Whitepaper NIS2-Check EN

Compliance

Rezertifizierung von Firewall-Regeln: Der 6-Schritte-Auditprozess

NF Nick Falshaw· 18. März 2026· 4 Min. Lesezeit
Firewall-Regel-RezertifizierungFirewall-Regel-Überprüfungsprozessregelmäßige Firewall-Überprüfung
Firewall-Regeln werden in einem periodischen Review-Zyklus rezertifiziert

Die Rezertifizierung von Firewall-Regeln ist der periodische Review-Prozess, bei dem jede aktive Firewall-Regel durch ihren fachlichen Eigentümer validiert, begründet und erneut freigegeben wird. PCI-DSS 4.0, ISO 27001, NIS2 und TISAX fordern dies allesamt – und dennoch behandeln die meisten Organisationen es nach wie vor als jährliche Tabellenkalkulationsübung. Dieser Leitfaden behandelt den 6-Schritte-Prozess, worauf Auditoren tatsächlich achten und wie Sie sich den Aufwand durch Automatisierung ersparen.

Warum die Rezertifizierung von Firewall-Regeln wichtig ist

Firewall-Regelwerke wachsen mit der Zeit. Regeln werden für längst abgeschlossene Projekte angelegt, für temporäre Zugriffsanfragen, die nie widerrufen wurden, und für Lieferantenverbindungen, die es gar nicht mehr gibt. Ohne periodische Rezertifizierung sammelt Ihre Firewall technische Schulden an, die Ihre Angriffsfläche vergrößern und Compliance-Lücken entstehen lassen.

PCI-DSS 4.0 Anforderung 1.2.7 schreibt ausdrücklich vor, dass Firewall-Regeln mindestens alle sechs Monate überprüft werden. ISO 27001 Anhang A.13.1 verlangt dokumentierte Netzwerkkontrollen mit regelmäßigen Review-Zyklen. NIS2 Artikel 21 fordert fortlaufende Risikomanagementmaßnahmen einschließlich einer Governance für die Netzwerksicherheit. TISAX verlangt den Nachweis eines systematischen Lebenszyklusmanagements für Firewall-Regeln.

Der 6-Schritte-Prozess zur Rezertifizierung von Firewall-Regeln

Schritt 1: Alle aktiven Regeln inventarisieren

Exportieren Sie Ihr vollständiges Regelwerk aus jeder Firewall im Geltungsbereich. Erfassen Sie dabei Regel-ID, Quelle, Ziel, Dienst, Aktion, Trefferzähler, Datum des letzten Treffers sowie die ursprüngliche Änderungsanforderung oder Ticketnummer. Wenn Sie mehrere Hersteller verwalten, normalisieren Sie die Daten vor dem weiteren Vorgehen in ein einheitliches Format.

Schritt 2: Regeleigentümer identifizieren

Jede Regel braucht einen fachlichen Eigentümer – die Person oder das Team, die den Zugriff angefordert haben und begründen können, warum er weiterhin bestehen muss. Wenn der ursprüngliche Antragsteller die Organisation verlassen hat oder das Projekt stillgelegt wurde, ist die Regel ein Kandidat für die Entfernung. Regeln ohne Eigentümer sind das häufigste Audit-Finding bei Rezertifizierungs-Reviews.

Schritt 3: Regelnutzung analysieren

Prüfen Sie Trefferzähler und Zeitstempel des letzten Treffers. Regeln, die in den letzten 90 Tagen null Treffer aufweisen, sind starke Kandidaten für die Entfernung oder Einschränkung. Schattenregeln (Regeln, die nie greifen, weil eine darüberliegende, breiter gefasste Regel den gesamten Datenverkehr zuvor abfängt) sollten zur Bereinigung markiert werden. Redundante Regeln, die bestehende Zugriffe duplizieren, sollten zusammengeführt werden.

