احÙد Ùشا٠- stock.adobe.

Ratgeber

Next-Generation Firewalls: Kurze Kaufberatung für CISOs

NGFWs sind unverzichtbare Werkzeuge für den modernen Sicherheitsbetrieb. CISOs müssen jedoch die oft komplexen Auswirkungen auf Bereitstellung, Wartung und Budgetierung verstehen.

Karen Kent
von
Zuletzt aktualisiert: 16 Apr. 2026

CISOs wissen, dass Next-Generation-Firewalls (NGFW) ihre Unternehmen schützen, indem sie eine Vielzahl von Sicherheitsvorfällen erkennen, auf Cyberangriffe reagieren, die Netzwerkaktivität überwachen und Unternehmensrichtlinien durchsetzen. NGFWs sind zudem unverzichtbar, wenn Unternehmen Zero-Trust-Architekturen einführen.

Um alle Vorteile von NGFWs voll auszuschöpfen, müssen Sicherheitsverantwortliche die Planung der Bereitstellungsarchitektur, die Budgetierung und den ROI in Einklang bringen. Im Folgenden werden einige Best Practices vorgestellt, die CISOs dabei helfen, ihre NGFW erfolgreich bereitzustellen und zu warten.

Bereitstellungsarchitektur

Die meisten NGFW-Produkte sind in verschiedenen Bereitstellungsmodellen erhältlich: als Hardware-Appliances, als Software zur Installation auf unternehmenseigener Hardware, als Cloud-basierte Software oder als Cloud-basiertes SaaS. In den meisten Fällen kann ein Unternehmen diese Modelle innerhalb einer einzigen Bereitstellungsarchitektur nutzen. Dies könnte beispielsweise eine SaaS-NGFW zur Überwachung des Cloud-basierten Netzwerkverkehrs, eine NGFW-Hardware-Appliance zur Überwachung des Datenverkehrs in lokalen Rechenzentren und eine einzige Schnittstelle zur Verwaltung aller NGFWs umfassen.

Die Gestaltung der Bereitstellungsarchitektur erfordert die Entscheidung, welches Bereitstellungsmodell an logischen Netzwerk-Ein- und Ausgangspunkten verwendet werden soll, einschließlich der Grenzen zwischen zwei Unternehmensnetzwerken. Zu berücksichtigende Faktoren sind unter anderem die folgenden:

  • Skalierbarkeit: CISOs müssen die zukünftigen Skalierungsanforderungen des Unternehmens berücksichtigen. Wählen Sie beispielsweise ein softwarebasiertes NGFW-Bereitstellungsmodell, wenn in den nächsten Jahren mit einem Anstieg des Netzwerkdurchsatzes zu rechnen ist.
  • Überwachung: Hier ist zu berücksichtigen, ob die IT-Teams den Netzwerkverkehr an bestehenden Standorten effizient überwachen können oder ob der Datenverkehr über NGFWs an anderen Standorten umgeleitet werden muss.
  • Zuverlässigkeit: IT-Teams sollten die Zuverlässigkeitsanforderungen für jede Bereitstellung verstehen und wissen, wie diese zu erreichen sind – beispielsweise durch Lastenausgleich über mehrere Hardware-Firewalls oder Cloud-Instanzen hinweg.
  • Kontrolle: Bewerten Sie den erforderlichen Grad an Kontrolle über NGFW-Bereitstellungen – von der Überwachung und Verwaltung aller NGFWs vor Ort bis hin zur Beauftragung eines Dienstleisters mit dieser Aufgabe.
  • Funktionen: Berücksichtigen Sie bei Ihrer Entscheidung die Möglichkeit, im Laufe der Zeit NGFW-Funktionen und -Fähigkeiten hinzuzufügen, wie etwa fortschrittliche KI-Technologien, ohne die Leistung oder Zuverlässigkeit des Tools zu beeinträchtigen.

Budgetplanung

Die Angebote der verschiedenen NGFW-Hersteller umfassen jeweils eine einzigartige Kombination aus Anschaffungskosten, Lizenzierung, Abonnements und Funktionen. Die Bewertung dieser Produkte kann sehr zeitaufwendig sein und erfordert einen direkten Vergleich, um die budgetären Auswirkungen eines Bereitstellungsmodells für jeden Netzwerkknoten vollständig zu verstehen.

Im Folgenden sind einige gängige Anschaffungs- und Implementierungskosten für NGFWs aufgeführt. Bitte beachten Sie, dass einige Kosten nur für bestimmte Bereitstellungsmodelle gelten:

  • Hardware-Appliances oder Standardhardware zum Ausführen der NGFW-Software.
  • Einmalige und wiederkehrende Lizenzen und Abonnements, einschließlich Gebühren für technischen Support.
  • Bereitstellung von Tool- oder Servicekomponenten, wie beispielsweise einzelnen NGFWs und Verwaltungskonsolen.
  • Integration der NGFW in Unternehmenstechnologien, einschließlich Log-Managementsystemen sowie Identitäts- und Zugriffsmanagement-Tools.
  • Schulungen für NGFW-Implementierer, Administratoren und Stakeholder sowie wiederkehrende Schulungsgebühren.
  • Sicherung des NGFW-Tools oder -Dienstes und seiner einzelnen Komponenten.
  • Pilotierung und Bereitstellung.
  • Umstellung und Ausmusterung von Legacy-Technologien.
  • Upgrade-Kosten.
  • Personalkosten für die Verwaltung, Überwachung und Wartung von NGFWs.

Die Betriebskosten variieren je nach Bereitstellungsmodell. So ist beispielsweise die Schätzung der Betriebskosten für Cloud-basierte NGFW-Bereitstellungen besonders komplex. Einige NGFW-Anbieter bieten ausgefeilte Preisrechner an, die die Anzahl der NGFWs, optionale Sicherheitsdienste, das durch jede NGFW fließende Netzwerkdatenvolumen, die Tool-Architektur, Verwaltungsoptionen und den technischen Support berücksichtigen.

On-Premises-Bereitstellungsmodelle lassen sich dagegen leichter einschätzen, da sie auf bekannten Investitionen in ähnliche Cybersicherheitstechnologien basieren.

ROI

Für CISOs ist es herausfordernd, den tatsächlichen ROI von NGFWs und anderen Cybersicherheitstechnologien zu ermitteln. Das Risiko beziehungsweise der geldwerte Vorteil, der sich aus dem Verzicht auf eine NGFW ergibt, lässt sich nur schwer gegen die Kosten eines hypothetischen Cyberangriffs abwägen, den diese Technologie verhindern würde.

Im Allgemeinen lässt sich der Wert von NGFW-Technologien anhand der Verringerung von Datenlecks und abgewehrten Angriffen, effizienterer Reaktionszeiten bei Vorfällen, Personalersparnissen, der Vermeidung von Reputationsschäden und einer höheren Systemverfügbarkeit nachweisen.

Berücksichtigen Sie bei der Ermittlung des tatsächlichen ROI einer NGFW bitte auch, ob andere Cybersicherheitstechnologien den Vorfall hätten verhindern können. Das bedeutet nicht, dass die NGFW keinen Mehrwert geboten hat, denn es ist immer ratsam, mehrere Kontrollschichten als Ausfallsicherung zu haben. Es bedeutet lediglich, dass der ROI der NGFW nicht so hoch ist, wie er wäre, wenn sie das einzige eingesetzte Tool wäre.

Erfahren Sie mehr über Netzwerksicherheit