Ein Schildsymbol mit Häkchen auf grünem Grund schwebt über einem Serverrack.
Security

Hardware-Firewalls: Das sind die Vorteile

Jeder Windows-Computer hat heute eine eigene Software-Firewall an Bord. Warum also noch im Firmennetz zusätzlich eine Hardware-Firewall einrichten? Und was unterscheidet eine Hardware-Firewall überhaupt von Software-Lösungen? Mehr dazu erfahren Sie in diesem Beitrag.

Wer im Internet unterwegs ist, sollte Computer und Netzwerk unbedingt mit einer Firewall schützen. Denn Cyberkriminelle greifen meist schon innerhalb der ersten Sekunden jedes neue Endgerät an, das sich mit dem Internet verbindet.

Viele Firmen setzen für den Schutz ihres Unternehmensnetzes auf leistungsfähige Hardware-Firewalls – zusätzlich zu den Software-Firewalls, die auf den meisten Büro-Computern vorhanden sind. Warum diese scheinbare Doppelung sinnvoll ist, erfahren Sie hier.

Inhaltsverzeichnis

Was ist eine Hardware-Firewall?

Eine Firewall ist eine Sicherheitseinrichtung, die Computer und Netzwerke vor Schadsoftware und Cyberattacken aus dem Internet schützt. Je nach Konfiguration sichert sie Anwender:innen dabei auch gegenüber Angriffen aus dem eigenen Netz ab.
Eine Firewall wird entweder direkt auf einem Endgerät installiert (als sogenannte Personal Firewall) oder zentral für ein ganzes Netzwerk eingerichtet (auch externe Firewall genannt). Im zweiten Fall wird sie in der Regel am Übergang zwischen dem lokalen Netzwerk und dem Internet eingerichtet.  
Auch Kombinationen aus mehreren Personal Firewalls mit einer oder mehreren Netzwerk-Firewalls sind in der Praxis häufig anzutreffen.Eine solche Netzwerk-Firewall kann in kleineren Netzen als zusätzliche Software auf einem vorhandenen Endgerät laufen, beispielsweise einem Internet-Router.  
In größeren Netzen wird die Netzwerk-Firewall in der Regel auf einer separaten Hardware installiert.  Eine solche Kombination aus speziell für diesen Zweck ausgelegter (dedizierter) Hardware und der darauf laufenden Firewall-Software wird daher auch als Hardware-Firewall bezeichnet.
Größere Hardware-Firewalls werden üblicherweise im Rackmount-Gehäuseformat gebaut, sodass sie direkt in einem Serverschrank im unternehmenseigenen Rechenzentrum oder Serverraum installiert werden können. Daneben gibt es kleinere Hardware-Firewalls als Auftisch-Geräte.  
Üblicherweise besitzt eine Hardware-Firewall ein eigenes Betriebssystem, auf dem die eigentliche Firewall-Software läuft. Daneben können weitere Anwendungen installiert werden, zum Beispiel ein sogenannter Proxyserver, sofern dieser nicht ohnehin bereits Bestandteil der jeweiligen Firewall-Architektur („Proxy-Firewall“) ist.   
Die Hardware-Firewall ist also immer ein Gesamtsystem aus speziell für ihren Bestimmungszweck optimierter Hardware und einer darauf laufenden Software. Eine reine Hardware-Firewall ohne Firewall-Software gibt es nicht. Der Grund dafür ist, dass eine Firewall regelmäßig aktualisiert und weiterentwickelt werden muss, da Hacker:innen ständig neue Schwachstellen in Netzwerken oder Betriebssystemen entdecken. Dies wäre mit einer Hardwarelösung nur schwer umsetzbar.

