Inhalt in Kürze
- Eine Fortinet FortiGate ist eine Next-Generation Firewall, die UTM, IPS, SSL-Inspection, VPN und SD-WAN in einer Appliance vereint.
- FortiOS 7.6 integriert SASE, Zero-Trust-Network-Access und KI-gestützte Threat-Erkennung — Fortinet ist 2025 im Gartner Magic Quadrant für SD-WAN und Hybrid Mesh Firewall als Leader gelistet.
- Im Mittelstand spielt FortiGate ihre Stärken bei mehreren Standorten, hohem VPN-Volumen und IPS-Performance aus — gepaart mit FortiManager und FortiAnalyzer.
- Wir betreiben FortiGate als Managed Firewall ab ca. 89 € pro Standort und Monat für Hamburger Mittelständler — inklusive Updates, Monitoring und Policy-Pflege.
Wer im Mittelstand für IT verantwortlich ist, hat bei „Firewall” oft drei Bilder im Kopf: eine vergessene Box im Serverraum, ein abgelaufenes Lizenzmodell und ein Angebot, das niemand mehr lesen kann. Genau hier setzt Fortinet FortiGate an. Die Plattform ist in den letzten Jahren vom klassischen Paketfilter zum Security-Backbone für hybride Netzwerke gewachsen — mit eigenem Betriebssystem (FortiOS), eigener Hardware und einem Ökosystem rund um SD-WAN, SASE und Zero Trust.
Dieser Leitfaden richtet sich an IT-Leiter und Geschäftsführer in Hamburg und Norddeutschland, die wissen wollen: Was kann FortiGate wirklich, wo liegen die Grenzen, und wie wählt man das passende Modell aus, ohne in die Lizenz-Falle zu laufen?
Was ist Fortinet FortiGate?
Eine Fortinet FortiGate ist eine Next-Generation Firewall (NGFW), die auf eigener Sicherheitshardware läuft (Fortinet nennt das „Security Processor”, kurz SPU) und vom Betriebssystem FortiOS gesteuert wird. Im Unterschied zu einer reinen Layer-3/4-Firewall arbeitet eine FortiGate auf Anwendungsebene: Sie erkennt, welche Apps durch das Netzwerk laufen, scannt Dateien, prüft verschlüsselten Traffic und blockiert Angriffsmuster.
FortiGate ist heute Teil der Fortinet Security Fabric — einem Verbund aus Firewall, Endpoint Protection (FortiClient), Switches (FortiSwitch), Access Points (FortiAP), SIEM (FortiAnalyzer/FortiSIEM) und Cloud-Diensten (FortiCASB, FortiSASE). Genau das ist der Grund, warum Fortinet im 2025 Gartner Magic Quadrant sowohl bei SD-WAN als auch bei Hybrid Mesh Firewalls als Leader positioniert ist (siehe Fortinet-Pressemeldung 2025).
Wir sehen bei Neukunden in Hamburg häufig FortiGate-Boxen, die nur als Paketfilter konfiguriert sind. UTM-Bundle gekauft, aber IPS, Application Control und SSL-Inspection nie aktiviert. Das Geld ist verbrannt, der Schutz nicht da. In der Erstanalyse decken wir das in 30 Minuten auf.
Hardware, virtuelle Appliance oder Cloud?
FortiGate gibt es in drei Varianten — die Wahl hängt von Standortstruktur und Cloud-Strategie ab:
| Variante | Wofür geeignet | Typische Modelle |
|---|---|---|
| Hardware-Appliance | Klassisches On-Prem-Netzwerk, eigener Standort | FortiGate 40F – 600F |
| Virtuelle Appliance (FortiGate-VM) | Hyper-V, VMware, KVM, Nutanix | FG-VM01 – FG-VMUL |
| Cloud (Public Cloud) | Azure, AWS, GCP — geschützte Workloads in der Cloud | FortiGate Cloud, FortiGate-VM für Azure/AWS |
Für die meisten unserer Managed-IT-Kunden in Hamburg läuft eine Hardware-Appliance vor Ort plus eine virtuelle FortiGate für die Microsoft-365-/Azure-Anbindung. Die zentrale Verwaltung übernimmt FortiManager.
