Kurzübersicht
| Kriterium | pfSense / OPNsense | Fortinet FortiGate | Sophos XGS |
|---|---|---|---|
| Hardware-Preis | ~€200-400 (Mini-PC) | ~€400-800 | ~€400-700 |
| Jährliche Lizenz | €0 | €300-800/Jahr | €300-700/Jahr |
| Stateful Firewall | Ja | Ja | Ja |
| VPN (IPsec, OpenVPN) | Ja | Ja | Ja |
| IDS/IPS | Ja (Suricata/Snort) | Ja (FortiGuard) | Ja |
| Web-Filtering | Eingeschränkt (squidGuard) | Ja (FortiGuard) | Ja (Sophos Cloud) |
| Sandboxing | Nein | Ja (FortiSandbox) | Ja (Sophos Sandstorm) |
| Application Control | Eingeschränkt | Ja | Ja |
| SSL-Inspection | Ja (manuell) | Ja (automatisch) | Ja (automatisch) |
| Reporting | Basis (ntopng, Darkstat) | Umfangreich (FortiAnalyzer) | Umfangreich (Sophos Central) |
| WLAN-Integration | Nein (separate APs nötig) | Ja (FortiAP) | Ja (Sophos AP) |
| Web-Interface | Gut (pfSense), Modern (OPNsense) | Modern | Modern |
| Kosten über 5 Jahre | ~€300 | ~€2.100-4.400 | ~€1.900-3.900 |
pfSense und OPNsense im Detail
pfSense ist eine Open-Source-Firewall auf Basis von FreeBSD. Seit 2004 entwickelt, heute eine der am weitesten verbreiteten Firewall-Plattformen weltweit. OPNsense ist ein Fork von pfSense (seit 2015) mit modernerer Oberfläche und schnellerem Update-Zyklus.
Was pfSense kann
Stateful Packet Inspection: Die Kern-Funktion jeder Firewall. Jedes Paket wird geprüft, jede Verbindung verfolgt. Regeln bestimmen, was rein und raus darf. So gut wie bei jeder kommerziellen Firewall.
VPN: IPsec, OpenVPN, WireGuard — alle gängigen VPN-Protokolle. Für sichere Verbindungen zwischen Büros (Site-to-Site) oder für Mitarbeiter im Homeoffice (Remote Access). Einrichtung dauert 30-60 Minuten.
IDS/IPS (Intrusion Detection/Prevention): Suricata oder Snort erkennen bekannte Angriffsmuster im Netzwerkverkehr und blockieren sie automatisch. Kostenlos, mit regelmäßig aktualisierten Regelsätzen (ET Open, Snort Community).
Netzwerksegmentierung: VLANs, mehrere Netzwerkzonen (Büro, Gäste, Server, IoT). Jede Zone mit eigenen Firewall-Regeln. Wenn ein Gerät im Gästenetz kompromittiert wird, ist Ihr Büronetz geschützt.
Traffic Shaping / QoS: Priorisierung von VoIP-Traffic gegenüber Downloads. Ihre Telefonate sind klar, auch wenn jemand große Dateien herunterlädt.
DHCP, DNS, NTP: Grundlegende Netzwerkdienste integriert. Kein separater Server nötig.
High Availability: Zwei pfSense-Boxen im HA-Cluster. Fällt eine aus, übernimmt die andere in Sekunden. Für Unternehmen, bei denen Netzwerkausfälle nicht tolerierbar sind.
Was pfSense nicht kann (oder weniger gut)
Web-Filtering: squidGuard bietet grundlegendes URL-Filtering, ist aber nicht vergleichbar mit FortiGuard oder Sophos. Für Unternehmen, die Mitarbeiter-Internetzugang granular steuern wollen, ein Nachteil.
Sandboxing: Verdächtige Dateien in einer isolierten Umgebung ausführen und analysieren — das können nur kommerzielle Lösungen. Für die meisten Kleinunternehmen aber kein kritisches Feature.
Application Control: Welche Anwendungen dürfen ins Internet? Facebook ja, TikTok nein? pfSense kann das über L7-Filtering eingeschränkt, aber nicht so elegant wie kommerzielle Firewalls.
Zentrale Verwaltung: Wenn Sie 10 Standorte mit 10 Firewalls haben, ist die zentrale Verwaltung bei Fortinet (FortiManager) oder Sophos (Central) deutlich besser. Für 1-2 Standorte kein Problem.
Reporting: Die eingebauten Berichte sind basic. ntopng oder Darkstat liefern Traffic-Statistiken, aber keine hübschen Management-Reports. Für NIS2-Dokumentation brauchen Sie eventuell ein externes Log-Management.
