Produktgeschichte

Warum FwChange existiert

Firewall-Änderungsmanagement-ToolWarum FwChange existiertMittelstands-Compliance
Eine unübersichtliche Firewall-Tabelle, die in ein klares, zweckgebautes Tool verwandelt wird

In der Enterprise-Security-Praxis begegnet einem immer wieder dasselbe Problem. Unternehmen geben Millionen für Firewalls aus, können aber grundlegende Audit-Fragen nicht beantworten: Wer hat diese Regel angefordert? Warum existiert sie? Wer hat sie genehmigt?

Firewall-Audits in Deutschland und Europa erzählen dieselbe Geschichte. TISAX-Assessments, PCI-DSS-Audits, ISO-27001-Zertifizierungen: Die Technik war immer einwandfrei. Die Dokumentation war immer ein Desaster.

Deshalb existiert FwChange — ein zweckgebautes Tool für das Firewall-Change-Management. Nicht weil die Welt noch ein weiteres Sicherheitsprodukt gebraucht hätte, sondern weil die vorhandenen Lösungen das eigentliche Problem mittelständischer Unternehmen nicht lösten.

Das wiederkehrende Problem

Jedes Audit begann auf dieselbe Weise. Bittet man darum, die Änderungsnachweise der Firewall einzusehen, präsentiert das IT-Team eine Mischung aus:

  • Excel-Tabellen mit fehlenden Einträgen
  • JIRA-Tickets, die sich nicht den tatsächlichen Regeln zuordnen ließen
  • E-Mail-Verläufen, die niemand mehr finden konnte
  • Erfahrungswissen von Technikern, die das Unternehmen längst verlassen hatten

Die Firewall selbst funktionierte einwandfrei. Palo Alto, Check Point, Fortinet, alle korrekt konfiguriert, alle schützten das Netzwerk. Doch sobald die Auditoren fragten „Zeigen Sie mir die Änderungshistorie zu dieser Regel“, fiel alles in sich zusammen.

Unternehmen fallen bei Audits nicht durch, weil ihre Sicherheit schwach ist, sondern weil sie nicht nachweisen können, dass sie stark ist. Dokumentationslücken machen aus bestandenen Bewertungen schwerwiegende Beanstandungen.

Das BSI akzeptiert „wir glauben, das hat 2019 jemand genehmigt“ nicht als Nachweis. Genauso wenig wie irgendein ernstzunehmender Auditor.

Warum vorhandene Tools für den Mittelstand nicht funktionieren

Es gibt Enterprise-Optionen für das Firewall-Change-Management. AlgoSec, Tufin, FireMon, das sind hervorragende Produkte, vielfach in Großunternehmen implementiert. Doch für mittelständische Unternehmen teilen sie sich dieselben Probleme:

Kosten

Enterprise-Lizenzen beginnen bei über 100.000 Euro pro Jahr. Für ein Unternehmen mit 5 bis 10 Firewalls geht die Rechnung nicht auf. Sie zahlen für Funktionen, die Sie nie nutzen werden.

Komplexität

Diese Tools erfordern dedizierte Administratoren. Mehrmonatige Implementierungsprojekte. Professional-Services-Engagements. Mittelständische IT-Teams haben diese Ressourcen nicht.

Aufwand

Der Workflow-Aufwand übersteigt oft den Nutzen. Techniker sträuben sich gegen Tools, die den Zeitaufwand für eine einfache Änderung verdreifachen. Die Einführung scheitert, und Sie sind wieder bei Tabellen angelangt.

Ein produzierendes Unternehmen mit 200 Mitarbeitern gab 150.000 Euro für eine Enterprise-Lösung aus, kämpfte sich sechs Monate durch die Implementierung und bestand sein TISAX-Audit trotzdem nicht, weil niemand das Tool tatsächlich nutzte. Das Tool stand ungenutzt da, während Änderungen über SSH und manuelle Dokumentation abliefen.

Der Wendepunkt

Ein repräsentativer Fall verdeutlicht das: ein TISAX-Assessment bei einem Tier-1-Automobilzulieferer, gutes Sicherheitsteam, moderne Infrastruktur, echtes Engagement für Compliance. Alles ist richtig gemacht, außer die Firewall-Änderungen zu dokumentieren.

