Computer-Sicherheit: Was ist eine Firewall?
Eine Firewall regelt sowohl den eingehenden als auch den ausgehenden Datenverkehr eines Computers und gehörte lange Zeit zu jedem guten Schutzpaket. COMPUTER BILD erklärt, was genau die Firewall macht und wie wichtig sie für den Schutz des PCs ist.
Eine Firewall passt auf, dass keine unerlaubten Zugriffe auf Ihren PC stattfinden und Programme nicht heimlich Daten rausschicken. Den Datenstrom selbst untersucht die Schutzfunktion normalerweise nicht, das ist wiederum die Aufgabe eines Virenschutz-Programms . Die Firewall regelt lediglich, ob die jeweilige Verbindung zustande kommt. Ist ein PC mit dem Internet verbunden, können andere Internetnutzer den PC nämlich über die IP-Adresse des Geräts "anrufen" und Daten schicken oder auslesen.
Diese Funktion nutzten früher auch Viren, um weitere Geräte zu infizieren. Eine Firewall verhindert das, indem sie sich dazwischenschaltet und bei jeder Verbindung erst einmal prüft, an welchen Netzwerk-Anschluss (Port) sie geht und was für Daten geschickt werden. Anhand eingestellter Regeln entscheidet sie dann, ob die Verbindung zugelassen oder blockiert wird. Dieser Schutz besteht nicht nur für Verbindungen über das Internet, sondern auch für Angriffe aus dem lokalen Netzwerk.
Die zweite Aufgabe der Firewall zielt in die umgekehrte Richtung: Die Funktion prüft auch alle ausgehenden Datenströme und bezieht dabei den Absender mit ein, also das Programm, das die Daten verschickt. Wenn beispielsweise ein reiner Texteditor Daten ins Internet schicken möchte, ist das erst mal verdächtig und wird in der Regel blockiert.
Eine Firewall kommt mit verschiedenen Funktionen daher. Die Grundfunktion ist die Paketfilterung des Datenstroms. Diese sortiert ungewollte Daten anhand von Absender- oder Empfänger-IP-Adressen, Pakettypen und Ports aus. Man kann sich das wie beim Telefon vorstellen: Bestimmte Anrufer sind blockiert, andere müssen nach dem Wählen der Nummer noch die richtige Zahl nennen, damit die Firewall sie durchstellt. Mit diesen Filtern verhindert sie, dass ungewollt jemand Daten an den PC sendet oder Programme ungewollt Daten ins Internet schicken. Einige Firewalls haben URL-Filter, die den Aufruf bestimmter Internetseiten verhindern. Selten untersuchen Firewalls den Inhalt der Datenpakete und filtern Malware oder bestimmte Dateitypen raus.
Next Generation Firewalls
Vor allem im Unternehmensumfeld gibt es zudem erweiterte Firewalls, die mit künstlicher Intelligenz (KI) arbeiten. Diese Systeme nutzen die klassischen Firewall-Kriterien wie IPs, Blacklisten, Ports (siehe voriger Abschnitt) und ähnliches eher als Ergänzung und stützen sich hauptsächlich auf KI-basierte Richtwerte. So lernt die Software beispielsweise im laufenden Betrieb und anhand von Profilen, was genau bestimmte Mitarbeitergruppen dürfen und machen. Dadurch merkt sie etwa, wenn sich ein vermeintlicher Mitarbeiter mit korrekten Anmeldedaten mitten in der Nacht oder aus dem Ausland einloggt und blockiert das. Ebenfalls fällt dann auf, wenn jemand auf Daten zugreift, die er für seine Arbeit gar nicht braucht. Für Unternehmen sind solche Firewalls die beste Lösung, sich intern und extern abzusichern.
Ursprünglich gab es nur Software-Firewalls, die man als Programm installierte. Mittlerweile sind sogenannte Hardware-Firewalls ebenfalls sehr verbreitet. Der Name ist irreführend: Auch Hardware-Firewalls sind Software. Allerdings sind diese beispielsweise in der Firmware der Routers integriert. Der Vorteil ist, dass sie den Datenverkehr für alle Geräte im Netzwerk einheitlich regeln, bevor er an das jeweilige Endgerät gelangt.
Solche Firewalls bieten häufig die Möglichkeit, nur bestimmte Geräte im Netzwerk zuzulassen oder zu blockieren sowie Proxy-Server oder VPNs für das gesamte Netzwerk einzurichten. Damit fließt der Datenverkehr nicht direkt zwischen den aufgerufenen Seiten und dem PC, sondern über eine Zwischenstation auf einem externen Server. Für die besuchten Seiten sieht es so aus, als rufe der Proxy- oder VPN-Server die Seite auf. Die Identität des Nutzers ist damit geschützt.
Was ist ein Proxy-Server?
Im Zusammenhang mit einer Firewall taucht häufig der Name Proxy-Server auf. Solche Server schalten sich zwischen die Verbindung vom PC oder Netzwerk zum Internet und sind eigentlich dafür da, Seiten zwischenzuspeichern. Der Proxy-Server lädt die Seiten dann einmal und jeder PC, der sie aufruft, bekommt sie aus dem Zwischenspeicher. Proxy-Server eignen sich aber auch dafür, den Traffic zu filtern oder Seiten zu blockieren. Deshalb sind sie oft Teil von Firmen-Firewalls.
Windows liefert von Haus aus eine Firewall mit. Die bietet genau das, was man von einer einfachen Firewall erwartet. Allerdings sind die Einstellungen der Windows-Firewall in den Untiefen der Windows-Einstellungen versteckt und die Bedienung ist alles andere als einfach und selbsterklärend. Wer hier eigene Regeln erstellen oder bestimmte Programme blockieren oder freigeben möchte, muss sich schon sehr gut mit Windows auskennen.
Für die meisten Windows-Nutzer reicht die integrierte Firewall trotzdem, weil sie fast alles allein regelt und dank ihrer Standard-Einstellungen kaum nützliche Programme blockiert. Es kommt höchstens mal eine Nachfrage, ob man eine Verbindung erlauben möchte.
Früher, als die meisten Internetnutzer noch per Direkteinwahl über das Modem unterwegs waren, war eine Firewall unumgänglich. Ansonsten stand der PC offen für jeden Angreifer. Mittlerweile nutzt die große Mehrheit Router, die automatisch bestimmten Datenverkehr blockieren und für die Portfreigabe die Rolle einer Firewall übernehmen. Der Angriffsvektor von außen ist damit weitestgehend geschlossen. Und für den ausgehenden Datenverkehr gibt es die Windows-Firewall. Aufgrund dieser weitverbreiteten Hürden gibt es inzwischen deutlich weniger Malware, die versucht, sich über direkte Angriffe auf andere PCs zu schleusen.
Die Firewall hat deshalb deutlich an Bedeutung für die PC-Sicherheit verloren. Einige Antiviren-Hersteller verzichten daher darauf, eine eigene Firewall anzubieten (etwa Avira Prime ), greifen stattdessen auf die Windows-Firewall zurück. Ohne Software-Firewall sollte man den PC trotzdem nicht nutzen, da sonst Angriffe aus demselben Netzwerk ohne den Umweg über den Router möglich sind.
Für Firmen sieht das komplett anders aus: Eine gute Firewall mit angepassten Regeln ist für Firmennetzwerke unumgänglich. Sie stellen die erste Schutzmauer gegen Hacker dar und sind elementarer Bestandteil des Sicherheitskonzepts. Hier kommen auch sogenannte Next-Gen-Firewalls ins Spiel, die zusätzliche Funktionen zum Untersuchen und Blockieren des Datenverkehrs bieten. Je größer die Unternehmen und Netzwerke sind, desto komplexere Firewall-Regeln sind notwendig, um beispielsweise zu verhindern, dass ein infizierter PC das gesamte Netzwerk lahmlegt.
Firewalls & Co.: Die beste Gratis-Sicherheitssoftware Zum Artikel
Die Firewall sollten Sie nur in Ausnahmefällen deaktivieren, etwa um zu prüfen, ob mit einer geänderten Regel versehentlich der komplette Datenverkehr blockiert wurde. Hardware-Firewalls lassen sich normalerweise nicht deaktivieren. Gibt es ein Problem, müssen Sie es mit zusätzlichen Regeln und Freigaben lösen.
Netzwerk, Sicherheit, Storage, Client, Server: Die 25 beliebtesten Tools
Was beliebt ist, das ist in der Regel auch gut. Wir haben aus der umfangreichen TecChannel-Produktdatenbank die meist abgerufenen Tools über alle Themenkategorien ermittelt. Der Anwendungsbereich der Programme ist bei den TecChannel-Leser eindeutig: 11 der 25 beliebtesten Utilities sind Netzwerk-Tools und sieben Stück kommen aus dem Storage-Bereich. Der Rest teilt sich auf für die Arbeit mit Clients und Servern oder hilft bei mehr Sicherheit. Schön ist, dass die populärsten Hilfsprogramme außerdem kostenlos zu haben sind.
Die 25 beliebtesten Tools der TecChannel-Leser sind:
Nicht mehr in der Top-25-Liste vertreten sind folgende Tools (Aufzählung mit letzter Platzierung):
Die TecChannel-Produktdatenbank ermöglicht Ihnen Zugriff auf redaktionell geprüfte Informationen aus dem gesamten Internet. Wir bieten Ihnen so neben den eigenen Inhalten zusätzliche geprüfte Tests, Ratgebern, Bildern, Videos, Download-Links und Meldungen zu Hard- und Software für den professionellen Einsatz. In der Produktdatenbank finden Sie diese Infos übersichtlich strukturiert und nach den Themengebieten Sicherheit, Netzwerk, Storage, PC+Mobil, Server, Tools und Apps gegliedert.
Informationen, Tests und Ratgeber rund um das Thema Netzwerk finden Sie bei TecChannel in unserem Netzwerk-Channel. (cvi)
Die Reihenfolge der beliebtesten Tools basiert auf den Abrufzahlen der Hilfsprogramme durch unsere Leser in den zurückliegenden drei Monaten.
Botnetze – Auswirkungen und Schutzmaßnahmen
Botnetze – Auswirkungen und Schutzmaßnahmen Vernetzte Geräte werden per Fernsteuerung zusammengeschlossen und für weitere Cyber-Angriffe missbraucht
Was ist ein Botnetz und wie kann ich mich schützen?
Im Fachjargon ist mit Bot ein Programm gemeint, das ferngesteuert auf Ihrem Computersysteme arbeitet. Von Botnetzen spricht man dann, wenn sich sehr viele infizierte Systeme – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen haben und zu bestimmten Aktionen missbraucht werden. Nicht nur klassische PC s können zu Bots werden, auch andere Geräte, welche einen Internetzugang haben oder Teil eines Netzwerkes sind, sind gefährdet. Beispiele sind hier mobile Geräte wie Smartphones oder Tablets, Wearables oder Teile des IoT wie Webcams oder Router.
Was das alles mit Ihnen zu tun hat? Ganz einfach: Es könnte sein, dass genau Ihr Computer, Smartphone, SmartTV oder Staubsaugroboter Teil eines Botnetzes ist und jetzt ferngesteuert arbeitet – ohne dass Sie davon etwas mitbekommen.
Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT -Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.
Sie sind an dieser Stelle gefordert: Sorgen Sie mit den entsprechenden Schutzmaßnahmen dafür, dass Fremde keine Möglichkeit bekommen, Ihre Technik in Beschlag zu nehmen und für Angriffe zu missbrauchen.
Wie wird der Computer infiziert?
Wenn Sie im Internet unterwegs sind oder E-Mail-Anhänge öffnen, dann kann es leicht passieren, dass Sie sich schädliche Programme auf Ihr Gerät herunterladen – es sei denn, dieses ist durch entsprechende Maßnahmen geschützt. Zu diesen Schadprogrammen zählen auch Bots, die sich still und heimlich auf Ihren PC schleichen. Hat ein potenzielles Schadprogramm den Weg in Ihr Netzwerk gefunden, so kann es sich unbemerkt auf andere im Netzwerk befindliche Geräte weiterverbreiten und diese infizieren.
Viele Bots verhalten sich zunächst ziemlich unauffällig, so dass Sie davon nichts bemerken. Doch der Schein trügt. Denn die Verursacher der Schadprogramme können diese per Knopfdruck aktivieren. Dazu schicken Sie entsprechende Kommandos an das befallene Gerät. Eine einzige kriminelle Person kann alle Bots zentral dirigieren und ihnen befehlen, die gleichen Aufgaben auszuführen. Voraussetzung dafür: Das Gerät muss online sein. Es scheint nun ganz normal zu arbeiten, während sich gleichzeitig im Hintergrund lauter unerfreuliche Dinge abspielen.
