Sowohl aktuelle Computer als auch Internetrouter verfügen in aller Regel über eine integrierte Firewall. Aber haben Sie sich eigentlich schon mal gefragt, was genau eine Firewall macht und warum sie zum Schutz Ihres Computers bzw. Ihres Computer-Netzwerks so wichtig ist?
Dieser Frage möchte ich mit diesem Beitrag ein wenig auf den Grund gehen. Und damit auch weniger technikversierte Interessierte einen Einblick erhalten können, wie eine Firewall funktioniert, werde ich versuchen, das Ganze etwas zu verbildlichen.
Was ist eine Firewall?
Eine Firewall ist grundsätzlich eine Software, die den Aus- und Einlass von Datenpaketen reguliert, welche üblicherweise der Kommunikation in einem Computernetzwerk dienen.
Man kann im Prinzip zwei Anwendungsfälle von Firewalls unterscheiden: Netzwerk-Firewalls (auch Hardware-Firewalls genannt, weil die Software fest in spezielle Netzwerk-Hardware implementiert ist und sie zusammen „die Firewall“ ergeben) und Computer-Firewalls (auch Endpunkt-, Endpoint- oder Persönliche Firewalls genannt).
Grundsätzliche Funktionsweise
Wie bereits angesprochen, kommunizieren Computer mittels kleiner Datenpakete, die über das Computernetzwerk versendet und empfangen werden. Man kann sich das vorstellen, wie einen Gefängnisinsassen, dessen einzige Möglichkeit, mit der Außenwelt zu kommunizieren, der postalische Weg ist.
Stellen wir uns also einen ganz fiesen Schurken vor, der Mitglied einer noch fieseren kriminellen Vereinigung ist. Nennen wir ihn zum Beispiel Rü… äh, Schmüdiger Ritt. Schmüdiger Ritt wurde, zu seinem großen Bedauern, bei seiner letzten gemeinen Tat von einem Zeugen beobachtet und identifiziert. Aufgrund dessen Zeugenaussage konnte Schmüdiger Ritt zu einer mehrjährigen Haftstrafe verurteilt werden, die er nun in einem Gefängniszelle und in Einzelhaft verbüßt. Telefonate, Besuche sowie Kontakt zu anderen Insassen sind ihm untersagt. Dafür darf er Briefe schreiben und auch Postsendungen empfangen. So viel zur Ausgangslage.
Netzwerk-Firewall
Beginnen wir mit der Funktionsweise einer Netzwerk-Firewall. Eine Netzwerk-Firewall lässt sich mit der Poststelle eines Gefängnisses vergleichen. Die Poststelle ist die zentrale Abteilung für den Ausgang und den Eingang von Postsendungen und stellt damit die Schnittstelle oder auch das Tor zur Außenwelt für die Inhaftierten dar. In der Netzwerktechnik spricht man vom Gateway (englisch u. a. für Tor, Durchgang).
Tor zur Außenwelt
In unserem Beispiel sitzt die Poststelle optimalerweise nicht direkt innerhalb der Gefängnismauern, sondern ist ein Teil der Schleuse am Haupttor (das Gateway, s. o.). Eine Netzwerk-Firewall ist dementsprechend regelmäßiger Bestandteil eines (Internet-) Routers.
Die Poststelle ist jedenfalls nicht nur dafür zuständig, dass nur erlaubte Sendungen aus- und eingehen dürfen, sondern auch für die richtige Zustellung innerhalb der Gefängnismauern. Allerdings ist es der Poststelle (zunächst) nicht erlaubt, Briefe zu öffnen und inhaltlich zu analysieren. (Das Briefgeheimnis wird in diesem Gefängnis groß geschrieben!) Verdeutlichen wir das, indem wir uns wieder Schmüdiger Ritt zuwenden.
Ausgehende Regeln
Nehmen wir also an, Schmüdiger Ritt darf Postsendungen über die Poststelle versenden und empfangen. Allerdings ist das ein Sicherheitsrisiko, da die Poststelle deren Inhalte ja nicht kontrollieren darf. Also hat die Gefängnisleitung die Poststelle angewiesen, eine sogenannte Schwarze Liste (auch Blacklist) für bestimmte Adressen zu führen. Auf dieser Schwarzen Liste befinden sich zum Beispiel alle Versandhändler für Stahlfeilen.
