Rotes Firewall-Schildsymbol vor futuristischer Kulisse mit Nullen und Einsen 
Security

Firewalls: Arten und Beispiele im Überblick

Sie möchten Ihr Firmennetz vor Schadsoftware und Cyberattacken aus dem Internet schützen? Mit einer Firewall überwachen Sie Ihren Internetzugang und erkennen Angriffe, noch bevor Viren und Ransomware sich in Ihrem Firmennetz ausbreiten. Doch welche Firewall-Art passt zu Ihrem Netz?

Eine Firewall gehört zu den wichtigsten Werkzeugen gegen Cyberangriffe. Inzwischen gibt es eine Vielzahl unterschiedlicher Firewalls, die sich in Aufbau und Funktionsweise zum Teil erheblich unterscheiden.

Je nach Art Ihres Firmennetzes und Ihres anfallenden Datenverkehrs brauchen Sie eine andere Firewall-Lösung – oder auch eine Kombination aus mehreren Firewalls. Erfahren Sie hier, wie die einzelnen Firewall-Arten arbeiten und welche Stärken und Schwächen Sie im Einzelnen haben. Damit finden Sie die passende Lösung für Ihr Firmennetz.

Inhaltsverzeichnis

Was ist eine Firewall und warum ist sie für Unternehmen so wichtig?

Täglich entdecken Sicherheitsexpert:innen im Internet über zehntausend neue Varianten von Schadprogrammen – von der erpresserischen Ransomware bis zum Ausspähprogramm für den Diebstahl von Firmengeheimnissen. Jedes Unternehmensnetzwerk und jeder einzelne Computerarbeitsplatz mit Internetzugang sollten daher bestmöglich vor solchen Cyberangriffen aus dem Internet geschützt werden.
Eine Firewall erkennt viele solcher Schadprogramme und blockt sie ab, bevor sie in Ihr Netzwerk eindringen können. Sie wirkt wie eine Schutzmauer gegen Cybergefahren. Aus dem Englischen übersetzt bedeutet der Begriff Firewall so viel wie „Brandmauer” oder „Brandschutzwand”.
Doch Cyberkriminelle beherrschen eine Vielzahl sehr unterschiedlicher Strategien, um Schadprogramme in fremde Netze einzuschleusen oder Computer unbemerkt zu kapern und auszuspionieren.
Damit Informationen innerhalb von Datennetzen übertragen werden können, benötigen alle beteiligten Instanzen wie Sendercomputer, Empfängercomputer und die dazwischen liegende Netzwerktechnik einen gemeinsamen Übertragungsstandard. Dieser Standard regelt beispielsweise, wo im Datenstrom die Empfängeradresse vermerkt ist oder wie Daten an Netzwerkknoten weiterzuleiten sind. Ein solcher Standard wird auch als Übertragungsprotokoll bezeichnet.
Das Internet und viele nach dem Vorbild des Internet aufgebaute lokale Netze verwenden das „Transmission Control Protocol/Internet Protocol“ (TCP/IP). Dabei handelt es sich um eine Sammlung von aufeinander aufbauenden Protokollen, die die einzelnen Ebenen des Datenverkehrs regeln. Stufe 1 bestimmt hierbei, wie die Netzwerk-Hardware Daten transportiert. Ebene 7 hingegen definiert, wie die darauf aufbauenden Anwendungen, beispielsweise Office-Programme oder Internetbrowser die eigentlichen Nutzdaten im Netz übertragen.
Dieses mehrstufige Protokollpaket gewährleistet in der Praxis einen sehr effizienten und schnellen Datenaustausch. Gleichzeitig bietet es aber auf allen sieben Ebenen mögliche Angriffspunkte für Cyberkriminelle. Die meisten Attacken sind jeweils nur auf einer bestimmten Netzwerkebene oder nur in Kombination mit weiteren Informationen überhaupt als Angriffe erkennbar. Manche Schadprogramme wiederum werden durch eine Verschlüsselung getarnt, etwa im verbreiteten ZIP-Format. Sie sind dann oft erst auf den Endgeräten der Empfänger:innen als Schadprogramme identifizierbar, wo sie beispielsweise als verdächtige E-Mail-Anhänge erkannt werden.
In der Praxis ist es technisch kaum möglich, alle Daten an allen Knotenpunkten zwischen Sende- und Empfängercomputer auf allen Protokollebenen zu analysieren. Dies würde den Datenverkehr im Internet nicht nur stark ausbremsen. Viele Netzwerkkomponenten wie Switches und Hubs sind hierfür auch nicht ausgelegt.  
Daher arbeiten Unternehmensnetze mit einer Kombination unterschiedlicher Firewalls. Diese unterscheiden sich nach   
  • technischer Ausführung als Hard- oder Software-Firewall, 
  • Einsatzort innerhalb des jeweiligen Netzes 
  • und den verwendeten Schadsoftware-Erkennungsverfahren. 
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Diese Arten von Firewalls gibt es

