Das Internet ist böse. Denn dort tummeln sich Hacker, Cracker und gefährliche Viren, die nichts anderes im Sinn haben, als Festplatten zu löschen oder die Banking-TANs der braven Bürger auszuspionieren. Also muss eine Firewall her, die uns vor all diesen Bedrohungen schützt. Zum Glück hat heutzutage jeder DSL-Router eine Firewall eingebaut, man braucht sich also keine Sorgen zu machen. Im privaten Umfeld mag dies ja noch teilweise stimmen, da der mögliche Schaden überschaubar bleibt. Wo jedoch das Internet im Unternehmen genutzt wird, hat ein DSL-Router als Firewall nichts zu suchen. Denn die dort integrierten Sicherheitsfunktionen bieten nur rudimentären Schutz.
Zunächst ist zu klären, was eine Firewall überhaupt ist. Im ursprünglichen Sinn sorgt die „Brandwand“ dafür, dass Feuer nicht auf andere Teile des Gebäudes überspringt. Diese Aufgabe ist relativ einfach, da man es mit nur einem Problem, nämlich dem Feuer, zu tun hat. Bedenkt man jedoch die Komplexität des Internets mit seinen Millionen von Servern und Benutzern, ist recht schnell klar, dass hier ausgefeiltere Techniken her müssen. So besteht eine Netzwerk-Firewall aus einer Vielzahl von verschiedenen Schutzmechanismen, die den existierenden Bedrohungen entgegenstehen. Die grundsätzliche Aufgabe einer Firewall ist es, unterschiedliche Netzwerke voneinander zu trennen und zu kontrollieren, welche Daten über die Netzgrenzen hinaus gelangen. In größeren Unternehmen ist es üblich, lokale Netzwerke in einzelne Segmente zu unterteilen und diese mit einer Firewall voneinander zu isolieren. Dies kann aus rechtlichen Gründen notwendig sein (z.B. Datenschutz) oder zur allgemeinen Steigerung der Sicherheit im Netzwerk dienen. Der häufigste Einsatzzweck einer Firewall ist jedoch, das lokale Netzwerk (LAN) vor dem Internet abzuschirmen (Internet-Firewall). Im Folgenden wird daher hauptsächlich auf diese Nutzungsform eingegangen.
Kombinierter Schutz
Doch wie kann eine Firewall vor den Gefahren des Internets schützen? Die einfachste und damit grundlegende Methode ist das Schließen von unerwünschten Kommunikationswegen. Jeder PC, jedes am Netzwerk angeschlossene System verfügt standardmäßig über eine ganze Reihe gleichzeitig laufender Dienste, die entweder auf einen Verbindungsversuch von außen warten oder selbst Verbindungen zu anderen Systemen aufbauen. Nicht alle diese Dienste sind vor Missbrauch geschützt. So kann z.B. jeder auf einem Netzwerkdrucker drucken, der sich im gleichen Netzwerkbereich befindet. Im lokalen Netzwerk ist dies natürlich gewollt, es kann jedoch nicht erwünscht sein, dass beliebige Nutzer aus dem Internet Papier und Toner des eigenen Druckers verschwenden. Die Kontrolle dieser Kommunikationswege wird durch den „Paketfilter“ gewährleistet. Dieser lässt Datenströme nur dann passieren, wenn sie einem festgelegten Regelwerk entsprechen. Üblicherweise blockiert eine Internet-Firewall dabei sämtliche Verbindungsversuche, die ohne Wissen des Benutzers aus dem Internet stattfinden und erlaubt die Nutzung des Internets durch Computer im lokalen Netzwerk. Der Paketfilter ist in der Regel die einzige Sicherheitsfunktion eines DSL-Routers und wird daher von den Herstellern dieser Geräte mit dem Begriff Firewall gleichgesetzt. Dieser Schutz ist natürlich besser als nichts, von wirklicher Sicherheit kann man jedoch nicht sprechen.
Denn die Probleme beginnen dort, wo der Netzwerkzugriff explizit erlaubt werden muss. Wenn eine E-Mail vom eigenen Computer an einen irgendwo im Internet befindlichen Empfänger gesendet wird, müssen dazu eine ganze Reihe Kommunikationswege geöffnet werden. Jedes mal, wenn eine Webseite geöffnet wird, muss dies ein Paketfilter vor dem eigentlichen Webserver zulassen. Und ist dieser Weg erst einmal offen, kann er auch für unerwünschte Zwecke genutzt werden. Ein Unternehmen, welches einen Webserver für die Kommunikation mit Kunden und Lieferanten im eigenen Netzwerk betreibt, muss den Zugriff auf diesen Server über das Internet zulassen. Erfolgt dies rein über einen Paketfilter kann zwar kontrolliert werden, wer den Server nutzt, aber nicht, wie er genutzt wird.
Paketfilter sind nicht in der Lage, in die einzelnen Datenpakete zu schauen, die sie passieren. Diese Inspektion der Daten wird in modernen Firewall-Lösungen über so genannte „Applikations-Proxys“ abgewickelt. Ein Proxy nimmt stellvertretend (Proxy = engl. „Stellvertreter“) für den eigentlichen Empfänger die Datenpakete an, und leitet diese erst nach einer Kontrolle des Inhalts weiter. Grundsätzlich wird so geprüft, ob der Inhalt der Datenpakete auch dem erwarteten Ergebnis entspricht. Sollten tiefer gehende Analysen stattfinden, z.B. ob sich Viren in den Paketen verstecken, müssen sämtliche Daten vor der Auslieferung noch einen „Content Filter“ passieren. Der Content Filter entscheidet, ob die Inhalte zum Empfänger gelangen oder dieser nur eine Fehlermeldung erhält. Nutzer von DSL-Routern müssen auf diese zusätzliche Sicherheit verzichten und sind so entsprechenden Angriffen schutzlos ausgeliefert. Bestes Beispiel sind die immer wieder auftretenden Sicherheitslücken bei Webbrowsern. Über speziell präparierte Webserver lassen sich so beliebige Programme auf dem heimischen Computer ausführen, ohne dass der Benutzer etwas davon mitbekommt. Dies fällt meist erst dann auf, wenn es bereits zu spät ist; Wenn Dateien gelöscht, Kennwörter ausgespäht oder das Konto leer geräumt ist.
Und Sicherheitslücken existieren in fast allen Systemen oder Anwendungen, da diese von Menschen entwickelt werden und Menschen Fehler machen. Bei Bekannt werden einer Sicherheitslücke wird normalerweise schnellstmöglich versucht, diese zu schließen. Ist dies nicht möglich oder wird zu langsam reagiert, können Angreifer diese Sicherheitslücke für ihre Zwecke ausnutzen. Um das zu verhindern, tritt die nächste Stufe einer Internet-Firewall in Kraft. Das „Intrusion Prevention System“, kurz IPS, kontrolliert den Datenverkehr auf bekannte Angriffsmuster und versucht, das Ausnutzen der Sicherheitslücken zu verhindern. Zeitgemäße Varianten dieser Schutzfunktionen erkennen zusätzlich über statistische Auswertungen, ob der aktuell stattfindende Datenverkehr der üblichen Art und Weise entspricht und blockieren vorbeugend verdächtige Kommunikation. Diese als „Anomalieerkennung“ bezeichnete Erweiterung des IPS wird hauptsächlich in professionellen Firewall-Systemen eingesetzt und ermöglicht es, auch bisher unbekannte Angriffe abzuwehren. DSL-Router bieten keine dieser Schutzfunktionen.
Unterschätzte Gefahren
Viele mögen jetzt denken „So etwas brauche ich alles nicht. Wer sollte schon Interesse daran haben, in mein Netzwerk einzubrechen?“. Dem ist zu erwidern: „So einige!“. Waren es in den Anfängen des Internets meist Jugendliche, die einfach aus Spaß oder Langeweile in fremde Netzwerke eindrangen, handelt es sich heute um organisierte Kriminalität mit weltweit operierenden Gruppen. Dabei ist das eigene Netzwerk nicht immer das Primärziel der Angreifer, vielmehr wird es für weitaus größere Vorhaben missbraucht. So sind hunderttausende Privat- oder Firmen-PCs im Internet hörige Sklaven von kriminellen Gruppierungen, ohne das die Besitzer etwas davon wissen. Ferngesteuert führen diese so genannten „Zombies“ alle Befehle aus, die ihre Meister im eigenen oder fremden Auftrag an sie senden - eine große Gefahr für sämtliche an das Internet angeschlossene Systeme. So kann leicht jeder beliebige Server im Internet lahm gelegt werden, in dem alle ferngesteuerten PCs gleichzeitig Anfragen an dieses System schicken. Im konkreten Fall spricht man von „DDoS-Attacken“ (Distributed Denial of Service), deren prominentestes Opfer der Suchmaschienanbieter Yahoo wurde. Im Jahr 2000 waren sämtliche Server wegen einer solchen Attacke über mehrere Stunden nicht erreichbar. Ein enormer Verdienstausfall für Yahoo, da in dieser Zeit keine Werbung geschaltet werden konnte und sich der Anbieter zum großen Teil durch eben diese Werbung finanziert. Kurz vorher soll Yahoo ein Schreiben erreicht haben, in dem eine hohe Geldsumme für die Unterlassung dieses Angriffes verlangt wurde - die moderne Art der Schutzgelderpressung. Aber auch die Spamwellen der letzten Monate wurden über ferngesteuerte PCs initiiert. Bereits für 100 $ kann jeder seine Werbebotschaft an mehrere hunderttausend Empfänger schicken. Dass es hierbei nicht um „Peanuts“ geht zeigt das Beispiel „Pump-and-Dump“. Über geschickt formulierte E-Mails werden die Empfänger dazu animiert, eine bestimmte Aktie zu kaufen. Kurz zuvor hat der Absender dieser E-Mail seinerseits massenhaft Anteile des betreffenden Unternehmens erworben und kann diese nun wieder mit deutlichem Gewinn veräußern. Die Käufer der Aktien verlieren dabei ihr Geld, da der künstlich nach oben getriebene Preis nach Platzen der Blase ins Bodenlose fällt.
Doch auch jetzt stellen sich einige weiterhin die Frage: „Was interessiert mich das?“. Für Privatanwender hat es in der Tat kaum Folgen, wenn ihre PCs für kriminelle Machenschaften missbraucht werden. Im Unternehmenseinsatz sieht die Sache jedoch etwas anders aus. Hier werden die Betreiber per Gesetz (z.B. GmbHG, AktG) dazu verpflichtet, für die Sicherheit ihrer IT-Systeme zu sorgen. Dies geht soweit, dass im Schadensfall die Inhaber, Geschäftsführer oder Vorstände persönlich für die entstandenen Schäden haftbar gemacht werden können. Aktuelle Gerichtsurteile bestätigen diese Haftung, die durch keine Versicherung abgedeckt wird. Es ist zu bezweifeln, dass einfache DSL-Router den Anforderungen des Gesetzgebers an die Sicherheit der IT in Unternehmen entsprechen.
Resümee
Umfassender und somit wirksamer Schutz vor den Gefahren des Internets kann nur durch eine Reihe von Sicherheitsfunktionen gewährleistet werden. Die grundlegenden Kontrolle des Datenverkehrs erledigt der Paketfilter, Applikations-Proxy und Content Filter sorgen für eine Überwachung der übertragenen Inhalte und die Intrusion Prevention blockiert Angriffe auf PCs und Server. Sind sämtliche Schutzmechanismen in einem Gerät enthalten, sprechen die Marketingabteilungen der Firewall-Hersteller von „Unified Threat Management“ (UTM), also dem einheitlichen Schutz vor Bedrohungen. Diese Komplettlösungen sind meist einfacher zu administrieren und bieten Kostenvorteile gegenüber Einzelsystemen. Der Nachteil der UTM-Firewalls liegt in einer eingeschränkten Flexibilität und Funktionsvielfalt bei den einzelnen Schutzmechanismen. Ist man auf größtmögliche Flexibilität angewiesen, kann daher die Aufteilung der Funktionen auf spezialisierte Einzelsysteme notwendig sein („Best of Breed“-Ansatz). Hierbei beherrscht jedes Einzelsystem die entsprechende Aufgabe optimal und ist technisch meist fortschrittlicher und ausgereifter, als die integrierte Komplettlösung.
Ob nun UTM oder Best of Breed, eine professionelle Firewall ist insbesondere bei der geschäftlichen Nutzung des Internets unerlässlich. DSL-Router hingegen sind keine vollwertigen Firewalls und haben daher im Unternehmensumfeld nichts zu suchen.
[Erschienen in Lahn Dill Wirtschaft 01/2008, ab Seite 34]
