Firewall: Der unersetzbare Schutzschild für ihr Unternehmensnetzwerk

Gezielte Internetangriffe nehmen stetig zu.

Zeitgleich stehen Betriebe jeden Tag vor der Herausforderung ihr Unternehmensnetzwerk vor diesen Internetbedrohungen zu schützen. Der Einsatz von zeitgemäßen Firewall-Services ist folglich längst keine Wahlmöglichkeit mehr, sondern ein zwingendes Muss. Als erste Verteidigungslinie eines Betriebes kontrollieren sie nicht nur den kompletten eingehenden und ausgehenden Netzwerkverkehr, sie ermitteln und blockieren darüber hinaus auch den ungewollten Datenverkehr und den ungebetenen Zugang auf das Unternehmensnetzwerk.

Ob Phishing-Mails, Advanced Persistent Threats, Zero-Day-Bedrohungen oder zielgerichtete Angriffe: Das Risiko Opfer von Internetkriminalität zu werden, hat inzwischen deutlich zugenommen – vor allem für mittelständische Unternehmen.

Laut einer Befragung des Digitalverbands Bitkom waren 2019 rund 75 % aller Firmen in Deutschland nachweislich von Internetangriffen betroffen, wenngleich von einer wesentlich größeren Dunkelziffer auszugehen ist.

Da die unaufhaltsame Digitalisierung und die steigende Verbreitung und Nutzung von Clouddiensten, mobilen Endgeräten sowie internetfähigen Anlagen und Systemen diese Weiterentwicklung begünstigt und kontinuierlich neue Schlupflöcher für Internetkriminelle schafft, müssen Firmen hochentwickelte Abwehrtechniken einsetzen, um dieser Gefahrenlage Herr zu werden.

Die Verwendung von zeitgemäßen Firewall-Systemen ist daher seit langem keine Wahlmöglichkeit mehr, sondern ein absolutes Muss.

Stopp! Du kommst hier nicht hinein!

Der englische Ausdruck Firewall heißt wortgetreu ins Deutsche übersetzt „Brandmauer“.

In ihrer grundlegendsten Form dreht es sich bei einer Firewall-Anwendung um eine Netzwerksicherheitsvorrichtung, die eine Hürde zwischen einem öffentlichen Datennetz (WAN) und einem privaten Unternehmensnetzwerk (LAN) bildet und den kompletten Netzwerkverkehr überwacht.

Eine Firewall bestimmt auf Basis einer Reihe zuvor vereinbarten Sicherheitsrichtlinien, was für Datenpakete durchgelassen werden und welche zu behindern sind. Dadurch können zum Beispiel nicht nur unerwünschte Netzwerkzugriffe und Angriffe von außerhalb abgewehrt werden bei denen Internetkriminelle über offene Ports Zugang auf ein IT-System oder Unternehmensnetzwerk erreichen möchten, sondern auch Kontaktversuche einer Malware zu einem Kontroll-Server nach einer gelungenen Kompromittierung.

Grundsätzlich sitzen Firewall-Systeme an der Verbindung mindestens zweier Netze. Dabei können sie entweder als Softwarekomponente, als dedizierte Hardware oder einer Kombination aus beidem zum Einsatz kommen.

Alles begann mit einem Wurm mit dem Namen Morris …

Die Geburtsstunde der Firewall-Entstehung ist auf die späten 1980er-Jahre begründbar, als der erste Internet-Wurm namens „Morris“ eine Internet-Epidemie auslöste und etwa ein Zehntel des damals noch jungen Webs lahmlegte.

Seit diesem Zeitpunkt sind die Sicherheitsbedrohungen durch Schadprogramme und Internetangriffen sprunghaft {gestiegen|angestiegen|gewachsen) – und mit ihr die Notwendigkeit IT-Systeme und IT-Umgebungen mit einer Firewall abzusichern.

Dadurch wurden im Laufe der Jahre diverse Firewall-Technologien mit verschiedenen Funktionskomponenten entwickelt. Was einst als Firewall galt, ist allerdings mit dem, was heute Standard ist, nicht wirklich zu vergleichen.

Zurzeit existieren fünf Grundtypen von Firewall-Konzepten in Betrieben, die sich in der Art und Weise unterscheiden, wie sie den Datenverkehr bewerten und die Netzwerkleistung steuern.

Hierzu gehören:

• Paketfilter-Firewalls:
Paketfilter-Firewalls spiegeln den ehemaligen Ansatz wider, ein Perimeter-Sicherheitssystem zur Abwehr von ungebetenem Netzwerkverkehr an einem Knotenpunkt wie zum Beispiel an einem Router oder einem Switch bereitzustellen. Durch die Prüfung eingehender und ausgehender Datenpakete am Knotenpunkt können die Firewalls elementare Informationen über IP-Adressen, Pakettyp und Portnummer erlangen. Entspricht das Datenpaket nicht den Sicherheitsrichtlinien, wird es von der Firewall-Anwendung nicht an sein Ziel geleitet.

• Stateful Packet Inspection Firewalls:
Stateful Packet Inspection Firewalls -zu Deutsch zustandsorientierte Paketüberprüfung- sind Firewall-Systeme mit einer dynamischen Filtertechnik, die auf Basis von Sicherheitsrichtlinien und Daten aus ehemaligen Aktivitäten einzelner Datenpakete festlegen, ob diese zugelassen oder blockiert werden. Dabei wird die Aktivität jedes Datenpakets im Rahmen einer Internet-Sitzung, in die es eingebunden ist, vom Beginn der Sitzung bis zum Ende verfolgt. Stateful Packet Inspection-Firewalls gelten heute als „traditionelle“ Firewalls und bieten im Gegensatz zu Paketfilter-Firewalls fortgeschrittenere Zugriffskontrollen.

• Circuit Level Gateways

Circuit-Level-Gateways sind Firewalls, die den TCP-Datenpaket-Handshake beobachten, um festzustellen, ob die gestartete Sitzung rechtens ist und das vernetzte System als vertrauenswürdig angesehen werden kann. Dabei wird der Datenverkehr auf der Grundlage von Sicherheitsrichtlinien durchgelassen oder abgelehnt. Da Gateways weder Daten über das zu inspizierende Netzwerk enthüllen noch die Paketinhalte selbst steuern, kann bösartiger Datenverkehr leicht übersehen werden.

• Anwendungs-, Proxy- oder Application Firewalls

Anwendungs-, Proxy- oder Application Firewalls überprüfen zudem zu den reinen Verkehrsdaten auch den Inhalt der Datenpakete. Der Proxyserver baut hierzu eine eigene Verbindung zum Zielsystem auf und analysiert die Pakete auf bösartige Inhalte, bekannte Viren, markierte Websites, Exploits sowie Richtlinienverletzungen. Genügen die Inhalte der Datenpakete nicht den Filterregeln, werden sie nicht an den Client-Computer weitergereicht.

• Next Generation Firewalls

Next Generation Firewalls verfügen über viele Grundfunktionalitäten gewöhnlicher Firewalls, ergänzt diese hingegen mit weiteren Filter- und Analysemöglichkeiten. Next Generation Firewalls können höhere Schichten Protokolle untersuchen. Sie sind in der Lage, gefährlichen Traffic spezifischer und kluger zu identifizieren und zu behindern, indem sie Sicherheitsrichtlinien auf Anwendungs-, Port- und Protokollebene durchsetzen.
Dadurch bieten Next Generation Firewalls im Vergleich zu klassischen Firewall-Systemen besondere Vorteile und eine noch höhere Schutzfunktion.

Grundsätzlich muss eine Next-Generation Firewall folgende Funktionalitäten inkludieren:


• Integriertes Intrusion Prevention
• Intrusion Prevention System
• Deep Packet Inspection
• TLS/SSL und SSH Inspection
• Website-Filter
• Antivirus Inspection
• Malware-Erkennung
• QoS Management


Echtzeitschutz für serverlose Internet-Applikationen

Webanwendungen zählen heutzutage bereits zum Standard etlicher Firmen.
Um diese vor gezielten Angriffen zu beschützen, sind Web Application Firewalls mittlerweile für jedes Unternehmen unverzichtbar. Eine Web Application Firewall schützt Webanwendungen insbesondere vor Angriffen, die über HTTP (Hypertext Transfer Protocol) passieren, indem sie den eingehenden und ausgehenden Traffic zwischen Clients und Webservern auf Anwendungsebene überwacht. Bei verdächtigen Inhalten wird der Zugang unterbunden.

Die Reise geht voran …!

Hochentwickelte Angriffsszenarien fordern gleichzeitig hochentwickelte Abwehrtechniken, die ebenso zuverlässige Bedrohungserkennung als auch rasche Reaktionszeiten bieten.

Obwohl Firewall-Systeme nicht mehr die einzige Verteidigungslinie eines Unternehmens repräsentieren, spielen sie weiterhin eine zentrale Rolle in jedem Netzwerksicherheitskonzept. Parallel müssen sie ständig entwickelt werden, um die immer vielschichtiger werdenden Angriffsszenarien in Zukunft bewältigen zu können.

Möchten Sie noch mehr über Firewalls, Netzwerksicherheit oder IT-Sicherheit kennenlernen, oder sind Sie an einer fortschrittlichen und modernen Firewall-Lösung interessiert, die Ihnen ein Höchstmaß an Sicherheit vor unerwünschten Eindringlingen und Internetbedrohungen bringt? Sprechen Sie uns an! Gerne stehen wir Ihnen unter Betrachtung der derzeitigen Situation und Gegebenheiten zur Verfügung.

Unsere ITleague-Partner freuen sich darauf, Ihnen bei der Umsetzung Ihrer Firewall-Strategie zu helfen.