Inhalt in Kürze
- Was es ist: Palo Alto GlobalProtect ist der Endpoint-Agent für VPN, ZTNA und Endpoint-Security der Palo-Alto-Plattform - kein reines VPN, sondern eine Kombination aus Tunnel, Geräte-Postur-Prüfung (HIP) und Cloud-Gateway-Zugriff.
- Was 2026 zählt: Always-On VPN, HIP-Profile, SAML/MFA, Prisma Access als Cloud-Variante und tiefere Cortex-XDR-Integration. Reine VPN-Konzepte ohne Geräteprüfung sind kein Stand der Technik mehr.
- Für wen sinnvoll: Mittelständische Unternehmen mit Remote-/Hybrid-Workern, die schon eine Palo-Alto-Firewall im Einsatz haben oder eine zentrale Lösung für mehrere Standorte suchen.
- Was es kostet: Klassisch lizenziert ab ca. 80 bis 150 Euro pro Arbeitsplatz und Jahr (inkl. Hardware, Subscription, Implementierung, Support). Prisma Access ab ca. 12 bis 18 Euro pro User und Monat.
- Wer hilft: Wir betreuen Cybersecurity-Projekte in Hamburg seit über 20 Jahren - inklusive Firewall-Migrationen, GlobalProtect-Rollouts und Always-On VPN.
Was Palo Alto GlobalProtect 2026 wirklich ist
Palo Alto GlobalProtect ist der Endpoint-Agent von Palo Alto Networks. Er stellt zwei Dinge gleichzeitig her: einen verschlüsselten Tunnel zum Unternehmensnetz und eine Sicherheitsprüfung des Endgeräts. Ohne diese Kombination ist Remote-Zugriff in 2026 keine ernsthafte Option mehr.
Der entscheidende Unterschied zu einem klassischen VPN: GlobalProtect prüft permanent, ob das Endgerät den Sicherheitsvorgaben entspricht - Betriebssystem-Patches, Virenschutz, Festplattenverschlüsselung, Domain-Mitgliedschaft. Erfüllt das Gerät die Vorgaben nicht, gibt es entweder gar keinen Zugriff oder nur eingeschränkten. Diese Prüfung läuft über sogenannte HIP-Profile (Host Information Profile).
In Verbindung mit Prisma Access, Palo Altos Cloud-Plattform, wird aus GlobalProtect ein vollwertiges Zero Trust Network Access (ZTNA) - Zugriff nur auf einzelne Anwendungen, nicht auf das gesamte Netz, kontinuierliche Trust-Verifizierung statt einmaligem Login.
Klassisches VPN ohne Endgeräteprüfung ist seit Jahren ein bevorzugtes Einfallstor für Ransomware. Sobald ein Mitarbeiter sich von einem ungepatchten Privatlaptop per VPN einloggt, ist die Firmen-Firewall faktisch wirkungslos. GlobalProtect mit HIP-Profilen schließt genau diese Lücke - aber nur, wenn die Profile auch konfiguriert sind. In der Praxis sehen wir das regelmäßig nicht.
Die wichtigsten Funktionen im Überblick
GlobalProtect ist kein einzelnes Feature, sondern ein Bündel aus VPN-Funktionen, Identitäts-Integration und Endpoint-Security. Die folgenden Funktionen sind 2026 die wichtigsten - alles andere ist Beiwerk.
Always-On VPN und Pre-Logon
Der Tunnel ist permanent aktiv, sobald das Gerät online ist. Anders als bei On-Demand-VPN kann der Mitarbeiter ihn nicht pausieren oder vergessen. Pre-Logon stellt die Verbindung sogar schon vor dem Windows-Login her - so können Gruppenrichtlinien aus Active Directory angewendet werden, bevor der Nutzer überhaupt seinen Desktop sieht. Laut Palo-Alto-Knowledgebase ist das einer der häufigsten Konfigurationspunkte beim Rollout.
HIP-Profile (Host Information Profile)
Das Herzstück der Geräte-Sicherheitsprüfung. Der Agent meldet:
- Betriebssystem und Patch-Stand
- Aktiver Antivirus oder EDR (z.B. CrowdStrike, Defender for Endpoint)
- Festplattenverschlüsselung (BitLocker, FileVault)
- Domain-Mitgliedschaft
- Firewall-Status auf dem Endgerät
- Installierte Anwendungen und Versionen
Die Firewall-Policy liest diese Daten aus und entscheidet pro Anwendung: voller Zugriff, eingeschränkter Zugriff oder Block. Beispiel aus der Praxis: Nur Geräte mit aktiver BitLocker-Verschlüsselung und aktuellem Defender dürfen auf das ERP zugreifen. Geräte ohne Verschlüsselung sehen nur Webmail und SharePoint.
