Die Richtwerte nach Unternehmensgröße
| Mitarbeitende | Geräteklasse (Beispiele) | Worauf es ankommt |
|---|---|---|
| bis 20 | Kompakte NGFW, z. B. FortiGate-40er-Klasse mit UTM-Bundle | Solider Grundschutz (IPS, Web-/Malware-Filter), zentrale Cloud-Verwaltung, wenige VPN-Zugänge |
| 21–50 | Mittelklasse, z. B. FortiGate-70er-Klasse | SSL-Inspection ohne Leistungseinbruch, mehr gleichzeitige VPN-Tunnel, Vorbereitung auf Standort-Vernetzung |
| 51–150 | Gehobene Mittelklasse, z. B. FortiGate-90er-Klasse | Netzwerk-Segmentierung (Abteilungen, Gäste, ggf. Geräte-Netze), Option auf Hochverfügbarkeit |
| 150+ | HA-Paar der 200er-Klasse aufwärts | Redundanz ist ab hier Pflicht, zentrales Management mehrerer Standorte, Durchsatzreserven |
Diese Tabelle entspricht der Logik unseres Bedarfs-Checks für Firewalls – sie ist ein ehrlicher Startpunkt, aber kein Ersatz für die vier Fragen im nächsten Abschnitt.
Vier Faktoren, die wichtiger sind als die Mitarbeiterzahl
1. Homeoffice- und VPN-Anteil
50 Mitarbeitende im Büro belasten eine Firewall anders als 50 Mitarbeitende, von denen die Hälfte per VPN arbeitet. Jeder Tunnel kostet Durchsatz – speziell mit aktivierter Verschlüsselungs-Inspektion. Bei hohem Remote-Anteil eine Klasse größer denken.
2. SSL-Inspection ein oder aus?
Der meiste Web-Verkehr ist verschlüsselt. Eine Firewall, die hineinschauen soll (und das soll sie), verliert dabei je nach Modell 50–80 % ihres Papier-Durchsatzes. Datenblatt-Werte ohne SSL-Inspection sind Marketing – fragen Sie immer nach dem „Threat Protection Throughput".
3. Standorte und Segmentierung
Mehrere Standorte brauchen SD-WAN-fähige Modelle mit zentralem Management. Und wer besondere Geräteklassen im Netz hat – Medizingeräte, Produktionsmaschinen, Kassensysteme – braucht saubere Netz-Segmente. Beides beeinflusst die Modellwahl stärker als zehn Mitarbeitende mehr oder weniger.
4. Compliance-Anforderungen
DSGVO verlangt nachvollziehbare Protokollierung, ISO 27001 ein dokumentiertes Regelwerk, KRITIS/NIS2 faktisch Redundanz und definierte Meldewege. Wer hier Pflichten hat, wählt nicht nur das Gerät, sondern auch Logging-Konzept und HA-Option mit.
Häufigster Fehler in der Praxis: Die Subscription läuft aus, niemand merkt es – und die Firewall filtert monatelang ohne aktuelle Signaturen. Kaufen Sie nie nur das Gerät, sondern organisieren Sie die Laufzeitüberwachung gleich mit.
Beispiel: 80 Mitarbeitende im Gesundheitswesen
Ein MVZ mit 80 Mitarbeitenden und zwei Standorten landet nach obiger Tabelle in der 90er-Klasse – und braucht wegen der Medizingeräte zwingend Segmentierung, wegen der Patientendaten DSGVO-konforme Protokollierung und wegen der Telematikinfrastruktur eine stabile VPN-Anbindung. Genau solche Kombinationen bildet unser Bedarfs-Check ab; die Branchen-Besonderheiten erklärt die Seite IT für Arztpraxen & MVZ.
Fazit
Die Mitarbeiterzahl liefert die Geräteklasse, mehr nicht. Die richtige Firewall ergibt sich aus Remote-Anteil, Inspection-Anspruch, Standorten und Compliance – und aus einer Subscription, die jemand aktiv verwaltet. Wenn Sie es genau wissen wollen: Unser Firewall-Bedarfs-Check beantwortet die Frage in zwei Minuten, ein verbindliches Angebot gibt es innerhalb von 24 Stunden.