Kurz vorweg: "Firewall" 2026 meint praktisch immer eine Next-Generation Firewall (NGFW) mit Deep Packet Inspection, IPS/IDS, Web- und Application-Filter, SSL-Inspection, VPN, SD-WAN und zentralisiertem Logging. Reine Paketfilter sind tot. Für ein typisches Schweizer KMU mit 20–80 Mitarbeitenden liegen die Jahreskosten inklusive Lizenzen, Wartung und Strom bei CHF 3'000–6'500 – egal ob Fortinet, Sophos oder Open Source. Der Unterschied liegt im Betriebs- und Bedienkomfort.
Was eine KMU-Firewall 2026 können muss
Stateful Inspection & IPS/IDS
Pakete kontextbezogen prüfen, bekannte Angriffsmuster blockieren (Suricata-, Snort- oder herstellereigene Engines). Pflicht für jede Compliance.
SSL-/TLS-Inspection
Über 95% des Web-Traffics ist verschlüsselt. Ohne TLS-Decryption sehen Firewalls praktisch nichts. Heikel bezüglich revDSG und MitM – braucht klares Konzept und Ausnahme-Listen.
Web- & Application-Filter
Kategorien-Blocking (Phishing, Malware, illegale Inhalte), Application Control (Bsp. TikTok blockieren, Dropbox erlauben). Wichtig für Awareness-Compliance.
VPN & ZTNA
SSL-/IPsec-VPN für Remote-User und Site-to-Site (Bsp. Filiale Aargau ↔ Zürich). Modern: ZTNA als VPN-Ersatz (Fortinet ZTNA, Sophos ZTNA, Cloudflare Access).
SD-WAN
Mehrere Internet-Leitungen (Glasfaser + 5G-Backup) intelligent kombinieren, Pfad-Priorisierung pro App. Standard 2026 in Multi-Site-KMU.
Zentrales Management & Logging
Cloud-Console (FortiCloud, Sophos Central, Capture Security Center), Syslog-Export Richtung SIEM, Audit-Trail. Pflicht für ISO 27001 und Cyber-Versicherung.
Die wichtigsten Hersteller im Vergleich
Fortinet FortiGate
Marktführer in KMU/Mid-Market. Eigene Security-Prozessoren (ASIC) → starke Performance bei TLS-Inspection. Reiche Lizenz-Bundles (UTP, Enterprise), starke SD-WAN-Funktionen. Schweiz: lokale Distributoren und Tier-1-Partner verfügbar.
Preis-Indikation
FortiGate 40F: ab CHF 600, 60F/70F: CHF 900–1500, 80F/100F: CHF 2000–3500. UTP-Lizenz typisch CHF 500–1500/Jahr je nach Modell.
Empfehlung
Erste Wahl für KMU 10–200 Mitarbeitende, die Performance, SD-WAN und ein breites Ökosystem (FortiAP, FortiSwitch, FortiClient) brauchen.
Sophos XGS
Sehr KMU-freundliche Konsole (Sophos Central), starke Synchronized Security mit Sophos Endpoint (Heartbeat blockiert infizierte Hosts automatisch). Gute MDR-Anbindung. Made in UK, Hosting EU.
Preis-Indikation
XGS 88/107: ab CHF 700, XGS 116/126: CHF 1200–1900, XGS 136: CHF 2500+. Xstream-Protection-Lizenz CHF 600–1700/Jahr.
Empfehlung
Sehr gute Wahl für KMU mit Sophos-Endpoint-Stack oder wenn schnelle Einarbeitung wichtiger ist als maximale Granularität.
WatchGuard Firebox
Solide Mid-Market-Firewall mit Threat-Detection-and-Response, einfacher Bedienung und gutem Schweizer Partner-Netz. Total Security Suite all-inclusive Modell.
Preis-Indikation
Firebox T25/T45: ab CHF 700, T85: CHF 1500, M290/M390: CHF 2500–4500. Total Security Suite ca. CHF 500–1800/Jahr.
Empfehlung
Solide Alternative für KMU mit Fokus auf Einfachheit und bei vorhandenem WatchGuard-Partner. Stärke: AuthPoint-MFA integriert.
SonicWall TZ / NSa
Klassiker im SMB-Segment, sehr viele Partner in der Schweiz. Capture Cloud-Sandbox, RTDMI gegen Zero-Days. Konsole etwas in die Jahre gekommen, aber funktional.