SAML, MFA und SSO
GlobalProtect integriert sich nativ in Identity Provider wie Microsoft Entra ID (Azure AD), Okta oder Ping. Multi-Faktor-Authentifizierung ist Pflicht - das BSI empfiehlt MFA seit Jahren als Standard für Remote-Zugriffe. Der Mitarbeiter loggt sich einmal ein, GlobalProtect übernimmt die Identität, die Firewall regelt die Zugriffsrechte.
Split-Tunneling und Cloud-Routing
Nicht jeder Datenverkehr muss durch die Firma geleitet werden. Microsoft 365, Zoom, Teams oder YouTube laufen direkt zum Cloud-Anbieter - das spart Bandbreite und reduziert Latenz. Geschäftskritischer Verkehr (ERP, Fileserver, interne Apps) läuft durch das GlobalProtect-Gateway. Diese Aufteilung ist in 2026 Standard, weil 80 bis 90 Prozent des typischen Office-Traffics ohnehin in der Cloud liegen.
Prisma Access (Cloud-Gateway)
Wer keine eigene Firewall-Hardware will oder mehrere Standorte versorgt, nutzt Prisma Access. Die Gateways laufen in der Palo-Alto-Cloud, der Verkehr wird dort inspiziert. Vorteil: Skalierung in Minuten, weltweite Präsenz, keine Hardware-Beschaffung. Nachteil: Höhere monatliche Kosten, Abhängigkeit von einem Cloud-Anbieter.
URL-Filtering und Threat Prevention
GlobalProtect nutzt die gleichen Threat-Feeds wie die Palo-Alto-Firewall. Phishing-Domains, Command-and-Control-Server und bekannte Malware-Quellen werden auf dem Endgerät blockiert - auch dann, wenn der Mitarbeiter im Café-WLAN unterwegs ist. Im Vergleich dazu: Ein klassisches VPN schützt nur, wenn der Nutzer sich aktiv verbindet.
Vergleich: GlobalProtect vs. Cisco AnyConnect vs. FortiClient
Wer GlobalProtect bewertet, vergleicht ihn meistens mit den beiden Wettbewerbern. Hier eine ehrliche Einschätzung aus der Praxis:
| Kriterium | Palo Alto GlobalProtect | Cisco AnyConnect / Secure Client | FortiClient |
|---|---|---|---|
| Plattform-Bindung | Palo-Alto-Firewall oder Prisma Access | Cisco-Firewall (FTD/ASA) oder Cisco Secure Access | FortiGate oder FortiSASE |
| Postur-Check | HIP-Profile (sehr granular) | Hostscan / Posture Module | FortiClient EMS (gut, aber weniger granular) |
| ZTNA | Über Prisma Access (ausgereift) | Über Cisco Secure Access (jünger) | Über FortiSASE (jünger) |
| MFA / SAML | Nativ, alle gängigen IdPs | Nativ, alle gängigen IdPs | Nativ, alle gängigen IdPs |
| Cloud-Variante | Prisma Access (Marktführer) | Cisco Secure Access | FortiSASE |
| Lizenzmodell | Subscription pro Firewall + User | Subscription pro Firewall + Apex Lizenzen | EMS-Lizenz pro Endpoint + FortiGate |
| KMU-Eignung | Sehr gut (PA-440/450) | Eher Enterprise | Sehr gut (60F/100F) |
| Komplexität | Hoch, aber gut dokumentiert | Hoch, viele Legacy-Konzepte | Mittel, schnellere Einführung |
| Preis-Leistung | Premium-Segment | Premium-Segment | Mittleres Segment |
Kurz gesagt: GlobalProtect ist für Unternehmen, die schon eine Palo-Alto-Firewall haben oder bereit sind, ins Premium-Segment zu investieren. AnyConnect ist die Standardwahl in Cisco-Umgebungen mit AD-Anbindung. FortiClient ist die Preis-Leistung-Empfehlung für KMU mit FortiGate.
Vorteile aus Sicht der Geschäftsführung
Die technische Sicht ist eine Seite. Die andere: Was bringt GlobalProtect dem Unternehmen?