Der Auditor verlangt die Änderungshistorie der vergangenen sechs Monate. Der IT-Leiter präsentiert eine Tabelle mit 40 Einträgen. Die Firewall-Logs weisen für denselben Zeitraum mehr als 200 Änderungen aus. Die Diskrepanz ist nicht zu erklären.

Notfalleingriffe. Änderungen außerhalb der Geschäftszeiten. Regeln, die während Vorfällen hinzugefügt wurden. Alles undokumentiert, weil der Prozess zu umständlich war, um ihm unter Druck zu folgen.

Das Audit misslingt. Nicht weil die Firewall unsicher wäre, sie ist ausgezeichnet. Es misslingt, weil sich keine Governance über den Change-Management-Prozess nachweisen lässt, und ein wichtiger Kundenvertrag kann auf dem Spiel stehen, während hektisch nachgebessert wird.

Dieses Muster wiederholt sich zu oft. Talentierte Teams, solide Sicherheit, nicht bestandene Audits. Nicht die Tools waren das Problem. Der Prozess war das Problem. Und die vorhandenen Lösungen machten den Prozess schlechter, nicht besser.

Was FwChange anders macht

FwChange ist nach einem einzigen Grundsatz entwickelt: Dokumentation sollte automatisch entstehen, nicht als zusätzliche Arbeit. Wenn Sie eine Änderung über FwChange vornehmen, ist die Dokumentation das Nebenprodukt. Sie füllen keine Formulare im Nachhinein aus. Sie nehmen die Änderung vor, und der Audit-Trail erzeugt sich von selbst.

Anfordern

Jemand benötigt eine Firewall-Regel. Er stellt über FwChange einen Antrag mit geschäftlicher Begründung. Dauert 2 Minuten.

Genehmigen

Der Genehmigungs-Workflow leitet den Antrag je nach Priorität an die richtigen Personen weiter. Sie genehmigen in Slack, Teams oder über die Web-Oberfläche. Ein Klick.

Umsetzen

Die Änderung wird automatisch auf die Firewall ausgerollt. Oder ein Techniker setzt sie manuell um und markiert sie als abgeschlossen. So oder so wird sie nachverfolgt.

Dokumentieren

Jeder Schritt wird automatisch protokolliert. Wer angefordert, wer genehmigt, wer umgesetzt hat, wann und warum. Ein unveränderlicher Nachweis.

Wenn Auditoren die Änderungshistorie verlangen, erstellen Sie einfach einen Bericht. Alles ist da. Keine Tabellen-Archäologie erforderlich.

Konzipiert für echte IT-Teams

Ein Tool für das Firewall-Change-Management funktioniert nur, wenn die Menschen es auch nutzen. FwChange ist für genau die mittelständischen IT-Teams konzipiert, denen diese Audits immer wieder begegneten:

  • Schnelle Bereitstellung: Docker-Container, Einrichtung in 2 Stunden. Keine Professional Services erforderlich. Ihr Team schafft das selbst.
  • Herstellerübergreifend: Palo Alto, Check Point, Fortinet, Cisco, OPNsense, pfSense. Eine Oberfläche für all Ihre Firewalls. Laut Branchenforschung betreiben die meisten mittelständischen Unternehmen 2 bis 3 Firewall-Hersteller parallel.
  • Geringe Reibung: Änderungen dauern Minuten, nicht Stunden. Techniker nehmen das Tool an, weil es schneller ist als der alte Weg, nicht langsamer.
  • Bezahlbar: Preise pro Firewall, die für mittelständische Budgets Sinn ergeben. Keine Enterprise-Preise für mittelständische Anforderungen.
  • JIRA-/Taiga-Integration: Verknüpfung mit bestehenden Tickets. Kein erzwungener separater Workflow. Die Teams werden dort abgeholt, wo sie ohnehin arbeiten.

Das Ziel war einfach: das Richtige zugleich zum Einfachsten machen. Wenn Dokumentation zusätzlichen Aufwand erfordert, wird sie nicht entstehen. Wenn Dokumentation automatisch abläuft, entsteht sie immer.

