Netzwerke & Perimeter
Säule 5NIS2KRITISBSI-GRUNDSCHUTZDORA

Next-Generation-Firewall

Praxis-Szenario

Ein Handwerksbetrieb nutzt eine 8 Jahre alte Fritzbox als einzige Firewall. Ein Angreifer nutzt eine bekannte Schwachstelle und gelangt ins Netzwerk. Von dort breitet er sich lateral aus — Fileserver, Buchhaltung, E-Mail-Server: alles kompromittiert. Eine moderne NGFW erkennt nicht nur Ports, sondern Anwendungen und Bedrohungsmuster. Sie ist der Türsteher, der nicht nur den Ausweis prüft, sondern auch das Verhalten beobachtet.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. a

Netzwerksicherheit und Schutz der Kommunikationsinfrastruktur

KRITISBSIG 8a Abs. 1

Schutz kritischer Infrastrukturkomponenten vor Netzwerkangriffen

BSI IT-GrundschutzBSI NET.3.2

Absicherung der Netzübergänge und Firewalling

DORADORA Art. 9 Abs. 2

Schutzmechanismen für Netzwerke und Kommunikationskanäle

Lösung & Umsetzung

1. NGFW auswählen: OPNsense (kostenlos), Sophos XGS, FortiGate (KMU-Modelle ab 500€) 2. Grundregeln: Deny-All als Default, nur explizit erlaubte Verbindungen 3. IDS/IPS aktivieren: Einbruchserkennung und -verhinderung 4. Geo-Blocking: Länder blockieren, mit denen kein Geschäftsverkehr besteht 5. Regelmäßige Regel-Review: Vierteljährlich veraltete Regeln entfernen

Ihr Mehrwert

Eine NGFW blockiert 95% der automatisierten Angriffe. IDS/IPS erkennt Anomalien in Echtzeit. OPNsense als Open-Source-Lösung kostet nur die Hardware (~300€). Pflichtanforderung für NIS2-regulierte Unternehmen.

Nächster Schritt

Evaluieren Sie Ihre aktuelle Firewall-Lösung. Prüfen Sie, ob IDS/IPS aktiviert ist und ob die Regeln aktuell sind.

Verwandte Maßnahmen

Netzwerksegmentierung

VPN & Remote-Zugang