Skip to main content
On-Premise · Cloud · Hybrid

BEKOM OPEN PRO SecurityNetzwerksicherheit ohne AbhängigkeitQuelloffen, auditierbar & erweiterbar

BEKOM OPEN PRO Security: Firewall, VPN und Angriffserkennung als Baukastensystem – ohne teure Komplett-Pakete, ohne Anbieter-Abhängigkeit, mit strukturiertem Betrieb.

Vorgehensweise ansehen
Enterprise-fähig
Professioneller Betrieb
Anbieter-Unabhängigkeit
Flexibel betreibbar
Warum jetzt handeln?Betriebsmodelle: Vor Ort, Cloud, HybridDrei Schritte zur NetzwerksicherheitNetzwerksicherheit strukturiertPerspektiven: Geschäftsführung & ITEntscheidungsmatrixAblauf & EinstiegHäufige FragenWeitere Szenarien
Rahmenbedingungen

Warum Unternehmen ihre Netzwerksicherheit überdenken

Netzwerksicherheit gehört zu den Bereichen, in denen Abhängigkeiten besonders spürbar werden – und in denen ein transparenter, planbarer Ansatz den Unterschied macht. Wer auf einen einzelnen Anbieter setzt, kann Sicherheitskomponenten nicht frei wählen, austauschen oder kombinieren. Preiserhöhungen, Funktionsänderungen und Abkündigungen treffen das gesamte Unternehmen – ohne Ausweichmöglichkeit.

Drei Rahmenbedingungen treiben den Handlungsdruck im Mittelstand besonders sichtbar: die Abhängigkeit von einem einzelnen Anbieter, die enge Verzahnung der Netzwerksicherheit mit dem operativen Geschäftsprozess und die wachsende Last überdimensionierter Komplett-Pakete. Jede dieser Rahmenbedingungen wirkt sowohl auf die strategische Steuerung durch die Geschäftsführung als auch auf den technischen Spielraum der IT-Verantwortlichen.

Abhängigkeit von einem einzelnen Anbieter

Wer auf einen einzelnen Anbieter setzt, kann Sicherheitskomponenten nicht frei wählen, austauschen oder kombinieren – Preiserhöhungen, Funktionsänderungen und Abkündigungen treffen das gesamte Unternehmen ohne Ausweichmöglichkeit.

Wie sich Anbieter-Abhängigkeit im Betrieb auswirkt:

Preisgestaltung ohne Wettbewerb: Bei Vertragsverlängerungen sind Preiserhöhungen schwer abzuwehren, weil ein Wechsel ganze Konfigurationen, Schulungen und Integrationen mitziehen würde.

Funktions-Bündel statt Auswahl: Module für Firewall, VPN und Angriffserkennung werden gemeinsam lizenziert – auch wenn nur ein Teil davon im Einsatz ist.

Abkündigungen ohne Ausweichoption: Wenn ein Hersteller Produktlinien oder Modelle einstellt, bleibt häufig nur der Sprung in die Nachfolge-Generation desselben Hauses.

Roadmap-Risiko: Aufkäufe und Strategie-Wechsel verändern Lizenzbedingungen, Support-Modelle und unterstützte Plattformen – ohne dass das eigene Unternehmen Einfluss nehmen kann.

Für Geschäftsführer entsteht daraus ein strategisches Kostenrisiko bei einer kritischen Infrastruktur-Komponente. IT-Verantwortliche verlieren Handlungsspielraum bei Auswahl, Architektur und Betrieb der Sicherheitskomponenten.

Verzahnung mit dem operativen Geschäftsprozess

Netzwerksicherheit ist eng mit operativem Geschäftsprozess verzahnt: Über die Firewall, das VPN und die Segmentierung laufen Auftragsverarbeitung, regulatorische Compliance-Nachweise und audit-fähige Protokollierung. Verfügbarkeit der Security-Komponenten ist Betriebsvoraussetzung für den operativen Betrieb – ein Ausfall der Firewall oder ein blockierter VPN-Zugang legt in vielen Organisationen direkt das Tagesgeschäft lahm.

Welche Geschäftsfunktionen direkt von der Netzwerksicherheit abhängen:

Auftragsverarbeitung und Datenflüsse: Bestellungen, Rechnungen und Kundenkommunikation laufen über segmentierte Netzbereiche; ein blockierter VPN-Zugang stoppt Außendienst, Filialen oder Home-Office unmittelbar.

Regulatorische Compliance-Nachweise: DSGVO, NIS2 und KRITIS-Vorgaben verlangen dokumentierte technische Maßnahmen – Firewall-Regelwerke, Zugriffsprotokolle und IDS-Ereignisse sind Bestandteil der Nachweisführung.

