Firewall-Refresh: Zeitpunkt, Risiken und Architekturfragen

Netzwerk- und Sicherheitsarchitektur im Umbruch Firewall-Refresh zwischen Lebenszyklus und Architekturwandel

19.01.2026 Ein Gastbeitrag von Pantelis Astenburg 4 min Lesedauer

Anbieter zum Thema

Versa Networks

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

FAST LTA GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

Firewalls gelten weiterhin als zentrales Sicherheitselement, unterliegen jedoch klaren technischen und wirtschaftlichen Grenzen. Ein geplanter Refresh eröffnet Spielräume für Zero Trust, Konsolidierung und neue Betriebsmodelle.

Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen.(Bild: © Woodapple - stock.adobe.com) — Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen.
(Bild: © Woodapple - stock.adobe.com)

Regelmäßige Investitionen in Technologie sind für Unternehmen von entscheidender Bedeutung, um ihre Netzwerke, Daten, Geräte und Benutzer vor externen Bedrohungen zu schützen. Ein traditioneller Grundpfeiler der Cybersicherheit ist dabei die Firewall.

Neue Angriffsvariante gegen Cisco ASA und FTD: Ungepatchte VPN-Endpunkte führen zu unerwarteten Neustarts und Denial-of-Service-Angriffen. Updates für CVE-2025-20333 und CVE-2025-20362 stehen bereit. (©cendhika - stock.adobe.com)

Doch auch diese hat nur einen begrenzten Lebenszyklus. Die meisten Experten empfehlen eine Erneuerung der Firewall alle fünf bis sieben Jahre. Wartet man zu lange, steigen angesichts der sich entwickelnden Cyberbedrohungen die Risiken. Ist man „zu früh“ dran, sind die Ausgaben meist höher als nötig.

Folgende Indikatoren sprechen für eine Aktualisierung der Firewalls:

Steigende Bedrohungslage: Cyberkriminelle finden ständig neue Wege, um Unternehmen anzugreifen. Deshalb müssen auch die Verteidiger sich stets weiterentwickeln und den Angreifern möglichst einen Schritt voraus sein.

Steigende Leistungsanforderungen: Mit der zunehmenden Verbreitung von Cloud- und SaaS-Lösungen erfüllen die meisten älteren Firewalls die gestiegenen Durchsatzanforderungen nicht mehr.

Ende des Supports (EOS): Firewall-Hersteller beenden ab einer bestimmten Zeit die Unterstützung für ältere Geräte. Entsprechend werden keine Updates und Ersatzteile mehr bereitgestellt.

Technologischer Fortschritt: Bestehende Hardware ist oftmals nicht in der Lage, erweiterte Sicherheitsfunktionen wie Advanced Threat Protection (ATP) oder innovative Technologien wie Künstliche Intelligenz (KI) zu unterstützen.

Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)

Einführung einer Zero-Trust-Architektur

Die Aktualisierung einer Firewall bietet eine hervorragende Gelegenheit für die Einführung neuer Sicherheitsansätze. Zero Trust hat sich dabei als effektive Grundlage einer robusten und anpassungsfähigen Sicherheitsstrategie etabliert. Dies liegt unter anderem an folgenden Punkten:

Zero Trust beseitigt implizites Vertrauen durch kontinuierliche Überprüfung aller Benutzer und Geräte, unabhängig vom Standort.

Durch Segmentierung des Netzwerks und strenge Zugriffskontrolle wird die Angriffsfläche deutlich reduziert. Firewalls spielen dabei eine entscheidende Rolle.

Nur authentifizierte und autorisierte Benutzer können auf sensible Daten und Anwendungen zugreifen. Auf diese Weise werden Datenschutzverletzungen verhindert.

Durch die konsequente Anwendung von Sicherheitsrichtlinien im gesamten Unternehmen wird die Compliance deutlich vereinfacht.

Zero Trust verbessert zudem die Transparenz und Kontrolle des Netzwerkverkehrs und der Benutzeraktivitäten und erkennt und blockiert böswilliges Verhalten.

