Eine Firewall ist auch im kleinsten Netzwerk Pflicht als Schutz vor Cyberangriffen. Doch wie funktionieren Firewalls, und wie können sie Angriffe und Malware stoppen?
Es ist die heutige Realität: Sobald das firmeninterne Netzwerk mit dem Internet verbunden ist, drohen Angriffe. Cyberkriminelle versuchen praktisch ab der ersten Sekunde, die Firma mit Viren, Trojanern & Co. zu infizieren und zu schädigen, von der Geschäftsspionage bis zur Lähmung des Betriebs.
Damit das nicht passiert, braucht es einen Abwehrmechanismus, eine Art Schleuse oder Türsteher für das Firmennetzwerk. Nur wirklich nötige Zugriffe sind gestattet, bei allen andern heisst es «Hier kommst du nicht rein». Solche digitalen Türsteher heissen Firewalls. Sie sorgen dafür, dass kein Netzwerkverkehr unerlaubt durchkommt. Firewalls arbeiten dazu mit Regeln, um die Ein- und Ausgänge des Firmennetzes – auch Ports genannt – nach Bedarf zu öffnen, zu schliessen und laufend zu überwachen.
Firewall-Varianten
Firewalls kommen an unterschiedlichen Stellen zum Einsatz. Betriebssysteme wie Windows und MacOS enthalten eine Software-Firewall, die den einzelnen Rechner absichert. Man spricht hier auch von Desktop-Firewalls oder Personal Firewalls. Ähnliche Firewall-Funktionen bieten die Internet-Security-Lösungen verschiedener Anbieter.
Kleine Netzwerke sind oft über einen Router mit dem Internet verbunden, der ebenfalls mit einer integrierten Firewall aufwartet. Die Verteidigungslinie liegt dann eine Ebene höher: Der Router analysiert den Netzwerkverkehr, bevor dieser auf die einzelnen Rechner trifft, und blockt unerwünschte Datenpakete ab. In grösseren Netzwerken arbeitet man meist mit einer dedizierten Hardware-Firewall, die mehr Leistung bietet und umfangreichen Netzwerk-Traffic verarbeiten kann.
Dedizierte Firewalls gibt es in zwei Varianten. Wird die Firewall von der Firma selbst verwaltet, spricht man von einer Unmanaged Firewall. Wer sich nicht um die komplexen Details der Firewall-Konfiguration kümmern will, greift zur Managed Firewall. Dann übernimmt ein Service-Provider die gesamte Verwaltung und stellt dem Kunden meist auch die Hardware in Miete zur Verfügung. Die Firewall-Hardware kann dabei beim Kunden vor Ort oder im Rechenzentrum des Providers stehen.
Noch einen Schritt weiter geht eine Cloud-Firewall oder Hosted Firewall. Dabei handelt es sich nicht um ein Hardware-Gerät, sondern um einen Firewall-Dienst, den der Provider auf Basis einer geteilten Infrastruktur erbringt. Der Kunde muss keine Hardware kaufen oder mieten, muss sich nicht um Wartung und Reparaturen kümmern und bezieht genau die Firewall-Leistung, die er aktuell braucht.
Wie funktioniert eine Firewall?
Firewalls arbeiten mit einer Kombination unterschiedlicher Filterfunktionen. Im Zentrum steht der Paketfilter. Er analysiert den gesamten Netzwerkverkehr und filtert als gefährlich erkannte Datenpakete heraus. Dies ist auf mehreren Ebenen möglich:
- Anhand von vordefinierten, statischen Regeln werden Datenpakete, die auf bestimmten Ports eingehen, entweder weitergeleitet oder abgeblockt.
- Die dynamische Paketfilterung, auch Stateful Inspection genannt, untersucht zusätzlich den Verbindungsstatus und leitet ein Datenpaket nur dann weiter, wenn der Empfänger bereit ist und das Paket annehmen will.
- Noch einen Schritt weiter geht die Paketfilterung auf Anwendungsebene, auch Proxy-Firewall oder Deep Packet Inspection genannt. Dabei wird auch der Inhalt der Pakete auf Merkmale wie Protokollverletzungen, Viren, Spam und weitere Inhalte überprüft.
Ergänzend zum Paketfilter bieten Firewalls weitere Filterfunktionen wie URL-Filter zum Blockieren bestimmter Adressen anhand einer Blacklist oder Content-Filter zur Prüfung der Textinhalte einer Webseite auf Unerwünschtes.
So genannte Next-Generation-Firewalls oder UTM-Firewalls (Unified Threat Management) stellen neben den Firewall-Grundfunktionen zusätzliche Filter- und Analysemöglichkeiten bereit. Dazu gehören Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS), die den Netzwerkverkehr auf mögliche Angriffs- und Missbrauchsversuche und Sicherheitsverletzungen hin untersuchen und erkannte Angriffe abwehren.
Was können Firewalls und was nicht?
Jede Firewall überwacht exakt die Verbindungen, die tatsächlich über sie laufen. Alles, was an der Firewall vorbei ins Firmennetz eindringt, wird nicht erfasst. Auch interne Angriffe, die von einem Rechner im Netzwerk auf einen anderen abzielen, kann die zentrale Firewall an der Schnittstelle zwischen Firmennetz und Internet nicht abfangen. Es empfiehlt sich deshalb, zusätzlich auch auf den einzelnen PCs die Desktop-Firewall zu aktivieren.
Die Grundfunktionen klassischer Firewalls helfen zudem nicht gegen die heute meistgenutzten Angriffsmethoden: Phishing-Mails mit Links zu gefälschten Webseiten, mit Schadcode infizierte Office-und PDF-Dokumente lassen sich mit einem einfachen Paketfilter nicht eliminieren, weil die Verbindung selbst zwischen Computer und Mail-Konto erfolgt und legitim ist. Hier hilft nur eine UTM-Firewall. Bei dieser Sicherheitslösung sind auch zusätzliche Dienste wie Web-Filter und Antiviren-Software mit dabei und sorgen für eine massiv bessere Sicherheit. Immer und überall wichtig ist aber, dass die Mitarbeitenden ein gut geschultes Sicherheitsbewusstsein mitbringen.
Lösungen für ein sicheres Firmennetz
KMU sind heute auf eine stabile und sichere Netzwerkinfrastruktur angewiesen, welche sich jederzeit flexibel anpassen lässt. Netzwerklösungen bietet viele Vorteile: sicheren Zugriff auf die Daten des Firmennetzwerks von überall her, LAN oder Wireless LAN an Ihren Haupt- und Nebenstandorten, und vor allem maximale Sicherheit für Ihre Firmendaten.
Swisscom bietet Netzwerklösungen, Internet, Telefonie und Server-Umgebungen aus einer Hand. Zum Nutzen und Schutz eines Unternehmens.