Über den Sinn oder Unsinn von Personal Firewalls (Desktop Firewalls) wird
viel geschrieben, viel Sinn aber auch viel Unsinn.
Beschäftigt man sich ein bisschen mit diesem Thema wird man oft auf folgende
Links gestoßen:
http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html
und http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
In beiden Beiträgen werden PersonalFirewalls als grunsätzlich
unnötig und sogar als sehr schädlich dargestellt. Meiner Meinung nach
ist der Ansatz dieses Gedankes vollkommen richtig nur wird ein vollkommen falscher
Schluß daraus gezogen.
Da ich die Autoren (Rainer Perske und Lutz Donnerhacke) nicht persönlich
kenne, stellt meine Meinung weder eine fachlich noch persönliche Wertung
der Verfasser dar!
Ein sehr viel sinnvolleren Beitrag hat das Bundesamt für Sicherheit in
der Informationstechnik (BSI) veröffentlicht: http://www.bsi.bund.de/faq/14.htm
Wie fast alles in der Computerwelt kommt dieser Ausdruck aus dem (amerikanischen)
Englischen. Firewall wird korrekt mit Brand(schutz)mauer übersetzt,
also eine Mauer die das Ausbreiten von Bränden in Bauwerken ver- oder behindern
soll. Die Übersetzung als Feuerwand zeigt ein Fehlen jeglichem
Sprachverständnisse oder mag im Einzelfall natürlich auch eine absichtliche
Verunglimpfung sein. Ein Feuerwand ist nun mal eine Wand aus Feuer
und nicht gegen Feuer. Personal bedeutet persönlich und hat mit
dem Personal (also Angestellte, Mitarbeiter, etc.) nichts zu tun. Auch die Abkürzung
PC steht für den englischen Begriff Personal Computer, welcher
richtig mit persönlicher Rechner (Computer) übersetzt wird,
keineswegs ist es ein Computer für das Personal.
Alternativ zu PersonalFirewall wird auch oft Desktop-Firewall geschrieben, das
Produkt ist identisch.
(stark vereinfacht) Ursprünglich zum Schutz vor unerlaubten Zugriffen
von außen auf einen Rechner.
Da es in Unternehmen, Forschungsanstalten, Behörden, Universitäten,
etc. aus ökonomischer Hinsicht sinnvoll ist, wenn die einzelnen Mitarbeiter
mit ihren Rechner zusammenarbeiten, wurden und werden Computernetzwerke
eingerichtet. Netzintern ist (sollte) der Zugriff je nach Benutzer mit diversen
Rechten und Verboten belegt (sein). Die Sicherheitseinstellungen halten sich
im Rahmen, damit dieser Datenaustausch bzw. der gemeinsame Zugriff auf Daten
oder Geräte nicht umständlich und mühevoll ist, aber auch weil
die Anzahl und auch die einzelnen Benutzer selber bekannt sind.
Habe ich aber Außenstellen, Zweigniederlassungen, andere Einrichtungen
mit denen ich Daten austauschen will, Außendienstmitarbeiter, Heimarbeitsplatznutzer
etc. habe ich ein Problem. Ich brauche einen Zugang von außen auf und
in mein Netzwerk. Und dies kann aber auch unerwünschter Zugang sein. Dies
beginnt mit der Behinderung des Netzwerkverkehrs (Traffic) durch einfache "Anwesenheit"
bis zu Ausspähen von geheimen Daten oder Löschen von Daten.
Es gäbe zwei Lösungen: entweder schraube ich die netzinternen Sicherheitsvorrichtungen
für jedes(!) einzelne Gerät extrem hoch oder ich erschwere und sichere
die wenigen Zugänge von außen in dieses Netz. Die erste Lösung
ist sehr teuer und kompliziert und ich verhindere ich den unerwünschten
Traffic im Netzwerk nicht. Außerdem ist jede Sicherheitsvorrichtung knackbar,
sei es per Zufall, Fehler des Administrators, unvorsichtige Benutzer oder Datenhacken
(mit krimineller oderäzerstörerischer Absicht wird es zum Cracken).
Habe ich tausende von Geräten (und Nutzereinstellungen) im Netz, hätte
ein Einbrecher tausende von Angriffspunkten. Deshalb ist es der einzige sinnvolle
Ansatz den Zugangspunkt von außen stark zu sichern, eben eine Brandschutzmauer
zu errichten, die Firewall.