Zero Trust verlangt kontinuierliche Prüfung aller Zugriffe – ein Balanceakt zwischen maximaler Sicherheit und praktikabler Usability. (Bild: © Bartek - stock.adobe.com)

Zeit für eine Konsolidierung

Eine gut geplante Firewall-Aktualisierung geht über die Anschaffung neuer Geräte hinaus. Sie kann viel mehr der Startpunkt für den Aufbau einer sichereren, effizienteren und skalierbaren Security-Infrastruktur sein. Sicherheitsverantwortliche haben so die Gelegenheit, die Vielzahl an Geräten an ihren Standorten neu zu bewerten und mehrere Funktionen wie Sicherheit und SD-WAN in einem einzigen Gerät zu konsolidieren. Die Architektur kann wesentlich vereinfacht und Kosten gesenkt werden.

Die Wahl der passenden Firewall

Eine sorgfältige Planung und vergleichende Analyse der bestehenden Firewalls mit anderen Firewall-Lösungen können die Sicherheit nachhaltig verbessern. Dabei sollten insbesondere folgende Punkte betrachtet werden:

Effektivität: Wie effektiv schützt und kontrolliert die Firewall den Netzwerkzugriff, Anwendungen und Benutzer? Wie wirksam verhindert sie Bedrohungen und blockiert bösartigen Datenverkehr?

Bedrohungsprävention: Wie gut schützt die Firewall ein vertrauenswürdiges Netzwerk vor einem nicht vertrauenswürdigen Netzwerk, während sie autorisierte Kommunikation durchlässt?

Durchsatz: Wie leistungsfähig ist die Firewall unter verschiedenen widrigen Bedingungen wie maximaler Anzahl von Verbindungen, Transaktionen pro Sekunde, Parallelität, Durchsatz und Latenz?

Kosten und Mehrwert: Wie kosteneffizient ist die Firewall in Bezug auf Leistung, Verwaltbarkeit und Sicherheit?

Herstellerbindung: Wenn Software, ASICs (anwendungsspezifische integrierte Schaltkreise) und Hardware in Firewalls eng miteinander verbunden sind, ist eine Herstellerbindung unvermeidlich. Um diese Abhängigkeit zu reduzieren, sollten Sicherheitsverantwortliche offene Standards, eine modulare Architektur und Umgebungen mit mehreren Anbietern in Betracht ziehen.

Der Firewall-Refresh ist eine ideale Gelegenheit, seine Sicherheitsstrategie zu überdenken und sie an neue Herausforderungen anzupassen. Dabei sollte man sich nicht blind auf die von den Herstellern angegebenen Aktualisierungszyklen verlassen. Vielmehr sollten Sicherheitsverantwortliche ihre Sicherheits- und Leistungsanforderungen kontinuierlich bewerten.

Firewalls und das dafür verwendete Betriebssystem PAN-OS von Palo Alto sind aktuell Ziel von Cyberattacken. (Bild: sasun Bughdaryan - stock.adobe.com)

So können sie zeitnah erkennen, ob eine geänderte Architektur oder ein neuer Anbieter Zero Trust, Cloud und SD-WAN kostengünstiger umsetzen kann. Ein entscheidender Aspekt dabei ist auch die Bündelung von Sicherheitsfunktionen. Die Konsolidierung von Firewall, SD-WAN, SASE/SSE, IoT-Sicherheit und sogar der LAN-Infrastruktur reduziert die Komplexität, senkt die Gesamtbetriebskosten und macht das Netzwerk zukunftssicher.

Sicherheitsverantwortliche sollten bei der (Neu-)Bewertung auf unabhängige Ressourcen wie CyberRatings.org oder Gartner zurückgreifen. Auf diese Weise lassen sich Bewertungen und Features objektiv vergleichen, vorteilhaftere Konditionen aushandeln und die für das Unternehmen am besten geeignete Lösung auswählen.

Über den Autor: Pantelis Astenburg, Vice President Global Sales DACH von Versa Networks.

Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)

(ID:50679680)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.

Netzwerk- und Sicherheitsarchitektur im Umbruch Firewall-Refresh zwischen Lebens­zyklus und Architekturwandel