Unterschiede zu Software-Firewalls

Zwischen einer Hardware-Firewall und einer Software-Lösung gibt es zahlreiche Unterschiede: 
Hardware-Firewall 
Software-Firewall 
Läuft auf eigener Hardware mit eigenem Speicher am Übergang zum lokalen Netzwerk. 
Läuft auf nicht-exklusiver Hardware neben anderen Anwendungen. 
Kann eingehende Datenpakete analysieren und gegebenenfalls filtern, bevor diese die Netzwerk-Hardware oder Endgeräte erreichen. 
Untersucht Datenpakete im Netzwerk. 
Verfügt über eine hohe Rechenleistung, die auch aufwändige Analyseverfahren möglich macht – zum Beispiel Deep Packet Inspection oder künstliche Intelligenz. 
Arbeitet im Hintergrund und nutzt dabei nur einen kleinen Teil der Rechenleistung der Hardware, auf der sie installiert ist. Somit steht auch nur verhältnismäßig wenig Rechenleistung zur Verfügung, da sonst andere Prozesse auf demselben System zu stark ausgebremst würden.  
Funktioniert als geschlossenes System und arbeitet weiter auch bei Angriffen auf andere Netzwerkkomponenten oder Endgeräte im selben Netzwerk. 
Kann durch Sicherheitslücken anderer Anwendungen auf derselben Hardware mitbetroffen („korrumpiert“) werden. 
Bevorzugte Lösung in größeren Netzwerken mit eigenen Serverräumen oder Rechenzentren. 
Bevorzugte Lösung in kleineren Netzwerken in kleinen und mittelständischen Unternehmen und im Privatbereich. 
Für Installation und Einrichtung wird entsprechendes Fachwissen benötigt. 
Kann häufig auch von Laien installiert werden. 
 
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

So schützen Hardware-Firewalls Ihren Datenverkehr

Genau wie eine Software-Firewall liest und filtert auch eine Hardware-Firewall den Datenstrom zwischen zwei Netzen, üblicherweise dem Internet und einem lokalen Netzwerk – etwa einem Firmennetz. Die grundlegende Funktionsweise einer Firewall ist bei Hardware- und Software-Firewall identisch. So wenden Hardware-Firewalls viele Prüfverfahren an, die auch Software-Firewalls nutzen.  
Dazu gehören grundlegende Prozeduren,wie verdächtige IP-Adressen und Netzwerkports zu blockieren. Darüber hinaus beherrschen professionelle Hardware-Firewalls üblicherweise auch besonders rechenintensive Verfahren wie die Deep Packet Inspektion oder die Echtzeiterkennung und -abwehr bestimmter Angriffsmuster, beispielsweise DDoS-Attacken.  

Hardware-Firewalls: Mögliche Gerätearchtitekturen

Bei Hardware-Firewalls haben sich drei verschiedene Gerätearchitekturen herausgebildet. Dies sind im Einzelnen:  

Bridging-Firewall

Das ISO/OSI-Schichtenmodell

Das sogenannte ISO/OSI-Schichtenmodell ist ein standardisiertes Modell zur Verdeutlichung der einzelnen „Ebenen“, die bei der Verarbeitung von Datenpaketen zwecks Übertragung durch das Internet eine Rolle spielen. Mehr zu dessen Aufbau lesen Sie in unserem separaten Beitrag zur Funktionsweise von Firewalls.

Die Bridging-Firewall verhält sich wie eine Netzwerk-Bridge und verbindet internes Netz und Internet auf der Netzwerk-Ebene 2, der sogenannten Sicherungsschicht im ISO/OSI-Modell. Dabei lässt sie nur solche Anfragen durch, die für eine bestimmte Geräteadresse im jeweils anderen Netzwerk bestimmt sind. Je nach Konfiguration untersucht sie alle durchgeleiteten Daten auf Schadsoftware und Angriffe.   
Vorteil: Die Bridging-Firewall besitzt selbst keine nach außen hin sichtbare IP-Adresse, wodurch sie für Cyberattacken unempfindlich ist, die gegen IP-Adressen gerichtet sind. 
Nachteil: Die Bridging-Firewall erkennt viele Angriffe auf höheren Netzwerkebenen nicht. Sie wird daher in der Regel nur in Verbindung mit weiteren Sicherheitseinrichtungen genutzt, beispielsweise einer weiteren Hardware-Firewall oder einem Secure Web-Gateway. Die Bridging-Firewall ist in vielen Netzwerkkomponenten bereits herstellerseitig verbaut, damit Firmennetze sie intern verwenden können. 
Grafik zeigt die Funktion einer Bridging-Firewall
Die Bridging-Firewall bildet eine Netzwerk-Bridge auf der Ebene 2 nach.