Zum einen werden Firewalls nach ihrer technischen Ausgestaltung unterschieden. Der Begriff Firewall bezeichnet einerseits Applikationen, die auf vielen Arbeitsplatzcomputern oder anderen Endgeräten neben weiteren Anwendungen installiert sind und dort meist als Hintergrundprozess laufen. Solche Firewall-Anwendungen werden auch als „Software-Firewalls“ bezeichnet.
Andererseits gibt es in vielen größeren Netzwerken an der Schnittstelle zwischen lokalem Netz und öffentlichem Internet auch noch sogenannte „Hardware-Firewalls“. Dies sind speziell für diesen Zweck entwickelte Hardware-Komponenten, auf denen neben einem Betriebssystem meist nur eine Firewall-Software läuft.
Solche Hardware-Firewalls sind deutlich leistungsfähiger als Software-Firewalls. Sie können daher den durchlaufenden Datenverkehr für viele hundert oder tausend Endgeräte im Firmennetz in Echtzeit analysieren.
Weiterhin unterscheidet man Firewalls nach ihrem Einsatzort innerhalb eines Netzwerkes. „Personal Firewalls“ werden üblicherweise als Software-Firewall auf einem bestimmten Endgerät installiert, beispielsweise einem Smartphone, einem Tablet oder einem Arbeitsplatzcomputer.
Was ist ein Internet-Port?

Ports sind virtuelle Adressen von Endgeräten in IP-Netzen. Unterschiedliche Anwendungen nutzen unterschiedliche Ports, um ihre Datenströme voneinander zu trennen. Internetseiten werden beispielsweise an den Port 80 oder 8080 Ihres Computers übertragen.

Daneben gibt es größer dimensionierte, gemeinsam genutzte „Netzwerk-Firewalls“, die den gesamten Netzwerkverkehr für mehrere Nutzer:innen oder Endgeräte überwachen. Sie können beispielsweise ein Sub-Netz in einem Firmengebäude schützen oder auch ein gesamtes Firmennetz. Diese Netzwerk-Firewalls sind aufgrund der höheren Anforderungen an Rechenleistung und Datendurchsatz meist als Hardware-Firewalls ausgeführt. Daher werden die Begriffe Netzwerk-Firewall und Hardware-Firewall in der Praxis oft redundant genutzt. Gerade in sehr kleinen Netzwerken ist der vorhandene Internet-Router mit darauf installierter Firewall-App jedoch die einzige Netzwerk-Firewall. Ab einer bestimmten Unternehmensgröße oder einem bestimmten Datenvolumen kommt diese einfache Router-Lösung jedoch bald an ihre Grenzen.
Ein weiteres Unterscheidungskriterium für Firewalls ist deren Funktionsweise. Während klassische Firewalls vor allem nicht benötigte Ports (siehe Infokasten) schließen, gehen moderne Firewalls (auch in Mischformen) deutlich weiter. Die wichtigsten Firewall-Arten nach ihrer Funktionsweise sind derzeit: 
  • Port-Firewall: klassischer Ansatz ohne Datenanalyse 
  • Proxy-Firewall: Analyse von Paketinhalten 
  • Stateful-Inspection-Firewall (SI): kontextbezogene Datenanalyse 
  • Next-Generation-Firewall (NGFW): wie SI, jedoch mit erweiterten Funktionen 
  • AI-Firewall: mit künstlicher Intelligenz (Artifical Intelligence) 
  • Unified Threat Management (UTM): verwaltete Sicherheitsarchitektur inklusive passender Firewall, wird häufig als Dienstleistung angeboten 
Was hinter diesen einzelnen Firewall-Arten steckt und wie diese funktionieren, erfahren Sie in den nachfolgenden Abschnitten.  
Als Sonderformen gibt es außerdem noch die Web-Application-Firewall zum Schutz von Web-Angeboten und die Firewall-as-a-Service, die sich durch ihre Bereitstellung als reine Cloud-Dienstleistung von den anderen Firewall-Arten unterscheidet. Sie werden daher ganz am Ende dieses Artikels behandelt.

