Effektiver Schutz vor Cyberangriffen: SPI-Firewalls nutzen eine erweiterte Paketfiltertechnologie. Im Gegensatz zu herkömmlichen Firewalls prüfen sie zusätzlich den Verbindungsstatus, bevor sie Datenpakete zulassen oder blockieren. Dieser scheinbar kleine Unterschied erhöht die Netzwerksicherheit deutlich und eröffnet neue Einsatzmöglichkeiten für Unternehmen. Angesichts komplexer Cyberbedrohungen ist Stateful Packet Inspection (SPI) ein zentraler Bestandteil moderner Sicherheitsstrategien.
Stateful Inspection Firewalls, kurz SPI-Firewalls, gehen über statische Paketfiltertechniken hinaus. Sie analysieren Datenpakete auf Basis von Header-Informationen, Ports und Verbindungsstatus.
SPI-Firewalls legen Protokolle für die Datenübertragung an, speichern diese und können Regeln – basierend auf einem Verbindungszustand – dynamisch anwenden.
SPI-Firewalls sind in der Lage, auch fortschrittliche Cyberangriffe zu erkennen und abzuwehren.
Im Vergleich zu zustandslosen Firewalls erhöhen die zustandsorientierten SPI-Firewalls die Netzwerksicherheit von Unternehmen erheblich.
Microsoft Defender for Business
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
„SPI“ steht für „Stateful Packet Inspection“, zu Deutsch „zustandsorientierte Überprüfung von Datenpaketen“. Im Gegensatz zu statischen bzw. zustandslosen Filtertechniken (Static Packet Filtering, kurz: SPF) inspizieren SPI-Firewalls die Datenpakete nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
Das Prinzip der Stateful Packet Inspection entstand in den 1990er-Jahren und wurde ursprünglich von dem börsennotierten US-amerikanischen Unternehmen Check Point Software Technologies entwickelt. Seither hat sich die Leistungsfähigkeit von SPI kontinuierlich weiterentwickelt.
Stateful vs. Stateless Firewall
SPI-Firewalls bezeichnet man auch als Stateful Firewalls – in Abgrenzung zu den Stateless Firewalls (zustandslose Firewalls) und anderen Arten von Firewalls. Zustandslose Firewalls können lediglich anhand der Header eines Datenpakets bestimmen, ob ein eingehendes Paket durchgelassen werden kann oder nicht. Eine solche statische Firewall kann nicht feststellen, ob ein Datenpaket im Kontext der aktiven Verbindung gültig ist.
Eine SPI-Firewall hingegen verfolgt alle Datenpakete im Netzwerk. Sie überprüft, ob ein Datenpaket zu einer aktiven Sitzung gehört, die nach einem vertrauenswürdigen sogenannten TCP-Handshake aufgebaut wurde. Die SPI-Firewall untersucht zudem nicht nur das Datenpaket, sondern den gesamten Datenfluss. Sind nicht alle Bedingungen erfüllt, verwirft sie ein Datenpaket. Stateful Firewalls erkennen somit auch böswillige oder unbefugte Aktivitäten, die in einem legitimen Datenstrom vorkommen können. Auf diese Weise blocken sie selbst raffinierte Malware und Spyware.
Der Netzwerkverkehr im Internet bewegt sich üblicherweise in kleinen Blöcken, den sogenannten Datenpaketen. Jedes Paket enthält die IP-Adressen des Absender- und des Empfänger-Computers. Klassische Firewalls lassen Datenpakete passieren, wenn diese von einer als sicher geltenden Quelle kommen, beispielsweise von einem akzeptierten Port (z.B. Port 21). Bedenkliche Daten, die über einen nur vermeintlich ungefährlichen Port kommen, erkennen sie jedoch meist nicht.
Hacker:innen nutzen dies aus, indem sie Datenpakete abfangen und die darin vermerkten IP-Adressen gezielt angreifen. Es gibt sogar Websites im Internet, die ausschließlich dazu dienen, die IP-Adressen von Besucher:innen zu speichern, um diese später anzugreifen.
Die Lösung: SPI-Firewalls analysieren IP-Adressen und prüfen den aktuellen Status der Netzwerkverbindung. Sie verfügen über einen Speicher und halten die Informationen der Stateful Packet Inspection in einer Tabelle fest. Diese Analyse erfolgt in der Schicht 3 (Netzwerk/Vermittlungsschicht) des ISO/OSI-Modells für den Internet-Datenverkehr.
