Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.
Home>
Web Application Firewall (WAF)
Auf einen Blick
- 1. Was ist eine Web Application Firewall (WAF)?
- 2. Wie funktioniert eine Web Application Firewall?
- 3. Vor welchen Gefahren schützt eine Application Level Firewall?
- 4. Welche Arten von WAFs gibt es?
- 5. Welche Unternehmen benötigen eine WAF?
- 6. Worauf sollte ich beim Anbietervergleich achten?
- 7. WAF Protection: Das müssen Sie wissen
03
Vor welchen Gefahren schützt eine Application Level Firewall?
WAF Security schützt Webanwendungen vor Datendiebstahl, Kontenübernahme, schädlicher Manipulation und Sabotage. Organisationen können sich mit einer WAF vor diesen Angriffsmustern schützen:
Cross-Site Scripting (XSS)
Bei einem Angriff mittels Cross-Site Scripting injizieren Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen, um etwa sensible Informationen wie Login-Daten zu stehlen und Systeme zu kompromittieren. Besonders interaktive Webseiten und -anwendungen sind hierfür anfällig. Als vorgelagerter Schutzwall verhindert eine Web Application Firewall solche schädlichen Zugriffe.
SQL Injection
Bei einer SQL-Injection-Attacke nutzen Cyberkriminelle gezielt Sicherheitslücken aus, um etwa über Eingabemasken manipulierte Befehle oder Schadcode einzuschleusen. Dedizierte Regelsätze erlauben WAF-Lösungen, Injection-Attacken zuverlässig zu erkennen und zu vereiteln.
OWASP Top 10
Die Non-Profit-Organisation Open Web Application Security Project (OWASP) erstellt in regelmäßigen Abständen eine Liste der 10 größten Sicherheitsrisiken für Webapplikationen. Viele der in den OWASP Top Ten enthaltenen Bedrohungen können durch eine Web Application Firewall adressiert werden.
Zero-Day Exploits
Bei Zero-Day Exploits nutzen Cyberkriminelle neu entdeckte Software-Schwachstellen umgehend für Angriffe aus. Angepasste WAF-Regeln bieten in einer solchen akuten Bedrohungslage sofortigen Schutz, bis Patches für die anfällige Software verfügbar und eingespielt sind.
04
Welche Arten von WAFs gibt es?
Es gibt drei Arten, eine WAF-Architektur aufzubauen:
Cloud-SaaS-WAF
Zahlreiche Anbieter von Web App Firewalls bieten Software-as-a-Service-Lösungen an. Diese werden in der Cloud gehostet. Sie reduzieren den internen Aufwand für Unternehmen und bieten hohe Flexibilität und Kosteneffizienz, da sie keine zusätzliche Software oder Hardware benötigen. Bei einer Managed WAF kümmert sich der Provider um Konfiguration, Wartung und Betrieb der Cloud Web Application Firewall.
Host-basierte WAF
Host-basierte Web Application Firewalls sind als Software oder Modul auf dem Server installiert, der die Webanwendung hostet. Sie bieten hohe Integration und Kontrolle. Allerdings benötigen sie mehr Ressourcen und erfordern viel Wartung.
On-Premises WAF
Diese Web Application Firewalls sind als Hardware-Appliance in das Netzwerk integriert. Sie stehen vor oder hinter den Webservern, um Web-Apps zu sch�ützen. Die Lösungen bieten hohe Skalierbarkeit und Leistung. Sie benötigen jedoch mehr Bandbreite und eine leistungsstarke Infrastruktur.