Port-Firewall mit Paketfilter

Eine paketfilternde Firewall arbeitet vor allem an Netzwerk-Knotenpunkten wie Routern und Switches. Sie prüft jedes durchgehende Datenpaket anhand festgelegter Kriterien. Dazu gehören IP-Adresse, Portnummer und Pakettyp. Die paketfilternde Firewall kann verdächtige Kombinationen erkennen und sie abfangen.
Sie lässt beispielsweise bestimmte Datentypen passieren, wenn diese von einer internen und damit als sicher eingestuften Adresse kommen und wehrt dieselben Datenformate ab, sobald sie von einer externen IP-Adresse kommen.  
Vorteil: Mit einer solchen Firewall können Sie ein gestaffeltes Schutzkonzept errichten und bestimmte sensible Dienste ausschließlich intern erlauben – etwa den ftp-Download auf Port 21 oder die Computer-Fernwartung via Remote Desktop Protocol (RDP) über Port 3389. 
Nachteil: Der Paketfilter erkennt professionell getarnte Angriffe über vermeintlich harmlose Ports nur schwer. Hierfür sind intelligentere Firewall-Mechanismen notwendig. 

Proxy-Firewall 

Eine Firewall kann die Funktion eines sogenannten Proxy (Englisch für: „Stellvertreter:in“) übernehmen. Ein solcher Proxyserver verschleiert bei allen ausgehenden Datenpaketen aus Ihrem Firmennetz die IP-Adressen der Absender:innen. Sie stellt damit ein sogenanntes Gateway (englisch für „Durchgangstor“) zwischen internen und externen Sendern und Empfängern dar und wird daher auch als Gateway-Firewall bezeichnet.
Jedes Datenpaket im Internet enthält bekanntlich die IP-Adressen von Empfänger- und Absender-Computer. Hacker:innen nutzen dies gerne aus, um Datenpakete abzufangen und die darin vermerkten IP-Adressen gezielt anzugreifen. Einige Webseiten im Internet dienen sogar ausschließlich dazu, die IP-Adressen ihrer Besucher:innen zu sammeln. 
Daher ersetzt Ihr Proxy in allen Datenpaketen, die er aus Ihrem Firmennetz in das Internet weiterleitet, die individuellen IP-Adressen der Absender-Computer durch seine eigene, öffentliche IP-Adresse. Dies ist die einzige IP-Adresse, die Externe von ihrem Firmennetz überhaupt sehen können. Diese öffentliche IP-Adresse des Firmennetzes ist damit auch Zieladresse für alle eingehenden Datenpakete.  
Der Proxy führt Ihre Abfragen im Internet sozusagen stellvertretend für Ihren eigenen Computer aus und leitet die entsprechenden Antworten aus dem Internet dann intern an Sie weiter. Sie merken dabei im Idealfall nicht, dass ihre Daten über einen Proxy umgeleitet werden.  
 Infografik zur Funktionsweise eines Proxyservers.
Ein Proxyserver verhindert, dass interne IP-Adressen in das Internet übermittelt werden und schützt Computer so vor gezielten Attacken gegen deren individuelle IP-Adressen.
Ein Proxyserver ist also gewissermaßen ein Anonymisierungsprogramm für Ihre internen IP-Adressen. Weil nur die IP-Adresse des Proxy in allen Datenpaketen aus Ihrem Firmennetz erscheint, richten sich auch alle Angriffe gegen bekannte IP-Adressen automatisch immer nur gegen diesen Proxycomputer. Auf ihm sind jedoch üblicherweise keine wertvollen Firmendaten gespeichert. Außerdem ist ein Proxycomputer in der Regel durch entsprechende Software besonders gut gegen Angriffe geschützt. Eine Proxy-Firewall kann außerdem solche Anfragen aus dem Internet erkennen und abwehren, die versuchen Ihren Proxy zu umgehen.
Eine Proxy-Firewall analysiert bei eingehenden Datenpaketen aber nicht nur deren Header, sondern auch den eigentlichen Paketinhalt. Dieses Verfahren heißt Complete Packet Inspection oder auch Deep Packet Inspection (DPI). Eine Proxy-Firewall kann also beispielsweise Trojaner erkennen, die in Datenpaketen versteckt sind – und somit als „vorgeschalteter“ Virenscanner fungieren. 
Um das zu erreichen, kommen sogenannte Application-Gateways oder Application-Gateway-Firewalls zum Einsatz. Sie liegen in der Regel auf separaten Servern, da die Anforderungen an die Leistungsfähigkeit der Hardware für diese zusätzliche Prüfung enorm sind. Durch dieses zusätzliche Konstrukt ist die Proxy-Firewall in der Lage, auch auf Anwendungsebene schädlichen von nicht schädlichem Traffic zu unterscheiden. Die Proxy-Firewall fängt eingehende Anfragen ab, prüft diese im Application-Level-Gateway und leitet sie weiter oder blockiert sie.  
Vorteil: Die Proxy-Firewall tritt im Gegensatz zur klassischen Firewall als eigenständiger Kommunikationspartner auf. So „kennt” sie auch die Anwendungsebene und die dort verwendeten Protokollsysteme. Sie handelt somit nicht strikt nach festgelegten Regeln für jeden Port, sondern bezieht auch die kommunizierende Anwendung mit ein. Außerdem ist sie in der Lage, Anomalien bei der Verwendung gängiger Übertragungsprotokolle zu erkennen. 
Nachteil: Die Proxy-Firewall beansprucht viel Rechenkapazität. Für die tiefergehende Untersuchung von Paketinhalten benötigt sie insbesondere in größeren Netzwerken eine sehr leistungsfähige Hardware. 
Infografik zu Aufbau und Versand eines Datenpaketes.
Kriminelle manipulieren Adressen von Datenpaketen oder setzen die Paketlänge herauf, um unauffällig Schadcode anzuhängen.

