Gründungsgeschichte
Warum ich ein Tool für das Firewall-Change-Management entwickelt habe
Nach 15 Jahren als Enterprise-Security-Berater begegnete mir immer wieder dasselbe Problem. Unternehmen gaben Millionen für Firewalls aus, konnten aber grundlegende Audit-Fragen nicht beantworten: Wer hat diese Regel angefordert? Warum existiert sie? Wer hat sie genehmigt?
Ich habe Hunderte von Firewall-Audits in Deutschland und Europa durchgeführt. TISAX-Assessments für Automobilzulieferer. PCI-DSS-Audits für Einzelhändler. ISO-27001-Zertifizierungen für produzierende Unternehmen. Die Technik war immer einwandfrei. Die Dokumentation war immer ein Desaster.
Deshalb habe ich ein Tool für das Firewall-Change-Management entwickelt. Nicht weil die Welt noch ein weiteres Sicherheitsprodukt gebraucht hätte, sondern weil die vorhandenen Lösungen das eigentliche Problem mittelständischer Unternehmen nicht lösten.
Das Problem, das mir immer wieder begegnete
Jedes Audit begann auf dieselbe Weise. Ich bat darum, die Änderungsnachweise der Firewall einzusehen. Das IT-Team präsentierte dann eine Mischung aus:
- Excel-Tabellen mit fehlenden Einträgen
- JIRA-Tickets, die sich nicht den tatsächlichen Regeln zuordnen ließen
- E-Mail-Verläufen, die niemand mehr finden konnte
- Erfahrungswissen von Technikern, die das Unternehmen längst verlassen hatten
Die Firewall selbst funktionierte einwandfrei. Palo Alto, Check Point, Fortinet — alle korrekt konfiguriert, alle schützten das Netzwerk. Doch sobald die Auditoren fragten „Zeigen Sie mir die Änderungshistorie zu dieser Regel“, fiel alles in sich zusammen.
Ich erlebte, wie Unternehmen Audits nicht durchfielen, weil ihre Sicherheit schwach war, sondern weil sie nicht nachweisen konnten, dass sie stark war. Dokumentationslücken machten aus bestandenen Bewertungen schwerwiegende Beanstandungen.
Das BSI akzeptiert „wir glauben, das hat 2019 jemand genehmigt“ nicht als Nachweis. Genauso wenig wie irgendein ernstzunehmender Auditor.
Warum vorhandene Tools für den Mittelstand nicht funktionieren
Es gibt Enterprise-Optionen für das Firewall-Change-Management. AlgoSec, Tufin, FireMon — das sind hervorragende Produkte. Ich habe sie alle für Großunternehmen implementiert. Doch für mittelständische Unternehmen teilen sie sich dieselben Probleme:
Kosten
Enterprise-Lizenzen beginnen bei über 100.000 Euro pro Jahr. Für ein Unternehmen mit 5 bis 10 Firewalls geht die Rechnung nicht auf. Sie zahlen für Funktionen, die Sie nie nutzen werden.
Komplexität
Diese Tools erfordern dedizierte Administratoren. Mehrmonatige Implementierungsprojekte. Professional-Services-Engagements. Mittelständische IT-Teams haben diese Ressourcen nicht.
Aufwand
Der Workflow-Aufwand übersteigt oft den Nutzen. Techniker sträuben sich gegen Tools, die den Zeitaufwand für eine einfache Änderung verdreifachen. Die Einführung scheitert — und Sie sind wieder bei Tabellen angelangt.
Ich erlebte, wie ein produzierendes Unternehmen mit 200 Mitarbeitern 150.000 Euro für eine Enterprise-Lösung ausgab, sich sechs Monate durch die Implementierung kämpfte und sein TISAX-Audit trotzdem nicht bestand, weil niemand das Tool tatsächlich nutzte. Das Tool stand ungenutzt da, während Änderungen über SSH und manuelle Dokumentation abliefen.
