Was ist eine Firewall?

Der Begriff „Firewall“ ist derzeit schnell in aller Munde. Inzwischen ist der Begriff eine Art Standardbegriff in der IT-Sicherheitstechnik geworden. Egal wo man hinschaut - alle Geräte und Hersteller haben eine Firewall mit integriert und zwar in allen Geräten. Klar ist bei einer solchen Strategie: Wer kann denn noch wirklich qualifizieren, ob das Gerät auch unter den Aspekten der Sicherheit betrachtet ein gutes Gerät ist? Wir geben Ihnen fünf Tipps zur Einrichtung einer professionellen Firewall.

„Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] ‚Brandwand‘ oder ‚Brandmauer‘) ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt.“

 

(Quelle: Wikipedia - https://de.wikipedia.org/wiki/Firewall, Stand 29.01.2018 06:36 Uhr)

Nun sind wir schlauer - es geht wohl um eine „Einrichtung“ zum Schutz von Rechnersystemen und Rechnernetzwerken. Aber was ist beispielsweise mit Druckern, Zeiterfassungsterminals, Produktionsmaschinen, Fernsehern, Smartphones, Apple-TV, Blue-Ray-Playern, Spielekonsolen? Die Liste ist beliebig lang. Daher die verkürzte Frage: Was ist mit allen anderen Geräten, die irgendwie auf ein anderes Netzwerk wie das Internet zugreifen können? Im Zeitalter von „Industrie 4.0“ und „Internet of Things“ müssen diese Geräte ebenfalls geschützt werden, da eine solche Schutzeinrichtung nicht ab Werk von jedem Hersteller mitgeliefert wird. Diesen „erweiterten“ Schutz kann eine Firewall ebenfalls bieten. Dazu differenziert man das Großgebiet Firewall in zwei unterschiedliche Rubriken:

 

Software Firewall: „Personal Firewall“

Die klassische Software-Firewall kennt wohl jeder (zumindest mal vom Hörensagen). Eine Software-Firewall ist wie der Name schon sagt ein „installierbares Programm“, welches einen gewissermaßen schützen kann. Dieses Programm läuft klassischerweise genau auf dem Gerät, welches es zu schützen gilt. Bei einem PC ist es also die Windows Firewall, bei einem Android Gerät kann man aus diversen Apps auswählen. Andererseits gibt es auch die namhaften Hersteller in der Virenschutzsparte, die oftmals in ihrer Programmsuite ebenfalls eine Personal Firewall integrieren, welche dann über den Virenschutz selbst verwaltet wird.

 

Wir merken hier: Zwar sind Geräte, die man häufig benutzt wie Smartphones, Tablets und PCs scheinbar abgedeckt, jedoch was ist mit dem Fernseher oder der Spielekonsole? Mal ehrlich: Haben Sie schon einmal versucht einen Virenschutz auf dem Fernseher zu installieren? Ich nicht.

 

Hardware-Appliance

An diesem Punkt kommt die Hardware-Appliance nun zum Tragen. Eine Hardware-Appliance ist in der Tat ein „Stück Computer“, den man netzwerktechnisch gesehen vor alle anderen Geräte im Netzwerk stellt. Oftmals übernimmt diese Firewall dann die Aufgaben eines Internetrouters, wie ihn jeder zu Hause und in der Firma stehen hat.

 

Was ist nun so besonders an der Hardware-Appliance im Gegensatz zu der Software-Firewall? Zum einen bietet diese Firewall auch den Geräten Schutz, auf denen keine Firewall werksmäßiger Auslieferungszustand ist. Da zwangsläufig aller Verkehr in Richtung Internet oder fremdes Netzwerk dort durchlaufen muss, können die einzelnen Geräte diesen Schutz auch nicht so einfach umgehen. (Für die Kritiker: Ja, man kann an dieser Stelle auch böse nachhelfen, wenn man will...).

 

Standardmäßig blockiert eine Firewall jeglichen Verkehr, es sei denn man lässt ihn explizit zu. Damit hat man die volle Kontrolle darüber, welche Dienste wirklich Daten übermitteln dürfen.