Stateful-Inspection-Firewall 

Der Begriff Stateful Packet Inspection (SPI) – auf Deutsch so viel wie: „zustandsbezogene Paketprüfung“ – beschreibt eine besondere Form der Plausibilitätsprüfung für Datenpakete in Netzwerken.
Hintergrund hierfür ist, dass es im Internet sowohl zustandslose als auch zustandsbehaftete Protokolle für die Datenübertragung gibt. Bei zustandsbehafteten Protokollen wird immer zuerst eine Verbindung zwischen beiden Endstellen ausgehandelt, bevor die eigentlichen Nutzdaten fließen. Hierbei wird in der Regel auch eine eigene Session-ID ausgehandelt – eine Identifikationsnummer für die jeweilige Sitzung. Eine solche zustandsbehaftete Verbindung besteht immer so lange, bis sie von einer Seite beendet wird oder nach einiger Zeit automatisch abläuft. 
Bei zustandslosen Netzwerkprotokollen hingegen tauschen zwei Computer direkt ihre Daten aus, ohne dass vorher eine Verbindung (Session) ausgehandelt wurde. Eine solche zustandslose Verbindung besteht also nur aus einer Anfrage und einer Antwort.  
Ein bekanntes Beispiel für eine zustandslose Verbindung ist das sogenannte Hypertext Transfer Protocol (http) für Internetseiten: Um eine Internetseite von einem Webserver herunterzuladen, müssen Sie vorher keine Datenverbindung mit diesem Server vereinbaren. Sie schicken einfach mit Ihrem Browser eine Seitenadresse und erhalten als Antwort die entsprechende Webseite.  
Bei Ihrem nächsten Zugriff auf diesen Webserver wäre Ihr Computer für die Gegenseite dann wieder neu und unbekannt. Daher arbeitet das http auch mit sogenannten Cookies, in denen Sie gewisse Einstellungen für Ihren nächsten Besuch einer Website auf Ihrem eigenen Computer speichern.  
Zustandsbehaftete Verbindungen können von einer Firewall mittels Stateful Packet Inspection besonders geschützt werden. So prüft Ihre Firewall bei jedem eingehenden Datenpaket per File Transfer Protocoll (ftp), ob es dazu überhaupt eine aktuelle Datenverbindung mit Session-ID gibt.  
Ist dies nicht der Fall, kann das Datenpaket somit auch nicht von Ihrem Computer angefordert worden sein. Es muss also eine Fälschung sein und die Firewall verwirft es oder verschiebt es in einen Quarantäneordner. 
Vorteile: 
  • gute Performance im Alltag 
  • eine intelligente und präzise Arbeitsweise bei der Paketfilterung 
  • Vorteile bei der Abwehr bekannter Schadensquellen 
Nachteil: Es kann zu einer möglichen falsch-positiven Identifikation von Datenverkehr kommen, also einem fälschlichen Einstufen einer Kommunikation als vertrauenswürdig. Ist dies der Fall, leitet die Stateful-Firewall die nachfolgenden Datenpakete einfach durch. Das macht sie vergleichsweise anfällig für DDoS-Angriffe, da sie jedes eingehende, nicht vertrauenswürdige Paket zunächst ausführlich prüft.  
Eine stets aktuelle und korrekte Konfiguration der Stateful-Firewall ist also grundlegend dafür, dass sie optimal arbeiten kann. Dadurch ist sie relativ teuer im Betrieb, wenn es um die Absicherung von Rechnerverbünden geht. Abhilfe können hier jedoch ein Application-Layer-Gateway auf separater Hardware oder eine cloudbasierte Firewall schaffen. 
Eine besondere Variante der Stateful Inspection ist die Multilayer Inspection Firewall, die den Ablauf von Transaktionen über mehrere Schichten des IP-Protokolls betrachtet. 