Der Moment, in dem ich mich zum Entwickeln entschied
Der entscheidende Wendepunkt kam während eines TISAX-Assessments im Jahr 2024. Ein Tier-1-Automobilzulieferer — gutes Sicherheitsteam, moderne Infrastruktur, echtes Engagement für Compliance. Sie hatten alles richtig gemacht, außer ihre Firewall-Änderungen zu dokumentieren.
Der Auditor verlangte die Änderungshistorie der vergangenen sechs Monate. Der IT-Leiter präsentierte eine Tabelle mit 40 Einträgen. Die Firewall-Logs wiesen für denselben Zeitraum mehr als 200 Änderungen aus. Die Diskrepanz war nicht zu erklären.
Notfalleingriffe. Änderungen außerhalb der Geschäftszeiten. Regeln, die während Vorfällen hinzugefügt wurden. Alles undokumentiert, weil der Prozess zu umständlich war, um ihm unter Druck zu folgen.
Sie fielen durch. Nicht weil ihre Firewall unsicher war — sie war ausgezeichnet. Sie fielen durch, weil sie keine Governance über ihren Change-Management-Prozess nachweisen konnten. Ein BMW-Vertrag stand auf dem Spiel, während sie hektisch nachbesserten.
Dieses Muster hatte ich schon zu oft gesehen. Talentierte Teams, solide Sicherheit, nicht bestandene Audits. Nicht die Tools waren das Problem. Der Prozess war das Problem. Und die vorhandenen Lösungen machten den Prozess schlechter, nicht besser.
Was FwChange anders macht
Ich habe FwChange nach einem einzigen Grundsatz entwickelt: Dokumentation sollte automatisch entstehen, nicht als zusätzliche Arbeit. Wenn Sie eine Änderung über FwChange vornehmen, ist die Dokumentation das Nebenprodukt. Sie füllen keine Formulare im Nachhinein aus. Sie nehmen die Änderung vor, und der Audit-Trail erzeugt sich von selbst.
Anfordern
Jemand benötigt eine Firewall-Regel. Er stellt über FwChange einen Antrag mit geschäftlicher Begründung. Dauert 2 Minuten.
Genehmigen
Der Genehmigungs-Workflow leitet den Antrag je nach Priorität an die richtigen Personen weiter. Sie genehmigen in Slack, Teams oder über die Web-Oberfläche. Ein Klick.
Umsetzen
Die Änderung wird automatisch auf die Firewall ausgerollt. Oder ein Techniker setzt sie manuell um und markiert sie als abgeschlossen. So oder so wird sie nachverfolgt.
Dokumentieren
Jeder Schritt wird automatisch protokolliert. Wer angefordert, wer genehmigt, wer umgesetzt hat, wann und warum. Ein unveränderlicher Nachweis.
Wenn Auditoren die Änderungshistorie verlangen, erstellen Sie einfach einen Bericht. Alles ist da. Keine Tabellen-Archäologie erforderlich.
Konzipiert für echte IT-Teams
Ein Tool für das Firewall-Change-Management funktioniert nur, wenn die Menschen es auch nutzen. Ich habe FwChange für genau die IT-Teams konzipiert, mit denen ich 17 Jahre lang gearbeitet habe:
- Schnelle Bereitstellung: Docker-Container, Einrichtung in 2 Stunden. Keine Professional Services erforderlich. Ihr Team schafft das selbst.
- Herstellerübergreifend: Palo Alto, Check Point, Fortinet, Cisco, OPNsense, pfSense. Eine Oberfläche für all Ihre Firewalls. Laut Branchenforschung betreiben die meisten mittelständischen Unternehmen 2 bis 3 Firewall-Hersteller parallel.
- Geringe Reibung: Änderungen dauern Minuten, nicht Stunden. Techniker nehmen das Tool an, weil es schneller ist als der alte Weg, nicht langsamer.
- Bezahlbar: Preise pro Firewall, die für mittelständische Budgets Sinn ergeben. Keine Enterprise-Preise für mittelständische Anforderungen.
- JIRA-/Taiga-Integration: Verknüpfung mit bestehenden Tickets. Kein erzwungener separater Workflow. Die Teams werden dort abgeholt, wo sie ohnehin arbeiten.
