Eine Person, die auf einer Tastatur tippt. Davor ein Dreieckswarnzeichen, das auf einen Datenschutzvorfall hinweist.
Security

SPI-Firewalls einfach erklärt

SPI-Firewalls bieten eine fortschrittliche Paketfiltertechnologie. Anders als herkömmliche Firewalls analysieren sie auch den Status einer Datenverbindung, bevor sie Datenpakete entweder weiterleiten oder blocken. Erfahren Sie hier, warum dieser auf den ersten Blick geringe Unterschied einen deutlichen Zuwachs an Sicherheit für Netzwerke bedeutet – und welche Einsatzmöglichkeiten sich daraus für Unternehmen ergeben.

Die Bedrohungslage im Internet erfordert robuste Lösungen zum Schutz vor ausgeklügelten und ständig neuen Tricks von Cyberkriminellen. In diesem Kontext spielt Stateful Packet Inspection (SPI) eine zentrale Rolle in heutigen digitalen Sicherheitsstrategien. SPI-Firewalls bewerten den Netzwerkverkehr dahingehend, ob Datenpakete zu einer vertrauenswürdigen Verbindung gehören oder nicht.

Inhaltsverzeichnis

Was ist eine SPI-Firewall?

„SPI“ steht für „Stateful Packet Inspection“, zu Deutsch „zustandsorientierte Überprüfung von Datenpaketen“. Im Gegensatz zu statischen oder auch zustandslosen Filtertechniken (Static Packet Filtering, kurz: SPF) inspizieren SPI-Firewalls die Datenpakete nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse sowie dem Quell-/Zielport. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
SPI-Firewalls werden auch als Stateful Firewalls bezeichnet – in Abgrenzung zu den Stateless Firewalls (zustandslose Firewalls) und anderen Arten von Firewalls.
Um die Vorteile der Stateful Packet Inspection besser zu verstehen, ist es hilfreich, einen Blick auf die Funktionen und die Entwicklung von Firewalls im Allgemeinen zu werfen. Firewalls gibt es schon seit den Anfängen des Internets. Sie haben die Aufgabe, unerwünschten Datenverkehr zu stoppen – wie eine „Brandmauer“. Ohne Firewall sollte heutzutage kein Unternehmen online gehen.
Betriebssysteme von Computern verfügen meist bereits über eine (persönliche) Firewall. Sie legt anhand vordefinierter Kriterien fest, wann ein Datenpaket für das empfangende Netzwerk als schädlich gilt. Router sind ebenfalls mit einer integrierten Firewall ausgestattet, die den eingehenden Datenverkehr überwacht und kontrolliert, ob er vertrauenswürdig ist.
Je komplexer die Systeme sind, desto notwendiger ist der Schutz durch eine Netzwerk-Firewall. Die zunehmende Vernetzung im Internet of Things (IoT) führt auch zu komplexeren Firewall-Konfigurationen.
Zustandslose Firewalls können nur anhand der Header eines Datenpakets bestimmen, ob ein eingehendes Paket durchgelassen werden kann oder nicht. Einer solchen statischen Firewall (Stateless Firewall) fehlt die Möglichkeit, festzustellen, ob ein Datenpaket auch im Kontext der aktiven Verbindung gültig ist.
Daraus entstehen Risiken wie Cyberangriffe durch Distributed-Denial-of-Service (DDoS)-Mechanismen. Im Zuge eines Distributed-Denial-of-Service-Angriffs wird eine Anfrage mit einer gefälschten Quell-IP-Adresse an einen legitimen Dienst auf dem Zielsystem versandt. Wenn dieser Dienst antwortet, können Cyberkriminelle eine Webadresse mit unerwünschtem eingehenden Datenverkehr „spammen“, weil der Inhalt des Datenpakets aus Sicht der Firewall legitim erscheint und nicht gegen deren Regeln verstößt.
Stateful Firewalls gehen deswegen einen Schritt weiter. Eine SPI-Firewall verfolgt alle Datenpakete im Netzwerk. Sie überprüft, ob ein Datenpaket zu einer aktiven Sitzung gehört, die nach einem vertrauenswürdigen sogenannten TCP-Handshake aufgebaut wurde. Die SPI-Firewall untersucht außerdem nicht nur das Datenpaket, sondern den gesamten Datenfluss. Sind nicht alle Bedingungen erfüllt, verwirft sie ein Datenpaket. Stateful Firewalls erkennen so auch böswillige oder unbefugte Aktivitäten, die in einem legitimen Datenstrom vorkommen können. Auf diese Weise blocken sie selbst raffinierte Malware und Spyware.
Das Prinzip der Stateful Packet Inspection entstand in den 1990er-Jahren und wurde ursprünglich von dem börsennotierten US-amerikanischen Unternehmen Check Point Software Technologies entwickelt. Seither hat sich die Leistungsfähigkeit von SPI kontinuierlich weiterentwickelt.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Wie funktioniert eine SPI-Firewall?