Next-Generation-Firewall

Wie der Name bereits andeutet, ist eine Next-Generation-Firewall (NGFW) eine neue Generation klassischer Firewall-Typen. Ihre Funktionsweise geht weit über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus.  
Genau wie eine Proxy- und Stateful-Firewall analysiert eine NGFW die ein- und ausgehenden Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch. Sie unterliegen also einer fortlaufenden Anpassung. 
Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln, ist die Tatsache, dass ein Großteil des Datenverkehrs im Internet inzwischen über den https-Port 443 für sichere Webseiten abläuft – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen.  
Wer nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen freigibt, lässt bei fehlenden weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch – was unbedingt zu verhindern ist. 
Trotzdem überprüft eine Next-Generation-Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig überwacht das NGFW-System das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht. Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen ab, wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und ähnlichem. Gängige (weitere) Funktionen von NGFW sind: 
  • SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, anders als bei bei SSL- und TLS-Übertragungen. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen. 
  • Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos ausführt und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen. 
  • Bandbreiteneinschränkungen: Dieser Mechanismus schränkt die verfügbare Internetbandbreite für bestimmte Dienste oder Anwendungen ein. So erschwert eine NGFW-Firewall beispielsweise, dass Computer oder Netzwerke per DDoS gezielt mit einer Fülle von Anfragen lahmgelegt werden, oder ein gekaperter Zombie-Computer aus dem eigenen Netz eine Vielzahl von Spam-Mails versendet. 
Der NGFW-Ansatz entwickelt sich fortlaufend weiter. Derzeit passen Entwickler:innen ihn vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen an. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen. 
Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche aktuelle Bedrohung stellen dabei sogenannte „Advanced Persistent Threats“ (APT) dar. Bei dieser Angriffsform investieren einzelne Hacker:innen oder ganze Gruppen erheblichen, teils manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs. 
Vorteil: NGFW vereinen die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert. 
Nachteil: NGFW sind nicht immer einfach zu konfigurieren, zu administrieren und zu aktualisieren. Eine Ausnahme sind Managed-Services, also solche unter „fremder“ Verwaltung. Solche Systeme sind auch als UTM-Lösungen bekannt. 
 Ein Androide im Bildhintergrund tippt mit dem Zeigefinger seiner linken Hand auf ein Schutzschildsymbol mit einem Schlüsselloch im Vordergrund.
Firewalls mit künstlicher Intelligenz sollen Netzwerke durch das schnellere Erkennen und Auswerten von realen Bedrohungen und Sicherheitslücken schützen

AI-Firewall  

Seit einiger Zeit gibt es erste Firewalls im Handel, die über das dynamische Analysekonzept der Next-Generation Firewall hinausgehen und deren Technologien mit künstlicher Intelligenz (KI) kombinieren. Dies ist auch eine Reaktion auf die zunehmende Beliebtheit von KI unter Cyberkriminellen. Hierauf müssen moderne Sicherheitsstrukturen eine Antwort finden. 
Grundsätzlich bieten NGFW bereits eine gute Basis für den Einsatz von KI, da sie mit veränderbaren Erkennungsparametern und -mechanismen arbeiten. Der Netzwerkspezialist Cisco Systems hat deshalb beispielsweise das Herzstück seiner Firewall-Software, die Encrypted Visibility Engine, in Version 7.4.1 um entsprechende KI-Funktionen erweitert.  
Die verwendete KI soll laut Hersteller auf Basis von weltweit rund 550 Milliarden Security-Vorfällen pro Tag trainiert werden. Eine besondere Stärke könnte hierbei sein, dass sie Lücken für Zero-Day-Exploits schnell schließt. 
Mit Zero-Day-Exploits nutzen Kriminelle Sicherheitslücken in Software aus, die den Softwareherstellern selbst noch nicht bekannt sind. Eine lernende KI könnte in Echtzeit derartige Attacken im Internet mitverfolgen und bei deren erstmaligem Auftreten sofort andere Netzwerke mit der gleichen Lücke dynamisch absichern. 
Eine weitere Stärke von KI ist die bessere Analyse von Datenpaketen auch ohne vollständiges Mitlesen des gesamten Internetverkehrs im Firmennetz. Diese Brute-Force-Strategie beansprucht aber gerade in größeren Firmennetzen sehr viel Rechenleistung. 
Vorteil: Die KI-basierte Firewall ist enorm lernfähig, sodass sie schnell auf neue Gefahren eingehen kann. 
Nachteil: Es gibt noch keine ausreichende Erfahrung mit entsprechenden Systemen. Zudem ist es sehr aufwändig, bei KI-Entscheidungen nachzuvollziehen, auf welcher Basis sie getroffen wurden und wie plausibel sie in der Praxis tatsächlich sind. Zukünftige Schadprogramme könnten gezielt dafür programmiert werden, die Reaktion von KI-Systemen vorherzusehen, um sich so neue Angriffsvektoren zu öffnen.