Die wichtigsten Funktionen einer FortiGate
FortiOS bündelt heute weit mehr als zehn Sicherheitsfunktionen. Für IT-Leiter sind diese sechs entscheidend:
- Stateful Firewall & Application Control: Erkennt nicht nur Ports, sondern Anwendungen (Microsoft Teams, Salesforce, Dropbox) — und kann sie selektiv erlauben oder drosseln.
- Intrusion Prevention System (IPS): Datenbank mit zigtausenden Angriffssignaturen, ergänzt durch verhaltensbasierte Erkennung. Blockiert Exploit-Versuche, bevor sie auf den Server treffen.
- SSL/TLS-Inspection: Bricht verschlüsselten Verkehr kontrolliert auf, scannt ihn auf Malware und verschlüsselt ihn neu. Pflicht, weil rund 95 % des Web-Traffics heute verschlüsselt ist.
- Antivirus & FortiSandbox: Datei-Scan in Echtzeit; verdächtige Dateien werden in einer Sandbox detoniert (entweder lokal als FortiSandbox-Appliance oder als Cloud-Service).
- VPN & ZTNA: IPsec für Site-to-Site, SSL-VPN für mobile Mitarbeiter, Zero-Trust-Network-Access (ZTNA) für app-spezifischen Zugriff statt vollem Netzwerk-Tunnel.
- Secure SD-WAN: Mehrere WAN-Leitungen (Glasfaser, LTE, MPLS) werden zu einer logischen Verbindung kombiniert. Application-Steering wählt den schnellsten Pfad pro App — etwa Teams immer über Glasfaser, Backup über LTE.
FortiOS 7.6 — was 2025/2026 dazukam
Mit FortiOS 7.6 hat Fortinet die Plattform 2024/2025 neu ausgerichtet. Wichtige Neuerungen für den Mittelstand:
- Generative AI im Management (FortiAI Assist): Policy-Vorschläge und Log-Auswertung per Chat-Interface.
- Native SASE-Integration (FortiSASE): Cloud-basiertes Secure Web Gateway plus ZTNA, gesteuert aus derselben Konsole.
- Erweiterte Data Loss Prevention (DLP): Sensible Daten (Kundendaten, Verträge) werden im Traffic erkannt und blockiert.
- Hybrid-Mesh-Firewall-Architektur: Eine Policy gilt überall — On-Prem, Cloud, Branch, Home Office.
Details dazu sind direkt in der Fortinet-Doku zu FortiOS 7.6 nachzulesen.
Lizenzmodelle: Worauf IT-Leiter achten müssen
Die häufigste Stolperfalle bei FortiGate ist nicht die Hardware, sondern das Lizenzmodell. Fortinet bietet drei Standard-Bundles:
| Bundle | Was drin ist | Sinnvoll für |
|---|---|---|
| Hardware-only / FortiCare | Nur Firmware-Updates, RMA, Support | Mini-Standorte ohne Internet-Exit |
| UTM Bundle | IPS, Antivirus, Antispam, Web-Filter, Application Control | Standard-Mittelstandsetup |
| Enterprise Bundle | UTM + FortiSandbox Cloud + FortiCASB + Industrial Security + IoT-Lookup | Standorte mit erhöhtem Risiko, OT-Anbindung, Cloud-Apps |
Unser Standard-Setup für KMU: Enterprise Bundle, 3 Jahre Laufzeit. Begründung: Die Sandbox-Funktion (FortiSandbox Cloud) fängt Zero-Day-Malware, die signaturbasierte AV-Engines übersehen. In Zeiten von Ransomware-as-a-Service ist das kein Luxus mehr.
Eine ausgelaufene Subscription deaktiviert nicht die FortiGate, aber sie schaltet IPS-Updates, AV-Pattern und Web-Filter ab. Wir sehen Boxen, die seit zwei Jahren ohne aktive Lizenz laufen — der Kunde glaubt, er sei geschützt, ist es aber nicht. Lizenz-Stichtage gehören in die Wartungs-Checkliste.