WAF-Arten im Direktvergleich
Kosten | Meist geringe Anfangskosten, laufende Betriebskosten je nach Traffic/Funktionen | Oft niedrige Einstiegskosten, aber höherer interner Betriebsaufwand | Hoch oft 5-6-stellige Investition |
Betriebsaufwand | Mittel bei Managed WAF minimal | Mittel eigene IT nötig | Hoch dediziertes Team nötig |
Skalierbarkeit | Flexibel | Begrenzt Server-abhängig | Begrenzt elastisch Skalierung meist durch Hardware-Ausbau |
Time-to-Protect | Minuten/Stunden keine zusätzliche Software oder Hardware nötig | Tage Installation & Konfiguration | Oftmals Wochen Lieferung + Rack + Konfiguration |
Regelwerk-Updates | Oft automatisch durch Anbieter | Manuell eigene Pflege nötig | Manuell oft verzögert |
DSGVO-Eignung | Hoch kann durch Anbieterwahl sichergestellt werden | Hoch Daten bleiben inhouse | Hoch vollständige Datenhoheit |
BSI / NIS-2 / DORA / etc. | Abdeckbar durch Wahl eines zertifizierten Anbieters | Abdeckbar unterstützt Anforderungen, aber allein nicht ausreichend | Abdeckbar unterstützt Anforderungen, aber allein nicht ausreichend |
Zielgruppe | KMU & Enterprise & KRITIS breite Einsetzbarkeit | Organisationen mit eigener Betriebs- und Sicherheitskompetenz | Enterprise & KRITIS |
05
Welche Unternehmen benötigen eine WAF?
Jedes Unternehmen, das eine Webanwendung betreibt, über die Nutzerdaten fließen. Aber die wichtigste Fehlannahme zuerst:
„Wir sind zu klein, um interessant zu sein“ – das ist der gefährlichste Irrtum in der IT-Sicherheit. Automatisierte Angriffswerkzeuge scannen das gesamte Internet, ohne Rücksicht auf Unternehmensgröße. Laut BSI Lagebericht 2025 wurden im Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag bekannt – ein Wachstum von rund 24 Prozent gegenüber dem Vorjahr. Die entscheidende Frage ist daher nicht „Wie groß sind wir?“, sondern: „Was passiert, wenn unsere Webanwendung kompromittiert wird?�“.
Branchen mit erhöhtem Schutzbedarf
Finanzdienstleister & Banken
Online-Banking und Broker-Plattformen unter permanentem Beschuss
BaFin und BSI-Grundschutz machen Schutzmaßnahmen faktisch obligatorisch
Typische Angriffe: Session Hijacking, API-Missbrauch, Kontoübernahmen
Gesundheitswesen
Patientenportale verarbeiten besonders schützenswerte Daten
Bußgeldrisiko bei Datenleck erheblich
Typische Angriffe: Ransomware-Vorbereitung, Datenabruf über unsichere APIs
Öffentliche Verwaltung & KRITIS
NIS-2 und BSIG machen WAF-Einsatz für viele Einrichtungen zur Pflicht
Behörden sind zunehmend Ziel politisch motivierter Angriffe
Typische Angriffe: DDoS Layer 7, Defacement, Datenlecks
E-Commerce & Retail
Attraktives Angriffsziel wegen Verarbeitung von Zahlungs- und Adressdaten
PCI-DSS verpflichtet zur technischen Absicherung auf Anwendungsebene
Typische Angriffe: Credential Stuffing, Skimming, Bot-Attacken
Wann ist eine WAF gesetzlich vorgeschrieben?
PCI-DSS v4.0 | Alle mit Kreditkartenzahlung | Requirement 6.4.1: WAF oder dokumentierter Alternativprozess |
NIS-2 / NIS2UmsuCG | Wesentliche & wichtige Einrichtungen in der EU | Technische Schutzmaßnahmen für Webanwendungen verpflichtend |
DORA | Banken, Versicherungen, Zahlungsdienstleister, Krypto-Anbieter + deren IKT-Dienstleister | WAF als technische Schutzmaßnahme nach Art. 9 empfohlen – seit Januar 2025 verbindlich |
BSI IT-Grundschutz | Empfehlung für alle mit exponierten Webanwendungen | Baustein APP.3.1 empfiehlt WAF explizit |
DSGVO | Alle, die personenbezogene Daten verarbeiten | Technisch-organisatorische Maßnahmen (Art. 32) |
06
Worauf sollte ich beim Anbietervergleich achten?
Der WAF-Markt ist unübersichtlich. Die Kriterien unten sollen helfen, Angebote strukturiert zu vergleichen – und trennen verlässliche Anbieter von solchen, die nur auf dem Papier überzeugen.
Schutzqualität
OWASP Top 10: Werden die kritischsten Schwachstellenkategorien abgedeckt – inklusive SQL Injection, XSS und Zero-Day-Exploits?