Echte Audit-Probleme lösen

Jede Funktion in FwChange lässt sich auf ein reales Audit-Problem zurückführen:

  • Regel-Eigentümerschaft: „Wem gehört diese Regel?“ Jede Regel hat einen zugewiesenen Eigentümer. Keine verwaisten Regeln mehr, zu denen sich niemand bekennt.
  • Geschäftliche Begründung: „Warum existiert diese Regel?“ Pflichtfeld bei jedem Antrag. Nicht optional, nicht „das tragen wir später nach“.
  • Genehmigungsnachweis: „Wer hat das genehmigt?“ Zeitgestempelte Genehmigungsdatensätze mit der Identität des Genehmigers. Keine Mehrdeutigkeit.
  • Regel-Überprüfung: „Wann wurde das zuletzt validiert?“ Geplante Erinnerungen zur Überprüfung. Nachverfolgung der jährlichen Rezertifizierung. Nachweis fortlaufender Governance.
  • Notfalländerungen: „Und was ist mit dringenden Änderungen?“ Notfall-Workflow mit beschleunigter Genehmigung und nachträglicher Dokumentation. Denn Notfälle passieren.

Die ENISA-Leitlinien zum Management der Netzwerksicherheit haben einen Großteil dieses Designs geprägt. Das Ziel war ein Tool für das Firewall-Change-Management, das Auditoren ebenso schätzen wie IT-Teams.

Was die Produktentwicklung verlangte

Ein Produkt zu entwickeln ist etwas anderes als zu beraten. Beratung identifiziert Probleme und empfiehlt Lösungen; ein Produkt muss sie vollständig lösen. Dieser Unterschied bringt Lektionen ans Licht, die ein Beratungsmandat nie erzwingt:

  • Einfachheit ist schwer: Jeder kann ein komplexes Tool bauen. Etwas Einfaches zu bauen, das das Problem löst, das ist die Herausforderung. Jeder Feature-Wunsch wird bewertet: Macht er den Kern-Workflow besser oder schlechter?
  • Nutzer stimmen mit ihrem Verhalten ab: In der Beratung liefert man Empfehlungen und zieht weiter. Beim Produkt sieht man, ob die Menschen das Gebaute tatsächlich nutzen. Diese Rückkopplungsschleife ist demütigend und unbezahlbar zugleich.
  • Support ist Produkt: Wenn ein Kunde Schwierigkeiten hat, ist das kein Support-Ticket, es ist ein Designfehler. Wenn das Tool erklärt werden muss, muss das Tool verbessert werden.

Die Methodik hinter FwChange prägt nach wie vor Audits und Assessments. Was sich geändert hat: Dieselben Probleme, die solche Mandate immer wieder dokumentierten, haben jetzt eine Lösung, die speziell für sie gebaut wurde.

Wie es weitergeht

NIS2 tritt 2026 in Kraft. Die TISAX-Anforderungen werden immer strenger. Die Nachfrage nach Lösungen für das Firewall-Change-Management wird nur weiter wachsen, da mittelständische Unternehmen mit Compliance-Anforderungen konfrontiert werden, die zuvor Großunternehmen vorbehalten waren.

FwChange ist bereit. Entwickelt von der Prüferseite des Tisches aus, weiß es genau, welche Nachweise Auditoren benötigen. Entwickelt für IT-Teams, die Lösungen brauchen, die funktionieren, keine Produkte, die etwas versprechen.

Wenn Sie vor TISAX-, NIS2-, PCI-DSS- oder ISO-27001-Compliance stehen, und Ihre Firewall-Dokumentation mit Tabellen und gutem Willen zusammengehalten wird, dann wurde FwChange für Sie entwickelt. Testen Sie den kostenlosen Regelwerk-Scanner und erleben Sie, warum Dokumentation automatisch entstehen sollte und nicht zusätzliche Arbeit sein muss.

FW

FwChange

Firewall-Change-Management

Methodik und Software fuer Firewall-Change-Management, aus einem Datensatz von Hunderte Enterprise-Firewall-Migrationen.