Audit-fähige Protokollierung: Sicherheitsrelevante Ereignisse werden für interne Revision und externe Auditoren strukturiert aufbereitet – die Verfügbarkeit der Protokollierungs-Kette ist Voraussetzung für jeden Audit.

Verfügbarkeit als Betriebsvoraussetzung: Ausfall der Firewall oder ein blockierter VPN-Zugang stoppt das Tagesgeschäft – die Sicherheits-Architektur ist damit selbst eine geschäftskritische Schicht.

Für Geschäftsführer wird die Netzwerksicherheit zu einer Komponente mit direktem Einfluss auf Umsatzprozesse und regulatorische Nachweispflichten. IT-Verantwortliche tragen die Verantwortung dafür, dass diese geschäftskritische Schicht im täglichen Betrieb verlässlich funktioniert.

Überdimensionierte Komplett-Pakete

Gleichzeitig binden viele Sicherheitslösungen mehr Ressourcen als nötig. Komplett-Pakete enthalten zahlreiche Module, von denen nur ein Bruchteil tatsächlich zum Einsatz kommt. Die Lizenzkosten steigen, die Komplexität wächst – ohne dass die Sicherheit im gleichen Maß zunimmt.

Wo Komplett-Pakete Aufwand erzeugen, ohne Schutz hinzuzufügen:

Ungenutzte Module in der Lizenz: Sandboxing, Web-Application-Firewalls, Cloud-Access-Broker und Endpoint-Komponenten sind oft mitlizenziert, obwohl nur ein Teil davon tatsächlich konfiguriert wird.

Skalierung pro Nutzer und pro Firewall: Subscription-Modelle wachsen mit jedem Nutzer und jedem Gerät, auch wenn der reale Schutzbedarf je Standort sehr unterschiedlich ist.

Hardware-Refresh-Zyklen: Appliance-basierte Pakete erfordern alle drei bis fünf Jahre eine Erneuerung der Hardware – inklusive Re-Lizenzierung und Konfigurations-Migration.

Hersteller-Wechsel mit Neukonfiguration: Proprietäre Konfigurations-Strukturen erschweren Wechsel; eine Migration auf andere Plattformen verlangt vollständige Neu-Konfiguration der Regelwerke.

Für Geschäftsführer bedeutet das: Kostenrisiko und Kontrollverlust über eine kritische Infrastruktur-Komponente. Für IT-Verantwortliche: Eingeschränkte Handlungsfähigkeit bei der Auswahl und dem Betrieb von Sicherheitskomponenten. BEKOM OPEN PRO Security & Networking geht einen anderen Weg: transparent, planbar und zukunftssicher. Sie wählen bewährte Open-Source-Sicherheitskomponenten – Firewall, VPN und Angriffserkennung (Fachbegriff: Intrusion Detection) – und setzen nur das ein, was Sie tatsächlich brauchen. Professionell gehärtet und betrieben durch BEKOM.

Betriebsmodelle

Betriebsmodelle: Vor Ort, aus der Cloud oder kombiniert

Alle Sicherheitskomponenten von BEKOM OPEN PRO Security & Networking sind flexibel betreibbar. Sie entscheiden, wo Ihre Firewall, Ihr VPN und Ihre Angriffserkennung laufen – und können das Betriebsmodell jederzeit ändern. Die ausführliche Bewertung der drei Modelle steht unter Betriebsmodelle für BEKOM OPEN PRO Security bereit.

On-Premise

Bei diesem Modell laufen alle Sicherheitskomponenten auf Ihrer eigenen Hardware in Ihren eigenen Räumlichkeiten.

Vorteile

  • Volle physische Kontrolle über alle Sicherheitskomponenten

  • Systeme können komplett vom Internet getrennt betrieben werden (Fachbegriff: Air-Gapped)

  • Betrieb durch Ihre eigene IT oder durch BEKOM MANAGED

  • Ideal für regulierte Branchen und Unternehmen mit strengen Compliance-Anforderungen

Fazit

Dieses Modell eignet sich besonders für Unternehmen, die aus rechtlichen oder organisatorischen Gründen die physische Kontrolle über ihre Sicherheitsinfrastruktur behalten möchten.

Cloud

Bei diesem Modell betreibt BEKOM alle Sicherheitskomponenten in zertifizierten deutschen Rechenzentren.