 

Wir fassen also grob zusammen, was beide Firewalls können:

  • - Den Verkehr im Netzwerk scannen
  • - Unterschiedliche Dienste / Zugriffe blockieren, die unter Umständen unerwünscht sind
  • - Die Kommunikation (gewollt) einschränken
  • - Unterstützung zur Kontrolle bieten, welche Dienste mit anderen Netzwerken „telefonieren“
  • - Bieten eine tolle Möglichkeit die abfließenden Daten durch das „nach Hause Telefonieren“ zu beschränken (interessanter Punkt hier: kommende DSGVO und Wahrung der Persönlichkeitsrechte)

 

Zurück zur Hardware-Appliance:

Hier gibt es auch gravierende Unterschiede zwischen den einzelnen Angeboten. Eine richtige Firewall-Appliance bringt jedoch viel mehr mit als nur diese „Blockierfunktion“ aus dem der Begriff ursprünglich entstanden ist.

 

Da gibt es noch Begriffe wie IDS / IPS (Intrusion Detection System / Intrusion Prevention System), SPI (Stateful Paket Inspection), Flood Protection, Site-to-Site VPN, End-to-Site Remote Access, ATP (Advanced Threat Protection), Webprotection, E-Mail Protection, Virenscan, Malwarescan, PUA-Detection (Potentially Unwanted Application), Secure WiFi, etc...

 

Puhhhh... diese Liste ist bisher schon erschlagend und noch weit nicht am Ende. Es genügt in erster Linie für Sie zu wissen: Alle diese aufgezählten Komponenten tragen noch über die nun in Relation gesetzte recht „simple“ Anforderung zur Blockierung des Netzwerkverkehrs bei. Bei den oben genannten Begriffen handelt es sich um bewährte Analyse-, Scan- und Kryptografieverfahren, die alle nochmals vom Netzwerkverkehr durchlaufen werden. Erst durch die Kombination der einzelnen „Bausteine“ bei einer Firewall steigt das Schutzniveau. Viele Hersteller fassen daher diese Kombinationen unter dem Begriff UTM (Unified Threat Management) zusammen. Dieser Begriff ist übrigens konform mit der Begriffsprägung von Charles Kolodgy, der 2004 festlegte, dass es unterschiedliche Netzwerksicherheitsgeräte gibt: Die mit einer „Hochspezialisierung“ (SSA) oder solche als „Allrounder“ (UTM). Im allgemeinen Volksmund hat sich allerdings der Begriff „Firewall“ eingeschlichen, der eine „UTM“ bezeichnet. Merke: Ab nun sprechen wir von einem UTM-System, wenn eine Hardware-Firewall / Hardware-Appliance erwähnt wird.

 

Sicherheitsanforderungen ans Netzwerk

Bisher haben wir viel über die Unterschiede der Firewalls im Einzelnen gelernt. Was bietet nun den besten Schutz? Die Antwort lautet: Weder das eine noch das andere - die Kombination macht die Sicherheit!

 

Man sollte als Gateway (frei übersetzt: „Schnittstelle zu anderen und öffentlichen Netzwerken“, bspw. das Internet) eine Hardware-Firewall einsetzen. Somit ist sichergestellt, dass man die Schutzabdeckung auf der gesamten Netzwerkebene bereits etabliert hat.

 

Zusätzlich kommt dann noch eine Software-Firewall auf den Geräten, welche diese Funktion unterstützen, hinzu. Diese stellt sicher, dass man auch auf den einzelnen Geräten einen gewissen Schutz besitzt. Gerade bei Besuchern und geteilten Netzwerken ist es möglich, dass sich eine Gefahr bereits im Netzwerk befindet. Dagegen hilft dann nur noch eine lokale Firewall am betroffenen Endgerät, da hier der Verkehr nicht mehr die „Netzschnittelle“ (wir erinnern uns: das Gateway) passieren muss. Aber aus einem ganz anderen Grund ist die Personal Firewall weiterhin wichtig: Wie können Sie den Schutz der mobilen Systeme (bspw. Laptops) unterwegs in fremden Netzwerken abbilden? Eine Personal-Firewall ist in diesem Punkt dementsprechend portabel.

 

Auf der Hand liegt also: Man benötigt ein Firewall-Konzept welches umgesetzt wird.