Hegt Schmüdiger Ritt also den Plan, die Gitterstäbe seiner Zelle durchzufeilen, kann er einen solchen Händler nur postalisch kontaktieren, um eine entsprechende Feile zu bestellen. Allerdings wird sein Brief von der Poststelle aufgrund der verbotenen Empfängeradresse direkt aussortiert und vernichtet. Die Bestellung geht also gar nicht erst raus und sein Plan schlägt bereits im Ansatz fehl.
Eingehende Regeln
Ähnliches gilt für eingehende Sendungen. Damit Schmüdiger Ritt überhaupt mit der Außenwelt in Dialog treten kann, müssen nicht nur ausgehende, sondern auch eingehende Sendungen die Poststelle passieren können. Andernfalls könnte er keine Antworten auf seine Briefe erhalten. Das heißt, auch sämtliche eingehende Post wird von der Poststelle grundsätzlich zugestellt, es sei denn, Empfänger oder Absender stehen auf der Schwarzen Liste.
Paketfilter
Und nach diesem Prinzip funktioniert eine Netzwerk-Firewall. Computer kommunizieren in einem Netzwerk und somit auch über das Internet mittels sogenannter Datenpakete. Eine Netzwerk-Firewall regelt wie eine Sicherheitsschleuse, ob und welcher Netzwerkverkehr das eigene, lokale Netzwerk verlassen oder darin eindringen darf. Die Firewall filtert also (Daten-) Pakete aus. Darum nennt man diese Funktion auch Paketfilter.
Computer-Firewall
Wie auch eine Netzwerk-Firewall regelt eine Computer-Firewall, ob und welcher Netzwerkverkehr zugelassen wird. Während eine Netzwerk-Firewall aber ein selbstständiges Netzwerkgerät ist, das den Netzwerkverkehr zentral an der Schleuse nach außen und innen filtert, regelt eine Computer-Firewall nur den Paketverkehr auf dem Computer, auf dem sie installiert ist.
Ziehen wir zum besseren Verständnis erneut unser Gefängnisszenario hinzu. Während also die Poststelle des Gefängnisses mit einer Netzwerk-Firewall verglichen werden kann, ist die Computer-Firewall praktisch der Insasse höchst persönlich. In unserem Fall also Schmüdiger Ritt. Er erhält sämtliche Post, die die Poststelle nicht aufgrund verbotener Adressen ausgefiltert hat. Bevor er diese Briefe aber öffnet, kann er sie selbst, nach persönlichen Adresskriterien aussortieren.
Eingehende Regeln
Stellen wir uns also vor, Schmüdiger Ritt erhält nach der Teilnahme an einem Preisausschreiben wöchentlich rund fünfzehn Werbeschreiben von immer wieder denselben Absenderadressen. Diese Adressen merkt sich Schmüdiger Ritt und führt somit eine persönliche Schwarze Liste. Erhält er nun also einen Brief mit einer dieser Adressen als Absender, wirft er ihn, ohne ihn zu öffnen, direkt in den Müll. Seine andere Post hingegen filtert er nicht aus, sondern öffnet sie ganz normal.
Ausgehende Regeln
Dasselbe Prinzip gilt für Briefe, die Schmüdiger Ritt selbst schreibt.
Wir erinnern uns: Schmüdiger Ritt wurde aufgrund der Aussage eines einzigen Zeugen verurteilt. Und dem würde er es nur allzu gerne zeigen – obwohl er weiß, dass die Kontaktaufnahme mit dem Zeugen für ihn tabu ist!
Während Schmüdiger Ritt also im Kittchen hockt, hegt er ausgefeilte Rachegelüste, die er gelegentlich auch in Form eines Drohbriefes an den Zeugen zu Papier bringt. Doch jedes Mal, nachdem er den Brief bereits fertig adressiert in den Umschlag gepackt hat, besinnt sich Schmüdiger Ritt beim Anblick der Empfängeradresse aufgrund seines – sagen wir mal – „guten Gewissens“, den Brief lieber zu zerreißen, anstelle ihn der Poststelle zum Versand zu übergeben (die ihn ohne Zweifel auch versenden würde, da die Adresse des Zeugen nämlich nicht auf ihrer Schwarzen Liste steht). Technisch gesehen steht die Adresse des Zeugen also auf Schmüdiger Ritts persönlichen Schwarzen Liste für ausgehende Sendungen.
Persönliche Firewall
Die Computer-Firewall ist demnach eine selbstständige Software auf dem jeweiligen Endgerät, die unabhängig von der jeweiligen Software, die Datenverkehr erzeugen oder empfangen soll, ebenselbigen nach eigenen, persönlichen Regeln zulässt oder unterbindet. Da eine Computer-Firewall also einen einzelnen Personal-Computer (englisch: Personal Computer) schützt, spricht man hier auch von einer Persönlichen Firewall (englisch: Personal Firewall).
Sicherheitsaspekte
Verschärfen wir nun das letzte Beispiel, um die Sicherheitsaspekte von Firewalls näher zu beleuchten.
Ausgangslage: Bombenstimmung!
Nachdem Schmüdiger Ritt einst hopsgenommen wurde, bot er sich im Rahmen eines Deals mit der Staatsanwaltschaft als Kronzeuge an und hat gegen einige seiner Komplizen ausgesagt. Dafür darf er, trotz Einzelhaft, größtenteils uneingeschränkt mit der Außenwelt postalisch kommunizieren.
Allerdings weiß Schmüdiger Ritt auch, dass er sich damit innerhalb der Organisation erhebliche Feinde geschaffen hat. Er befürchtet nun einen Briefbombenanschlag als Akt der Vergeltung.
Persönliche Firewall: gut
Um dieser Gefahr nun zu entgehen, macht Schmüdiger Ritt, wie eine Computer-Firewall, Folgendes. Er ändert also seine persönliche Strategie und wird von nun an alle Sendungen, die die Poststelle passiert haben, direkt und ungeöffnet entsorgen, wenn er ihren Absender nicht kennt oder ihn gar der Organisation zuordnen kann. Ihm bekannte und als sicher eingestufte Absender notiert er auf einer sogenannten Weißen Liste (auch Whitelist) anhand derer er sich in Zukunft orientiert.
Schmüdiger Ritt minimiert somit selbst das Risiko, eine – im wahrsten Sinne des Wortes – bombastische Sendung zu öffnen und somit vorschnell das Zeitliche zu segnen.
Netzwerk-Firewall: besser!
Allerdings entwickelt Schmüdiger Ritt nach kurzer Zeit weitere Bedenken. Denn seine Taktik ist nicht besonders sicher, falls eine Briefbombe mit einem Zeitzünder oder ähnlichem versehen werden sollte. Warum also ein Risiko eingehen und potenziell gefährliche Sendungen erst in die eigene Nähe kommen lassen?!
Schmüdiger Ritt wendet sich an die Gefängnisleitung. Diese zeigt größtes Verständnis, denn eine Briefbombe, die die Poststelle erst mal passiert hat, stellt ein zu großes Risiko dar. Darum weist sie die Poststelle an, für Sendungen, die an Schmüdiger Ritt adressiert sind, eine Weiße anstelle einer Schwarzen Liste anzulegen und ab sofort sämtliche eingehenden Sendungen sofort und sicher zu vernichten, sofern ihr jeweiliger Absender nicht darin enthalten ist.
Computer-Firewall VS. Netzwerk-Firewall: Die Mischung macht ’s!
Der Vorteil einer Netzwerk-Firewall im Vergleich zu einer Computer-Firewall dürfte klargeworden sein: Die Netzwerk-Firewall minimiert das Risiko, dass unerwünschte Datenpakete ins eigene Netzwerk und somit in die „Nähe“ ihrer eigentlichen Ziele gelangen können.
Dennoch sollte vom Einsatz der Computer-Firewall nicht abgesehen werden. IT-Sicherheit baut auf Hürden auf. Und jede Firewall stellt, für sich genommen, eine weitere Hürde für potenzielle Angreifer dar. Je mehr Hürden es also gibt, um so schwieriger hat es der Angreifer, ein System erfolgreich zu hacken.
Firewalls der 2. Generation (Stateful Firewalls)
Mit den bisherigen Beispielen haben wir die Funktionsweise sogenannter Firewalls der ersten Generation betrachtet. Diese haben – vereinfacht gesagt – den Datenverkehr lediglich anhand der Richtung und der Adressierung eines jeden einzelnen Datenpakets gefiltert.
Anfang der Neunzigerjahre verbesserte man diese Funktionsweise. Firewalls sind seitdem imstande, aus- und eingehende Datenpakete ihrer jeweiligen Netzwerksitzung (englisch: network session) zuzuordnen. Doch was heißt das? Um das zu verdeutlichen, erweitern wir das letzte Beispiel um Häftling Schmüdiger Ritt erneut.
Das Problem mit den Antworten
Schmüdiger Ritt fühlt sich allmählich von der Außenwelt abgeschnitten. Trotz seines Deals, der ihm vergleichsweise lockere Haftbedingungen zugesteht, dringt nun, aufgrund der restriktiven Anweisung an die Poststelle, praktisch keine Sendung mehr zu ihm durch. Nicht mal mehr auf eigene Briefe erhält Schmüdiger Ritt Antworten, weil deren Empfängeradressen nicht auf der Weißen Liste der Poststelle stehen. Diese werden daher als (für die Poststelle) unbekannte Adressen nicht weiterleitet, sondern direkt vernichtet.
Er wendet sich also erneut an die Gefängnisleitung und bittet darum, dass wenigstens Antworten auf seine ausgehenden Schreiben an ihn weitergeleitet werden.
Keine Anfrage, keine Antwort
Die Gefängnisleitung weist die Poststelle nun an, die Empfängeradresse eines jeden, von Schmüdiger Ritt versendeten Briefs (seine Anfrage) zu notieren. Sollte nun eine an Schmüdiger Ritt gerichtete Sendung ankommen, die zwar nicht auf der Weißen Liste steht, deren Absender aber einer der notierten Empfänger ist, wird die Sendung als explizit erwünschte und sichere Antwort angesehen und darf an Schmüdiger Ritt weitergeleitet werden. Die notierte Adresse wird dann – oder halt nach Ablauf einer festgelegten Beantwortungsfrist – wieder vernichtet.
So wird sichergestellt, dass Schmüdiger Ritt Antwortsendungen erhält und so wieder mit der Außenwelt kommunizieren kann. Unsichere oder nicht explizit angeforderte Sendungen werden aber weiterhin kategorisch durch die Poststelle vernichtet.
Geht ’s noch sicherer?
Geht es! Und zwar, indem die Poststelle die Postsendungen öffnen und ihre Inhalte kontrollieren darf.
Hinsichtlich einer Computer-Firewall, die über solche – und in aller Regel auch noch weitere Funktionen wie zum Beispiel Virenschutz und Webfilter – verfügt, nennt man Endpoint Protection, Endpoint Security oder auch Endpunktsicherheit.
Bei einer Netzwerk-Firewall, die solche Fähigkeiten hat, spricht man hingegen von einer Firewall der nächsten Generation oder Next Generation Firewall (NGFW), vereinzelt aber auch Unified Threat Management (UTM). Im Prinzip handelt es sich hierbei um einen Router, der neben einer Stateful Firewall um zusätzliche Schutzfunktionen wie einen Web-Proxy-Server mit Virenschutz, Webfilter und Ähnlichem erweitert ist.
Brauche ich eine Firewall?
Wahrscheinlich stellen Sie sich jetzt die Frage: „Brauche ich überhaupt eine Firewall?“
Die Antwort lautet in jedem Fall ganz eindeutig: „Ja!“ Doch ist das nur die halbe Wahrheit.
Firewall ist nicht gleich Firewall
Wie wir oben gesehen haben, unterscheiden sich Firewalls nicht nur von anhand ihres Installationsortes, sondern auch in ihrem Funktionsumfang voneinander. Die richtige Frage, die man sich also stellen muss, ist: „Was für eine Firewall brauche ich?“
Die Wahl der richtigen Firewall hängt nach meinem Dafürhalten zunächst davon ab, ob Sie Privatanwender sind oder ob es um ein Unternehmen geht.
Privatanwender
Meiner Meinung nach können sich Privatanwender in aller Regel beruhigt zurücklehnen. Nahezu jeder aktuelle Internet-Router verfügt über eine Firewall-Funktion, deren Standardeinstellungen in den meisten Fällen ein ausgewogenes Maß an Sicherheit und Konnektivität bietet.
Wie in unserem letzten Beispiel werden hier grundsätzlich alle aus dem Internet kommenden Datenpakete nicht ins eigene Netzwerk weitergeleitet, sondern fallen gelassen. Damit aber die eigenen Geräte aufs Internet zugreifen können, wird sämtlicher Datenverkehr in Richtung Internet sowie dessen direkte Antworten wie oben beschrieben durchgelassen. Dadurch wird sichergestellt, dass Ihre internetfähigen Geräte uneingeschränkt mit dem Internet kommunizieren können.
Zusätzlich verfügen moderne Betriebssysteme wie Microsoft Windows und macOS von Apple über eine aktivierte und vorkonfigurierte Computer-Firewall. Diese ist allerdings im Regelfall nicht sonderlich restriktiv und somit auch nicht für besondere Sicherheit vorkonfiguriert. Aus technischer Sicht und vor allem auch aus Praktikabilitätsgründen halte ich das aber für einen durchaus vertretbaren Kompromiss.
Unternehmen
Im Gegensatz zu rein privat genutzten Computern sollten Unternehmen keinesfalls nur auf die Sicherheit ihres Internet-Routers und oder gar ihrer Computer-Firewall vertrauen – vor allem dann nicht, wenn mit datenschutzrelevanten Daten umgegangen wird. Der Einsatz einer professionell konfigurierten Netzwerk-Firewall ist daher, von meiner Perspektive aus gesehen, unerlässlich.
Erweiterter Paketfilter
Eine Netzwerk-Firewall minimiert nicht nur das Risiko, dass gefährlicher Datenverkehr ins eigene Netzwerk eindringen kann. Anders als die Firewall eines handelsüblichen Internet-Routers kann sie auch unerwünschten ausgehenden Datenverkehr filtern. Notwendige Verbindungen können dann mit Hilfe spezifisch konfigurierter Ausnahmen zugelassen werden. Das verringert das Risiko teurer Datenlecks.
Sinnvolle weitere Funktionen
Des Weiteren bieten aktuelle Netzwerk-Firewalls auch weitere Funktionen. Hierzu zählen zum Beispiel ein Webfilter zum kategorischen Sperren potenziell unsicherer oder unerwünschter Websites sowie die Möglichkeit, ein- und ausgehenden Datenverkehr hinsichtlich seines Inhalts zu analysieren und notfalls zu sperren.
Ebenfalls eignet sich eine Netzwerk-Firewall dazu, um Gefahren innerhalb der eigenen Netzwerk-Infrastruktur abzuwehren, indem sie dank ihrer Routerfunktion eine Trennung in voneinander getrennte Netzwerksegmente zulässt. Dies kann man vergleichen mit der Aufteilung eines Gefängnisses in unterschiedliche Sicherheitsbereiche wie Gefangenenunterkünfte, Arbeitsbereiche, Verwaltung, Hochsicherheitsbereiche etc., zu denen nur bestimmte Personen Zutrittsrechte haben.
Und nicht zuletzt bieten Netzwerk-Firewalls nicht selten auch einen eigenen VPN-Server. Damit kann nicht nur sicheres mobiles Arbeiten ermöglicht, sondern auch mobile Endgeräte über den eigenen Internetanschluss geschleift werden. So können diese jederzeit die Sicherheitsvorteile der Firewall nutzen.
Fazit
Firewalls gehören zu den essenziellen Bestandteilen für Computer- und Netzwerksicherheit. Sie können Datenverkehr auf verschiedenen Ebenen regulieren und helfen dadurch, IT-Infrastrukturen zu härten und somit auch vor Cyberkriminalität zu schützen.