Vorteile

  • Professionell gemanagt durch BEKOM – keine eigene Hardware erforderlich

  • Skalierbar nach Bedarf, ohne Vorab-Investitionen

  • Aktuelle Sicherheitsupdates und Härtung durch BEKOM

  • Ideal für verteilte Teams und Standorte ohne eigene IT-Infrastruktur

Fazit

Dieses Modell eignet sich für Unternehmen, die den Betrieb von Sicherheitskomponenten abgeben und sich auf ihr Kerngeschäft konzentrieren möchten.

Hybrid

Das Hybrid-Modell kombiniert On-Premise- und Cloud-Betrieb – angepasst an Ihre Standortstruktur und Anforderungen.

Vorteile

  • Zugangsschutz vor Ort, Cloud-Absicherung für Remote-Standorte

  • Einheitliches Management über alle Standorte hinweg

  • Standortübergreifende Sicherheitsarchitektur mit einheitlichen Regelwerken

  • Flexibel erweiterbar – neue Standorte werden über die Cloud angebunden

Fazit

Dieses Modell eignet sich für Unternehmen mit mehreren Standorten, die ihre Sicherheitsarchitektur schrittweise modernisieren.

Einstiegsstufen

Drei Schritte zur sicheren Netzwerk-Infrastruktur

Der Wechsel zu herstellerunabhängiger Netzwerksicherheit muss nicht auf einen Schlag passieren. BEKOM OPEN PRO Security & Networking bietet drei Einstiegsstufen – je nach Ausgangslage und Zielsetzung.

Jede Stufe baut auf den vorherigen auf: vom gezielten Austausch einzelner Komponenten über die Konsolidierung der Sicherheitsschicht bis zur standortübergreifenden Architektur. Geschäftsführungen behalten die strategische Steuerung, IT-Verantwortliche können die Stufen passend zu Ressourcen, Budget und Reifegrad wählen.

Schritt 1: Einzelne Komponenten ersetzen

Der erste Schritt ist oft der wirkungsvollste: Eine einzelne Sicherheitskomponente – etwa die Firewall oder den VPN-Zugang – durch eine herstellerunabhängige Lösung ersetzen. Der Rest der Infrastruktur bleibt unverändert.

Welche Komponenten typischerweise zuerst ersetzt werden:

Firewall durch Open-Source-Lösung (z. B. OPNsense): Proprietäre Firewall-Appliances werden abgelöst; Regelwerke und Netzwerk-Segmentierung werden auf der neuen Plattform aufgebaut und dokumentiert.

VPN-Zugang herstellerunabhängig abbilden (z. B. WireGuard): Geschlossene VPN-Plattformen werden durch offene Protokolle ersetzt; Standorte und Mitarbeitende werden schrittweise migriert.

Einzelne Komponente austauschen, übrige Infrastruktur beibehalten: Switches, Server und Identitätsdienste bleiben unverändert – nur die ausgewählte Sicherheitskomponente wird ersetzt.

Punktuelle Risikoreduktion: Die Abhängigkeit von einem einzelnen Anbieter wird gezielt auf einen Bereich reduziert, das übrige Betriebsrisiko bleibt unverändert.

Ergebnis: Abhängigkeit von einem Anbieter wird punktuell reduziert. Kosten für die Einzelkomponente werden planbar. Das Risiko bleibt gering, da der Rest der Infrastruktur unverändert bleibt. Geeignet für: Unternehmen, die eine erste Sicherheitskomponente herstellerunabhängig ersetzen wollen – ohne sofortige Gesamtmigration. Typisches Szenario: Closed-Source-Firewall durch Open-Source-Firewall ersetzen und Kontrolle über Regelwerke und Netzwerk-Trennung zurückgewinnen. → Netzwerksicherheit mit Open Source

Schritt 2: Sicherheitskomponenten zusammenführen

Firewall, VPN und Angriffserkennung werden als abgestimmtes System betrieben – statt als isolierte Einzellösungen verschiedener Anbieter. Einheitliche Verwaltung, abgestimmte Regelwerke und zentrale Auswertung von Sicherheitsereignissen.

Welche Konsolidierungs-Bausteine BEKOM begleitet:

Einheitliche Verwaltung aller Sicherheitskomponenten: Firewall-, VPN- und IDS-Regelwerke werden über ein gemeinsames Management gepflegt – statt über mehrere Hersteller-Konsolen mit unterschiedlicher Bedien-Logik.

Abgestimmte Regelwerke über Komponenten hinweg: Netzwerk-Segmente, VPN-Profile und Erkennungsregeln folgen einheitlichen Konventionen, die zwischen Firewall, VPN und Angriffserkennung konsistent bleiben.

Sicherheitsereignisse zentral zusammengeführt: Alarme aus Firewall, VPN und IDS laufen an einer Stelle zusammen, werden korreliert und nach Kritikalität bewertet.