Unified-Threat-Management-Firewall 

Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass Bedrohungen nur über ein ganzheitliches System wirksam abgewehrt werden können. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und ist eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen. 
Vorteil:  Der UTM-Ansatz ist einfach und schnell umsetzbar:  Expert:innen kümmern sich darum, die entsprechende Lösung bei Ihnen zu implementieren und aktuell zu halten. 
Nachteil: Die meist hohen Kosten. Hier sollten Sie also genau darauf achten, was Sie tatsächlich benötigen und was nicht. 
In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen. 
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Application Gateway Firewall versus Stateful Packet Inspection

Die Portadressen 1 bis 1024 für Datenübertragungen in IP-Netzen sind über einen globalen Standard jeweils bestimmten Datenprotokollen zugeordnet. Sie werden deshalb auch als „Well-known ports“ (englisch für: wohlbekannte Ports) bezeichnet.
Einige Übertragungsprotokolle nutzen jedoch hiervon abweichende oder sogar ständig wechselnde Portnummern. So sucht sich etwa das Real-Time Transport Protocol (RTP) bei jedem Neuaufbau einer Verbindung eine beliebige freie, gerade Portadresse oberhalb der Adressnummer 1024. Für viele Firewalls ist dies ein Sicherheitsproblem. So erwartet eine klassische Stateful-Inspection-Firewall, dass über den Datenport 80 nur Daten im Protokollformat http übertragen werden und eine FTP-Verbindung üblicherweise die Ports 20 und 21 nutzt.
Durch diese fest zugewiesenen Ports weiß eine SPI-Firewall auch, auf welchen Ports sie üblicherweise mit welchen Datenformaten zu rechnen hat. Dadurch kann sie eingehende FTP-Daten auf Port 20 direkt als verdächtig einstufen und verwerfen, wenn zuvor keine vertrauenswürdige FTP-Verbindung über den Port 21 aufgebaut wurde. Denn FTP-Daten aus einer unbekannten Quelle sind bei FTP-Übertragungen nicht vorgesehen.
Kriminelle können dies allerdings ausnutzen, indem sie kompromittierte FTP-Daten über einen anderen Port versenden. Dann weiß die SPI-Datenbank nicht, dass es sich bei den eingehenden Daten um unaufgefordert eingehende FTP-Daten handelt, zu denen es keine legitime FTP-Session gibt.
Hier setzt eine Application Gateway Firewall an. Sie wird auch als Application Layer Gateway (ALG) bezeichnet, weil sie Daten direkt auf der Anwendungsebene (Application Layer) analysiert.
Ein ALG überwacht je nach Konfiguration immer nur bestimmte Anwendungsarten, beispielsweise alle Browser-Downloads im http-Format oder ein- und ausgehenden E-Mail-Verkehr. Das Gateway ist hierbei ähnlich wie eine Proxy-Firewall konzipiert, also als Durchgangstor zwischen dem Server im Internet und dem Client-Computer im lokalen Netz.
Weil der ALG auf Anwendungsebene arbeitet, kann er mitlesen, über welche Ports die einzelnen Programme ihre Verbindungen aufbauen und ihre Datenverkehre abwickeln. Diese Datenverkehre kann es dann entsprechend zielgenau überwachen. Dazu gehört in der Regel auch eine Deep Packet Inspection, bei der das ALG beispielsweise in E-Mail-Daten nach gängigen E-Mail-Trojanern sucht.
Damit ist das ALG eine Unterart der klassischen SPI-Firewall, das dank einer Analyse auf Anwendungsebene das Problem unbekannter Ports für bestimmte Anwendungsarten umgeht. Ein ALG kann als Teil einer vorhandenen Firewall ausgeführt, in größeren Netzen aber auch als eigenständiges Gerät im Serverraum errichtet werden.
Das ALG ist nicht zu verwechseln mit einer Application Firewall oder deren Unterart Web Application Firewall.
Drei verschlossene Vorhängeschlösser auf einer spiegelnden Oberfläche
Ein Application Layer Gateway schützt Datenverkehr auf der Anwendungsebene und kann so auch die passenden Ports zu den jeweiligen Anwendungen zielgenau überwachen.

Sonderform Web-Application-Firewall

Hacker:innen nutzen inzwischen zunehmend Webanwendungen als Angriffsvehikel. Dazu zählen beispielsweise: 
  • Injection-Angriffe (LDAP, SQL) 
  • Cross-Site-Scripting (XSS) 
  • Parameter-Veränderungen 
  • Cookie-Manipulationen 
  • Pufferüberlaufangriffe 
Eine sogenannte Web Application Firewall (WAF) soll vor diesen Bedrohungen schützen. Dabei handelt es sich um eine Firewall auf Anwendungsebene, auf die insbesondere Betreiber großer Webseiten kaum verzichten können. 
Die Funktionsweise ähnelt dem üblichen Firewall-Prinzip: Eine WAF untersucht im Hintergrund fortlaufend sämtliche Anfragen und Antworten des Web-Servers, den sie schützen soll. Inhalte und Anfragen, die verdächtig sind, wehrt die WAF im Idealfall umgehend ab. Um jedoch zuverlässig arbeiten zu können, muss die webbasierte Firewall zunächst eine „Lernphase“ durchlaufen.
Dabei wird mithilfe eines Anwendungs-Sicherheitsscanners (Application Security Scanner) analysiert, welche Aktionen als typisch gelten können und welche nicht. Im laufenden Betrieb wiederum analysieren interne oder externe Administrator:innen fortlaufend die Logdateien des Systems, um verdächtige Aktivitäten und Schwachstellen in der eigenen Konfiguration zu erkennen und zeitnah darauf zu reagieren. 
Vorteil: Die Web Application Firewall bietet zusätzlichen Schutz vor gängigen Bedrohungen im Web. Dieser Schutz gilt auch für Systeme, die selbst keine Updates mehr erfahren, aber im Hintergrund einer Webseite weiterhin aktiv sind. 
Nachteil: Eine WAF schützt primär auf der Anwendungsebene, also vor allem gegen Angriffe gegen Webapplikationen, etwa mittels Eingabe von Schadcode in Webformulare (Cross-Site-Scripting). Sie ist aber keine vollumfängliche Firewall für das dahinter liegende Firmennetz. Ein solcher ausschließlicher Einsatz würde für eine trügerische Sicherheit sorgen und Lücken für Hackingattacken offen lassen.  
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Sonderform Firewall-as-a-Service

Das Prinzip der Firewall-as-a-Service („Firewall als Dienstleistung“ oder kurz FwaaS) verlagert die Firewall dorthin, wo heute der größte Teil der unternehmenseigenen Daten und Anwendungen verortet ist: in die Cloud. Auf Basis einer Cloud-Firewall stellt das Prinzip erweiterte NGFW-Funktionen für alle angebundenen Rechner zur Verfügung.
Dieses recht neue Modell ist spätestens seit der vermehrten Nutzung von Remote Work und hybriden Arbeitsmodellen nötig geworden, in dessen Zuge sich Geschäftsprozesse aus dem Unternehmensnetzwerk in die Cloud verlagert haben. Ursprüngliche Next-Generation-Firewalls sind auf Unternehmensservern installiert und weisen häufig keine ausreichende Skalierbarkeit in Bezug auf cloudnative Anwendungen auf. Zudem können sie das hohe Verbindungsvolumen in der Cloud aus dem Rechenzentrum des Unternehmens heraus nur schwer bewältigen. Hohe Latenzzeiten sind die Folge.
Wollte man herkömmliche Sicherheitsansätze auf die veränderten Arbeitsmodelle übertragen, müssten diese an jedem einzelnen Standort beziehungsweise auf jedem genutzten Gerät vorhanden sein. Dies würde Homeoffice-Arbeitsplätze und Mobilgeräte einschließen und wäre weder vom Aufwand noch von der notwendigen Logistik her zu rechtfertigen.
Vorteile: Eine FWaaS-Lösung stellt Sicherheitsfunktionen auf allen sieben Schichten als Cloud-Service bereit und kann sehr einfach auf die Anwendungen und Nutzer:innen eines Unternehmens zugeschnitten werden. Weitere Vorteile von Firewall-as-a-Service sind zudem eine effektive SSL-Überprüfung – in Zeiten des zunehmenden verschlüsselten Datenverkehrs ein immer wichtigerer Aspekt – sowie verzögerungsfreie Übertragungen auch bei vielen Zugriffen auf die Cloud. 
Nachteil: FwaaS gibt es nur als Mietmodell für Cloudspeicher. Daher benötigen Sie unter Umständen eine separate Firewall-Lösung für Ihre On-Premises-Anwendungen und das lokale Unternehmensnetzwerk. 
Noch umfassenderen Schutz bietet eine umfassende SIEM/SOAR-Lösung. Die Abkürzung SIEM steht für „Security Information and Event Management”. Dahinter steht die unternehmensweite Erfassung aller sicherheitsrelevanten Informationen und Ereignisse und deren Analyse. So liest ein SIEM-System intern alle relevanten Log-Dateien über Systemgrenzen hinweg in Echtzeit mit. Das können sowohl die Logbücher von IoT-Gerätekonten sein, aber auch das Logfile der digitalen Zutrittskontrolle für das Firmengelände oder eine Übersicht der Anmeldeversuche ins Firmennetz per VPN. 
Das SIEM erkennt darin Gemeinsamkeiten und Auffälligkeiten, beispielsweise ungewöhnlich viele Anmeldeversuche bei unterschiedlichen internen Mailkonten und einen zeitgleichen Penetrationsversuch über die Proxyfirewall. Das SIEM-System fasst diese Informationen in einem Bericht zusammen und liefert darauf aufbauend Handlungsempfehlungen für die IT-Abteilung.
Die Abkürzung SOAR steht für „Security Orchestration, Automation and Response”. Dies beschreibt die unternehmensweite Zusammenfassung (Orchestrierung) von Sicherheitswerkzeugen, sowiedie automatische Reaktion (Automation and Response) auf damit erkannte Cybergefahren.
Erste Maßnahmen eines SOAR können beispielsweise darin bestehen, Netzwerkports oder Zugangskontrollsystemen proaktiv abzuschalten; und IP-Adressräume zu blockieren, die als gefährlich identifiziert wurden.In weiteren Schritten könnte das SOAR dann etwa die Rechte bestimmter Benutzergruppen einschränken.
Das SOAR hält sich bei allen Schritten an ein hierfür erstelltes, sogenanntes Playbook. Das ist ein von Sicherheitsexpert:innen vorab erarbeiteter Schritt-für-Schritt-Leitfaden, der alle aufeinander aufbauenden Schutz- oder Wiederherstellungsmaßnahmen für unterschiedliche Gefahrenszenarien auflistet. 
Ein anderer Begriff für SIEM/SOAR-Ansätze lautet Managed Detection and Response-Prinzip (MDR). 
Eine lächelnde Frau trägt ein Headset

