Mythos 1 Mit einer Firewall bin ich vor Internet-Gefahren sicher
Wer glaubt, mit einer Firewall allein genug für die Sicherheit getan zu haben, der irrt sich. Ganz im Gegenteil: Ein Anwender kann sich dadurch in falscher Sicherheit wiegen und leichtsinnigerweise in Ecken des Internets vorwagen, die er normalerweise nie ansurfen würde.
Tatsächlich filtert die Firewall nur den Netzwerkverkehr. DVD- und USB-Laufwerke bleiben nicht zu unterschätzende Einfallstore. Das beweist der Wurm Conficker, der sich über diese Medien erstaunlich rasant verbreitet hat. Die Firewall ist außerdem machtlos gegen klassische Vireninfektionen: Wenn ein Schädling heruntergeladen und gestartet wurde, kann er sich im Internet Explorer einnisten und mit der Online-Berechtigung des Tools die Firewall austricksen.
Konsequenz: Ergänzen Sie Ihre Firewall unbedingt mit einer Antiviren-Software, etwa dem kostenlosen Antivir Personal Free 9.0 (für Windows XP, Vista und 7). Runden Sie den Schutz des PCs durch regelmäßige Updates aller Programme und durch kritisches Anwenderverhalten ab.
Mythos 2: Der Stealth-Modus macht mich unsichtbar
Der Stealth-Modus, der in manchen Firewalls integriert ist, suggeriert Unsichtbarkeit und damit völligen Schutz vor Angreifern. Die Realität sieht anders aus: Der Stealth-Modus schweigt zwar bei Ping-Anfragen. Aber wenn ein Hacker keine Antwort auf seine Anfrage bekommt, weiß er, dass dort ein Rechner existieren muss, der seine Anfrage verworfen hat. Denn wenn sich kein PC hinter einer bestimmten IP-Adresse befindet, antwortet die entsprechende Netzwerkstelle mit „Destination unreachable“ („Ziel nicht erreichbar“).
Konsequenz: Schalten Sie den Stealth-Modus in der Firewall ab.
Mythos 3: Die Hardware-Firewall ist besser als die Software-Firewall
Genau genommen ist die Unterscheidung zwischen Hardware- und Software-Firewall falsch. Denn auch auf einer Hardware-Firewall läuft Software. Meist ist das ein Linux-basiertes Betriebssystem mit einem Paketfilter. Wie jedes andere System kann auch dieses Sicherheitslücken haben und angreifbar sein. Tatsächlich mussten schon mehrere Anbieter einer Hardware-Firewall Updates bereitstellen, da ihre Betriebssysteme gefährliche Lücken hatten.
Die Stärke von Hardware-Firewalls liegt woanders: Sie arbeiten im Gegensatz zu einer Desktop-Firewall völlig getrennt vom PC. Sie kommen damit der Anforderung an eine Firewall, zwei Netzwerke zu trennen, besser nach (siehe Kasten).
Konsequenz: Den besten Schutz bekommen Sie durch die Kombination aus Hardware-Firewall (etwa per DSL-Router) und Desktop-Firewall (etwa Zone Alarm Free, Version 7.0 für Win XP und 7.1 für Vista, gratis).
FIREWALL-FAKTEN Das leisten die Programme wirklich
So arbeitet eine Firewall: Sie trennt zwei Netzwerke
Eine Firewall trennt zwei Systeme voneinander. Bei Privatanwendern sieht das in der Regel so aus: Auf der einen Seite befindet sich das Internet, auf der anderen der eigene PC. Die Firewall platziert sich dazwischen: entweder in Form eines DSL-Routers, etwa der verbreiteten Fritzbox, oder als Desktop-Firewall auf dem PC selbst. Idealerweise ist beides vorhanden – die Schutzfunktionen von Hardware-Box und Desktop-Firewall ergänzen sich.