Eine Plattform statt Patchwork: Statt mehrerer Hersteller-Konsolen mit unterschiedlichen Bedien-Logiken arbeitet das Security-Team in einer einheitlichen Oberfläche – das reduziert Einarbeitungs- und Wartungsaufwand.

Ergebnis: Ein Anbieter, eine Plattform, ein Regelwerk. Kein Patchwork aus verschiedenen Herstellerlösungen. Sicherheitsereignisse werden zentral erkannt und bewertet. Geeignet für: Unternehmen, die Firewall, VPN und Angriffserkennung konsolidieren wollen. Typisches Szenario: Konsolidierung auf einer einheitlichen Plattform mit durchgängiger Verwaltung. → Vernetzung & VPN

Schritt 3: Umfassende Absicherung

Durchgängiges Sicherheitskonzept über alle Standorte hinweg – einheitlich konfiguriert, zentral verwaltet und im Managed Service betrieben. Standortübergreifende Architektur mit einheitlichen Standards und Richtlinien.

Welche Bausteine eine standortübergreifende Sicherheitsarchitektur tragen:

Standortübergreifende Sicherheitsarchitektur: Zentrale, Filialen und Außenstellen werden in einem einheitlichen Sicherheitsmodell zusammengeführt – mit definierten Standards für Segmentierung, Authentifizierung und Logging.

Einheitliche Regelwerke und Richtlinien für alle Niederlassungen: Firewall-Policies, VPN-Profile und IDS-Regeln werden zentral gepflegt und konsistent auf alle Standorte ausgerollt.

Professioneller Betrieb über alle Standorte: Patches, Updates und Konfigurations-Änderungen werden koordiniert eingespielt; Sicherheitsereignisse aller Standorte laufen in einem zentralen Monitoring zusammen.

Mit Load-Balancing und Hochverfügbarkeit absichern: Die Sicherheitsschicht wird gegen Ausfälle einzelner Komponenten abgesichert, damit standortübergreifende Verfügbarkeit erhalten bleibt.

Ergebnis: Eine Sicherheitsarchitektur für das gesamte Unternehmen. Zentrale Steuerung, einheitliche Policies, strukturierter Betrieb durch BEKOM oder Ihre IT. Geeignet für: Unternehmen mit mehreren Standorten, die eine einheitliche Sicherheitsarchitektur anstreben. Typisches Szenario: Einführung einer standortübergreifenden Architektur mit zentraler Verwaltung und strukturiertem Betrieb durch BEKOM. → Netzwerksicherheit für mehrere Standorte

Strukturierter Betrieb

So macht BEKOM OPEN PRO Security die Netzwerksicherheit strukturiert

Open-Source-Sicherheitskomponenten sind leistungsfähig – aber sie müssen im Managed Service betrieben werden. BEKOM übernimmt genau das: Absicherung, Aktualisierung, Überwachung und Dokumentation Ihrer Sicherheitskomponenten. → Intrusion Detection und Prevention

Vier Disziplinen tragen den strukturierten Betrieb der Open-Source-Sicherheitskomponenten: regelmäßige Aktualisierungen gegen bekannte Schwachstellen, professionelle Absicherung nach anerkannten Härtungs-Verfahren, aktive Überwachung mit definierten Eskalationspfaden und vollständige Dokumentation von Aufbau, Konfiguration und Verantwortlichkeiten.

Regelmäßige Aktualisierungen

Sicherheitskomponenten werden kontinuierlich auf dem neuesten Stand gehalten. Patches und Updates werden eingespielt, bevor bekannte Schwachstellen ausgenutzt werden können.

Welche Aktualisierungs-Bausteine BEKOM strukturiert betreibt:

Vulnerability-Watch: Bekannte Schwachstellen aus CVE-Datenbanken und Hersteller-Advisories werden auf Relevanz für die eingesetzten Komponenten geprüft, bevor sie zu einem Risiko werden.

Patch-Disziplin in Wartungsfenstern: Updates werden in vereinbarten Wartungsfenstern eingespielt; kritische Patches folgen einem definierten Notfall-Pfad mit verkürzter Vorlaufzeit.

Versionsstände dokumentiert: Pro Komponente werden eingesetzte Versionen, Patch-Levels und nächste Upgrade-Schritte transparent festgehalten und zwischen BEKOM und Ihrer IT geteilt.

Rollback-Pfad geplant: Vor jedem Update wird der Rückweg vorbereitet – inklusive Konfigurations-Snapshot und Test der vorgesehenen Wiederherstellung.