Routing-Firewall

Diese Firewall arbeitet auf der Netzwerk-Ebene 3 (Vermittlungs- oder Paketebene), auf der sie ein- und ausgehende Datenpakete aktiv zu ihren jeweiligen Zieladressen routet. Auch sie untersucht je nach Konfiguration die Paketinhalte auf Schadprogramme und filtert diese heraus. Die Routing-Firewall ist der gegenwärtig am weitesten verbreitete Typ einer Hardware-Firewall. Wie die Bridging-Firewall ist sie ebenfalls in vielen Netzwerkkomponenten schon herstellerseitig verbaut, beispielsweise in zahlreichen Routern.   
Vorteil: Gegenüber der Bridging-Firewall erkennt die Routing-Firewall deutlich mehr Cyberattacken.  
Nachteil: Da sie für Angreifer vom Internet aus sichtbar ist, kann sie im Unterschied zur Bridging-Firewall auch selbst Ziel einer Hackingattacke werden.   
Grafik zeigt die Funktion einer Routing-Firewall
Die Routing-Firewall arbeitet wie ein Internetrouter oder als Bestandteil desselben auf der Ebene 3.

Die Proxy-Firewall

Diese Hardware-Firewall arbeitet auf der obersten Netzwerkebene, also der sogenannten Anwendungsebene (Ebene 7). Damit kann sie beispielsweise Suchanfragen für das Internet von Computern aus dem internen Netzwerk direkt entgegennehmen und weiterverarbeiten.   
Aus allen Anfragen entfernt sie die Absenderadressen der internen Computer, ersetzt diese mit ihrer eigenen IP-Adresse und sendet sie dann stellvertretend (englisch: „proxy“) für die eigentlichen Absender in das Internet. Alle von dort eingehenden Antworten leitet sie wiederum an die anfragenden Computer im internen Netzwerk weiter, ohne nach außen hin deren IP-Adressen preiszugeben.  Dabei erkennt die Proxy-Firewall viele Hackingangriffe und bestimmte Formen von Schadsoftware auf allen Netzwerkebenen und entfernt diese aus dem Datenstrom. Dadurch können Angreifer:innen von außen die interne Struktur des Firmennetzes nur sehr schwer ausspionieren.  Moderne Proxy-Firewalls erhalten Sie in der Regel als sogenannte NGFW-Firewall. Die Abkürzung steht für „Next Generation Firewall“, also für eine Firewall der neuesten Generation.  
Eine solche NGFW-Firewall bietet weitergehende Scanfunktionen für durchlaufende Datenströme, darunter Deep Packet Inspection (DPI), SSL/TLS-Termination und ThreatIntelligence.  NGFW-Firewalls gibt es auch als separate Software-Lösungen sowie in vielen Rechenzentren als Firewall-as-a-Service (FwaaS) für die eigene Firmencloud.
Vorteil: Die Proxy-Firewall bietet den besten Schutz unter allen Hardware-Firewalls. Als Proxyserver entlastet sie außerdem ihren Internetzugang, indem sie viele Standardabfragen aus dem Firmennetz direkt aus ihrem internen Speicher beantwortet. 
Nachteil: Bedingt durch die eigene IP-Adresse ist die Proxy-Firewall grundsätzlich von außen leichter angreifbar als eine Bridging-Firewall. Hier sind also weitere Schutzmaßnahmen notwendig, damit nicht das gesamte Netz über die Firewall-Hardware kompromittiert wird.Die Proxy-Firewall führt sehr rechenintensive Scans durch.Sie braucht deshalb schnelle Prozessoren und viel Arbeitsspeicher und ist in der Regel deutlich teurer als eine Bridging- oder Routing-Firewall. Große Netze arbeiten häufig auch mit mehreren Proxy-Firewalls, die jeweils nur einzelne Protokolle bedienen, beispielsweise den E-Mail-Verkehr (smtp, imap oder pop3) oder Webabfragen via http. 
Grafik zeigt die Funktion einer Proxy-Firewall
Die Proxy-Firewall tritt nach außen als Stellvertreter aller Computer des internen Netzwerkes auf und kann in dieser Funktion zahlreiche Angriffe aus dem Internet abfangen.