Schritt 4: Jede Regel risikobewerten

Bewerten Sie jede Regel anhand Ihrer Sicherheitsrichtlinie. Regeln, die „any“ als Quelle, Ziel oder Dienst zulassen, sind hochriskant und sollten enger gefasst werden. Regeln, die Zugriff auf sensible Segmente erlauben (PCI-Karteninhaberdaten-Umgebung, PII-Datenbanken, Management-Netzwerke), bedürfen besonderer Prüfung. Dokumentieren Sie die Risikobewertung für jede Regel.

Schritt 5: Attestierung durch den Eigentümer einholen

Jeder Regeleigentümer muss formell bestätigen, dass die Regel weiterhin erforderlich ist, der Zugriffsumfang weiterhin angemessen ist und die fachliche Begründung weiterhin gültig ist. Diese Attestierung schafft die Audit-Nachweise, die Compliance-Rahmenwerke verlangen. Setzen Sie eine Frist – Regeln, die nicht innerhalb des Rezertifizierungsfensters attestiert werden, werden zur automatischen Deaktivierung markiert.

Schritt 6: Beheben und dokumentieren

Entfernen oder verschärfen Sie Regeln, die die Rezertifizierung nicht bestanden haben. Deaktivieren Sie nicht attestierte Regeln. Aktualisieren Sie die Dokumentation Ihres Regelwerks und erstellen Sie den Compliance-Bericht. Der Bericht sollte enthalten: Gesamtzahl der überprüften Regeln, freigegebene Regeln, entfernte Regeln, geänderte Regeln sowie Regeln, deren Behebung noch aussteht. Dies ist das Artefakt, das Ihr Auditor benötigt.

Typische Audit-Fehler bei der Regel-Rezertifizierung

  • • Kein dokumentierter Rezertifizierungsplan oder -prozess
  • • Regeln ohne identifizierte fachliche Eigentümer
  • • Übermäßig freizügige Regeln („any-any-any“), die bestehen bleiben
  • • Veraltete Regeln mit null Treffern seit über 6 Monaten weiterhin aktiv
  • • Rezertifizierung jährlich statt halbjährlich durchgeführt (PCI-DSS)
  • • Kein Nachweis einer Attestierung durch den Eigentümer (mündliche Freigaben zählen nicht)
  • • Schatten- und redundante Regeln nicht identifiziert oder bereinigt
  • • Fehlende Nachverfolgung der Behebung bei nicht bestandenen Rezertifizierungen

Die Rezertifizierung von Firewall-Regeln automatisieren

Manuelle Rezertifizierung skaliert nicht. Bei mehr als 500 Regeln über mehrere Firewalls hinweg dauert der Tabellenansatz Wochen und liefert unzuverlässige Ergebnisse. Automatisierte Rezertifizierungswerkzeuge können Regeln über alle Hersteller hinweg inventarisieren, ungenutzte und riskante Regeln automatisch identifizieren, Attestierungsanfragen per E-Mail oder Ticketsystem an die Eigentümer weiterleiten, Fristen nachverfolgen und überfällige Reviews eskalieren sowie audittaugliche Berichte erstellen.

FwChange automatisiert den gesamten Rezertifizierungsablauf: Regelinventar über 33 Hersteller hinweg, Nutzungsanalyse mit Schatten- und Redundanzerkennung, Eigentümerzuweisung aus Ihren JIRA- oder Taiga-Tickets, Attestierungsnachverfolgung mit konfigurierbaren Fristen sowie die Erstellung von Compliance-Berichten per Klick für PCI-DSS-, ISO 27001-, NIS2- und TISAX-Audits.

Automatisieren Sie Ihren nächsten Rezertifizierungszyklus

Verwalten Sie Firewall-Regel-Reviews nicht länger in Tabellen. FwChange bietet Ihnen automatisierte Regelanalyse, Attestierungs-Workflows für Eigentümer und audittaugliche Compliance-Berichte – für jedes Rahmenwerk, jeden Hersteller, jeden Review-Zyklus.

Kostenlosen NIS2-Readiness-Check starten →
NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragWarum Excel-Tabellen bei der Firewall-Nachverfolgung jedes Audit nicht bestehen