Für Geschäftsführer wird daraus eine planbare Schutzwirkung gegen bekannte Schwachstellen. IT-Verantwortliche erhalten einen strukturierten Update-Prozess statt ungeplanter Eil-Aktionen.

Professionelle Absicherung

Alle Komponenten werden nach anerkannten Verfahren gehärtet – BEKOM orientiert sich an CIS-Benchmarks und BSI-Grundschutz. IT-Fachleute sprechen von „Hardening": die systematische Reduzierung von Angriffsflächen.

Wie BEKOM die Härtung der Sicherheitskomponenten umsetzt:

CIS-Benchmark-Orientierung: Konfigurations-Vorgaben des Center for Internet Security dienen als Referenz für Firewall, VPN-Endpunkte und Angriffserkennung; Abweichungen werden begründet dokumentiert.

BSI-Grundschutz-Bezug: Technische und organisatorische Maßnahmen werden auf einschlägige BSI-Bausteine bezogen (z. B. NET.3 Netzkomponenten, SYS Server) und nachvollziehbar zugeordnet.

Reduktion der Angriffsflächen: Nicht benötigte Dienste, Standard-Zugänge und veraltete Protokolle werden deaktiviert; Administrations-Zugriff folgt dem Prinzip minimaler Rechte.

Wiederholbare Härtung: Konfigurations-Baselines werden als Vorlagen gepflegt, damit neue Standorte und Komponenten denselben Schutzgrad erhalten wie der Bestand.

Für Geschäftsführer entsteht eine verlässliche Sicherheits-Baseline gegenüber Auditoren und Compliance-Prüfungen. IT-Verantwortliche arbeiten mit dokumentierten Härtungs-Vorgaben statt mit Hersteller-Defaults.

Aktive Überwachung

Sicherheitsereignisse werden erkannt, bewertet und dokumentiert. BEKOM setzt auf strukturiertes Monitoring mit definierten Eskalationsprozessen – kontinuierlich und mit klaren Verantwortlichkeiten. Die operative Umsetzung von Monitoring und Logging beschreibt BEKOM OPEN PRO Operations.

Welche Bausteine die aktive Überwachung trägt:

Definierte Erkennungsregeln: IDS- und Log-Regeln werden gegen bekannte Angriffs-Muster gepflegt und an die eigene Netz-Topologie angepasst; False-Positives werden durch laufendes Tuning reduziert.

Eskalationspfade mit Zuständigkeiten: Pro Alarmklasse ist festgelegt, wer benachrichtigt wird, wer entscheidet und wer informiert – ohne Lücken zwischen BEKOM und Ihrer IT.

Kontinuierliche Bewertung nach Kritikalität: Sicherheitsereignisse werden priorisiert, Vorfälle werden dokumentiert und in Lessons-Learned-Runden ausgewertet.

Anbindung an den Plattform-Betrieb: Sicherheits-Monitoring läuft konsistent zum übrigen Plattform-Monitoring – nach denselben Standards für Eskalation und Reporting.

Für Geschäftsführer entsteht ein nachvollziehbares Bild über Sicherheitsereignisse und Eskalationen. IT-Verantwortliche behalten klare Zuständigkeiten zwischen interner Mannschaft und BEKOM.

Vollständige Dokumentation

Aufbau, Konfiguration und Verantwortlichkeiten sind jederzeit nachvollziehbar. Bei Änderungen werden Konfigurationsstände dokumentiert und versioniert.

Welche Dokumentations-Bausteine BEKOM pflegt:

Netz- und Sicherheitsarchitektur: Topologie, Segmentierung, Firewall-Zonen und VPN-Pfade werden in aktuell gehaltenen Diagrammen und Beschreibungen dokumentiert.

Konfigurationsstände mit Versionierung: Regelwerke, Erkennungsregeln und Härtungs-Profile werden versioniert abgelegt; jede Änderung ist nachvollziehbar bis zur einzelnen Anpassung.

Verantwortlichkeiten je Komponente: Pro Komponente ist festgehalten, wer betreibt, wer überwacht, wer entscheidet und wer informiert wird – als operative Grundlage zwischen BEKOM und Ihrer IT.

Audit-fähige Aufbereitung: Die Dokumentation ist auf interne Revision, externe Auditoren und Datenschutzbeauftragte ausgerichtet – ohne dass dafür separate Sonder-Aufbereitung nötig wird.

Für Geschäftsführer entsteht ein belastbarer Nachweis für Compliance-Prüfungen und Versicherer. IT-Verantwortliche behalten eine pflegeleichte Quelle der Wahrheit über die eigene Sicherheits-Architektur.