Kommerzielle Firewalls im Detail
Fortinet FortiGate
Fortinet ist der weltweit größte Firewall-Hersteller. FortiGate-Appliances bieten ein komplettes Security-Paket: Firewall, VPN, IDS/IPS, Web-Filtering, Sandboxing, Application Control — alles integriert.
Stärken: Umfangreiche UTM-Features (Unified Threat Management), exzellentes FortiGuard-Threat-Intelligence, gutes Management-Interface, WLAN-Integration mit FortiAP. Für Unternehmen, die eine All-in-One-Security-Lösung wollen.
Schwächen: Jährliche Lizenzkosten (€300-800+ für KMU-Modelle), Hardware proprietär, Vendor Lock-in. Ohne gültige Lizenz verlieren Sie IDS/IPS, Web-Filtering und Updates.
Sophos XGS
Sophos ist besonders in der DACH-Region beliebt. Sophos Firewall (ehemals XG) bietet ähnliche UTM-Features wie Fortinet, mit starker Endpoint-Integration (Synchronized Security).
Stärken: Gute Integration mit Sophos Endpoint Protection, Sophos Central als Cloud-Management, solides Web-Filtering, einfache Einrichtung. Besonders stark, wenn Sie auch Sophos Antivirus auf den PCs nutzen.
Schwächen: Ähnliche Lizenzkosten wie Fortinet, Performance bei SSL-Inspection manchmal schwächer, Hardware proprietär.
Kosten im Vergleich: 5 Jahre
Typisches Szenario: Kleinunternehmen mit 10-20 Arbeitsplätzen, 1 Standort.
pfSense auf Mini-PC (z.B. Protectli Vault)
| Posten | Kosten |
|---|---|
| Hardware (Mini-PC, 4 Ports) | ~€300 |
| Software (pfSense CE) | €0 |
| IDS/IPS (Suricata + ET Open Rules) | €0 |
| VPN (OpenVPN/WireGuard) | €0 |
| Einrichtung | ~€600 |
| Jährliche Lizenz | €0 |
| 5-Jahres-Kosten | ~€900 |
Fortinet FortiGate 40F + UTM-Bundle
| Posten | Kosten |
|---|---|
| Hardware | ~€400 |
| UTM-Bundle-Lizenz (5 Jahre) | ~€2.000-3.000 |
| Einrichtung | ~€600 |
| 5-Jahres-Kosten | ~€3.000-4.000 |
Sophos XGS 87 + Standard Protection
| Posten | Kosten |
|---|---|
| Hardware | ~€400 |
| Standard Protection Lizenz (5 Jahre) | ~€1.800-2.500 |
| Einrichtung | ~€600 |
| 5-Jahres-Kosten | ~€2.800-3.500 |
Ersparnis mit pfSense über 5 Jahre: €1.900-3.100.
Und beim nächsten Hardware-Wechsel in 5-7 Jahren sparen Sie wieder — weil pfSense auf jeder neuen Hardware läuft, ohne neue Lizenzen.
Wann pfSense die richtige Wahl ist
- Kleinunternehmen mit 5-50 Arbeitsplätzen
- Budget-bewusst, aber ohne Kompromisse bei Kernsicherheit
- DSGVO-Anforderungen an Netzwerksicherheit
- VPN für Homeoffice und Remote-Zugriff
- Netzwerksegmentierung (Praxis-IT getrennt vom Gäste-WLAN)
- Kein Bedarf an Web-Filtering oder Sandboxing
- IT-Dienstleister, der pfSense kennt (wie wir)
Wann kommerzielle Firewalls sinnvoll sind
- Unternehmen mit >50 Arbeitsplätzen und mehreren Standorten
- Anforderung an zentrale Verwaltung über alle Standorte
- Granulares Web-Filtering und Application Control gewünscht
- Sandboxing für Zero-Day-Schutz nötig (regulierte Branchen)
- Sophos bereits als Endpoint-Lösung im Einsatz (Synchronized Security)
- IT-Team, das Fortinet/Sophos kennt, aber kein pfSense
Unsere Empfehlung
Für die meisten Kleinunternehmen in Wien empfehlen wir pfSense oder OPNsense. Die Kern-Sicherheitsfunktionen sind gleichwertig mit kommerziellen Produkten, und die Kostenersparnis ist erheblich. Wir setzen pfSense seit Jahren bei Kanzleien, Steuerberatern und anderen Kleinunternehmen ein — mit Erfolg.
Wenn Sie aktuell eine kommerzielle Firewall haben und die nächste Lizenzverlängerung ansteht: Lassen Sie sich ein Angebot für die Migration auf pfSense machen. Die Hardware-Investition amortisiert sich durch die wegfallenden Lizenzkosten oft im ersten Jahr.
Kontaktieren Sie uns — wir bewerten Ihre aktuelle Firewall-Situation und geben eine ehrliche Empfehlung.