Das Ziel war einfach: das Richtige zugleich zum Einfachsten machen. Wenn Dokumentation zusätzlichen Aufwand erfordert, wird sie nicht entstehen. Wenn Dokumentation automatisch abläuft, entsteht sie immer.
Echte Audit-Probleme lösen
Jede Funktion in FwChange lässt sich auf ein Audit-Problem zurückführen, das mir begegnet ist:
- Regel-Eigentümerschaft: „Wem gehört diese Regel?“ Jede Regel hat einen zugewiesenen Eigentümer. Keine verwaisten Regeln mehr, zu denen sich niemand bekennt.
- Geschäftliche Begründung: „Warum existiert diese Regel?“ Pflichtfeld bei jedem Antrag. Nicht optional, nicht „das tragen wir später nach“.
- Genehmigungsnachweis: „Wer hat das genehmigt?“ Zeitgestempelte Genehmigungsdatensätze mit der Identität des Genehmigers. Keine Mehrdeutigkeit.
- Regel-Überprüfung: „Wann wurde das zuletzt validiert?“ Geplante Erinnerungen zur Überprüfung. Nachverfolgung der jährlichen Rezertifizierung. Nachweis fortlaufender Governance.
- Notfalländerungen: „Und was ist mit dringenden Änderungen?“ Notfall-Workflow mit beschleunigter Genehmigung und nachträglicher Dokumentation. Denn Notfälle passieren.
Die ENISA-Leitlinien zum Management der Netzwerksicherheit haben einen Großteil dieses Designs geprägt. Ich wollte ein Tool für das Firewall-Change-Management, das Auditoren ebenso lieben wie IT-Teams.
Vom Berater zum Gründer
Ein Produkt zu entwickeln ist etwas anderes als zu beraten. Als Berater habe ich Probleme identifiziert und Lösungen empfohlen. Als Gründer muss ich Probleme vollständig lösen. Der Wechsel hat mich Dinge gelehrt, die ich als Berater nicht hätte lernen können:
- Einfachheit ist schwer: Jeder kann ein komplexes Tool bauen. Etwas Einfaches zu bauen, das das Problem löst — das ist die Herausforderung. Jeder Feature-Wunsch wird bewertet: Macht er den Kern-Workflow besser oder schlechter?
- Nutzer stimmen mit ihrem Verhalten ab: In der Beratung liefert man Empfehlungen und zieht weiter. Beim Produkt sieht man, ob die Menschen das Gebaute tatsächlich nutzen. Diese Rückkopplungsschleife ist demütigend und unbezahlbar zugleich.
- Support ist Produkt: Wenn ein Kunde Schwierigkeiten hat, ist das kein Support-Ticket — es ist ein Designfehler. Wenn das Tool erklärt werden muss, muss das Tool verbessert werden.
Im Herzen bin ich immer noch Berater. Ich führe nach wie vor Audits und Assessments durch. Doch jetzt kann ich Kunden eine Lösung anbieten, die ich speziell für die Probleme entwickelt habe, die ich 17 Jahre lang dokumentiert habe.
Wie es weitergeht
NIS2 tritt 2026 in Kraft. Die TISAX-Anforderungen werden immer strenger. Die Nachfrage nach Lösungen für das Firewall-Change-Management wird nur weiter wachsen, da mittelständische Unternehmen mit Compliance-Anforderungen konfrontiert werden, die zuvor Großunternehmen vorbehalten waren.
FwChange ist bereit. Entwickelt von jemandem, der Audits nicht bestanden, Audits bestanden hat und genau weiß, welche Nachweise Auditoren benötigen. Entwickelt für IT-Teams, die Lösungen brauchen, die funktionieren — keine Produkte, die etwas versprechen.
Wenn Sie vor TISAX-, NIS2-, PCI-DSS- oder ISO-27001-Compliance stehen — und Ihre Firewall-Dokumentation mit Tabellen und gutem Willen zusammengehalten wird — dann habe ich FwChange für Sie entwickelt. Testen Sie den kostenlosen Regelwerk-Scanner und erleben Sie, warum Dokumentation automatisch entstehen sollte und nicht zusätzliche Arbeit sein muss.