Darum brauchen Sie eine Firewall: Nur so bleiben Würmer draußen
Eine Firewall bietet Schutz gegen gefährlichen Code. Sie blockt alle unerwünschten Anfragen aus dem Internet ab und sperrt damit die Schädlinge aus, etwa Würmer. Das gelingt ihr auch bei Windows-Sicherheitslücken, für die noch keine Updates bereitstehen. Eine Desktop-Firewall, die direkt auf Ihrem PC läuft, arbeitet zudem als Anwendungsfilter – das heißt: Sie benachrichtigt Sie jedesmal, wenn ein Programm online gehen will, dem Sie das zuvor nicht ausdrücklich erlaubt haben. Vor allem aber ist diese Funktion das letzte Bollwerk: Sollte sich ein Schad- oder Spionageprogramm am Antiviren-Tool vorbeigeschmuggelt haben, werden Sie darauf aufmerksam, sobald es Kontakt mit dem Internet herstellen will.
Schwächen einer Firewall: Viren hebeln den Schutz aus
Es tauchen immer wieder Schädlinge auf, die den Schutz umgehen und hintenherum Daten ins Internet senden. Beispielsweise nehmen die Viren mit den Rechten des Internet Explorers Verbindung zum Web auf. Andere Viren können die Firewall komplett beenden und löschen, um anschließend ungestört Daten ins Internet zu senden.
Schließlich besteht noch die Gefahr, dass die Firewall fehlerhaft konfiguriert ist und somit ihre Schutzfunktion nicht erfüllen kann.
Mythos 4: Eine aktive Firewall muss dauernd Angriffe melden
Viele Desktop-Firewalls melden per Pop-up, wenn sie Datenpakete verwerfen, die ankommen, ohne dass sie zuvor von einem Programm angefordert wurden. Die Pop-ups erscheinen als Warnung, teils sogar mit Signalton.
Doch diese Warnungen sind fast immer überflüssig: In den meisten Fällen sind die gemeldeten Pakete nur die Antworten auf Anfragen, die eins Ihrer Tools – etwa der Browser – generiert hat, die der Firewall aber entgangen sind. Wer sich zudem für eine Online-Verbindung neu einwählt, bekommt eine IP-Adresse, die eventuell kurz zuvor an einen anderen PC vergeben war und an die noch Pakete gesendet werden.
Außerdem: Hacker durchsuchen das Internet laufend automatisiert nach verwundbaren Rechnern. Sie überprüfen per Ping, welche Rechner eingehende Verbindungen zulassen, indem sie ganze IP-Adressbereiche scannen. Genauso gehen etliche Würmer vor. Auch solche Scans lösen bei einer mitteilungsfreudigen Firewall eine Warnung aus.
Konsequenz: Deaktivieren Sie die Meldungen – meist bietet die Firewall diese Option an.
Mythos 5: Geschlossene Ports erhöhen die Sicherheit
Grundsätzlich bedeuten weniger offene Ports weniger Angriffsfläche. Es gibt aber eine Methode, mit der sich geschlossene Ports umgehen lassen: Beim so genannten Tunneln schickt der Anwender über einen offenen Port dienstfremde Daten, die eigentlich nicht für die Übertragung über diesen Port vorgesehen sind. Um den Netzwerkdienst des Ports auszutricksen, hat der Anwender die Daten vorher in dessen Format konvertiert.
Dazu ein Beispiel: Fast immer ist der Port 80 für das HTTP-Protokoll offen. Über einen solchen HTTP-Tunnel lassen sich auch FTP-Daten austauschen, obwohl der FTP-Port (21) geschlossen ist. Die FTP-Daten wurden dafür in ein HTTP-Protokoll eingebettet. Besonders beliebt fürs Tunneln sind Verbindungen über HTTPS (Hypertext Transfer Protocol Secure). Die darin integrierte Verschlüsselung verhindert, dass die Firewall die verschickten Daten bewerten und eventuell abblocken kann. Viele Filesharing-Programme, mit denen sich Musik, Filme und andere Dateien übers Internet tauschen lassen, tunneln die Daten über Port 80, da ihr Standard-Port in vielen Firmen blockiert ist.
Allerdings müssen für einen Tunnel beide Seiten der Verbindung entsprechend konfiguriert sein. Ist auf einem PC keine Tunnel-Software aktiv, kann ein Angreifer von außen diese Lücke nicht nutzen.
Konsequenz: Mit der Firewall die Ports dicht zu machen ist in jedem Fall sinnvoll. Wichtiger ist aber, dass Sie keine Online-Programme – etwa einen FTP-Server – laufen haben, die Sie nicht benötigen. Die Tools aber, die Sie brauchen, sollten Sie stets mit Updates versorgen.