Sie möchten Ihr Firmennetz vor Schadsoftware und Cyberattacken aus dem Internet schützen? Mit einer Firewall überwachen Sie Ihren Internetzugang und erkennen Angriffe, noch bevor Viren und Ransomware sich in Ihrem Firmennetz ausbreiten. Doch welche Firewall-Art passt zu Ihrem Netz?
Eine Firewall gehört zu den wichtigsten Werkzeugen gegen Cyberangriffe. Inzwischen gibt es eine Vielzahl unterschiedlicher Firewalls, die sich in Aufbau und Funktionsweise zum Teil erheblich unterscheiden.
Je nach Art Ihres Firmennetzes und Ihres anfallenden Datenverkehrs brauchen Sie eine andere Firewall-Lösung – oder auch eine Kombination aus mehreren Firewalls. Erfahren Sie hier, wie die einzelnen Firewall-Arten arbeiten und welche Stärken und Schwächen Sie im Einzelnen haben. Damit finden Sie die passende Lösung für Ihr Firmennetz.
Was ist eine Firewall und warum ist sie für Unternehmen so wichtig?
Täglich entdecken Sicherheitsexpert:innen im Internet über zehntausend neue Varianten von Schadprogrammen – von der erpresserischen Ransomware bis zum Ausspähprogramm für den Diebstahl von Firmengeheimnissen. Jedes Unternehmensnetzwerk und jeder einzelne Computerarbeitsplatz mit Internetzugang sollten daher bestmöglich vor solchen Cyberangriffenaus dem Internet geschützt werden.
Eine Firewall erkennt viele solcher Schadprogramme und blockt sie ab, bevor sie in Ihr Netzwerk eindringen können. Sie wirkt wie eine Schutzmauer gegen Cybergefahren. Aus dem Englischen übersetzt bedeutet der Begriff Firewall so viel wie „Brandmauer” oder „Brandschutzwand”.
Doch Cyberkriminelle beherrschen eine Vielzahl sehr unterschiedlicher Strategien, um Schadprogramme in fremde Netze einzuschleusen oder Computer unbemerkt zu kapern und auszuspionieren.
Damit Informationen innerhalb von Datennetzen übertragen werden können, benötigen alle beteiligten Instanzen wie Sendercomputer, Empfängercomputer und die dazwischen liegende Netzwerktechnik einen gemeinsamen Übertragungsstandard. Dieser Standard regelt beispielsweise, wo im Datenstrom die Empfängeradresse vermerkt ist oder wie Daten an Netzwerkknoten weiterzuleiten sind. Ein solcher Standard wird auch als Übertragungsprotokoll bezeichnet.
Das Internet und viele nach dem Vorbild des Internet aufgebaute lokale Netze verwenden das „Transmission Control Protocol/Internet Protocol“ (TCP/IP). Dabei handelt es sich um eine Sammlung von aufeinander aufbauenden Protokollen, die die einzelnen Ebenen des Datenverkehrs regeln. Stufe 1 bestimmt hierbei, wie die Netzwerk-Hardware Daten transportiert. Ebene 7 hingegen definiert, wie die darauf aufbauenden Anwendungen, beispielsweise Office-Programme oder Internetbrowser die eigentlichen Nutzdaten im Netz übertragen.
Dieses mehrstufige Protokollpaket gewährleistet in der Praxis einen sehr effizienten und schnellen Datenaustausch. Gleichzeitig bietet es aber auf allen sieben Ebenen mögliche Angriffspunkte für Cyberkriminelle. Die meisten Attacken sind jeweils nur auf einer bestimmten Netzwerkebene oder nur in Kombination mit weiteren Informationen überhaupt als Angriffe erkennbar. Manche Schadprogramme wiederum werden durch eine Verschlüsselung getarnt, etwa im verbreiteten ZIP-Format. Sie sind dann oft erst auf den Endgeräten der Empfänger:innen als Schadprogramme identifizierbar, wo sie beispielsweise als verdächtige E-Mail-Anhänge erkannt werden.
In der Praxis ist es technisch kaum möglich, alle Daten an allen Knotenpunkten zwischen Sende- und Empfängercomputer auf allen Protokollebenen zu analysieren. Dies würde den Datenverkehr im Internet nicht nur stark ausbremsen. Viele Netzwerkkomponenten wie Switches und Hubs sind hierfür auch nicht ausgelegt.
Daher arbeiten Unternehmensnetze mit einer Kombination unterschiedlicher Firewalls. Diese unterscheiden sich nach
technischer Ausführung als Hard- oder Software-Firewall,
Einsatzort innerhalb des jeweiligen Netzes
und den verwendeten Schadsoftware-Erkennungsverfahren.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.
Zum einen werden Firewalls nach ihrer technischen Ausgestaltung unterschieden. Der Begriff Firewall bezeichnet einerseits Applikationen, die auf vielen Arbeitsplatzcomputern oder anderen Endgeräten neben weiteren Anwendungen installiert sind und dort meist als Hintergrundprozess laufen. Solche Firewall-Anwendungen werden auch als „Software-Firewalls“ bezeichnet.
Andererseits gibt es in vielen größeren Netzwerken an der Schnittstelle zwischen lokalem Netz und öffentlichem Internet auch noch sogenannte „Hardware-Firewalls“. Dies sind speziell für diesen Zweck entwickelte Hardware-Komponenten, auf denen neben einem Betriebssystem meist nur eine Firewall-Software läuft.
Solche Hardware-Firewalls sind deutlich leistungsfähiger als Software-Firewalls. Sie können daher den durchlaufenden Datenverkehr für viele hundert oder tausend Endgeräte im Firmennetz in Echtzeit analysieren.
Weiterhin unterscheidet man Firewalls nach ihrem Einsatzort innerhalb eines Netzwerkes. „Personal Firewalls“ werden üblicherweise als Software-Firewall auf einem bestimmten Endgerät installiert, beispielsweise einem Smartphone, einem Tablet oder einem Arbeitsplatzcomputer.
Was ist ein Internet-Port?
Ports sind virtuelle Adressen von Endgeräten in IP-Netzen. Unterschiedliche Anwendungen nutzen unterschiedliche Ports, um ihre Datenströme voneinander zu trennen. Internetseiten werden beispielsweise an den Port 80 oder 8080 Ihres Computers übertragen.
Daneben gibt es größer dimensionierte, gemeinsam genutzte „Netzwerk-Firewalls“, die den gesamten Netzwerkverkehr für mehrere Nutzer:innen oder Endgeräte überwachen. Sie können beispielsweise ein Sub-Netz in einem Firmengebäude schützen oder auch ein gesamtes Firmennetz. Diese Netzwerk-Firewalls sind aufgrund der höheren Anforderungen an Rechenleistung und Datendurchsatz meist als Hardware-Firewalls ausgeführt. Daher werden die Begriffe Netzwerk-Firewall und Hardware-Firewall in der Praxis oft redundant genutzt. Gerade in sehr kleinen Netzwerken ist der vorhandene Internet-Router mit darauf installierter Firewall-App jedoch die einzige Netzwerk-Firewall. Ab einer bestimmten Unternehmensgröße oder einem bestimmten Datenvolumen kommt diese einfache Router-Lösung jedoch bald an ihre Grenzen.
Ein weiteres Unterscheidungskriterium für Firewalls ist deren Funktionsweise. Während klassische Firewalls vor allem nicht benötigte Ports (siehe Infokasten) schließen, gehen moderne Firewalls (auch in Mischformen) deutlich weiter. Die wichtigsten Firewall-Arten nach ihrer Funktionsweise sind derzeit:
Port-Firewall: klassischer Ansatz ohne Datenanalyse
Unified Threat Management (UTM): verwaltete Sicherheitsarchitektur inklusive passender Firewall, wird häufig als Dienstleistung angeboten
Was hinter diesen einzelnen Firewall-Arten steckt und wie diese funktionieren, erfahren Sie in den nachfolgenden Abschnitten.
Als Sonderformen gibt es außerdem noch die Web-Application-Firewall zum Schutz von Web-Angeboten und die Firewall-as-a-Service, die sich durch ihre Bereitstellung als reine Cloud-Dienstleistung von den anderen Firewall-Arten unterscheidet. Sie werden daher ganz am Ende dieses Artikels behandelt.
Port-Firewall mit Paketfilter
Eine paketfilternde Firewall arbeitet vor allem an Netzwerk-Knotenpunkten wie Routern und Switches. Sie prüft jedes durchgehende Datenpaket anhand festgelegter Kriterien. Dazu gehören IP-Adresse, Portnummer und Pakettyp. Die paketfilternde Firewall kann verdächtige Kombinationen erkennen und sie abfangen.
Sie lässt beispielsweise bestimmte Datentypen passieren, wenn diese von einer internen und damit als sicher eingestuften Adresse kommen und wehrt dieselben Datenformate ab, sobald sie von einer externen IP-Adresse kommen.
Vorteil: Mit einer solchen Firewall können Sie ein gestaffeltes Schutzkonzept errichten und bestimmte sensible Dienste ausschließlich intern erlauben – etwa den ftp-Download auf Port 21 oder die Computer-Fernwartung via Remote Desktop Protocol (RDP) über Port 3389.
