Zum Inhalt springen

Warum Ihre Firewall-Regeln Ihr Größtes Risiko Sind

Regelwucherung, verdeckte Richtlinien und übermäßig freizügiger Zugang — wie Konfigurationsgovernance Sicherheitsvorfälle verhindert.
10. Mai 2026 durch
Warum Ihre Firewall-Regeln Ihr Größtes Risiko Sind
Layer7 Networking, Neil Beulecke

Wir haben über 400 Firewall-Konfigurationen in südafrikanischen Organisationen geprüft. Die durchschnittliche Unternehmens-Firewall hat 847 Regeln. Davon sind etwa 23 % redundant, 11 % werden überlagert und mindestens 4 % enthalten übermäßig permissive "Any-Any"-Anweisungen, die den Zweck der Firewall effektiv aufheben.

Von Neil Beulecke, Geschäftsführer — Layer7 Networking

Das Problem der Regelwucherung

Firewall-Regeln sammeln sich wie Sedimentgestein an. Jedes Projekt, jede Anbieterbereitstellung, jede Notfalländerung fügt Regeln hinzu. Fast niemand entfernt sie. Nach fünf Jahren trägt eine typische Unternehmens-Firewall Hunderte von Regeln, die niemand vollständig versteht, und keine einzelne Person kann die geschäftliche Begründung für jede erklären.

Das ist keine theoretische Sorge. In unseren Firewall Assurance and Compliance (FAC)-Bewertungen finden wir routinemäßig:

  • Überlagerte Regeln — Regeln, die nie mit Verkehr übereinstimmen, weil eine breitere Regel darüber alles zuerst abfängt. Diese zeigen, dass der Regelautor die bestehende Richtlinie nicht verstanden hat. Sie sind Rauschen, aber auch Beleg für schlechtes Änderungsmanagement.
  • Redundante Regeln — mehrere Regeln, die den gleichen Effekt erzielen. Sie erhöhen den Verarbeitungsaufwand und erschweren Audits.
  • Übermäßig permissive Regeln — die klassische „Any Source, Any Destination, Any Service, Permit"-Regel, die während einer Fehlersuche um 2 Uhr morgens hinzugefügt und nie entfernt wurde. Wir fanden eine Organisation mit 17 davon auf ihren Produktions-Firewalls.
  • Regeln, die stillgelegte Hosts referenzieren — Server, die vor Jahren außer Betrieb genommen wurden, aber immer noch Firewall-Regeln haben, die Verkehr zu ihren früheren IP-Adressen erlauben, die jetzt möglicherweise anderen Systemen zugewiesen sind.

Why This Matters

A firewall with 800+ unreviewed rules isn't a security control — it's a compliance checkbox. Attackers don't need to bypass your firewall if your rules already permit the traffic they need. Lateral movement, command-and-control callbacks, data exfiltration — if your rules are permissive enough, the firewall logs the traffic and waves it through.

We've seen breaches where the forensic investigation revealed that every single step of the kill chain traversed the firewall legitimately — because the rules allowed it.

The Review Cadence Problem

Most organisations we work with have no formal firewall rule review process. Those that do typically review annually — which is insufficient given the pace of infrastructure change. Best practice is quarterly review of all rules, with monthly review of any rule flagged as high-risk (broad permissions, internet-facing, or critical asset access).

The challenge is that manual rule review doesn't scale. Reading 800 rules line by line is tedious, error-prone, and requires deep knowledge of both the network topology and the business context for each rule. This is why automated policy analysis tools exist — and why they should be part of every organisation's security toolkit.

Layer7's FAC Approach

Our Firewall Assurance and Compliance service takes a structured approach:

  1. Baseline-Audit. Wir erfassen den kompletten Regelsatz und führen automatisierte Analysen durch, um überlagerte, redundante, übermäßig permissive und verwaiste Regeln zu identifizieren. Dies reduziert den Regelsatz typischerweise um 20-30 % beim ersten Durchlauf.
  2. Geschäftskontext-Mapping. Wir arbeiten mit den Netzwerk- und Anwendungsteams des Kunden zusammen, um verbleibende Regeln geschäftlichen Begründungen zuzuordnen. Jede Regel, die nicht begründet werden kann, wird zur Entfernung markiert.
  3. Risikobasierte Priorisierung. Nicht alle Regelverstöße sind gleich. Eine Any-Any-Regel in einem internen Management-VLAN ist weniger riskant als eine am internetexponierten Perimeter. Wir bewerten und priorisieren die Ergebnisse entsprechend.
  4. Kontinuierliche Governance. Wir etablieren einen Änderungsmanagementprozess für Firewall-Regeln — keine Regel wird ohne dokumentierte geschäftliche Begründung, Ablaufdatum und Verantwortlichen hinzugefügt. Regeln werden in einem definierten Rhythmus überprüft.
  5. Berichterstattung und Compliance. Monatliche Berichte zeigen Regelhygienemetriken, Änderungstrends und Compliance-Status. Dies gibt CISOs die Daten, die sie für Vorstandsberichte und Auditbereitschaft benötigen.

Schnelle Selbstbewertung

Beantworten Sie diese fünf Fragen zu Ihrer Firewall-Umgebung:

  1. Wann wurde zuletzt jede Regel überprüft und begründet?
  2. Wie viele Regeln enthalten „any" im Quell-, Ziel- oder Dienstfeld?
  3. Haben Sie einen dokumentierten Prozess für die Stilllegung von Regeln?
  4. Können Sie identifizieren, welche Regeln mit stillgelegten Systemen verknüpft sind?
  5. Hat jede Regel einen benannten Verantwortlichen und eine geschäftliche Begründung?

Wenn Sie drei oder mehr Fragen mit „nein" oder „weiß ich nicht" beantwortet haben, sind Ihre Firewall-Regeln wahrscheinlich Ihr größtes unverwaltetes Risiko. Die gute Nachricht: Das ist vollständig behebbar, und der ROI ist messbar.

Der Firewall Assurance and Compliance-Service von Layer7 Networking hilft südafrikanischen Organisationen seit 2003, die Kontrolle über ihre Firewall-Richtlinien zurückzugewinnen. Kontaktieren Sie uns für eine kostenlose Erstbewertung.

Die KI-Bedrohungslandschaft 2026: Was Sich Geändert Hat und Was Nicht
KI-gestützte Angriffe sind real, aber die Grundlagen verhindern immer noch 80 % der Sicherheitsvorfälle. Die Sicht eines Praktikers.