Preis-Indikation
TZ270/370/470: CHF 600–1500, TZ570/670: CHF 1800–3500. Advanced/Essential Protection Suite CHF 400–1500/Jahr.
Empfehlung
Bewährt für KMU mit bestehendem SonicWall-Partner und Branchenlösungen (Hotels, Detailhandel). Migration zu Fortinet/Sophos meist sinnvoll bei Neukauf.
Check Point Quantum Spark
Enterprise-Hersteller mit dedizierter SMB-Linie. Infinity Platform mit ThreatCloud AI bietet sehr starke Threat-Intelligence, jedoch höherer Pflegeaufwand und Preis.
Preis-Indikation
Quantum Spark 1530/1550: CHF 1100–1700, 1570/1590: CHF 2000–3200. Sicherheits-Bundles CHF 800–2000/Jahr.
Empfehlung
Für KMU mit hohem Sicherheitsbedarf, regulatorischen Vorgaben (Finanz, Gesundheit) und einem Check-Point-erfahrenen Partner.
pfSense / OPNsense (Open Source)
FreeBSD-basierte NGFW, auf Netgate-Hardware (offizieller Vendor) oder Protectli/eigener Hardware. IPS via Suricata, WireGuard nativ, sehr granular. Keine Lizenz-Kosten, aber Konfigurations- und Update-Aufwand.
Preis-Indikation
Netgate 2100/4100: CHF 400–900 Hardware, Protectli 4-Port: CHF 350–650. Optionale Subscriptions (TAC, Threat-Feeds) ca. CHF 150–500/Jahr.
Empfehlung
Sehr gut für KMU mit eigener IT, die volle Kontrolle wollen und kein Compliance-Argument für Hersteller-Logo brauchen. Schwächer bei zentralem Management und Hersteller-Support.
Empfehlung nach KMU-Profil
- 1–10 Mitarbeitende, ein Standort: Fortinet 40F oder Sophos XGS 88. Hardware unter CHF 800, Lizenzen unter CHF 600/Jahr. Mit Managed Service rund CHF 200/Monat all-in.
- 10–50 Mitarbeitende, ein bis zwei Standorte: FortiGate 60F/70F oder Sophos XGS 107/116. HA optional. SD-WAN für 5G-Backup empfohlen. Budget: CHF 4000–6500/Jahr.
- 50–150 Mitarbeitende, mehrere Standorte: FortiGate 80F/100F mit HA, Sophos XGS 136 oder Check Point 1570. SD-WAN, ZTNA und SIEM-Anbindung Pflicht.
- Tech-affines KMU mit eigener IT: pfSense oder OPNsense auf Netgate / Protectli, mit Wazuh / Elastic als SIEM. Spart Lizenzkosten, verlangt aber Patch-Disziplin.
- Multi-Site / Remote-First: Cato Networks oder Cloudflare One als SASE-Plattform, ggf. ergänzt durch kleine On-Prem-NGFW für Büro-Segmentierung.
- Branche mit Compliance-Druck (Gesundheit, Finanz, Anwalt): Fortinet oder Check Point mit dediziertem Managed Service und SIEM-Integration. ISO-27001-Audit-tauglich.
Best Practices beim Aufsetzen
- Netzwerk segmentieren: Mindestens 4 VLANs – Server/Produktion, Clients, Gäste-WLAN, IoT/Drucker. Inter-VLAN-Traffic explizit erlauben, nicht alles auf "any/any".
- Default-Deny: Alle Outbound-Regeln explizit, kein "internal → any → any allow". Bekannt notwendige Services freigeben, alles andere blockieren.
- MFA für Admin-Zugang: Web-Admin und SSH nur via VPN/ZTNA und mit MFA (FortiToken, Sophos Authenticator, externe TOTP).
- Firmware-Updates: Mindestens quartalsweise Patches, Zero-Day-Fixes sofort. CVE-Listen abonnieren (z. B. via NVD oder Hersteller-Mailing).
- Logs Richtung SIEM oder externes Syslog: Lokaler Speicher reicht für Tage – Pflicht: Export Richtung Sentinel, Elastic, Wazuh oder Managed SOC mit 90+ Tagen Retention.
- Backup der Konfiguration: Wöchentlich exportieren, in Passwort-Manager oder Git speichern. Nach Hardware-Defekt wieder einspielbar.