Perspektiven

Perspektiven: Geschäftsführung und IT

Geschäftsführung und IT-Verantwortliche bewerten Netzwerksicherheit aus unterschiedlichen Blickwinkeln. BEKOM OPEN PRO Security & Networking adressiert beide Perspektiven.

Für Geschäftsführung: Kontrolle und Unabhängigkeit

Als Geschäftsführer tragen Sie Verantwortung für strategische Technologie-Entscheidungen. Bei der Netzwerksicherheit geht es um drei zentrale Fragen: Wie abhängig sind wir von einem einzelnen Anbieter? Sind die Kosten langfristig planbar? Können wir den Anbieter wechseln, wenn sich Anforderungen ändern?

Strategische Kontrolle

Sie entscheiden, welche Sicherheitskomponenten eingesetzt werden – nicht der Anbieter.

Planbare Kosten

Keine Lizenzsprünge, keine erzwungenen Upgrades, keine versteckten Bundle-Aufschläge.

Wechselfähigkeit

Alle Komponenten basieren auf offenen Standards. Ein Anbieterwechsel ist jederzeit möglich.

Betriebsmodell-Flexibilität

Vor Ort, aus der Cloud oder kombiniert – und bei Bedarf umstellbar.

Entscheidungshilfe

Entscheidungsmatrix: Wann herstellerunabhängige Sicherheit besonders sinnvoll ist

Nicht jedes Unternehmen braucht denselben Ansatz. Die folgende Gegenüberstellung hilft bei der Einordnung – neutral und ohne Abwertung einer Seite.

AspektHerstellerunabhängige Sicherheit mit Open SourceClosed-Source-Sicherheitslösung
Merkmale

Freie Komponentenwahl (Firewall, VPN, Angriffserkennung), offene Standards, volle Einsicht in den Quellcode, portabel zwischen Betriebsmodellen.

Ein Anbieter für alle Sicherheitskomponenten, proprietäres Ökosystem, herstellerspezifische Funktionen, gebündelte Lizenzierung.

Empfohlener Ansatz

Einzelne Sicherheitskomponenten gezielt auswählen und kombinieren. Betrieb durch eigenes Team oder im Managed Service durch BEKOM MANAGED betrieben.

Komplett-Lösung eines Anbieters (z. B. Fortinet, Palo Alto, Check Point) mit Support und Eskalation aus einer Hand.

Vorteil

Volle Kontrolle über Sicherheitsarchitektur und Konfiguration. Keine Anbieter-Abhängigkeit, planbare Betriebskosten ohne Lizenzsprünge.

Minimaler Eigenaufwand bei Architektur-Entscheidungen. Eine Anlaufstelle für Support, Wartung und Updates.

Trade-off

Architektur-Entscheidungen und Komponentenauswahl müssen aktiv getroffen werden – eigenständig oder mit BEKOM als Partner.

Anbieter-Abhängigkeit bei Preisgestaltung, Funktionsumfang und Abkündigungen. Wechsel zu anderem Anbieter oft aufwändig.

Vorgehensmodell

Vorgehensmodell: Von der Analyse zur sicheren Netzwerk-Infrastruktur

BEKOM OPEN PRO Security & Networking folgt einem strukturierten Vorgehensmodell in fünf Schritten – vom ersten Gespräch bis zum laufenden Betrieb. Die zugrundeliegende Open-Source-Infrastruktur (Server, Storage, Virtualisierung) bildet oft die technische Basis.

01
01

Ausgangslage analysieren

Gemeinsam erfassen wir, welche Sicherheitskomponenten aktuell im Einsatz sind, welche Abhängigkeiten bestehen und welche Anforderungen Ihr Unternehmen an die Netzwerksicherheit stellt.

02
02

Sicherheitsarchitektur festlegen

Auf Basis der Analyse entwerfen wir eine Sicherheitsarchitektur, die zu Ihrem Unternehmen passt: Komponentenauswahl, Betriebsmodell und Migrationspfad.

03
03

Erstbetrieb aufsetzen

Ausgewählte Sicherheitskomponenten werden in einem definierten Produktivbereich eingesetzt – mit klaren Erfolgskriterien und strukturierter Begleitung durch BEKOM.

04
04

Schrittweise einführen

Nach erfolgreichem Pilot werden die Komponenten schrittweise in den Produktivbetrieb überführt. Der bestehende Betrieb läuft parallel weiter, bis die neuen Komponenten validiert sind.

05
05

Im laufenden Betrieb begleiten

Im laufenden Betrieb übernimmt BEKOM Aktualisierungen, Absicherung, Überwachung und Dokumentation – oder unterstützt Ihr Team dabei.

Häufige Fragen zu BEKOM OPEN PRO Security & Networking

Kann ich BEKOM OPEN PRO Security vor Ort auf eigener Hardware betreiben?

Ja. Alle Sicherheitskomponenten – Firewall, VPN und Angriffserkennung – laufen auf Ihrer eigenen Hardware in Ihren eigenen Räumlichkeiten. Sie behalten die volle physische Kontrolle. Die Systeme können auch komplett vom Internet getrennt betrieben werden. Den Betrieb übernimmt Ihre eigene IT oder BEKOM MANAGED.

Funktioniert BEKOM OPEN PRO Security auch aus der Cloud?

Ja. BEKOM betreibt die Sicherheitskomponenten in zertifizierten deutschen Rechenzentren. Sie benötigen keine eigene Hardware und keine eigenen Sicherheitsspezialisten vor Ort. Dieses Modell eignet sich besonders für verteilte Standorte und Teams ohne lokale IT-Infrastruktur.

Was bedeutet Hybrid-Betrieb bei Netzwerksicherheit?

Hybrid-Betrieb kombiniert On-Premise und Cloud. Beispiel: Ihre zentrale Firewall läuft vor Ort auf eigener Hardware, während Remote-Standorte über die Cloud abgesichert werden. Beide Bereiche werden zentral verwaltet und mit einheitlichen Regelwerken betrieben.

Kann ich später zwischen den Betriebsmodellen wechseln?

Ja. Alle Sicherheitskomponenten basieren auf offenen Standards und sind portabel. Ein Wechsel von On-Premise zu Cloud, von Cloud zu Hybrid oder umgekehrt ist möglich. Es gibt keine technische Abhängigkeit, die Sie an ein bestimmtes Betriebsmodell bindet.

Wie unterscheidet sich das von einem klassischen Sicherheits-Paket?

Bei klassischen Paketen kaufen Sie ein Bundle – und bezahlen auch für Module, die Sie nicht nutzen. Bei BEKOM OPEN PRO Security & Networking wählen Sie die einzelnen Komponenten aus: Firewall, VPN, Angriffserkennung oder Lastverteilung. Jede Komponente ist eigenständig einsetzbar und unabhängig erweiterbar.

Welche Sicherheitskomponenten sind verfügbar?

Das Portfolio umfasst: Firewall (Netzwerkzugangsschutz und Regelwerke), VPN (geschützte Verbindungen für Standorte und Mitarbeitende), Angriffserkennung (Fachbegriff: Intrusion Detection/Prevention), Lastverteilung und Ausfallsicherheit sowie standortübergreifende Absicherung. Alle Komponenten sind einzeln oder kombiniert einsetzbar. → Keycloak Identity-Management

Brauchen wir eigene Sicherheitsexperten im Haus?

Nicht zwingend. BEKOM übernimmt Absicherung, Aktualisierung und Überwachung über BEKOM MANAGED Services. Ihr Team behält die strategische Steuerung. Bei Bedarf vermittelt BEKOM Wissen durch Workshops und vollständige Dokumentation aller Komponenten und Konfigurationen.

Wie sicher sind Open-Source-Sicherheitskomponenten?

Die Sicherheit einer Komponente hängt vom Betrieb ab – nicht vom Lizenzmodell. Open-Source-Komponenten haben den Vorteil, dass ihr Quellcode öffentlich einsehbar ist und unabhängig geprüft werden kann. BEKOM härtet alle Komponenten nach anerkannten Verfahren (CIS, BSI) und überwacht sie kontinuierlich.

Was passiert bei einem Sicherheitsvorfall?

Es gelten definierte Eskalationsprozesse und dokumentierte Reaktionspläne. Die aktive Überwachung erkennt Sicherheitsereignisse und bewertet sie nach Kritikalität. Verantwortlichkeiten und Kommunikationswege sind vorab vereinbart – Sie wissen jederzeit, wer handelt und wie informiert wird. → Managed SOC

Wie beginnt die Zusammenarbeit mit BEKOM?

Mit einem Erstgespräch, in dem wir Ihre Ausgangslage und Anforderungen besprechen: Welche Sicherheitskomponenten sind im Einsatz? Wo bestehen Abhängigkeiten? Was soll sich ändern? Daraus entsteht ein gemeinsames Zielbild als Grundlage für die nächsten Schritte.

Warum verstecken Security-Komplett-Pakete Lizenzanteile für ungenutzte Module?