Sicherer Remote-Zugriff ohne Kompromisse
Mitarbeiter arbeiten von überall - und zwar mit dem gleichen Sicherheitsniveau wie im Büro. Always-On VPN sorgt dafür, dass niemand “vergisst”, den Tunnel zu starten. HIP-Profile garantieren, dass nur saubere Geräte ins Netz dürfen. Ein typisches Szenario: Der Vertriebsmitarbeiter startet morgens den Laptop im Hotel - GlobalProtect verbindet sich automatisch, prüft den Patch-Stand und gibt erst dann Zugriff frei.
Endpoint-Schutz auch außerhalb des Firmennetzes
Phishing- und Malware-Filter laufen permanent - egal ob der Mitarbeiter im Café, im Zug oder zuhause sitzt. Das ist ein massiver Unterschied zu klassischem VPN, das nur schützt, solange der Tunnel aktiv ist. Wir sehen in unseren Hamburger Kunden-Projekten regelmäßig, wie viele Phishing-Klicks GlobalProtect tatsächlich abfängt - oft mehr als die zentrale Firewall.
Compliance-Fähigkeit für NIS-2 und DSGVO
GlobalProtect protokolliert lückenlos: Wer hat sich wann von wo eingeloggt, welches HIP-Profil hatte das Gerät, welche Anwendungen wurden genutzt. Diese Logs sind für NIS-2-Berichtspflichten Gold wert. Auch DSGVO-Audits werden einfacher, weil Zugriffe nachvollziehbar sind.
Skalierbarkeit ohne Hardware-Wechsel
Mit Prisma Access skaliert das System ohne neue Firewall. Ein Kunde von uns ist von 40 auf 120 Mitarbeiter gewachsen, ohne die Firewall zu tauschen - die Cloud-Gateways haben die Last übernommen. Bei klassischer Lizenzierung muss man die Firewall-Größe entsprechend planen.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter - und macht 99 Prozent der Angriffe wirkungslos. Bei GlobalProtect ist MFA nicht optional, sondern Standard. Genau so muss das sein.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Aus der Praxis: Worauf KMU bei GlobalProtect achten müssen
Wir betreuen IT in Hamburg und Norddeutschland seit über 20 Jahren. Bei GlobalProtect-Projekten sehen wir immer wieder die gleichen Fallstricke - die meisten davon haben mit Konfiguration zu tun, nicht mit dem Produkt selbst.
Häufige Fehler bei der Einführung
- HIP-Profile werden nicht konfiguriert. Die Firewall steht, der Tunnel läuft - aber niemand prüft, ob das Endgerät sicher ist. Damit bleibt das System ein klassisches VPN mit hübscher Oberfläche.
- Always-On wird nicht aktiviert. Der Mitarbeiter kann den Tunnel pausieren - und tut es regelmäßig, weil "Teams hängt" oder "die Cloud-Drucker nicht funktionieren". Damit ist das Schutzkonzept gebrochen.
- SAML/MFA wird nachgelagert. Erst wird GlobalProtect mit lokaler Authentifizierung produktiv geschaltet, MFA "kommt später". Später kommt aber der Phishing-Angriff zuerst.
- Split-Tunneling wird vergessen. Sämtlicher Cloud-Traffic läuft durch die Firewall - die Bandbreite reicht für 30 Mitarbeiter im Homeoffice nicht aus, Teams-Calls hängen.
- Pre-Logon wird ignoriert. Domain-Anmeldung im Homeoffice schlägt fehl, weil der Tunnel erst nach dem Login aufgebaut wird. Klassischer Fall für Ticket-Eskalation.
So sieht ein sauberer Rollout aus
- Tag 1 - Firewall-Vorbereitung: PAN-OS auf aktuelle Version, Zertifikate für Portal/Gateway, GlobalProtect-Lizenz aktivieren.
- Tag 2 - Identitäts-Integration: SAML mit Entra ID/Okta, MFA-Policy für alle User, Test mit Pilotgruppe.
- Tag 3 - HIP-Profile definieren: Mindestens drei Profile - "Vollzugriff" (Domain-Gerät, BitLocker, Defender aktuell), "Eingeschränkt" (Privatgerät mit MFA), "Block" (alles andere).
- Tag 4 - Pilot-Rollout: 5 bis 10 User, alle Funktionen testen, Logs prüfen, Feedback einholen.
- Tag 5 - Vollroll-Out: Verteilung über Intune/MEM, Anwender-Schulung (1-2 Stunden), Hotline-Rufbereitschaft erste 48 Stunden.