- TLS-Inspection mit Ausnahme-Liste: Banking, Krankenkasse, Healthcare ausnehmen (revDSG, Personalrecht). Ausnahmen dokumentieren.
- Geo-Blocking: Eingehende Verbindungen aus Hochrisiko-Ländern (RU, KP, IR) standardmässig blockieren – senkt Angriffslast spürbar.
Typische Stolpersteine
- Zu kleine Firewall gekauft: 100-Mbit-Modell für 500-Mbit-Glasfaser → Performance bricht ein, sobald IPS/TLS-Inspection aktiv. Lieber eine Stufe grösser dimensionieren.
- Lizenzen abgelaufen, niemand merkt es: Threat-Feeds laufen ohne Aktualisierung weiter, aber stark veraltet. Kalender-Erinnerung 60 Tage vor Ablauf Pflicht.
- Default-Passwort und Admin-Port offen ins Internet: Bei Penetration-Tests einer der häufigsten Findings 2025. Sofortige Massnahme: Admin nur intern, MFA aktivieren.
- Keine VLANs, keine Segmentierung: Drucker, IoT, Server, Clients alle im gleichen Netz. Eine kompromittierte Webcam reicht für lateralen Zugriff aufs ERP.
- IPS in "Detect only" und niemand schaut hin: Alerts laufen ins Leere. Pflicht: Block-Modus für High/Critical, Review-Workflow für Medium.
- Gäste-WLAN auf der gleichen SSID wie das Produktivnetz: Trennung über Firewall, eigenes VLAN, Captive Portal mit Passwort-Wechsel je Quartal.
- Keine Hochverfügbarkeit (HA): Bei kritischer Abhängigkeit (E-Commerce, VoIP, Cloud-Apps) zweite Firewall in Active-Passive konfigurieren – Mehrkosten 30–50%.
Firewall-Refresh in 6 Wochen
Woche 1 – Anforderungsanalyse
Anzahl Standorte, Internet-Bandbreite, Anzahl VLANs, VPN-User, SD-WAN-Bedarf, Logging-Anforderungen, Compliance-Vorgaben aufnehmen. Bestehende Logs auswerten.
Woche 2 – Hersteller-Auswahl & Offerten
2–3 Hersteller mit Schweizer Distributor anfragen (Boll Engineering, Westcoast, Arrow). Total-Cost-Vergleich über 4 Jahre Hardware + Lizenzen + Support + Stromverbrauch.
Woche 3–4 – Konzept & Konfiguration
VLAN-Konzept, Firewall-Regeln in Tabellenform, VPN-Topologie, IPS-Profile, Backup-Strategie definieren. Pre-Stage der Konfiguration im Lab.
Woche 5 – Migration & Cutover
Cutover am Wochenend-Wartungsfenster. Erst auf alter Firewall Schatten-Modus parallelisieren, dann Default-Route umschwenken. Validierung mit Test-Plan.
Woche 6 – Logging & Übergabe
Syslog-Export ans SIEM, MDR/SOC anbinden, Runbook für Incidents, Schulung IT-Team. Erste Schwachstellen-Scan-Iteration intern.
Fazit: Hardware ist nicht das Problem – Betrieb ist es
Alle hier verglichenen Hersteller liefern für Schweizer KMU 2026 eine sicherheitstechnisch ausreichende NGFW. Der Unterschied liegt im Bedien-Komfort, im Lizenz-Modell und im verfügbaren Partner-Netz vor Ort. Fortinet und Sophos sind die pragmatischste Wahl für die meisten KMU im 10–150-Mitarbeitenden-Bereich; pfSense/OPNsense bleibt die Spar-Variante für Tech-affine Unternehmen.
Entscheidender als die Hardware-Marke ist der laufende Betrieb: aktuelle Firmware, gepflegte Lizenzen, sauberes Regelwerk, Logging in ein SIEM und ein Runbook für Vorfälle. Wer hier abkürzt, hat 2026 trotz Marken-Firewall ein kalkulierbares Risiko offen.
Firewall-Konzept für Ihr KMU
Wir analysieren Ihre Anforderungen, vergleichen Hersteller herstellerneutral und implementieren Ihre neue NGFW – inkl. VLAN-Konzept, SIEM-Anbindung und Runbook.
Beratung anfragen