Netzwerkverkehr im Internet bewegt sich üblicherweise in kleinen Blöcken, den sogenannten Datenpaketen.
Jedes Datenpaket enthält die IP-Adressen des Absender- und des Empfänger-Computers. Klassische Firewalls lassen Datenpakete passieren, wenn diese von einer als sicher geltenden Quelle kommen, beispielsweise von einem akzeptierten Port (z. B. Port 21). Bedenkliche Daten, die über einen vermeintlich ungefährlichen Port kommen, werden jedoch meist nicht erkannt.
Hacker:innen nutzen dies aus, indem sie Datenpakete abfangen und die darin vermerkten IP-Adressen gezielt angreifen. Es gibt sogar Websites im Internet, die ausschließlich dazu dienen, die IP-Adressen von Besucher:innen abzugreifen, um diese später angreifen zu können.
Die Lösung: SPI-Firewalls analysieren IP-Adressen und prüfen den aktuellen Status der Netzwerkverbindung. Sie verfügen über einen Speicher und halten die Informationen der Stateful Packet Inspection in einer Tabelle fest. Dies erfolgt in der Schicht 3 (Netzwerk/Vermittlungsschicht) des OSI-Modells für den Internetdatenverkehr (siehe Grafik unten).
Darüber hinaus arbeitet die SPI-Firewall auch auf der Schicht 4 (Transportschicht), indem sie Protokolle wie TCP und UDP untersucht. Sie prüft z. B., ob ein TCP-Handschlag (Three-Way-Handshake) korrekt durchgeführt wurde, bevor sie Datenpakete erlaubt oder ablehnt. Eine Stateful Inspection Firewall kann außerdem feststellen, ob das jeweils nächste Datenpaket Teil einer Serie ist.
Grafische Darstellung der übereinander angeordneten sieben Schichten des ISO/OSI-Schichtenmodells mit Geräte- und Funktionssymbolen an den einzelnen Schichtentypen.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Die Stateful Packet Inspection ist nicht zu verwechseln mit der Deep Packet Inspection (DPI), die sogenannte Next Generation Firewalls kennzeichnet. Diese analysieren die Nutzlast von Datenpaketen, Protokollen und Anwendungen bis auf den höchsten OSI-Layer (Anwendungsschicht). DPI erfordert aufgrund der hohen Komplexität der Analysen auch eine besonders hohe Rechenleistung.
Ein Mann im roten Shirt blickt lächelnd auf ein Tablet

Secure Access Gateway mit Zscaler

Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.

  • Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
  • Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.

Die wichtigsten Merkmale von SPI-Firewalls

Stateful Inspection Firewalls behalten alle Verbindungen im Netzwerk fortlaufend im Blick und erstellen ein Protokoll mit allen bislang getroffenen Entscheidungen zum Verbindungsaufbau.
Bei künftigen Entscheidungen zum Filtern von Datenpaketen greift die Firewall auf die Informationen in diesem Protokoll zu. So kann sie leichter entscheiden, ob es sich um erwünschten oder unerwünschten Traffic handelt.
Das ist wichtig, weil ohne die Kenntnis des Verbindungsstatus zwischen zwei Parteien nicht ersichtlich ist, ob die Gegenstelle bestimmte Datenpakete tatsächlich angefordert hat. Sonst könnte es passieren, dass Pakete versendet werden, ohne dass eine aktive bzw. gültige Sitzung zwischen beiden Parteien besteht.
Mittels der Stateful Packet Inspection merkt sich die SPI-Firewall, ob eine Verbindung aktiv ist oder nicht – und blockiert Datenpakete, für die zuvor keine Kommunikation oder Anforderung stattgefunden hat.