Die Vorteile im Überblick

Gegenüber einer Software-Firewall bietet die Hardware-Firewall zahlreiche Vorteile. Die wichtigsten sind: 
  • Vorgelagerter Schutz: Eine Hardware-Firewall analysiert eingehende Datenpakete, noch bevor diese Ihr eigentliches Firmennetzerreichen. 
  • Zusätzliche Sicherheit durch technische Trennung der Systemebenen: Eine Hardware-Firewall arbeitet selbst dann noch zuverlässig, wenn alle Produktivsysteme in Ihrem Firmennetz bereits durch Malware gekapert oder deaktiviert sind. 
  • Besserer Schutz gegen Hackingattacken: Die Technik verwendet ein proprietäres oder besonders sicheres Betriebssystem für die Hardware-Firewall. Darauf funktioniert verbreitete Malware nicht, weshalb es weniger Angriffspunkte gibt. 
  • Schutz gegen viele Malwaretypen durch Reduktion von Schnittstellen und Hardware-Komponenten:Eine Hardware-Firewall ohne Grafikkarte und USB-Port ist beispielsweise sicher gegenüber Schadcode in Grafikkartentreibern oder auf USB-Sticks.  
  • Höhere Immunität gegen bestimmte Angriffsformen aufgrund nicht vorhandener IP-Adresse:Dieser Vorteil gilt nur für Bridging-Firewall.  
  • Besserer Administrierbarkeit: Ihre IT-Abteilung oder Ihr IT-Dienstleister kann Ihre Hardware-Firewall üblicherweise aus der Ferne überwachen und bei Bedarf über diese Wartungsschnittstellen auch eingreifen – zum Beispiel um erkannte DDoS-Attacken besser abzuwehren oder bestimmte externe IP-Adressen für das gesamte Firmennetz zu sperren („blacklisten“). 
Eine junge Frau steht mit einem Laptop in der Hand vor mehreren Serverschränken in einem Rechenzentrum.
Eine Hardware-Firewall wird zum Beispiel im firmeneigenen Rechenzentrum am Übergang vom internen Netzwerk zum Internet eingerichtet.
Grundsätzlich haben sowohl Hardware-, als auch Software-Firewalls in größeren Netzwerken ihre Berechtigung, sodass viele Unternehmen beide Technologien kombinieren.So schützt eine Software-Firewall als Personal Firewall am Arbeitsplatz Ihr Firmennetz beispielsweise gegen viele Gefahren von innen. Dies kann etwa Malware auf infizierten USB-Sticks oder auf firmenfremden Endgeräten sein - Stichwort: BYOD („Bring Your Own Device”).  
Viele Angreifer:innen versenden Schadprogramme in Zip-Dateien oder anderen Datenkompressionsformaten, damit Hardware-Firewalls den Code auf dem Weg zum Zielcomputer nicht erkennen können.Auch hier schlägt eine gute Software-Firewall Alarm, sobald die Malware auf dem Zielsystem entpackt wird.  
In größeren Netzen geraten Software-Firewalls jedoch bald an Grenzen und sollten dann nur noch in Verbindung mit einer Hardware-Firewall betrieben werden. Beispielsweise sollten in der Regel zentral über die Hardware-Firewall gefährliche IP-Regionen und Ports gesperrt werden und bekannte E-Mailviren abgewehrt werden. 
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