Ohne Vernetzung nach außen ist eine Firewall also absolut nicht nötig und ohne das Internet wären die Millionen von Heim-Computern nicht nach außen vernetzt.
Nun eine Anleitung dazu werde ich hier niemals geben, wer diese sucht ist hier
fehl am Platz.
Was macht eine Firewall? Sie hält eine "Türe" zu, durch
die ein ungebetener Gast fast nicht herein kommen kann, außer er weiß
die Zugangscodes...
... oder es wird ihm von innen die Türe geöffnet, der Trojaner ward
geboren.
Was ist ein Trojaner?
Simplifiziert ist ein Trojaner-Programm ein Programm welches einen Nutzen vorgibt
aber in Wirklichkeit eine andere Schad-Routine ausführt. Diese Schadroutine
kann (muss aber nicht) das Öffnen einer unautorisierten Verbindung nach
außen sein. Näheres zu Trojaner-Definition erfährt man bei http://www.trojaner-info.com/.
Dies führt zur zweiten Aufgabe einer Firewall, sie soll unerlaubte Datenverbindung
nach außen verhindern, dadurch würde eine Firewall
auch gleichzeitig sogenannte Dialer (siehe bitte www.dialer-info.de)
sperren, die nur im einzelnen PC mit eigenem Zugang zum Telefonnetz per ISDN
oder anlogem Modem aktiv werden können.
Achtung, keine Personal-Firewall schützt vor dem Download von irgendeiner
sogenannten Malware (Schad-Software), ob Virus, Trojaner, Wurm oder Dialer.
Das große Problem bei den Verbindungsversuchen von innen ist dass der
Nutzer und Ausgangscomputer in der Regel zu einem Verbindungsaufbau nach außen
autorisiert ist. Hier muss eine Firewall also nicht nur nachsehen ob dieser
Nutzer nach außen verbinden darf, sondern ob diese Anwendung dieses
Nutzer nach außen verbinden darf.
Netzwerkbetreiber setzen also oder sollten also Firewalls einsetzen, diese
können viele zig-tausend Euro kosten.
Warum sollte dem Privatnutzer dies verwehrt werden, PersonalFirewalls gibt es
sogar kostenlos als Freeware (links siehe unten) oder als kostenpflichtige Software
um die 40-50 Euro.
Nun so einfach ist eine Firewall nicht und deshalb kostet eine Netzwerkfirewall
auch viel Geld und für wichtige und gefährdete Objekte werden Spezialisten
beschäftigt die nur diese Firewalls administrieren, der normale Netzwerkadministrator
wäre damit überfordert (und ist meist auch schon mit dem internen
Netzbetrieb gut ausgelastet).
Während in einem Netz also ein Spezialist die Firewall einrichtet und
pflegt, sollte dies auf einem Einzel-PC der Nutzer selber machen. Obwohl die
Firewallsoftware sehr viel einfacher (und das Gefährdungspotential sehr
viel niedriger ist) ist der Normal-Nutzer in der Regel tatsächlich mit
einer optimalen Einrichtung hoffnungslos überfordert. Die Wahrscheinlichkeit,
dass die PersonalFirewall falsch konfiguriert wird ist also recht hoch und abgesehen
von prinzipiellen Schwächen dieser kostengünstigen Produkte kommen
also mit hoher Wahrscheinlichkeit noch Konfigurationsfehler dazu, die Firewall
ist nicht sicher.
Und hier setzen einige Personal-Firewall-Gegner an und sagen zu recht eine solche
Software wiege die Nutzer in trügerischer Sicherheit und man erhöhe
dadurch im Endeffekt die Gefahr.
Dieser Gedanke IST richtig, um mal eine hinkende Analogie zu ziehen: Der Vierradantrieb
bei PKW ermöglicht bei schneeglatter Fahrbahn (bergauf) ein erheblich schnelleres
Vorwärtskommen. Nur (bergab) beim Bremsen oder in Kurven gibt es praktisch
keinen Vorteil gegenüber zweiradangetriebenen PKW, denn auch diese Bremsen
(seit Jahrzehnte) genauso mit allen vier Rädern, bzw. versuchen in der
Kurve mit allen vier Rädern Seitenhalt zu bekommen. Es kommt also darauf
an wie man die Technik einsetzt, setzt man sie mit "Hirn und Verstand"
ein, ergeben sich Vorteile. Ersetzt man im Straßenverkehr den Sicherheitsabstand
durch ABS kann es böse ins Auge gehen (leider werden im sogennnanten "echten
Leben" meist unschuldige Dritte mit geschädigt).
Und der Fehler der oben gelinkten Firewallgegener beginnt in meinen Augen hier. Statt zu helfen, das System etwas besser zu verstehen, verweigern sie dem System PersonalFirewall jegliche Daseinsberechtigung, solange der Nutzer nicht jeden (Netzwerk)Vorgang im und zum PC bis aufs letzte Byte 100%ig versteht.
Um bei der hinkenden Auto-Analogie zu beleiben: Wer sein Auto nicht komplett zerlegen und wieder zusammensetzen kann, wer die komplizierte Elektronik einer modernen Motorsteuerung nicht genau versteht und jeglichen Schaden beheben kann, darf nicht autofahren (und ich rede hier nicht vom VW-Käfer aus den 50er/60er-Jahren oder vom Trabant *bg*).
Definitiv hätte mit simplen und sogar schlecht konfigurierten Firewalls
der Blasterwurm im August/September 2004 kaum Opfer gefunden. Bei Windows XP
half tatsächlich die sehr(!) einfache eingebaute Firewall, warum sie massenhaft
ausgeschaltet war, dies ist die Frage.
Gut der ideale Weg in diesem Fall wäre das rechtzeitige Einspielen der
vorher(!) schon bekannten Sicherheitspatches.
Allerdings standen wohl bei BMW in München alle NT4/NT5-Computer still,
dies deutet auf ein Versagen der sicherlich vorhandenen teuren Firewall wie
auch der netzinternen Administration hin, die Sicherheitspatches von Microsoft
waren wohl nicht eingespielt.
Setzen Sie eine PersonalFirewall ein, so sollten Sie weiterhin genauso vorsichtig
im Internet sein. Keine auch noch so gute Firewall bietet einen 100%igen Schutz,
keine PersonalFirewall schützt Sie dafür, dass Sie Trojaner, Dialer
oder Viren sich aus dem Internet laden, denn Sie machen dies
und sei es nur durch Ihr unvorsichtiges Verhalten im Internet oder beim Öffnen
von Emails.
Und wenn Sie Ihre Firewall nicht optimal einstellen (können), dann kann
die Firewall auch nicht fehlerfrei funktionieren. Und wie gesagt: Fehler hat
darüber hinaus quasi jedes Programm, Fehler hat Ihre PersonalFirewall sicherlich.
Wenn Sie sich der Fehler und Risiken bewußt sind, dann können Sie durchaus mit einer PersonalFirewall arbeiten, aber sie ist ganz sicher kein Allheilmittel!
Noch ein paar Links, sollten sie nicht mehr aktuell sein oder wichtige Links fehlen bitte Mail an LinksPersonalFirewall@Netzwerk-Kurs.de
Symantec Norton Personal Firewall http://www.symantec.de/region/de/product/npf/index.html
circa € 90,- für Apple Macintosh bzw. € 40 - 45,- für Windows
98/ME/2000pro/XPhome/XPpro
Network Associates Macafee Personal Firewall Plus http://de.mcafee.com/root/package.asp?pkgid=103
circa € 35 - 40,- für Windows 98/ME/2000pro/XPhome/XPpro
(jeweils Preise der deutschen Vollversionen)
Zonelabs Zonealarm http://download.zonelabs.com/bin/free/de/zapDetails.html
es gibt eine kostenfreie Version für den privaten Gebrauch, wie auch kostenpflichtige
Versionen
Allgemeine Fragen und Kurzbeschreibungen diverser Personal Firewalls http://www.trojaner-info.de/firewall/software.shtml
Im Text erwähnte Links:
Tips und Informationen zu Trojanern, Dialern, Viren und PersonalFirewalls http://www.trojaner-info.com/
Rainer Perske: Sinn und Unsinn von Desktop Firewalls http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html
Lutz Donnerhackes FAQ zu (gegen) PersonalFirewalls http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Fragen und Antworten zu Personal Firewalls veröffentlicht durch das Bundesamt
für Sicherheit in der Informationstechnik (BSI): http://www.bsi.bund.de/faq/14.htm
Bundesamt für Sicherheit in der Informationstechnik (BSI) Homepage: http://www.bsi.bund.de/index.htm
Kontakt
für sachliche Diskussionen oder Fragen:
PersonalFirewall@o-c-t.de
© 2001-2003 Christopher v. der Osten, letztes Update: 01.11.2003