Im klassischen Security-Eigenbetrieb wirken besondere Kostentreiber: Komplett-Pakete proprietärer Anbieter mit zahlreichen ungenutzten Modulen, Subscription-Modelle mit Pro-Firewall- oder Pro-VPN-User-Skalierung, Threat-Intelligence-Feeds, hardware-basierte Appliances mit Refresh-Zyklen alle 3-5 Jahre, und Konfigurations-Aufwand bei Hersteller-Wechseln. Diese Kosten schwanken stark zwischen Erneuerungs-Zyklen und stören die Budget-Planbarkeit.

Welche Open-Source-Security-Komponenten deckt die BEKOM-Monatspauschale ab?

BEKOM bündelt den Open-Source-Security-Betrieb in eine planbare Monatspauschale: Firewall-Betrieb (OPNsense, nftables), VPN-Bereitstellung, IDS/IPS-Monitoring, Patch-Disziplin und definierte Reaktionszeiten sind enthalten. Welche Kostentreiber in Ihrer konkreten Sicherheits-Landschaft tragend sind, konkretisiert Open-Source-Security-Betriebsmodelle.

Wie setzt sich der Preis für BEKOM OPEN PRO Security zusammen?

Die Kosten setzen sich aus einer monatlichen Service-Pauschale (Firewall-Betrieb, VPN-Bereitstellung, Monitoring, Patch-Disziplin, definierte Reaktionszeiten) und einer einmaligen Setup-Pauschale (Service-Design, Migrationsbegleitung von proprietären Sicherheits-Paketen) zusammen. Konkrete Beträge ergeben sich aus dem Service-Design-Dokument, das im Assessment auf Basis Ihrer Netzwerk-Topologie und Compliance-Anforderungen erarbeitet wird.

Lassen sich bestehende Open-Source-Security-Komponenten in den BEKOM-Betrieb überführen?

Vorhandene OPNsense-, pfSense-, Wazuh-, Suricata- oder HAProxy-Installationen lassen sich in den Managed-Betrieb überführen, sofern Konfigurationen exportierbar und Lizenz-/Subscription-Rahmen geklärt sind. Die Übernahme beginnt mit einer Bestandsaufnahme: Topologie, Regelwerk, VPN-Profile, Zertifikatslage, Update-Stände, Log-Quellen. Im Service-Design-Dokument wird festgehalten, welche Konfigurationen 1:1 übernommen, welche konsolidiert und welche durch BEKOM-Standards ersetzt werden – und wer die Freigabe-Verantwortung trägt. Der Rückweg in den Eigenbetrieb ist über offene Standards und exportierbare Konfigurationen jederzeit möglich.

Weitere Szenarien

BEKOM OPEN PRO umfasst mehrere Technologiebereiche – jeder mit eigenem Open-Source-Ansatz:

Open Source Infrastruktur

Server, Storage und Virtualisierung – technologieoffen.

Open Source Applications

Collaboration bis ERP auf Open-Source-Basis.

Open Source Operations

Monitoring, Logging und Automation – technologieoffen.

MANAGED Security & Compliance

SOC, SIEM und Compliance-Monitoring im Betrieb.

MANAGED Infrastruktur

Betrieb von Server, Speicher und Netzwerk mit SLAs.

Cloud für den Mittelstand

Strategische Cloud mit Compliance-Fokus.

Nächster Schritt: Schutzkonzept besprechen

Das Erstgespräch liefert eine strukturierte Bestandsaufnahme Ihrer aktuellen Netzwerksicherheits-Architektur, einen Überblick über Vendor-Abhängigkeiten und Compliance-Lücken sowie eine Empfehlung zur Service-Architektur. Das Service-Design-Dokument hält Reaktionszeiten, Eskalationswege und die Verantwortungsverteilung zwischen Ihrer IT und BEKOM transparent fest – als Grundlage für Klarheit über Ist-Zustand und Umsetzungsschritte.

1

Ausgangslage analysieren

Wir schauen uns gemeinsam an, wie Ihre Netzwerksicherheit heute aufgestellt ist. Welche Komponenten sind im Einsatz? Wo bestehen Abhängigkeiten? Welche Anforderungen stellen Compliance, Standortstruktur und Geschäftstätigkeit an die Sicherheitsarchitektur?

2

Zielbild skizzieren

Auf Basis Ihrer Anforderungen entwerfen wir ein Sicherheitskonzept, das zu Ihrem Unternehmen passt. Passgenau – ohne Module, die Sie nicht brauchen. Im Betriebsmodell Ihrer Wahl: vor Ort, aus der Cloud oder kombiniert.

3

Nächste Schritte vereinbaren

Sie entscheiden, ob und wie es weitergeht. Kein Druck, keine Verpflichtung – ein fachliches Gespräch auf Augenhöhe. Gemeinsam legen wir fest, welche konkreten Schritte sinnvoll sind.