So wählen Sie die richtige Hardware-Firewall für Ihr Unternehmen

Jedes Firmennetz ist anders und jede Hardware-Firewall hat spezifische Stärken und Schwächen, für die jeweils andere Cybersecurity-Maßnahmen sinnvoll und notwendig sind. Somit gibt es auch nicht die eine optimale Hardware-Firewall für alle Firmennetze. In kleineren Unternehmensnetzen reicht häufig schon eine einfache Auftisch-Firewall mit wenigen Netzwerkanschlüssen.  
Für mittelgroße und größere Netze werden Sie wahrscheinlich zu einer Serverlösung greifen, die Sie üblicherweise zusammen mit einem Wartungsvertrag anmieten oder erwerben.  
Im Idealfall kombinieren Sie Ihre Hardware-Firewall mit Software-Firewalls auf allen Endgeräten und Bridging- und Routing-Firewalls in Ihren Netzwerkkomponenten. So verhindern Sie wirksam, dass gängige Cyberattacken von innen heraus weitere Arbeitsplatzcomputer oder ganze Unternehmensabteilungen befallen. 
 Die nachfolgenden Fragen helfen Ihnen dabei, Ihren Bedarf besser zu spezifizieren, um so leichter eine Auswahl zu treffen: 
  • Wie groß ist das Netzwerk, das Sie schützen möchten? Ermitteln Sie hierfür die ungefähre Anzahl der Endgeräte und auch das durchschnittliche Datenvolumen, das monatlich zwischen Internet und Firmennetz abgewickelt wird.  
  • Ist Ihr Unternehmen lokal an einem Standort angesiedelt oder arbeiten Sie in einem dezentralen Netz mit mehreren Einzelstandorten, die Sie jeweils getrennt absichern müssen? Planen Sie gegebenenfalls, diese Teilnetze mittels Standortvernetzung zu einem großen Netz zu verbinden? 
  • Welche Firewall-Funktionen möchten und können Sie weiterhin über Software-Firewalls auf den einzelnen Arbeitsplatzcomputernabbilden?  
  • Besteht die Notwendigkeit, die vorhandenen Endgeräte Ihrer Mitarbeiter:innen zukünftig stärker zu entlasten, indem Sie Virenscans, Spam-Erkennung und andere Sicherheitsfunktionen stärker zentralisieren? 
  • Betreiben Sie in Ihrem Netz eigene Webserver oder Produktionsserver, die Sie mit dem Internet oder den Netzwerken Ihrer Kunden verbinden? 
  • Arbeiten Ihre Mitarbeiter:innen im Homeoffice und wählen sich häufig per VPN-Verbindung ein? 
  • Verfolgen Sie in Ihrem Unternehmen die Sicherheitsphilosophie Zero Trust und haben Sie entsprechend viel Datenverkehr mit internen oder externen Zertifizierungs- und Anmeldeservern? 
Wenn Sie diese Fragen für Ihr Unternehmen geklärt haben, können Sie auf dieser Basis leichter die passende Hardware-Firewall finden. Prüfen Sie auch, ob möglicherweise eine Private Cloud mit vorgeschalteter Firewall-as-a-Service (FwaaS)für Sie interessant sein könnte.  
Tipp: Wenn Sie sich bei einzelnen Punkten unsicher sind, sollten Sie nicht zögern, die Hilfe von externen Cybersicherheitsexpert:innen in Anspruch zu nehmen. Bereits eine einzige erfolgreiche Malware-Attacke etwa durch Ransomware kann Sie schnell Millionen kosten.   
Knapp drei Viertel aller deutschen Unternehmen waren im letzten Jahr von Cyberattacken betroffen. Die Gesamtschadenshöhe lag bei über 200 Milliarden Euro – so eine Studie des Branchenverbandes Bitkom. 
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Das Wichtigste zu Hardware-Firewalls in Kürze

  • Eine Hardware-Firewall schützt als externe Firewall Firmennetze vor Cyberattacken aus dem Internet. 
  • In mittelgroßen und größeren Netzwerken werden Hardware-Firewalls in der Regel an zentraler Stelle im Serverraum oder Rechenzentrum verbaut, wo sie direkt am Übergabepunkt zum Internet eingerichtet werden. 
  • Hardware-Firewalls werden häufig mit weiteren Software-Firewalls auf den einzelnen Endgeräten kombiniert. Beide Technologien erfüllen dann unterschiedliche Aufgaben. 
  • Mit Bridging-Firewalls, Routing-Firewalls und Proxy-Firewalls gibt es drei unterschiedliche Typen von Hardware-Firewalls. Sie unterscheiden sich in den Netzwerkschichten, auf denen sie arbeiten und die sie überwachen. 
  • Nur eine Proxy-Firewall kann den gesamten Netzwerkverkehr intelligent filtern und auch solche Attacken erkennen, die beispielsweise auf der Anwendungsebene erfolgen. 
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort