gibt eine Klasse von Firewalls, die im KMU-Segment dominieren – günstig, simpel, schnell aufgesetzt. Sie haben ihre Berechtigung in kleinen Umgebungen ohne nennenswerte Compliance-Anforderungen und ohne komplexe IT-Landschaft.

 

Für Enterprise-Umgebungen, regulierte Branchen und Unternehmen mit NIS-2-Pflicht sind sie keine ernsthafte Option. Die Gründe:

 

  • Begrenzte Application-ID-Tiefe – viele moderne Cloud-Anwendungen werden nicht zuverlässig erkannt

  • Performance bricht bei aktivierter Tiefeninspektion drastisch ein – aus 10 Gbit/s werden schnell 500 Mbit/s

  • Eingeschränkte Threat-Intelligence – kleinere Forschungsteams, langsamere Updates

  • Schwache Cloud-Integration – virtuelle Instanzen oft Funktions-eingeschränkt

  • Limitierte Skalierung in Multi-Firewall-Umgebungen, schwaches zentrales Management

  • Knappes Ökosystem an Integrationen mit Identity-, SIEM- und XDR-Plattformen

Die Rechnung kommt später.

Eine günstige Firewall, die im Ernstfall Ransomware-C2-Verkehr nicht erkennt, weil sie TLS nicht performant entschlüsseln kann, ist nicht billig. Sie ist die teuerste Komponente im Netzwerk. Wer billig kauft, kauft zweimal – und zahlt das zweite Mal an Erpresser, Forensiker, Anwälte und Aufsichtsbehörden.

Compliance: Was NIS-2 und DORA von einer Firewall erwarten

Beide Regulierungen formulieren keine konkreten Produktanforderungen – aber das, was sie verlangen, ist mit Legacy-Firewalls nicht zu liefern:

  • Nachweisbare Zugriffskontrolle auf Anwendungs- und Nutzerebene

  • Erkennung und Protokollierung sicherheitsrelevanter Ereignisse

  • Segmentierung kritischer Systeme und nachweisliche Trennung

  • Tiefeninspektion verschlüsselten Verkehrs in regulierten Umgebungen

  • Integration in zentrale Sicherheitsüberwachung (SIEM/XDR)

  • Belastbare Forensik-Daten im Vorfallsfall

 

Eine NGFW liefert all das als Basisfunktionalität. Eine Legacy-Firewall liefert es nicht – und macht den Nachweis der Compliance-Konformität praktisch unmöglich.​

Mehr über NIS2 und DORA erfahren

Der TrustHub-Ansatz: Auswahl mit Vendor-Insider-Wissen

Wir kommen aus den großen Herstellern. Wir kennen die Stärken und die Schwächen aus erster Hand – nicht aus dem Datenblatt. Wir wissen, wo eine bestimmte Plattform glänzt und wo ein anderer Hersteller die bessere Wahl ist.

 

Bei der Firewall-Entscheidung geht es um eine Komponente, die fünf bis sieben Jahre im produktiven Einsatz bleibt. Die richtige Wahl spart sechsstellige Folgekosten – die falsche Wahl produziert sie. Diese Entscheidung verdient eine herstellerneutrale Bewertung.

Wann lohnt sich das Gespräch?

Wenn Ihre aktuelle Firewall älter als fünf Jahre ist. Wenn TLS-Verkehr in Ihrem Netz nicht inspiziert wird. Wenn Sie aus dem KMU-Segment in den Enterprise-Bereich gewachsen sind. Wenn NIS-2 oder DORA Sie betrifft. Wenn Sie eine Zero-Trust-Architektur planen. Wenn Sie SD-WAN oder SASE einführen wollen. In all diesen Fällen ist die Firewall-Frage die erste, die saubere Antworten verdient.

Sprechen Sie uns an. 

bottom of page