Bei einer Hamburger Spedition mit 45 Mitarbeitern haben wir GlobalProtect 2025 eingeführt. Knackpunkt war nicht die Technik, sondern die HIP-Profile: Die Geschäftsführung wollte am Anfang "alle dürfen alles". Wir haben drei Stufen vorgeschlagen, die Profile gemeinsam definiert und die Policy stufenweise scharf geschaltet. Heute kommen ungepatchte Privatgeräte gar nicht erst rein - vor zwei Jahren wäre das in dieser Branche undenkbar gewesen.
Wir wollen uns nicht um IT kümmern müssen. Wenn ein neuer Mitarbeiter kommt: Laptop da, E-Mail eingerichtet, Telefon funktioniert. Wenn jemand geht: Zugänge gesperrt. Einfach. Zuverlässig.
Was kostet GlobalProtect für KMU wirklich?
Die Lizenzkosten sind nur ein Teil der Wahrheit. Die echte Rechnung enthält Hardware, Implementierung, Schulung und laufenden Support.
| Position | Klassisch (PA-440 + Lizenzen) | Cloud (Prisma Access) |
|---|---|---|
| Hardware | ca. 3.500-5.000 € einmalig | 0 € |
| GlobalProtect Subscription | ca. 1.500-3.000 €/Jahr | inkl. |
| Threat Prevention / WildFire | ca. 2.000-4.000 €/Jahr | inkl. |
| Prisma Access User-Lizenz | - | ca. 12-18 €/User/Monat |
| Implementierung (3-5 Tage) | ca. 4.500-7.500 € einmalig | ca. 4.500-7.500 € einmalig |
| Laufender Support (Managed) | ca. 50-80 €/Arbeitsplatz/Monat | ca. 50-80 €/Arbeitsplatz/Monat |
Für einen typischen KMU-Kunden mit 30 bis 80 Arbeitsplätzen rechnen wir mit 80 bis 150 Euro pro Arbeitsplatz und Jahr - inklusive Hardware-AfA, Lizenzen, Implementierung und Managed IT Services. Den genauen Preis liefert unser IT-Kosten-Kalkulator in 2 Minuten.
GlobalProtect-Alternativen: Wann ist etwas anderes besser?
GlobalProtect ist nicht für jeden die richtige Wahl. Drei Szenarien, in denen wir Alternativen empfehlen:
- Sehr kleines KMU mit 5-15 Arbeitsplätzen, einem Standort, geringes Risikoprofil: Eine WatchGuard Firewall mit Mobile VPN oder Sophos Connect liefert 80 Prozent der Funktionen zu deutlich geringeren Lizenzkosten.
- Existierende Cisco-Landschaft mit AD-Bindung: Cisco AnyConnect (Secure Client) ist hier oft die einfachere Wahl, weil die Integration mit ISE und Cisco Secure Access ausgereift ist.
- Microsoft-365-fokussierte Umgebung ohne eigene Server: Wenn fast alles in der Cloud läuft, kann Entra Conditional Access plus Microsoft Defender ohne klassisches VPN reichen.
Welche Lösung passt, hängt vom Bedrohungsprofil, der bestehenden Infrastruktur und dem Budget ab. Wir machen mit Geschäftsführern und IT-Leitern eine Cyber-Risikoanalyse, bevor wir eine Empfehlung aussprechen.
Weiterführende Quellen
- BSI Lagebericht 2025 - aktuelle Bedrohungslage und Empfehlungen für Remote-Zugriffe
- Palo Alto Networks: Was ist ZTNA? - Hersteller-Definition und Architektur
- Palo Alto Knowledgebase: HIP-Objekte und Always-On VPN - Konfigurationsleitfaden für mobile Geräte
- Microsoft Learn: Always-On VPN - Microsoft-Variante für Windows-fokussierte Umgebungen
Ihr nächster Schritt
Sie überlegen, GlobalProtect einzuführen oder Ihre bestehende VPN-Lösung zu modernisieren? Wir analysieren in einem 15-Minuten-Erstgespräch ohne Vertriebsdruck, was zu Ihrer Infrastruktur passt - GlobalProtect, FortiClient, AnyConnect oder eine schlankere Alternative. Inklusive Aufwandsschätzung und Lizenz-Kalkulation für Ihre Mitarbeiterzahl.
Sicherer Remote-Zugriff für Ihr Unternehmen?
15 Minuten. Kostenlos. Ohne Vertriebsdruck. Direkt mit Geschäftsführer Jens Hagel.
Erstgespräch buchen →