Jetzt zum Thema Cyber Security informieren

Sie haben Fragen zum Thema Cyber Security? Stellen Sie die IT-Sicherheit in Ihrem Unternehmen in den Mittelpunkt. Gerne helfen unsere Expert:innen Ihnen kostenlos weiter:

0800 5054539

Montag bis Freitag, 8 bis 18 Uhr (außer an Feiertagen)

Das Wichtigste zum Thema Firewall-Arten in Kürze

Eine Firewall sichert Ihr internes Firmennetzwerk gegen Angriffe von außen ab und ist ein wesentlicher Bestandteil jedes IT-Sicherheitskonzepts. Anbieter sowie Standardisierungsgremien haben Firewalls über die Jahre fortlaufend technologisch weiterentwickelt und an die veränderte Bedrohungslage im Internet angepasst. Dabei unterscheiden sich Firewall-Systeme hinsichtlich ihrer Entwicklungsstufen, Einsatzgebiete sowie ihres Leistungsumfangs: 
  • Eine reine Port-Firewall schützt ein- und ausgehende Verbindungen, indem sie bestimmte Ports blockiert oder freischaltet. 
  • Eine Proxy- oder Gateway-Firewall fungiert als zwischengeschaltetes Stellvertreter-System und kann Datenpakete auch auf Anwendungsebene untersuchen. 
  • Eine Stateful-Firewall sichert die ein- und ausgehende Kommunikation auf Basis von geprüften Sitzungen und vertrauenswürdigem Datenverkehr ab. 
  • Die Next-Generation-Firewall (NGFW) ist in der Lage, bestimmte Aspekte des Datenverkehrs zu überwachen, beispielsweise das typische Nutzungsverhalten.  
  • Mittels künstlicher Intelligenz lernt eine AI-Firewall neue Bedrohungen kennen und entwickelt dagegen eigenständig und sehr zeitnah Abwehrmaßnahmen. 
  • Die AI erarbeitet sich mithilfe von künstlicher Intelligenz Erkennungsmuster auch für bisher unbekannte Angriffsstrategien. 
  • Mithilfe von Unified Threat Management (UTM) sichern sich Unternehmen mit einer ganzheitlichen, verwalteten Sicherheitslösung gegen Bedrohungen von außen ab. NGFW und UTM sind dabei eng verwandt. 
  • Eine Web Application Firewall wiederum kennt typische Nutzungs- und Bedrohungsszenarien in webbasierten Systemen und schützt somit Webanwendungen gezielt vor Bedrohungen. 
  • Eine AI-Firewall arbeitet mit künstlicher Intelligenz (Artifical Intelligence). 
  • Ein Unified Threat Management(UTM) wird häufig als Dienstleistung angeboten. 
  • Eine Web Application Firewall (WAF) schützt speziell Webserver mit den darauf laufenden Webanwendungen. 
  • Firewall-as-a-Service ist eine virtualisierte Firewall, die im Paket mit Cloudspeicher angeboten wird.
Das könnte Sie auch interessieren:
Security
Eine Person ist über Linien im Boden mit einem Netzwerk und einer Cloud verbunden. Über der Verbindung schwebt ein Schutzschild.

Web Application Firewalls (WAF) einfach erklärt

Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen. Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern. Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort