Firewalls schützen nicht nur vor Hackern
Firewalls schützen nicht nur sensible Geschäftsdaten, sondern auch die Stabilität eines Unternehmensnetzwerks. Zum einen verhindern sie, dass Hacker geheime Unternehmensdaten lesen, ändern oder löschen können. Zum anderen schließen sie Sicherheitslücken und bewahren Mitarbeiter davor, unabsichtlich die Systemsicherheit zu gefährden.
Passworte, Kundenadressen, Produkt-Informationen und interne Preislisten sind sensible Geschäftsdaten. Für die Konkurrenz sind sie nicht nur hochinteressant, sondern oft auch sehr einfach zu beschaffen.
Das Internet eröffnet Hackern viele Möglichkeiten zur Wirtschaftsspionage und -sabotage. Während ein Mitarbeiter aus einem ungeschützten Netzwerk heraus im Internet recherchiert, können Hacker zum Beispiel die Buchhaltungsdaten ausspähen. Mit etwas Know-how lesen sie die Gehaltsabrechnungen wie ein offenes Buch und können unbemerkt einzelne Seiten aus diesem "Buch" verändern oder herausreißen. Das bedeutet, dass sie Daten verfälschen oder auch gesamte Festplatten löschen können.
Firewalls schützen nach außen und innen
Schutz vor Hackern bieten so genannte Firewalls. Als Türsteher und Tor des Netzwerks zur Außenwelt weisen sie unerwünschte Eindringlinge ab und verhindern, dass sensible Daten nach außen dringen können. Dieser zweifache Schutz nach außen und innen ist notwendig, um Angriffe aus dem Internet abzuwehren, aber auch, um Sicherheitslücken des Netzwerks zu schließen. Gleich in beide Richtungen wird die Firewall aktiv, wenn ein Unternehmen zum Beispiel durch Spähprogramme angegriffen wird.
Trojanische Pferde fangen
Spähprogramme heißen auch "trojanische Pferde". In der Sage vom Kampf um die Stadt Troja schmuggelten sich griechische Krieger im Bauch eines Holzpferdes in die belagerte Stadt Troja. Innerhalb der Stadtmauern stiegen sie unbemerkt aus ihrem Versteck heraus, öffneten ihren Gefährten die Stadttore und vernichteten die Stadt. Ebenso tarnen heutige Spähprogramme sich als harmlose Anwendungen, um die Sicherheitssysteme eines Netzwerks zu umgehen.
Ahnungslos lädt ein Mitarbeiter sich in der Mittagspause zum Beispiel den neuesten Bildschirmschoner aus dem Internet herunter, ohne zu wissen, dass er sich damit ein "trojanisches Pferd" eingefangen hat. Schon bevor er den Bildschirmschoner ausprobiert, beginnt das darin verborgene Spähprogramm, interne Daten nach außen zu senden.
Aufgabe der Firewall ist es nun, das Spähprogramm zu enttarnen, bevor es in das Netzwerk eindringen kann. Sollte es die Firewall trotzdem unterlaufen haben, verhindert sie wenigstens, dass Daten unerlaubt nach außen dringen können. Schützen kann eine Firewall das Netzwerk dabei nur, wenn es neben ihr keine andere Verbindung nach außen gibt.
Abgestufte Sicherheit
In jedem Netzwerk ist die Firewall gefordert, den Anwendern die notwendige Kommunikation nach außen hin zu erlauben, entbehrliche Kommunikationswege zu verbieten und Sicherheitslücken zu schließen. Diesen Spagat zwischen flexibler Kommunikation und lückenloser Sicherheit zu vollziehen, ist für den Administrator nicht immer leicht. Grundsätzlich kann er eine Firewall, abhängig von ihrer Leistungsstärke, in diesen Sicherheitsstufen konfigurieren:
Auf der einfachsten Stufe macht die Firewall das interne Netzwerk nach außen hin einfach unsichtbar. Sowohl im Internet als auch in Netzwerken hat nämlich jeder Computer eine numerische, zum Teil wechselnde Adresse, eine so genannte IP-Adresse. Ein Administrator kann sein Netzwerk mit solchen IP-Adressen ausstatten, die im Internet aus logischen Gründen nicht auftreten dürfen und deshalb nicht aufgerufen werden können. Verbirgt die Firewall diese IP-Adressen nach außen, finden direkte Angriffe aus dem Internet schlicht kein Ziel.
Die nächst höhere Sicherheitsstufe heißt "packet filtering". Die Firewall überprüft dabei einzelne Datenpakete durch mehrere Filter und blockt bedrohliche und unerwünschte Daten ab.
Auf der Stufe "circuit level" erlaubt die Firewall nur bestimmte Kommunikationsvorgänge. Die Firewall folgt dabei Regeln, die der Administrator vorher festgelegt hat. Sie überprüft, von welchem Absender, in welcher Internet-"Sprache" und an welchen Empfänger eine Information gesendet wurde. Bei den "Sprachen" handelt es sich um die verschiedenen Internet-Protokolle: Computer kommunizieren im Internet zum Beispiel über das Hyper-Text-Transfer-Protocol (http), das File-Transfer-Protocol (ftp), das Send-Mail-Transfer-Protocol (smtp) und das Post-Office-Protocol 3 (pop3). Auf dieser Sicherheitsebene arbeiten die meisten Firewalls.
Die wirkungsvollste, aber aufwändigste Sicherheitsstufe heißt "application level". Die Firewall nimmt dabei die Anfragen des Anwenders an das Internet auf, prüft, ob sie erlaubt sind, und führt sie stellvertretend für ihn aus. Ebenso nimmt sie die Antworten aus dem Internet entgegen und leitet nur sichere Daten an den Anwender weiter. Aufwändig ist dieses Verfahren, weil die Firewall dazu die verschiedenen Internet-Protokolle verstehen muss.
Firewall als Software oder Hardware?
Firewalls gibt es als Soft- oder als Hardware-Produkte. Beide Lösungen haben Vor- und Nachteile: Eine Software-Firewall kann der Administrator auf jedem gewöhnlichen Rechner installieren. Wie bei allen Rechnern können hier jedoch Festplatte und Lüfter ausfallen. Die Unternehmenssicherheit ist in diesem Fall von der Belastbarkeit der Rechners abhängig. Hardware-Firewalls, so genannte Out-of-the-box-Lösungen, bestehen zwar aus weniger beweglichen Teilen. Doch auch diese Teile können ausfallen.
Wie jede Anwendung läuft auch eine Firewall auf der Basis eines Betriebsystems. Ein Sicherheitsrisiko besteht darin, dass Hacker dieses Betriebssystem ausschalten und die Firewall umgehen könnten. Out-of-the-box-Lösungen bringen daher teilweise ihr eigenes Betriebssystem mit. Dieses Betriebssystem verzichtet auf sämtliche entbehrlichen Funktionen, um die Angriffsfläche für Hacker möglichst gering zu halten. Der Vorteil einer Out-of-the-box-Lösung ist, dass der Administrator sie ohne Installation anschließen kann. Ihre Konfiguration ist jedoch genauso aufwändig wie die Konfiguration einer Software-Lösung.
Welche Lösung die bessere ist, hängt entscheidend von den individuellen Bedingungen eines Netzwerks ab. Ein Unternehmen sollte sich daher möglichst mit einem IT-Experten beraten, bevor es sich für eine Software- oder Hardware-Lösung entscheidet.
Vorhang auf für SYM.ELAN am 07.09.2010!
Präsentation von ELAN, dem neu entwickelten, flexiblen Werkzeug für Veranstaltungsmanagement, ...
Vertriebspartner für IT-Schulungen gesucht!
Bieten Sie unsere IT-Schulungen an! Als Vertriebspartner, Empfehlungspartner, Affiliate-Partner...
SYMPLASSON zieht um!
Ab 1. September 2010 neue Geschäftsräume in der Holstenstraße in Hamburg-Altona