Von den Angreifern werden vor allem Schwachstellen in den Microsoft-Betriebssystemen und Android-Geräten ausgenutzt, um Systeme von Endanwendern zu kapern. Doch auch Benutzer anderer Betriebssysteme dürfen sich nicht in falscher Sicherheit wiegen. So rücken zunehmend auch Linux-Systeme und Apple-Geräte in den Fokus der Angreifer. Insbesondere Linux-Systeme sind im Bereich der IoT -Geräte sowie im professionellen Servierbetrieb stark verbreitet.
Wozu werden Botnetze genutzt?
Botnetze werden von Cyber-Kriminellen zu verschiedenen Zwecken missbraucht. Dies kann einerseits das Nachladen weiterer Schadprogramme sein (beispielsweise eines Verschlüsselungstrojaners), andererseits das Ausführen weiterer Aktionen wie beispielsweise der Versand von Spam-Nachrichten oder die Durchführung von DDoS -Angriffen, um große Internetseiten lahm zu legen. Ein weiterer Hauptanwendungszweck ist Informationsdiebstahl, um beispielsweise Online-Banking-Betrug durchzuführen. Darüber hinaus werden Botnetze oft gegen Geld an Dritte weitervermietet, die sie für eigene Zwecke einsetzen. Um es auf den Punkt zu bringen: Hinter Botnetzen steckt viel kriminelle Energie und eindeutig ein böser Wille.
Die Folge: Durch Botnetze ist Ihr Gerät nicht mehr nur Opfer, sondern es wird gleichzeitig auch zum Täter. Es erhält die entsprechenden Befehle und führt diese ohne Ihre Kontrolle aus. Auch Ihre, auf dem PC oder Smartphone gespeicherten persönlichen Daten sind nun nicht mehr sicher. In den Medien taucht für Botnetze übrigens immer öfter der Begriff "Zombie-Rechner" auf, weil der Rechner wie ein Zombie – ein willenloses Werkzeug – zum Leben erweckt wird.
Die Gefahr der Botnetze steigt
Das Problem der Bot-Netze hat in den letzten Jahren massiv zugenommen. Der Grund: Der überwiegende Teil der Nutzer verfügt über einen Breitband-Internetanschluss. Nicht wenige Computer sind rund um die Uhr ans Internet angeschlossen. Immer günstigere Flatrates machen's möglich. Und im Gegensatz zu analogen Internetverbindungen fällt bei DSL - oder Kabel-Anschlüssen kaum auf, ob der Computer "heimlich Dinge macht", weil die Verbindungsgeschwindigkeit nicht merklich langsamer wird. Studien zufolge werden pro Tag weltweit mehrere Tausend neue Computer gekapert und für fremde Zwecke missbraucht. Ein neu ans Internet angeschlossener PC wird bereits nach wenigen Minuten erstmals angegriffen.
Um Botnetzinfektionen zu detektieren, werden von Sicherheitsforschern sogenannte Sinkhole-Systeme betrieben, die anstelle der regulären Steuerungsserver ( C&C -Server) Kontaktanfragen von Bots entgegennehmen. Möglich wird dies durch eine Registrierung der verwendeten Domänennamen oder auch der IP -Adressen. Die Höhe der sichtbaren Infektionen wird maßgeblich durch die Art und Anzahl der von den Sicherheitsforschern registrierten Sinkhole-Adressen beeinflusst und schwankt deshalb sehr stark.
Im Jahr 2019 wurden von Sicherheitsforschern täglich bis zu 110.000 Infektionen deutscher Systeme registriert und über das BSI an die deutschen Internetanbieter gemeldet. Die Internetanbieter informieren ihre Kunden über die Infektion und bieten zum Teil auch Hilfestellung bei der Bereinigung der Systeme an. Da nicht für alle existierenden Botnetze Sinkhole-Systeme eingesetzt werden können, stellen die gemeldeten Infektionen nur eine Untergrenze für Deutschland dar. Aufgrund der Erfahrungen aus erfolgreichen Botnetzabschaltungen ist davon auszugehen, dass die Dunkelziffer deutlich höher liegt und sich mindestens in einem siebenstelligen Bereich bewegt.