Nachteil: Der Paketfilter erkennt professionell getarnte Angriffe über vermeintlich harmlose Ports nur schwer. Hierfür sind intelligentere Firewall-Mechanismen notwendig.
Proxy-Firewall
Eine Firewall kann die Funktion eines sogenannten Proxy (Englisch für: „Stellvertreter:in“) übernehmen. Ein solcher Proxyserver verschleiert bei allen ausgehenden Datenpaketen aus Ihrem Firmennetz die IP-Adressen der Absender:innen. Sie stellt damit ein sogenanntes Gateway (englisch für „Durchgangstor“) zwischen internen und externen Sendern und Empfängern dar und wird daher auch als Gateway-Firewall bezeichnet.
Jedes Datenpaket im Internet enthält bekanntlich die IP-Adressen von Empfänger- und Absender-Computer. Hacker:innen nutzen dies gerne aus, um Datenpakete abzufangen und die darin vermerkten IP-Adressen gezielt anzugreifen. Einige Webseiten im Internet dienen sogar ausschließlich dazu, die IP-Adressen ihrer Besucher:innen zu sammeln.
Daher ersetzt Ihr Proxy in allen Datenpaketen, die er aus Ihrem Firmennetz in das Internet weiterleitet, die individuellen IP-Adressen der Absender-Computer durch seine eigene, öffentliche IP-Adresse. Dies ist die einzige IP-Adresse, die Externe von ihrem Firmennetz überhaupt sehen können. Diese öffentliche IP-Adresse des Firmennetzes ist damit auch Zieladresse für alle eingehenden Datenpakete.
Der Proxy führt Ihre Abfragen im Internet sozusagen stellvertretend für Ihren eigenen Computer aus und leitet die entsprechenden Antworten aus dem Internet dann intern an Sie weiter. Sie merken dabei im Idealfall nicht, dass ihre Daten über einen Proxy umgeleitet werden.
Ein Proxyserver verhindert, dass interne IP-Adressen in das Internet übermittelt werden und schützt Computer so vor gezielten Attacken gegen deren individuelle IP-Adressen.
Ein Proxyserver ist also gewissermaßen ein Anonymisierungsprogramm für Ihre internen IP-Adressen. Weil nur die IP-Adresse des Proxy in allen Datenpaketen aus Ihrem Firmennetz erscheint, richten sich auch alle Angriffe gegen bekannte IP-Adressen automatisch immer nur gegen diesen Proxycomputer. Auf ihm sind jedoch üblicherweise keine wertvollen Firmendaten gespeichert. Außerdem ist ein Proxycomputer in der Regel durch entsprechende Software besonders gut gegen Angriffe geschützt. Eine Proxy-Firewall kann außerdem solche Anfragen aus dem Internet erkennen und abwehren, die versuchen Ihren Proxy zu umgehen.
Eine Proxy-Firewall analysiert bei eingehenden Datenpaketen aber nicht nur deren Header, sondern auch den eigentlichen Paketinhalt. Dieses Verfahren heißt Complete Packet Inspection oder auch Deep Packet Inspection (DPI). Eine Proxy-Firewall kann also beispielsweise Trojaner erkennen, die in Datenpaketen versteckt sind – und somit als „vorgeschalteter“ Virenscanner fungieren.
Um das zu erreichen, kommen sogenannte Application-Gateways oder Application-Gateway-Firewalls zum Einsatz. Sie liegen in der Regel auf separaten Servern, da die Anforderungen an die Leistungsfähigkeit der Hardware für diese zusätzliche Prüfung enorm sind. Durch dieses zusätzliche Konstrukt ist die Proxy-Firewall in der Lage, auch auf Anwendungsebene schädlichen von nicht schädlichem Traffic zu unterscheiden. Die Proxy-Firewall fängt eingehende Anfragen ab, prüft diese im Application-Level-Gateway und leitet sie weiter oder blockiert sie.
Vorteil: Die Proxy-Firewall tritt im Gegensatz zur klassischen Firewall als eigenständiger Kommunikationspartner auf. So „kennt” sie auch die Anwendungsebene und die dort verwendeten Protokollsysteme. Sie handelt somit nicht strikt nach festgelegten Regeln für jeden Port, sondern bezieht auch die kommunizierende Anwendung mit ein. Außerdem ist sie in der Lage, Anomalien bei der Verwendung gängiger Übertragungsprotokolle zu erkennen.
Nachteil: Die Proxy-Firewall beansprucht viel Rechenkapazität. Für die tiefergehende Untersuchung von Paketinhalten benötigt sie insbesondere in größeren Netzwerken eine sehr leistungsfähige Hardware.
Kriminelle manipulieren Adressen von Datenpaketen oder setzen die Paketlänge herauf, um unauffällig Schadcode anzuhängen.