Das ISO/OSI-Standardmodell für den Internet-Datenverkehr besteht aus sieben Schichten, die aufeinander aufbauen. Auf der obersten Ebene (7) finden die Anwendungen statt, auf der untersten (1) die physikalische Datenübertragung mithilfe elektrischer oder optischer Signale. Dazwischen liegen die Schichten für Datendarstellung (6), Kommunikationssteuerung (5), Transport (4), Vermittlung (3) und die sogenannte Sicherungsschicht (2).
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Eine SPI-Firewall arbeitet neben Schicht 3 auch auf der ISO/OSI-Schicht 4 (Transportschicht), in der sie Protokolle wie TCP und UDP untersucht. Sie prüft z.B., ob ein TCP-Handschlag (Three-Way-Handshake) korrekt durchgeführt wurde, bevor sie Datenpakete erlaubt oder ablehnt. Eine Stateful Inspection Firewall kann außerdem feststellen, ob das jeweils nächste Datenpaket Teil einer Serie ist.
Die Stateful Packet Inspection ist nicht zu verwechseln mit der Deep Packet Inspection (DPI), die sogenannte Next Generation Firewalls auszeichnet. Diese analysieren die Nutzlast von Datenpaketen, Protokollen und Anwendungen bis auf den höchsten OSI-Layer 7 (Anwendungsschicht). DPI erfordert aufgrund der hohen Komplexität der Analysen auch eine besonders hohe Rechenleistung.
IPv4/IPv6, TCP-Header & NAT – so arbeitet Stateful Inspection[
Eine SPI-Firewall überwacht den Datenverkehr nicht nur anhand einzelner Pakete, sondern im Kontext einer bestehenden Verbindung. Das umfasst folgende Informationen:
OSI-Schichten: SPI arbeitet hauptsächlich auf Layer 3 (Netzwerk) und Layer 4 (Transport). Sie prüft IP-Adressen, Ports und den Zustand der TCP-Verbindung.
IPv4/IPv6: Die Firewall analysiert sowohl IPv4- als auch IPv6-Pakete, um sicherzustellen, dass sie zu einer gültigen Session gehören.
TCP-Header: Sie kontrolliert Flags wie SYN, ACK und FIN, um den Verbindungsstatus zu erkennen und Angriffe wie SYN-Floods zu verhindern, bei denen massenweise Verbindungsanforderungen gesendet werden.
NAT (Network Address Translation): SPI-Firewalls integrieren oft NAT-Mechanismen, um interne IP-Adressen zu maskieren und Sessions korrekt zuzuordnen.
Die wichtigsten Merkmale von SPI-Firewalls
Stateful Inspection Firewalls behalten alle Verbindungen im Netzwerk fortlaufend im Blick und erstellen ein Protokoll mit allen bislang getroffenen Entscheidungen zum Verbindungsaufbau.
Bei künftigen Entscheidungen zum Filtern von Datenpaketen greift die Firewall auf die Informationen in diesem Protokoll zu. So kann sie leichter entscheiden, ob es sich um erwünschten oder unerwünschten Datenverkehr handelt.
Das ist wichtig, weil ohne die Kenntnis des Verbindungsstatus zwischen zwei Parteien nicht ersichtlich ist, ob die Gegenstelle bestimmte Datenpakete tatsächlich angefordert hat. Sonst könnte es passieren, dass Pakete versendet werden, ohne dass eine aktive bzw. gültige Sitzung zwischen beiden Parteien besteht.
Mittels der Stateful Packet Inspection merkt sich die SPI-Firewall, ob eine Verbindung aktiv ist oder nicht – und blockiert Datenpakete, für die zuvor keine Kommunikation oder Anforderung stattgefunden hat.
Lookout for Small Business
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Je mehr Datenverkehr Sie im Unternehmen und insbesondere nach und von außen managen müssen, desto mehr Bedrohungen müssen Ihre Tools erkennen. In diesen Fällen eignet sich die Stateful Inspection Firewall, da sie deutlich mehr Sicherheitsfunktionen bietet als normale Firewalls. Außerdem vereinfacht sie das Einstellen komplexer Regeln für die Firewall.
Stateless Firewalls sind hingegen eher in kleinen Unternehmen, im Homeoffice oder im privaten Bereich im Einsatz. Wenn der Datenverkehr gering oder das Budget begrenzt ist, kann dies sinnvoll sein – auch weil das Erstellen von Regeln für Firewalls dann überschaubar ist. Aufgrund ihrer eingeschränkten Fähigkeiten eignen sich Stateless Firewalls für Betriebe jedoch nur in bestimmten Fällen: z.B. wenn ein Datenverlust, ein Systemausfall oder eine Erpressung keine gravierenden Folgen hätte.
Die Vorteile von SPI-Firewalls auf einen Blick:
Mehr Sicherheit: Stateful Firewalls bieten einen umfassenderen Schutz vor fortgeschrittenen Cyberbedrohungen als herkömmliche (Stateless) Firewalls. Denn sie untersuchen den Zustand jeder aktiven Verbindung über das Internet und den Kontext von Datenpaketen.
Dynamische Regelanwendung: SPI-Firewalls können Regeln basierend auf dem Verbindungszustand dynamisch anwenden. Sie lassen Antwortpakete nur zu, wenn sie zu einer Verbindung gehören, die als vertrauenswürdig eingestuft wird.
Gute Performance: Dank ihrer intelligenten und präzisen Arbeitsweise bei der Paketfilterung haben SPI-Firewalls weniger Auswirkungen auf die Netzwerkleistung und eine bessere Performance als Stateless Firewalls.
Weniger Fehlalarme: SPI-Firewalls verfolgen den gesamten Datenfluss zwischen zwei Geräten. Das reduziert die Wahrscheinlichkeit einer Verwechslung von legitimen und bösartigen Aktivitäten. Voraussetzung dafür ist, die SPI-Firewall stets aktuell zu halten und korrekt zu konfigurieren.
Wichtiger Hinweis: Die Implementierung und Administration von SPI-Technologien erfordern Fachwissen. Der Verwaltungsaufwand ist im Vergleich zu Stateless Firewalls etwas höher. Doch in der Regel überwiegen die Vorteile in Bezug auf Sicherheit und Effizienz deutlich die Kosten und den administrativen Aufwand.
Unser Fazit: Deswegen ist eine SPI-Firewall für Unternehmen so wichtig
Eine SPI-Firewall ist wichtig, weil sie im Gegensatz zu einfachen (Stateless) Firewalls den Zustand einer Verbindung berücksichtigt und dadurch deutlich mehr Sicherheit bietet.
Sie analysiert nicht nur IP-Adressen und Ports, sondern auch den Verbindungsstatus (z.B. nach einem gültigen TCP-Handshake). So erkennt sie, ob ein Datenpaket zu einer legitimen Sitzung gehört. Durch die Überwachung des gesamten Datenflusses kann sie auch Angriffe innerhalb scheinbar legitimer Verbindungen erkennen und blockiert Malware oder Spyware.
SPI-Firewalls wenden Regeln abhängig vom Verbindungszustand an. Sie lassen Antwortpakete nur zu, wenn sie zu einer vertrauenswürdigen Verbindung gehören. Da sie den Kontext kennen, reduzieren sie Fehlalarme und arbeiten effizienter als statische Filter. Bei sehr viel Datenverkehr und hohen Sicherheitsanforderungen sind SPI-Firewalls unverzichtbar, da sie mehr Schutz und Flexibilität bieten als einfache Firewalls.
Kurz gesagt: SPI-Firewalls sind entscheidend für moderne Netzwerksicherheit, weil sie den gesamten Kommunikationskontext überwachen und dadurch Angriffe erkennen, die Stateless Firewalls übersehen würden.
Microsoft Defender for Business
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
SPI-Firewalls untersuchen Datenpakete im Gegensatz zu normalen Firewalls nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
Eine SPI-Firewall bietet mehr Sicherheit, vor allem bei komplexen Bedrohungen. Sie untersucht den Zustand einer aktiven Verbindung sowie den Kontext von Datenpaketen. Durch ihre gute Performance und wenige Fehlalarme eignet sie sich vor allem für größere Netzwerke mit viel Datenverkehr.
Eine Stateless Firewall prüft lediglich die Header-Informationen eines einzelnen Datenpakets und entscheidet ohne Kontext, ob sie es durchlässt. Die Stateful Firewall hingegen verfolgt den gesamten Datenfluss und erkennt, ob ein Paket zu einer aktiven, vertrauenswürdigen Umgebung gehört. Dadurch kann sie auch Angriffe innerhalb legitimer Verbindungen blockieren.
E-Mail-Datenschutz ist Pflicht: Erfahren Sie, warum E-Mails ein Risiko sind, was die DSGVO verlangt und wie technische sowie organisatorische Maßnahmen Sicherheit schaffen.
Weniger Daten bedeuten mehr Sicherheit. Dieser Artikel erklärt Ihnen die rechtlichen Grundlagen und wie Sie Datensparsamkeit in der Praxis konkret umsetzen.
Lesen Sie, warum die Microsoft-2FA für Unternehmen unverzichtbar ist. Schritt-für-Schritt-Anleitung zur Einrichtung, Vorteile sowie Optionen für Authentifizierung und Integration.
Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.