FortiManager und FortiAnalyzer — wann lohnt sich das?
Eine einzelne FortiGate verwaltet man problemlos über die Web-UI. Sobald aber drei oder mehr Standorte ins Spiel kommen, wird zentrale Verwaltung zur Pflicht.
- FortiManager ist das zentrale Policy- und Konfig-Management. Eine Regel wird einmal definiert und auf alle Standorte verteilt. Firmware-Rollouts, Backup, Versionierung und rollenbasierte Zugriffe sind Standard.
- FortiAnalyzer sammelt Logs aus allen FortiGates, korreliert Events und liefert Reports — DSGVO-konform, mit Aufbewahrungsfristen, Compliance-Dashboards und Forensik-Funktionen für den Ernstfall.
Für einen typischen Hamburger Mittelständler mit Hauptsitz plus 2–3 Außenstandorten rechnet sich das Duo bereits im ersten Jahr — schon allein, weil ein einziger Policy-Fehler ohne FortiManager schnell mal einen Tag Troubleshooting kostet.
Aus der Praxis
Eine Firewall steht und fällt nicht mit der Hardware, sondern mit der Pflege. Genau das hören wir in jedem Erstgespräch.
Wir sehen bei jedem zweiten Neukunden eine Firewall, die seit Monaten kein Update mehr gesehen hat. Lizenz abgelaufen, Web-Filter auf "default", IPS deaktiviert, weil "es einmal etwas blockiert hat, was wir brauchten". Das ist keine Sicherheit mehr, das ist eine teure Box, die einen Haken auf der Compliance-Liste macht.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Im konkreten Fall — eine Werbeagentur mit 8 Mitarbeitern in Eppendorf — fanden wir eine FortiGate 60E vor, deren Subscription seit 14 Monaten abgelaufen war. Die Firmware lag auf 6.2 (heute aktuell: 7.6). Nach Hardware-Tausch auf eine FortiGate 70F, frischem Enterprise-Bundle und einer sauberen Konfiguration läuft die Box seit zweieinhalb Jahren stabil — und hat in dieser Zeit über die SSL-Inspection und IPS-Logs drei reale Angriffsversuche dokumentiert, die vorher unbemerkt durchgegangen wären.
Was mich bei unserem alten Dienstleister wahnsinnig gemacht hat: Jeden Monat andere Kosten. Mal 200 Euro, mal 2.000. Wir brauchen Planbarkeit — Festpreise, die von Anfang an klar sind.
Lead-Magnet: Cybersicherheits-Leitfaden
Bevor wir zum Vergleich mit anderen Herstellern kommen — wenn Sie Ihre IT-Sicherheit jenseits der Firewall einmal sauber durchchecken wollen, holen Sie sich unseren 47-seitigen Cybersicherheits-Leitfaden für KMU. Drin: Checklisten zu Patch-Management, Backup, MFA, Awareness — also alles, was eine FortiGate alleine nicht abdeckt.
FortiGate vs. Sophos vs. Cisco vs. Palo Alto — der ehrliche Vergleich
Wir sind herstellerunabhängig und setzen je nach Anforderung unterschiedliche Firewalls ein. Hier die Kurzfassung dessen, was wir in über 200 Mittelstandsprojekten gelernt haben:
| Kriterium | Fortinet FortiGate | Sophos XGS | Cisco Meraki MX | Palo Alto PA-Series |
|---|---|---|---|---|
| Performance pro Euro | sehr stark | gut | mittel (Cloud-Modell) | hoch im Enterprise |
| SD-WAN integriert | nativ, Marktführer | grundlegend | nativ, Cloud-zentriert | nativ, premium |
| Bedienbarkeit | mittel (FortiOS-Logik) | sehr einfach (Sophos Central) | sehr einfach (Cloud-Dashboard) | komplex (für Spezialisten) |
| Zentrales Management | FortiManager / FortiCloud | Sophos Central | Meraki Dashboard | Panorama |
| Threat Intelligence | FortiGuard Labs | SophosLabs / X-Ops | Cisco Talos | Unit 42 (oft als bestbewertet) |
| Typischer Einsatz bei uns | Multi-Site, hohes IPS-Volumen, SD-WAN | Single-Site, kleines Team, einfacher Betrieb | Verteilte Standorte, Cloud-zentriert | High-Security Enterprise, Banken |
| Lizenzkomplexität | mittel | niedrig | niedrig | hoch |
Unsere Faustregel:
- Bis 25 Mitarbeiter, 1 Standort: Sophos XGS oder WatchGuard Firebox — einfach, stabil, planbar.