Der Begriff Stateful Packet Inspection (SPI) – auf Deutsch so viel wie: „zustandsbezogene Paketprüfung“ – beschreibt eine besondere Form der Plausibilitätsprüfung für Datenpakete in Netzwerken.
Hintergrund hierfür ist, dass es im Internet sowohl zustandslose als auch zustandsbehaftete Protokolle für die Datenübertragung gibt. Bei zustandsbehafteten Protokollen wird immer zuerst eine Verbindung zwischen beiden Endstellen ausgehandelt, bevor die eigentlichen Nutzdaten fließen. Hierbei wird in der Regel auch eine eigene Session-ID ausgehandelt – eine Identifikationsnummer für die jeweilige Sitzung. Eine solche zustandsbehaftete Verbindung besteht immer so lange, bis sie von einer Seite beendet wird oder nach einiger Zeit automatisch abläuft.
Bei zustandslosen Netzwerkprotokollen hingegen tauschen zwei Computer direkt ihre Daten aus, ohne dass vorher eine Verbindung (Session) ausgehandelt wurde. Eine solche zustandslose Verbindung besteht also nur aus einer Anfrage und einer Antwort.
Ein bekanntes Beispiel für eine zustandslose Verbindung ist das sogenannte Hypertext Transfer Protocol (http) für Internetseiten: Um eine Internetseite von einem Webserver herunterzuladen, müssen Sie vorher keine Datenverbindung mit diesem Server vereinbaren. Sie schicken einfach mit Ihrem Browser eine Seitenadresse und erhalten als Antwort die entsprechende Webseite.
Bei Ihrem nächsten Zugriff auf diesen Webserver wäre Ihr Computer für die Gegenseite dann wieder neu und unbekannt. Daher arbeitet das http auch mit sogenannten Cookies, in denen Sie gewisse Einstellungen für Ihren nächsten Besuch einer Website auf Ihrem eigenen Computer speichern.
Zustandsbehaftete Verbindungen können von einer Firewall mittels Stateful Packet Inspection besonders geschützt werden. So prüft Ihre Firewall bei jedem eingehenden Datenpaket per File Transfer Protocoll (ftp), ob es dazu überhaupt eine aktuelle Datenverbindung mit Session-ID gibt.
Ist dies nicht der Fall, kann das Datenpaket somit auch nicht von Ihrem Computer angefordert worden sein. Es muss also eine Fälschung sein und die Firewall verwirft es oder verschiebt es in einen Quarantäneordner.
Vorteile:
gute Performance im Alltag
eine intelligente und präzise Arbeitsweise bei der Paketfilterung
Vorteile bei der Abwehr bekannter Schadensquellen
Nachteil: Es kann zu einer möglichen falsch-positiven Identifikation von Datenverkehr kommen, also einem fälschlichen Einstufen einer Kommunikation als vertrauenswürdig. Ist dies der Fall, leitet die Stateful-Firewall die nachfolgenden Datenpakete einfach durch. Das macht sie vergleichsweise anfällig für DDoS-Angriffe, da sie jedes eingehende, nicht vertrauenswürdige Paket zunächst ausführlich prüft.
Eine stets aktuelle und korrekte Konfiguration der Stateful-Firewall ist also grundlegend dafür, dass sie optimal arbeiten kann. Dadurch ist sie relativ teuer im Betrieb, wenn es um die Absicherung von Rechnerverbünden geht. Abhilfe können hier jedoch ein Application-Layer-Gateway auf separater Hardware oder eine cloudbasierte Firewall schaffen.
Eine besondere Variante der Stateful Inspection ist die Multilayer Inspection Firewall, die den Ablauf von Transaktionen über mehrere Schichten des IP-Protokolls betrachtet.
Next-Generation-Firewall
Wie der Name bereits andeutet, ist eine Next-Generation-Firewall (NGFW) eine neue Generation klassischer Firewall-Typen. Ihre Funktionsweise geht weit über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus.
Genau wie eine Proxy- und Stateful-Firewall analysiert eine NGFW die ein- und ausgehenden Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch. Sie unterliegen also einer fortlaufenden Anpassung.
Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln, ist die Tatsache, dass ein Großteil des Datenverkehrs im Internet inzwischen über den https-Port 443 für sichere Webseiten abläuft – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen.
Wer nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen freigibt, lässt bei fehlenden weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch – was unbedingt zu verhindern ist.
Trotzdem überprüft eine Next-Generation-Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig überwacht das NGFW-System das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht. Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen ab, wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und ähnlichem. Gängige (weitere) Funktionen von NGFW sind:
SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, anders als bei bei SSL- und TLS-Übertragungen. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen.
Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos ausführt und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen.
Bandbreiteneinschränkungen: Dieser Mechanismus schränkt die verfügbare Internetbandbreite für bestimmte Dienste oder Anwendungen ein. So erschwert eine NGFW-Firewall beispielsweise, dass Computer oder Netzwerke per DDoS gezielt mit einer Fülle von Anfragen lahmgelegt werden, oder ein gekaperter Zombie-Computer aus dem eigenen Netz eine Vielzahl von Spam-Mails versendet.
Der NGFW-Ansatz entwickelt sich fortlaufend weiter. Derzeit passen Entwickler:innen ihn vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen an. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen.
Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche aktuelle Bedrohung stellen dabei sogenannte „Advanced Persistent Threats“ (APT) dar. Bei dieser Angriffsform investieren einzelne Hacker:innen oder ganze Gruppen erheblichen, teils manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs.
Vorteil: NGFW vereinen die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert.
Nachteil: NGFW sind nicht immer einfach zu konfigurieren, zu administrieren und zu aktualisieren. Eine Ausnahme sind Managed-Services, also solche unter „fremder“ Verwaltung. Solche Systeme sind auch als UTM-Lösungen bekannt.
Firewalls mit künstlicher Intelligenz sollen Netzwerke durch das schnellere Erkennen und Auswerten von realen Bedrohungen und Sicherheitslücken schützen
AI-Firewall
Seit einiger Zeit gibt es erste Firewalls im Handel, die über das dynamische Analysekonzept der Next-Generation Firewall hinausgehen und deren Technologien mit künstlicher Intelligenz (KI) kombinieren. Dies ist auch eine Reaktion auf die zunehmende Beliebtheit von KI unter Cyberkriminellen. Hierauf müssen moderne Sicherheitsstrukturen eine Antwort finden.
Grundsätzlich bieten NGFW bereits eine gute Basis für den Einsatz von KI, da sie mit veränderbaren Erkennungsparametern und -mechanismen arbeiten. Der Netzwerkspezialist Cisco Systems hat deshalb beispielsweise das Herzstück seiner Firewall-Software, die Encrypted Visibility Engine, in Version 7.4.1 um entsprechende KI-Funktionen erweitert.
Die verwendete KI soll laut Hersteller auf Basis von weltweit rund 550 Milliarden Security-Vorfällen pro Tag trainiert werden. Eine besondere Stärke könnte hierbei sein, dass sie Lücken für Zero-Day-Exploits schnell schließt.
Mit Zero-Day-Exploits nutzen Kriminelle Sicherheitslücken in Software aus, die den Softwareherstellern selbst noch nicht bekannt sind. Eine lernende KI könnte in Echtzeit derartige Attacken im Internet mitverfolgen und bei deren erstmaligem Auftreten sofort andere Netzwerke mit der gleichen Lücke dynamisch absichern.
Eine weitere Stärke von KI ist die bessere Analyse von Datenpaketen auch ohne vollständiges Mitlesen des gesamten Internetverkehrs im Firmennetz. Diese Brute-Force-Strategie beansprucht aber gerade in größeren Firmennetzen sehr viel Rechenleistung.
Vorteil: Die KI-basierte Firewall ist enorm lernfähig, sodass sie schnell auf neue Gefahren eingehen kann.
Nachteil: Es gibt noch keine ausreichende Erfahrung mit entsprechenden Systemen. Zudem ist es sehr aufwändig, bei KI-Entscheidungen nachzuvollziehen, auf welcher Basis sie getroffen wurden und wie plausibel sie in der Praxis tatsächlich sind. Zukünftige Schadprogramme könnten gezielt dafür programmiert werden, die Reaktion von KI-Systemen vorherzusehen, um sich so neue Angriffsvektoren zu öffnen.
Unified-Threat-Management-Firewall
Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass Bedrohungen nur über ein ganzheitliches System wirksam abgewehrt werden können. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und ist eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen.
Vorteil: Der UTM-Ansatz ist einfach und schnell umsetzbar: Expert:innen kümmern sich darum, die entsprechende Lösung bei Ihnen zu implementieren und aktuell zu halten.
Nachteil: Die meist hohen Kosten. Hier sollten Sie also genau darauf achten, was Sie tatsächlich benötigen und was nicht.
In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hacker:innen nutzen inzwischen zunehmend Webanwendungen als Angriffsvehikel. Dazu zählen beispielsweise:
Injection-Angriffe (LDAP, SQL)
Cross-Site-Scripting (XSS)
Parameter-Veränderungen
Cookie-Manipulationen
Pufferüberlaufangriffe
Eine sogenannte Web Application Firewall (WAF) soll vor diesen Bedrohungen schützen.Dabei handelt es sich um eine Firewall auf Anwendungsebene, auf die insbesondere Betreiber großer Webseiten kaum verzichten können.
Die Funktionsweise ähnelt dem üblichen Firewall-Prinzip: Eine WAF untersucht im Hintergrund fortlaufend sämtliche Anfragen und Antworten des Web-Servers, den sie schützen soll. Inhalte und Anfragen, die verdächtig sind, wehrt die WAF im Idealfall umgehend ab. Um jedoch zuverlässig arbeiten zu können, muss die webbasierte Firewall zunächst eine „Lernphase“ durchlaufen.
Dabei wird mithilfe eines Anwendungs-Sicherheitsscanners (Application Security Scanner) analysiert, welche Aktionen als typisch gelten können und welche nicht. Im laufenden Betrieb wiederum analysieren interne oder externe Administrator:innen fortlaufend die Logdateien des Systems, um verdächtige Aktivitäten und Schwachstellen in der eigenen Konfiguration zu erkennen und zeitnah darauf zu reagieren.
Vorteil: Die Web Application Firewall bietet zusätzlichen Schutz vor gängigen Bedrohungen im Web. Dieser Schutz gilt auch für Systeme, die selbst keine Updates mehr erfahren, aber im Hintergrund einer Webseite weiterhin aktiv sind.
Nachteil: Eine WAF schützt primär auf der Anwendungsebene, also vor allem gegen Angriffe gegen Webapplikationen, etwa mittels Eingabe von Schadcode in Webformulare (Cross-Site-Scripting). Sie ist aber keine vollumfängliche Firewall für das dahinter liegende Firmennetz. Ein solcher ausschließlicher Einsatz würde für eine trügerische Sicherheit sorgen und Lücken für Hackingattacken offen lassen.
Mobiler Virenschutz für Mitarbeiter:innen
Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.
Das Prinzip der Firewall-as-a-Service („Firewall als Dienstleistung“ oder kurz FwaaS) verlagert die Firewall dorthin, wo heute der größte Teil der unternehmenseigenen Daten und Anwendungen verortet ist: in die Cloud. Auf Basis einer Cloud-Firewall stellt das Prinzip erweiterte NGFW-Funktionen für alle angebundenen Rechner zur Verfügung.
Dieses recht neue Modell ist spätestens seit der vermehrten Nutzung von Remote Work und hybriden Arbeitsmodellen nötig geworden, in dessen Zuge sich Geschäftsprozesse aus dem Unternehmensnetzwerk in die Cloud verlagert haben. Ursprüngliche Next-Generation-Firewalls sind auf Unternehmensservern installiert und weisen häufig keine ausreichende Skalierbarkeit in Bezug auf cloudnative Anwendungen auf. Zudem können sie das hohe Verbindungsvolumen in der Cloud aus dem Rechenzentrum des Unternehmens heraus nur schwer bewältigen. Hohe Latenzzeiten sind die Folge.
Wollte man herkömmliche Sicherheitsansätze auf die veränderten Arbeitsmodelle übertragen, müssten diese an jedem einzelnen Standort beziehungsweise auf jedem genutzten Gerät vorhanden sein. Dies würde Homeoffice-Arbeitsplätze und Mobilgeräte einschließen und wäre weder vom Aufwand noch von der notwendigen Logistik her zu rechtfertigen.
Vorteile: Eine FWaaS-Lösung stellt Sicherheitsfunktionen auf allen sieben Schichten als Cloud-Service bereit und kann sehr einfach auf die Anwendungen und Nutzer:innen eines Unternehmens zugeschnitten werden. Weitere Vorteile von Firewall-as-a-Service sind zudem eine effektive SSL-Überprüfung – in Zeiten des zunehmenden verschlüsselten Datenverkehrs ein immer wichtigerer Aspekt – sowie verzögerungsfreie Übertragungen auch bei vielen Zugriffen auf die Cloud.
Nachteil: FwaaS gibt es nur als Mietmodell für Cloudspeicher. Daher benötigen Sie unter Umständen eine separate Firewall-Lösung für Ihre On-Premises-Anwendungen und das lokale Unternehmensnetzwerk.
Noch umfassenderen Schutz bietet eine umfassende SIEM/SOAR-Lösung. Die Abkürzung SIEM steht für „Security Information and Event Management”. Dahinter steht die unternehmensweite Erfassung aller sicherheitsrelevanten Informationen und Ereignisse und deren Analyse. So liest ein SIEM-System intern alle relevanten Log-Dateien über Systemgrenzen hinweg in Echtzeit mit. Das können sowohl die Logbücher von IoT-Gerätekonten sein, aber auch das Logfile der digitalen Zutrittskontrolle für das Firmengelände oder eine Übersicht der Anmeldeversuche ins Firmennetz per VPN.
Das SIEM erkennt darin Gemeinsamkeiten und Auffälligkeiten, beispielsweise ungewöhnlich viele Anmeldeversuche bei unterschiedlichen internen Mailkonten und einen zeitgleichen Penetrationsversuch über die Proxyfirewall. Das SIEM-System fasst diese Informationen in einem Bericht zusammen und liefert darauf aufbauend Handlungsempfehlungen für die IT-Abteilung.
Die Abkürzung SOAR steht für „Security Orchestration, Automation and Response”. Dies beschreibt die unternehmensweite Zusammenfassung (Orchestrierung) von Sicherheitswerkzeugen, sowiedie automatische Reaktion (Automation and Response) auf damit erkannte Cybergefahren.
Erste Maßnahmen eines SOAR können beispielsweise darin bestehen, Netzwerkports oder Zugangskontrollsystemen proaktiv abzuschalten; und IP-Adressräume zu blockieren, die als gefährlich identifiziert wurden.In weiteren Schritten könnte das SOAR dann etwa die Rechte bestimmter Benutzergruppen einschränken.
Das SOAR hält sich bei allen Schritten an ein hierfür erstelltes, sogenanntes Playbook. Das ist ein von Sicherheitsexpert:innen vorab erarbeiteter Schritt-für-Schritt-Leitfaden, der alle aufeinander aufbauenden Schutz- oder Wiederherstellungsmaßnahmen für unterschiedliche Gefahrenszenarien auflistet.
Ein anderer Begriff für SIEM/SOAR-Ansätze lautet Managed Detection and Response-Prinzip (MDR).
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
Eine Firewall sichert Ihr internes Firmennetzwerk gegen Angriffe von außen ab und ist ein wesentlicher Bestandteil jedes IT-Sicherheitskonzepts. Anbieter sowie Standardisierungsgremien haben Firewalls über die Jahre fortlaufend technologisch weiterentwickelt und an die veränderte Bedrohungslage im Internet angepasst. Dabei unterscheiden sich Firewall-Systeme hinsichtlich ihrer Entwicklungsstufen, Einsatzgebiete sowie ihres Leistungsumfangs:
Eine reine Port-Firewall schützt ein- und ausgehende Verbindungen, indem sie bestimmte Ports blockiert oder freischaltet.
Eine Proxy- oder Gateway-Firewall fungiert als zwischengeschaltetes Stellvertreter-System und kann Datenpakete auch auf Anwendungsebene untersuchen.
Eine Stateful-Firewall sichert die ein- und ausgehende Kommunikation auf Basis von geprüften Sitzungen und vertrauenswürdigem Datenverkehr ab.
Die Next-Generation-Firewall (NGFW) ist in der Lage, bestimmte Aspekte des Datenverkehrs zu überwachen, beispielsweise das typische Nutzungsverhalten.
Mittels künstlicher Intelligenz lernt eine AI-Firewall neue Bedrohungen kennen und entwickelt dagegen eigenständig und sehr zeitnah Abwehrmaßnahmen.
Die AI erarbeitet sich mithilfe von künstlicher Intelligenz Erkennungsmuster auch für bisher unbekannte Angriffsstrategien.
Mithilfe von Unified Threat Management (UTM) sichern sich Unternehmen mit einer ganzheitlichen, verwalteten Sicherheitslösung gegen Bedrohungen von außen ab. NGFW und UTM sind dabei eng verwandt.
Eine Web Application Firewall wiederum kennt typische Nutzungs- und Bedrohungsszenarien in webbasierten Systemen und schützt somit Webanwendungen gezielt vor Bedrohungen.
Eine AI-Firewall arbeitet mit künstlicher Intelligenz (Artifical Intelligence).
Ein Unified Threat Management(UTM) wird häufig als Dienstleistung angeboten.
Eine Web Application Firewall (WAF) schützt speziell Webserver mit den darauf laufenden Webanwendungen.
Firewall-as-a-Service ist eine virtualisierte Firewall, die im Paket mit Cloudspeicher angeboten wird.
So schützen Sie sich vor Advanced Persistent Threats (APTs)
Stellen Sie sich vor, Sie entwickeln ein neues Projekt in Ihrem Unternehmen und jemand stiehlt Ihnen heimlich sämtliche Informationen darüber. Oder jemand erpresst Sie mit Geschäftszahlen, die nur Ihrer Unternehmensleitung bekannt sein dürften. Dann sind Sie womöglich einem Advanced Persistent Threat (APT) ausgesetzt. Doch was macht diese besondere Form des Cyber-Angriffs so gefährlich?
Drei von vier Firmen in Deutschland wurden nach einer Umfrage des Branchenverbands Bitkom bereits Opfer von Hacker-Attacken. Advanced Persistent Threats gehören in diesem Zusammenhang zu den gefährlichsten Cyber-Bedrohungen, denen Unternehmen und andere Organisationen ausgesetzt sein können: Die Angriffe dienen gezielt dazu, Geschäftsdaten und Betriebsgeheimnisse dauerhaft und in großem Umfang auszuspähen. Dabei entsteht Schaden, der existenzbedrohend sein kann.
Wie APT-Angriffe funktionieren, welchen Hintergrund sie haben und was Sie dagegen tun können, erfahren Sie in diesem Beitrag.
Mal eben eine kostenlose Grafikanwendung aus dem Internet heruntergeladen, schon ist es passiert: Ein darin verstecktes Trojanisches Pferd spioniert Ihre Festplatte aus und gibt Ihre Bankdaten und Passwörter heimlich an Kriminelle weiter. Wie Sie Trojaner auf Ihrem Computer im Idealfall rechtzeitig erkennen, lesen Sie hier.
Seit Jahrzehnten treiben Viren, Trojaner und andere Schadprogramme ihr Unwesen in Computernetzen. Der Fachverband Bitkom schätzt die jährlichen Schäden durch Cybercrime allein in Deutschland auf über 200 Milliarden Euro. Vielleicht schlummert auch auf Ihrem Arbeitsplatz-Computer ein Trojaner, den Sie bisher noch nicht entdeckt haben.
DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen
Wie der DDoS-Attack-Report 2022 des IT-Sicherheitsdienstleisters Stormwall zeigt, ist ein Drittel aller Unternehmen jede Woche mit Distributed-Denial-of-Service-Angriffen (DDoS) konfrontiert. Insgesamt stieg die Zahl der DDoS-Angriffe weltweit im Jahr 2022 im Vergleich zum Vorjahr um 74 Prozent. Dabei beobachten Expert:innen verstärkt Angriffe auf Unternehmen und eine Verschärfung der Bedrohungslage.
Sowohl die bei DDoS-Attacken verwendete Bandbreite als auch die Komplexität der Vorgehensweise nehmen dabei ständig zu. Doch wie funktioniert eigentlich ein DDoS-Angriff und wie können Sie sich davor schützen? Das und mehr erfahren Sie an dieser Stelle.
Das Ziel von DDoS-Attacken ist es im Grunde immer, Server oder Webdienste durch Überlastung zum Ausfall zu bringen. Gelingt den Angreifer:innen die Blockade von Servern, Diensten oder Schnittstellen, fordern sie in der Regel Geldzahlungen (häufig in Kryptowährung), um die Blockade zu beenden. Gegebenenfalls stellen sie auch politische Forderungen oder wollen einfach nur Schaden verursachen.
Dabei stehen nicht nur populäre Dienstleister wie Amazon, Yahoo und eBay im Fokus der Angreifer. Häufig sind es auch kleinere Unternehmen und Behörden, deren Server und Dienstleistungen sie außer Gefecht setzen. Gerade solche IT-Infrastrukturen sind nicht immer optimal geschützt und stellen dadurch ein leichtes Angriffsziel dar.
Ransomware: So können Sie Ihr Unternehmen schützen
Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun?
Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr eigenes Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.
Zwei-Faktor-Authentifizierung (2FA): Das steckt dahinter
Seit den Anfängen des Internets sind Onlinekonten meist durch eine simple Abfrage des Nutzernamens und eines Passworts vor unberechtigten Zugriffen geschützt. Doch längst haben Cyberkriminelle Mittel und Wege gefunden, um an diese Zugangsinformationen zu gelangen und sensible Daten zu stehlen. Die sogenannte Zwei-Faktor-Authentifizierung (2FA) verhindert dies durch eine zusätzliche Verifizierung der tatsächlichen Account-Inhaber:innen.
Cyberangriffe haben in den vergangenen Jahren immer mehr zugenommen: Rund 90 Prozent aller Unternehmen waren schon einmal davon betroffen. Die Erbeutung von Zugangsdaten stellt dabei nach wie vor eine der beliebtesten Methoden dar, zum Beispiel durch den Einsatz von Phishing-E-Mails. Wenn Sie allerdings auf eine Zwei-Faktor-Authentifizierung zum Schutz Ihrer Online-Konten setzen, können die Kriminellen wenig Schaden anrichten – selbst wenn diese an Ihre Zugangsdaten gelangt sind.
Was 2FA ist, wie sie funktioniert und warum Ihr Unternehmen sie unbedingt einsetzen sollte, erfahren Sie in diesem Beitrag.
