FortiClient ist die Endpoint-Security-Software von Fortinet — Kombination aus VPN-Client (IPSec, SSL), Endpoint Protection (Antivirus, EDR), Web-Filtering und Zero-Trust-Network-Access (ZTNA). Verwaltung zentral über FortiClient EMS (on-prem) oder FortiClient Cloud. 2026 Version: 7.4.x mit FortiSASE-Integration.
Inhalt in Kürze
- FortiClient ist Fortinets Endpoint-Agent für Windows, macOS, Linux, iOS und Android — er bündelt VPN, Web-Filter, ZTNA-Client, Endpoint Protection und Telemetrie in einer Software.
- Kostenlos vs. kostenpflichtig: Die Free-Variante bietet nur IPsec/SSL-VPN ohne Support und ohne zentrales Management. Business-Features (ZTNA, EPP, zentrales Rollout) laufen über FortiClient EMS als Subscription.
- Stark in Fortinet-Landschaften: Wer FortiGate-Firewalls einsetzt, bekommt mit FortiClient eine integrierte Zero-Trust-Architektur. Standalone gibt es bessere, modernere Alternativen.
- Praxis: In Hamburger KMU sehen wir FortiClient oft als VPN-Client-Altlast. Der Schritt zu ZTNA und EMS lohnt sich — oder man wechselt gleich die Plattform.
Wenn jemand bei uns als IT-Dienstleister aus Hamburg anruft und nach „FortiClient” fragt, kommen meist zwei Fragen: „Ist das gefährlich, wenn meine Leute den zu Hause installieren?” und „Brauche ich das überhaupt noch, oder gibt es bessere Lösungen?”. Beide Fragen sind berechtigt. FortiClient ist kein einfaches VPN-Tool, sondern ein vollwertiger Endpoint-Agent mit vielen Gesichtern — und genau das macht die Einordnung schwierig.
Was ist FortiClient?
FortiClient ist die Endpoint-Security-Software von Fortinet, dem US-amerikanischen Security-Hersteller, der auch die FortiGate-Firewalls baut. Sie läuft auf Endgeräten — Laptops, Desktops, Tablets, Smartphones — und übernimmt dort mehrere Aufgaben gleichzeitig: Sie stellt eine verschlüsselte VPN-Verbindung ins Unternehmensnetz her, schützt das Gerät vor Malware, filtert Webzugriffe und meldet den Gerätezustand (Betriebssystem, Patchlevel, AV-Status) an die zentrale Management-Konsole FortiClient EMS.
Laut Fortinet-Produktseite zu FortiClient ist der Agent heute Teil der sogenannten „Security Fabric” — Fortinets integriertem Sicherheits-Ökosystem aus Firewall, Endpoint, Cloud-Security und SIEM. Das ist der entscheidende Punkt: FortiClient ist kein standalone-Produkt, sondern eine Komponente einer größeren Plattform. Wer nur den VPN-Client isoliert einsetzt, schöpft nicht einmal 20 Prozent des Potenzials aus.
Verwechseln Sie FortiClient nicht mit FortiGate. FortiGate ist die Firewall-Hardware (oder VM), FortiClient ist der Endpoint-Agent auf dem Laptop. Für den vollen Schutz brauchen Sie beide plus FortiClient EMS als Management-Server.
Die Komponenten von FortiClient
FortiClient bündelt mehrere Sicherheitsfunktionen in einer Software. Welche davon aktiv sind, hängt von der Lizenz und der EMS-Konfiguration ab.
| Komponente | Funktion | Lizenz-Voraussetzung |
|---|---|---|
| VPN-Client | IPsec- und SSL-VPN zum FortiGate, Remote-Access für Mitarbeiter | Free-Version reicht |
| Endpoint Protection (EPP) | Signaturbasierter Virenschutz, Anti-Exploit, Sandbox-Integration | FortiClient EMS (EPP/APT Bundle) |
| Endpoint Telemetry | Gerätestatus, Compliance-Check, Reporting an EMS | FortiClient EMS |
| Web Filter | URL-Kategorie-Blocking, Phishing-Schutz auf Endgerät-Ebene | FortiClient EMS |
| ZTNA-Agent | Applikationsbezogener Zugriff über FortiGate als ZTNA-Proxy | ZTNA Bundle + FortiGate-Feature |
| Remote Management | Zentrale Konfiguration, Richtlinien-Push, Quarantäne | FortiClient EMS |
Die entscheidende Unterscheidung: FortiClient VPN (free) ist für einzelne Nutzer oder kleine Umgebungen gedacht. Sobald Sie mehr als fünf Endgeräte zentral verwalten oder Endpoint Protection aktivieren wollen, führt kein Weg an der kostenpflichtigen Lizenz vorbei. Das ist kein Bug, sondern Business-Modell.
FortiClient VPN (free) läuft ohne Support, ohne Updates im engeren Sinn und ohne zentrales Management. Für einzelne Remote-Arbeiter mag das reichen. In einem Unternehmen mit 20+ Endgeräten ist die Free-Version ein Compliance-Risiko — niemand sieht, ob der Agent aktuell ist oder überhaupt noch läuft.
FortiClient im Business-Einsatz
In der Praxis sehen wir FortiClient bei Hamburger Kunden in drei Konstellationen:
- Als reiner VPN-Client — meist Altlast aus Zeiten, als der IT-Dienstleister eine FortiGate aufgestellt und den passenden Client mitgegeben hat. Viele Unternehmen wissen gar nicht, dass sie EMS dazubuchen könnten. Wer die Best Practices für Fortinet FortiGate noch nicht kennt, sollte dort anfangen.
- Als voll integrierte Fortinet-Landschaft — FortiGate am Perimeter (oft als FortiGate-Cluster für Hochverfügbarkeit), FortiClient EMS in der Cloud, FortiAnalyzer für Logs. Hier arbeitet der Agent so, wie er gedacht ist: als Sensor und Durchsetzungspunkt.
- Als Übergangslösung — das Unternehmen hat FortiClient im Einsatz, evaluiert aber Alternativen (ZTNA aus der Cloud, Defender for Endpoint, andere VPN-Lösungen).
Das BSI weist in seinem Lagebericht zur IT-Sicherheit in Deutschland 2025 explizit darauf hin, dass kompromittierte Endgeräte einer der häufigsten Einfallsvektoren für Ransomware-Angriffe im Mittelstand sind. Ein Endpoint-Agent ohne zentrales Management erkennt zwar den ersten Angriff, aber niemand bekommt es mit. Bei einem betreuten Kunden mit 40 Arbeitsplätzen haben wir im letzten Jahr drei Zwischenfälle gehabt, die erst durch die EMS-Telemetrie auffielen — ohne das Dashboard wäre das Ransomware-Payload wochenlang unentdeckt geblieben.
Die Krypto-Trojaner werden nicht sofort aktiv, die schlummern erstmal. Wenn Sie das Backup von letzter Woche zurückspielen, ist der da auch schon drauf. Deshalb reicht Endpoint-Schutz allein nicht — Sie brauchen die Historie, die Sie nur mit zentralem Management bekommen.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Wenn Sie gerade prüfen, ob Ihre Endpoint-Strategie ausreicht, laden Sie sich unsere 20-Punkte-Checkliste herunter. Die Hälfte der Punkte betrifft direkt Endgeräte-Härtung und Remote-Access — zwei Bereiche, die FortiClient adressiert.
Installation und Konfiguration — Schritt für Schritt
Die saubere Installation von FortiClient folgt einem festen Muster. Wer einen davon überspringt, baut sich technische Schulden in die Landschaft.
- FortiClient EMS bereitstellen: Entweder on-premises als VM oder in der Fortinet-Cloud. Vor der Client-Verteilung muss der Management-Server laufen, sonst verteilen Sie „blinde" Agents.
- Zero-Touch-Deployment vorbereiten: MSI-Installer herunterladen, Konfigurations-XML aus EMS generieren. Bei uns läuft das Rollout über Microsoft Intune Autopilot — kein Admin läuft mehr mit USB-Stick durchs Büro.
- VPN-Gateway auf FortiGate konfigurieren: IPsec- oder SSL-VPN-Profil, Authentifizierung über LDAP/Entra ID, Zertifikate per PKI ausrollen. Ganz wichtig: Split-Tunneling bewusst setzen — nicht aus Versehen den gesamten Internet-Traffic durch die Firmenfirewall zwingen.
- Endpoint-Richtlinien in EMS anlegen: Welche Webkategorien blocken, welche AV-Signaturen, welche Compliance-Regeln (z.B. „nur Windows 11 mit BitLocker erlaubt"). Vorlagen nutzen, nicht bei Null anfangen.
- ZTNA-Integration aktivieren (optional): Wenn Sie Zero Trust ausrollen wollen, FortiGate als ZTNA-Proxy konfigurieren, Tags pro Nutzer und Gerät vergeben.
- Pilotgruppe testen: Erst 5-10 Nutzer aus verschiedenen Abteilungen, nicht gleich die Geschäftsleitung. Eine Woche Telemetrie sammeln, False Positives abklären.
- Rollout in Wellen: Nach Abteilung, nicht alphabetisch. Probleme in einer Welle lassen sich schneller eingrenzen als bei 150 gleichzeitig aktiven Endpunkten.
- Monitoring und Notfall-Prozess: Wer prüft täglich das EMS-Dashboard? Was passiert bei Warnmeldungen nachts um 2 Uhr? Wenn die Antwort „keiner" ist, fehlt der halbe Nutzen.
Dokumentieren Sie vor dem Rollout, welche Webseiten im Hintergrund laufen (CRM-Cloud, Buchhaltung, Zeiterfassung). FortiClient-Web-Filter blocken sonst Ihre eigenen Business-Tools — und Sie suchen zwei Tage nach dem Fehler.
FortiClient vs. Alternativen — ehrlicher Vergleich
Der ehrliche Vergleich lohnt sich, weil der Markt sich bewegt hat. Was 2018 State-of-the-Art war, ist 2026 oft nur noch Mittelmaß.
| Lösung | Stärken | Schwächen | Wann sinnvoll? |
|---|---|---|---|
| FortiClient + EMS | Tiefe Integration mit FortiGate, ZTNA, EPP in einem Agent, starke Web-Filter | Nur sinnvoll mit Fortinet-Umgebung, Lizenzkosten bei vollem Bundle hoch | Bestehende Fortinet-Landschaft, 50+ Endpunkte |
| Cisco Secure Client (AnyConnect) | Enterprise-Standard, sehr stabil, gute macOS-Unterstützung | Teuer, Fokus stark auf VPN, ZTNA erst über zusätzliche Produkte | Bestandskunden mit Cisco-Firewalls/ASA |
| OpenVPN | Open Source, plattformunabhängig, große Community | Kein zentrales Management out-of-the-box, kein EPP | Kleine Umgebungen, technisch versierte Admins |
| WireGuard | Modernste Kryptografie, extrem schnell (3-10× OpenVPN), sehr schlanker Code | Kein integriertes EPP, User-Management muss extern kommen | Performance-kritische Remote-Access-Szenarien |
| Cloudflare Access (ZTNA) | Cloud-native, kein VPN-Tunnel mehr, Zero-Trust per Default | Abhängig von Cloudflare-Stack, Latenz-Test nötig | Cloud-first-Unternehmen, keine Firewall-Bindung |
| Microsoft Entra Private Access | Nahtlose M365-Integration, Conditional Access | Funktioniert nur im Microsoft-Stack, relativ jung | Unternehmen mit Microsoft 365 E5 / Entra Suite |
| Microsoft Defender for Endpoint | Tief integriert in Windows, AI-gestützte Erkennung, günstig via M365 E5 | Nur Endpoint, kein VPN oder Web-Filter | Microsoft-zentrische Umgebungen |
Laut Gartner Peer Insights zu Secure Service Edge gehen die Top-Bewertungen in ZTNA aktuell an Cloud-native Anbieter wie Zscaler, Netskope und Cloudflare — nicht mehr an die klassischen Firewall-Hersteller. Das heißt nicht, dass FortiClient schlecht ist. Es heißt, dass der Markt sich von der Hardware-Firewall als Zentrum hin zu Cloud-ZTNA-Diensten verschiebt.
FortiClient vs. Cisco Secure Client (AnyConnect) — der Vergleich
Der häufigste 1:1-Wechsel in unseren Audits: bestehende Cisco-Secure-Client-Umgebung (früher AnyConnect) auf FortiClient umstellen — oder andersherum. Die kurze Gegenüberstellung für 2026:
| Kriterium | FortiClient 7.4 + EMS | Cisco Secure Client |
|---|---|---|
| Bindung an Firewall | FortiGate (FortiOS 7.0+) als Gegenstelle | Cisco ASA, Firepower oder Secure Firewall |
| VPN-Protokolle | IPSec, SSL-VPN | SSL-VPN (TLS), IPsec/IKEv2 |
| ZTNA-Integration | Nativ im Agent, FortiGate als ZTNA-Proxy | Cisco Secure Access (separates SSE-Produkt, Add-on) |
| EDR / Endpoint Protection | EPP/APT-Bundle mit Sandbox, Telemetrie an EMS | Cisco Secure Endpoint (früher AMP, separate Lizenz) |
| SASE-Story | FortiSASE — eine Plattform für SWG, CASB, ZTNA, Firewall-as-a-Service | Cisco+ Secure Connect / Umbrella, mehr Einzelbausteine |
| Lizenzmodell | Subscription pro Endpunkt (ZTNA-Bundle / EPP-APT-Bundle) | Premier / Apex Tiers, häufig im Enterprise-Agreement |
| Stabilität macOS | Solide, in 7.4 deutlich verbessert | Sehr stabil, branchenweit Referenz |
| Wann sinnvoll? | Fortinet-Stack vorhanden oder SASE-Migration geplant | Cisco-Bestand, hohe Anforderungen an Compliance-Reporting |
Fazit: Wer FortiGate hat, bleibt mit FortiClient + EMS in einem Stack — inklusive klarem Pfad Richtung FortiSASE. Wer Cisco-Firewalls einsetzt, bekommt mit Secure Client eine stabilere reine VPN-Lösung, muss für ZTNA und EDR aber zusätzliche Produkte einkaufen. Beides ist legitim. Der teure Fehler ist, Tools aus zwei Stacks parallel zu betreiben — Lizenz-Doppelkosten plus Routing-Konflikte auf dem Endgerät.
Wir hatten FortiClient fünf Jahre im Einsatz, weil unser damaliger Dienstleister das so eingerichtet hatte. Als wir NIS2 geprüft haben, fiel auf: Niemand bei uns hat den EMS-Server gepflegt. Jetzt machen wir ZTNA über eine Cloud-Lösung und Endpoint-Schutz über Defender. Einfacher, günstiger, besser.
Zero Trust Network Access (ZTNA) mit FortiClient
Der spannendste Teil von FortiClient ist der ZTNA-Agent — und gleichzeitig der am seltensten aktiv genutzte. Statt dem klassischen VPN, bei dem der Nutzer „ins Netzwerk” kommt und dann auf alles zugreifen kann, funktioniert ZTNA anders: Der Client öffnet pro Anwendung einen eigenen verschlüsselten Tunnel zum FortiGate, der als ZTNA-Proxy arbeitet. Zugriff gibt es nur, wenn User-Identität, Geräte-Compliance und Kontext stimmen.
Das ist der Kern von Zero Trust: „Never trust, always verify”. Jeder Zugriff wird einzeln geprüft, nicht nur einmal beim Login.
ZTNA mit FortiClient funktioniert, wenn die Voraussetzungen stimmen: FortiGate mit aktuellem FortiOS (mindestens 7.0), FortiClient EMS, ZTNA-Lizenz auf beiden Seiten. Wer den Weg gehen will, sollte parallel unser Tool zur NIS2-Betroffenheit nutzen — die Anforderungen an Remote-Access sind dort explizit geregelt.
Wir haben bei einem Hamburger Architekturbüro im letzten Jahr den Wechsel von FortiClient-VPN auf ZTNA gemacht. Vorher: 120 Anwender, ein VPN-Tunnel, sobald wer drin war, hatte er Zugriff auf den gesamten Fileserver. Nachher: pro App ein eigener Tunnel, Geschäftsleitung sieht nur Projektdaten ihrer eigenen Projekte, Externe nur das, was sie wirklich brauchen. Der Aufwand war real — rund sechs Wochen Planung und Rollout. Der Sicherheitsgewinn ist messbar: Audit-Protokolle zeigen jeden einzelnen App-Zugriff.
Typische Fehler beim FortiClient-Rollout
- Split-Tunneling falsch gesetzt. Entweder alles durch den Tunnel (Bandbreitenproblem) oder gar nichts (Sicherheitsproblem). Die richtige Mitte hängt von Ihrem Setup ab.
- Zertifikate laufen aus. FortiClient-VPN bricht am Wochenende zusammen, keiner merkt es bis Montagmorgen. Automatisches Renewal und Monitoring einrichten.
- Free-Version im Produktiveinsatz. Ohne EMS keine Telemetrie, keine zentrale Policy, kein Compliance-Nachweis. Unterm Strich teurer als die Lizenz.
- Web-Filter zu streng. Mitarbeiter umgehen den Agent per Handy-Hotspot. Realistische Whitelist/Blacklist-Strategie statt „alles außer Google-Suche".
- Fortigate-Lizenz reicht nicht für Userzahl. ZTNA-Lizenzen sind pro User/Gerät — wer 200 Endpunkte hat aber nur 50 Lizenzen, blockiert sich selbst.
- Altlasten-Agents nicht deinstalliert. Zwei VPN-Clients gleichzeitig (z.B. Cisco + FortiClient) führen zu Routing-Konflikten, die niemand debuggen kann.
- Kein Notfall-Plan für EMS-Ausfall. Wenn der Management-Server down ist, weiß niemand, ob die Endpunkte noch sauber sind.
Fortinet hatte 2023 und 2024 mehrere kritische Sicherheitslücken in FortiClient und FortiGate ([BSI-Warnung CB-K24/0001 zu FortiClient EMS](https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Warnmeldungen/CB-Abos/Technische-Warnungen/TW-Archiv/2024/TW-2024-0017.html "BSI-Warnung zu FortiClient EMS")). Wer Fortinet einsetzt, muss einen Patch-Management-Prozess haben — nicht „wir patchen quartalsweise". Sofortpatches binnen 72 Stunden sind Pflicht.
Checkliste: Ist FortiClient das Richtige für Sie?
- Sie haben bereits FortiGate-Firewalls? Dann ist FortiClient + EMS oft die pragmatischste Wahl.
- Sie starten bei Null mit Security? Vergleichen Sie — Microsoft Defender + Entra Private Access oder Cloudflare Access können günstiger sein.
- Sie haben unter 20 Endgeräte? FortiClient EMS lohnt sich betriebswirtschaftlich oft nicht. Reines WireGuard + Defender reicht meist.
- Sie sind NIS2-pflichtig? FortiClient allein reicht nicht — Sie brauchen dokumentierte Prozesse und zentrale Telemetrie. Prüfen Sie Ihre Betroffenheit mit unserem Check.
- Sie wollen Zero Trust? ZTNA mit FortiClient funktioniert, aber Cloud-ZTNA (Cloudflare, Zscaler) ist oft moderner und schneller einzuführen.
- Sie haben eigenes Security-Team? Ohne dediziertes Personal kein Business-Rollout. Sonst Managed Service nutzen.
Was Sie heute tun können
Wenn FortiClient bei Ihnen im Einsatz ist, lohnen sich drei konkrete Checks innerhalb der nächsten Woche:
- Lizenz-Status prüfen: Laufen Sie auf Free-Version oder mit EMS? Wenn ohne EMS — ist das bewusst so oder historisch gewachsen?
- Patchlevel prüfen: Welche FortiClient- und FortiGate-Version? Sind Sie auf dem aktuellen Build? Die Fortinet-Sicherheitsmeldungen der letzten 12 Monate durchgehen.
- ZTNA-Bereitschaft checken: Würde Ihre Firewall ZTNA technisch überhaupt unterstützen? Und wäre die Userzahl in den Lizenzen enthalten?
Wer keine Lust auf diese Recherche hat: Wir machen das regelmäßig im Rahmen unserer Cybersecurity-Beratung für Hamburger Unternehmen — in einem 60-Minuten-Audit wissen Sie, wo Sie stehen. Alternativ können Sie Firewall und Endpoint auch vollständig an uns auslagern: Unsere Managed Firewall kümmert sich um Patches, Policies und Monitoring zum Festpreis.
Fazit: FortiClient ist ein Werkzeug, keine Strategie
FortiClient ist ein solider Endpoint-Agent — wenn er ins Ökosystem passt. Für Unternehmen mit bestehender Fortinet-Landschaft und dedizierter IT ist er eine echte Option. Für alle anderen lohnt der Marktvergleich: Cloud-ZTNA-Lösungen sind oft schneller eingeführt, Microsoft Defender for Endpoint ist im M365 E5 schon enthalten.
Viele unserer Kunden in Hamburg gehen einen pragmatischen Weg: FortiGate bleibt als Firewall, aber Endpoint-Schutz und ZTNA kommen aus dem Microsoft-Stack. Den Tool-Wechsel begleiten wir über Managed IT Services oder — wenn eine interne IT da ist — über Co-Managed IT Services Hamburg.
Der entscheidende Punkt ist aber nicht die Tool-Wahl. Es ist der Prozess dahinter: Wer patcht? Wer wertet Logs aus? Was passiert bei Alarm? Ohne diese Antworten ist FortiClient — wie jedes andere Tool — nur ein Pflaster auf der Wunde.
Unsicher, ob FortiClient noch zu Ihnen passt?
15 Minuten reichen für eine ehrliche Einschätzung. Ohne Vertriebsdruck, ohne Folge-Pflicht.
Kostenloses Erstgespräch buchen →Weiterführende Quellen
- Fortinet: FortiClient Produktseite — Hersteller-Dokumentation zu Features und Lizenzen
- BSI-Lagebericht 2025: Die Lage der IT-Sicherheit in Deutschland — Aktuelle Bedrohungslage und Endpoint-Relevanz
- heise: FortiClient EMS — kritische Sicherheitslücken und Patches — Laufende Berichterstattung zu Fortinet-Vulnerabilities
- Gartner Peer Insights: Zero Trust Network Access — Analyst-Bewertung des ZTNA-Marktes