- 30–250 Mitarbeiter, 2–10 Standorte: Fortinet FortiGate plus FortiManager — bestes Preis-Leistungs-Verhältnis bei SD-WAN und IPS.
- Verteilte Filialen mit Cloud-First-Strategie: Cisco Meraki MX — Cloud-Dashboard erspart On-Site-Touren.
- Hochregulierte Branchen (Bank, Pharma, kritische Infrastruktur): Palo Alto Networks — wenn Budget keine Rolle spielt und Compliance-Reporting höchste Priorität hat.
Wer detaillierter in einzelne Hersteller einsteigen will, findet in unserem Insights-Bereich den passenden Tiefgang — etwa zur Sophos XG Firewall, zu Cisco Meraki oder zu Palo Alto GlobalProtect.
Typische Fehler bei FortiGate-Setups
Aus unseren Erstanalysen kennen wir die immer gleichen Stolperfallen:
1) SSL-Inspection deaktiviert — und damit 95 % des Verkehrs blind. 2) Default-Web-Filter — keine Anpassung an Branchenanforderungen. 3) Logging nicht extern — bei einem Vorfall fehlt die Forensik-Spur. 4) Veraltetes FortiOS — Major-Updates werden monatelang aufgeschoben. 5) Admin-Zugang ohne MFA — die Firewall selbst wird zum Angriffsziel.
Diese fünf Punkte arbeiten wir bei jedem Neukunden in der ersten Woche ab — bevor wir überhaupt über zusätzliche Module oder Module-Lizenzen sprechen.
Statistiken zur Bedrohungslage
Warum sich Investitionen in eine ordentlich gepflegte NGFW lohnen, zeigen die Zahlen aus dem BSI-Lagebericht 2024:
Eine FortiGate ohne aktivierte SSL-Inspection sieht von diesen Bedrohungen schlicht nichts. Genau deshalb ist die korrekte Konfiguration mindestens so wichtig wie die Wahl der Box.
Implementierung: Wie wir bei hagel IT vorgehen
Eine FortiGate-Einführung läuft bei uns für Mittelständler in Hamburg in fünf klaren Schritten — typisch zwei bis vier Wochen, ohne Betriebsunterbrechung:
- Discovery-Workshop (Tag 1–3): Anforderungen, Standorte, VPN-Bedarf, SD-WAN-Use-Cases, Compliance-Vorgaben. Wir bringen einen Vorschlag zum Modell mit — nicht umgekehrt.
- Hardware-Bestellung & Lab-Setup (Woche 1): FortiGate kommt zu uns, wird in unserem Lab vorkonfiguriert, getestet und mit FortiManager verheiratet.
- Migration parallel zur Bestands-Firewall (Woche 2): Neue FortiGate läuft im Parallelbetrieb, Policies werden Schritt für Schritt geprüft.
- Cut-Over am Wochenende (Woche 3): DNS-Umstellung, alte Box wird zur Backup-Lösung degradiert, Monitoring auf der neuen FortiGate aktiv.
- Hardening & Übergabe (Woche 4): SSL-Inspection rollen wir nach Kategorie aus (Banking-Domains ausgenommen), IPS-Profil wird scharf geschaltet, Logs landen im FortiAnalyzer.
Danach übernehmen wir die FortiGate als Managed Firewall oder im Co-Managed-Modell. Letzteres heißt: Ihr Admin behält Lese-Rechte und macht Tagesbetrieb, wir pflegen Updates, Notfälle und Major-Releases. Mehr dazu auf unserer Seite zu Co-Managed IT.
Was kostet eine Managed FortiGate?
Damit Sie planen können — unsere typischen Preisrahmen für Hamburger Mittelständler:
| Standort-Größe | FortiGate-Modell | Hardware (3 J.) | Managed-Service / Monat |
|---|---|---|---|
| 5–15 Mitarbeiter | FortiGate 40F / 60F | ca. 1.200 € | ab 89 € |
| 15–50 Mitarbeiter | FortiGate 70F / 80F | ca. 2.800 € | ab 149 € |
| 50–150 Mitarbeiter | FortiGate 100F / 120G | ca. 5.500 € | ab 249 € |
| Multi-Site (3+ Std.) | FortiGate 70F + FortiManager VM | ab 8.000 € | ab 449 € |
Die Managed-Service-Pauschale beinhaltet: Firmware-Updates, IPS-Pflege, Web-Filter-Anpassung, Logging in unserem FortiAnalyzer, Monatsreport, 24/7-Monitoring auf Erreichbarkeit. Für eine genaue Kalkulation lohnt sich der IT-Kosten-Kalkulator — er rechnet Ihren konkreten Fall durch.
Wenn Sie aktuell mit Ihrem Dienstleister noch Stundensätze für Firewall-Pflege zahlen, lohnt eine Vergleichsrechnung fast immer. Drei bis fünf Tickets pro Quartal kosten oft schon mehr als die komplette Managed-Pauschale — ohne dass Updates und Monitoring darin enthalten wären.
Compliance: NIS-2, DSGVO und die FortiGate
Mit der NIS-2-Richtlinie (Umsetzung in Deutschland 2025/2026) wird die Firewall-Konfiguration für viele Mittelständler zum Compliance-Thema. Wer unter NIS-2 fällt, muss unter anderem dokumentieren:
- Welche Schutzmaßnahmen aktiv sind (UTM, IPS, Logging, MFA für Admins).
- Wie lange Logs aufbewahrt werden (typisch 6–12 Monate).
- Wer Zugriff auf die Firewall hat (rollenbasierte Rechte).
- Wie Updates und Patches gerollt werden.
FortiGate liefert für all das die technischen Funktionen — FortiAnalyzer macht die Logs revisionssicher, FortiManager dokumentiert Änderungen. Ob Ihr Unternehmen überhaupt unter NIS-2 fällt, klärt unser kostenfreier NIS2-Betroffenheits-Check in zwei Minuten.
Mehr zum Thema haben wir in unserem Cyber-Security-Leitfaden für Hamburg aufgeschrieben.
Fazit: Wann ist eine FortiGate die richtige Wahl?
Wenn Sie zu mindestens drei dieser Punkte „Ja” sagen, sollten wir über FortiGate sprechen:
- Mehr als ein Standort — und Sie wollen sie sauber per SD-WAN verbinden.
- Hoher VPN- oder Remote-Worker-Anteil — Sie brauchen IPsec, SSL-VPN oder ZTNA stabil und in Performance.
- Eigene Server, ERP oder Branchen-Software — Sie wollen IPS, SSL-Inspection und Anwendungserkennung wirklich nutzen.
- Compliance-Druck (NIS-2, ISO, Branchenstandards) — Sie brauchen Logs, Reports und revisionssichere Dokumentation.
- Planbare TCO — Sie wollen Hardware und Service als Festpreis, nicht als offene Stundenrechnung.
Wenn nur ein Punkt zutrifft, ist eine FortiGate oft überdimensioniert — und eine Sophos XGS oder WatchGuard tut es genauso. Genau das prüfen wir im Erstgespräch ehrlich. Wenn FortiGate für Sie keinen Sinn ergibt, sagen wir das auch.
Ihr nächster Schritt
FortiGate-Setup oder Hersteller-Wechsel im Mittelstand?
15 Minuten Erstgespräch mit Jens Hagel. Kostenlos, ohne Vertriebsdruck — wir schauen gemeinsam, ob FortiGate zu Ihnen passt oder nicht.
Termin buchen →