Bidirektionale Filterung: Prüft die Web App Firewall sowohl eingehende Anfragen als auch ausgehende Antworten?
Skalierbarkeit: Kann die Lösung Hunderte Millionen HTTP-Anfragen pro Sekunde verarbeiten – ohne Latenzprobleme?
Nachgewiesene Wirksamkeit: Gibt es messbare Kennzahlen aus dem Produktivbetrieb – z. B. blockierte Angriffe pro Kunde und Jahr?
Integration & Betrieb
Keine zusätzliche Hardware: Lässt sich die WAF ohne neue Hardware oder Software in bestehende Infrastruktur integrieren?
API-Schutz: Schützt die Lösung auch moderne APIs – nicht nur klassische Webanwendungen?
Managed Service: Gibt es die Option, Regelpflege und Konfiguration an Sicherheitsfachleute des Anbieters zu übergeben?
Onboarding-Geschwindigkeit: Ist die Lösung schnell einsatzbereit – idealerweise per DNS-Umleitung ohne Installationsaufwand?
Compliance & Zertifizierungen
BSI-Qualifikation: Erfüllt der Anbieter alle BSI-Kriterien für qualifizierte Schutzdienstleister – relevant für KRITIS und öffentliche Auftraggeber?
ISO 27001 auf Basis von BSI IT-Grundschutz: Betreibt der Anbieter selbst ein nach BSI IT-Grundschutz zertifiziertes ISMS?
BSI C5 Typ 2: Liegt ein aktuelles C5-Testat vor – der Goldstandard für Cloud-Sicherheit in Deutschland?
Rechenzentrumsstandort: Liegen alle Daten und die Infrastruktur ausschließlich in Deutschland bzw. der EU – ohne US-Zugriffsmöglichkeiten?
Compliance-Abdeckung: Kann der Anbieter dokumentieren, wie seine Lösung NIS-2, DORA, PCI-DSS und DSGVO konkret unterstützt?
Support & SLA
Verfügbarkeits-SLA: Garantiert der Anbieter eine Service-Verfügbarkeit von 99,9 % oder höher?
Reaktionszeit: Greifen automatisierte Abwehrmaßnahmen in unter einer Sekunde?
24/7 Security Operations Center (SOC): Steht ein eigenes SOC rund um die Uhr zur Verfügung – mit deutschsprachigem Support?
NPS als Qualitätsindikator: Hat der Anbieter einen messbaren Net Promoter Score, der Kundenzufriedenheit belegt?
Kurzcheckliste für die Evaluierung
Lösung ohne Hardware-Installation einsatzbereit?BSI-Qualifikation und C5 Typ 2 nachgewiesen?Rechenzentren ausschließlich in Deutschland / EU?SLA für Verfügbarkeit schriftlich vereinbart?Managed WAF Service als Option verfügbar?Compliance-Abdeckung für NIS-2, DORA, PCI-DSS dokumentiert?24/7 SOC-Support mit deutschsprachigem Notfall-Kontakt?
Web Application Firewall – Häufig gestellte Fragen (FAQ)
Eine herkömmliche Netzwerk-Firewall kontrolliert den Datenverkehr auf Basis von IP-Adressen und Ports – sie "versteht" den Inhalt der Datenpakete nicht. Eine Web Application Firewall arbeitet auf der Anwendungsebene (Layer 7) und analysiert den tatsächlichen Inhalt von HTTP/S-Anfragen. Sie erkennt dadurch Angriffe wie SQL Injection oder XSS, die für eine klassische Firewall unsichtbar wären.
Über den Autor
Björn Greif
Senior Editor
Über den Autor
Björn Greif startete seine Redakteurskarriere 2006 beim IT-Nachrichtenportal ZDNet. 10 Jahre und exakt 12.693 Artikel später engagierte er sich beim deutschen Start-up Cliqz für mehr Privatsphäre und Datenschutz im Web. Vom Datenschutz zur IT-Sicherheit war es dann nur noch ein kleiner Schritt: Seit 2020 schreibt Björn bei Myra über die neusten Trends und Entwicklungen in der Welt der Cybersecurity.