SPI-Firewalls – was sind die Vorteile?

Je mehr Datenverkehr Sie im Unternehmen und insbesondere nach und von außen managen müssen, desto mehr Bedrohungen müssen Ihre Tools erkennen. In diesen Fällen eignet sich die Stateful Inspection Firewall, da sie deutlich mehr Sicherheitsfunktionen bietet als normale Firewalls. Außerdem vereinfacht sie das Einstellen komplexer Regeln für die Firewall.
Stateless Firewalls sind eher in kleinen Unternehmen, im Homeoffice oder im privaten Bereich im Einsatz. Wenn der Datenverkehr gering oder das Budget begrenzt ist, kann dies sinnvoll sein – auch weil das Erstellen von Regeln für Firewalls dann überschaubar ist. Aufgrund ihrer eingeschränkten Fähigkeiten eignen sich Stateless Firewalls für Betriebe jedoch nur in Fällen, bei denen z. B. ein Datenverlust, ein Systemausfall oder eine Erpressung keine gravierenden Folgen hätte.
Die Vorteile auf einen Blick:
  • Mehr Sicherheit: Stateful Firewalls bieten einen umfassenderen Schutz vor fortgeschrittenen Bedrohungen als herkömmliche (Stateless) Firewalls. Denn sie untersuchen den Zustand jeder aktiven Verbindung über das Internet und den Kontext von Datenpaketen.
  • Dynamische Regelanwendung: SPI-Firewalls können Regeln basierend auf dem Verbindungszustand dynamisch anwenden. Sie lassen Antwortpakete nur zu, wenn sie zu einer als vertrauenswürdig eingestuften Verbindung gehören.
  • Gute Performance: Dank ihrer intelligenten und präzisen Arbeitsweise bei der Paketfilterung haben SPI-Firewalls weniger Auswirkungen auf die Netzwerkleistung und eine bessere Performance als Stateless Firewalls.
  • Weniger Fehlalarme: SPI-Firewalls verfolgen den gesamten Datenfluss zwischen zwei Geräten. Das reduziert die Wahrscheinlichkeit einer Verwechslung von legitimen und bösartigen Aktivitäten. Voraussetzung dafür ist es, die SPI-Firewall stets aktuell zu halten und korrekt zu konfigurieren.
Wichtiger Hinweis: Die Implementierung und die Administration von SPI-Technologien erfordern Fachwissen. Der Verwaltungsaufwand ist im Vergleich zu Stateless Firewalls etwas höher. In der Regel überwiegen die Vorteile in Bezug auf Sicherheit und Effizienz deutlich die Kosten und den administrativen Aufwand.
Microsoft Defender für Unternehmen

Microsoft Defender für Unternehmen

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • Optimal für IT-Admins in kleinen und mittleren Unternehmen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Das Wichtigste zu SPI-Firewalls in Kürze

  • Stateful Inspection Firewalls, kurz SPI-Firewalls, gehen über statische Paketfiltertechniken hinaus. Sie analysieren Datenpakete auf Basis von Header-Informationen, Ports und Verbindungsstatus.
  • SPI-Firewalls legen Protokolle für die Datenübertragung an, speichern diese und können Regeln – basierend auf einem Verbindungszustand – dynamisch anwenden.
  • SPI-Firewalls sind in der Lage, auch fortschrittliche Cyberangriffe zu erkennen und abzuwehren.
  • Im Vergleich zu zustandslosen Firewalls erhöhen die zustandsorientierten SPI-Firewalls die Netzwerksicherheit von Unternehmen erheblich.
Das könnte Sie auch interessieren:
Security
Drei Menschen sitzen vor einem Notebook und zeigen sich etwas auf dem Bildschirm.

Web Application Firewalls (WAF) einfach erklärt

Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen. Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern. Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort