Serie Virenschutz: Firewalls

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich im letzten Artikel Antivirenprogramme gründlich auseinandergenommen habe, erwartet die „Personal Firewalls“ hier ein ähnliches Schicksal. Der Artikel bezieht sich auf typische Heimcomputer und Firewall-Software. In Firmennetzen machen (separate, richtige) Firewalls durchaus Sinn.

Firewalls dienen dazu, Netzwerkverbindungen zu verhindern und so verwundbare Dienste vor Angriffen zu schützen oder unerlaubte Datenübertragung durch Programme zu blockieren. Dabei gibt es – vereinfacht gesagt – zwei Arten von Verbindungen: Eingehende und Ausgehende. Das kann man sich wie beim Telefon vorstellen – der Computer kann jemanden anrufen oder angerufen werden, in jedem Fall kann man nach einem Verbindungsaufbau in beide Richtungen sprechen.

Computerprogramme nehmen oft Verbindungen entgegen, z. B. um darüber Dateien anzubieten. Wenn diese Programme nun Sicherheitslücken aufweisen, können Viren von Außen eine Verbindung zum Programm aufnehmen, die Lücke ausnutzen und so in den Rechner kommen. „Blaster“ und „Sasser“ haben sich auf diese Art verbreitet. Deswegen gilt: Je weniger Programme von Außen erreichbar sind, desto besser. Am sichersten ist es, solche Programme gar nicht erst zu starten – bei einigen Systemdiensten ist das aber nicht so einfach.

Für Systemdienste kann man als Fortgeschrittener oft aber die „Bindung“ an ein Netzwerkgerät entfernen: In der Liste der Netzwerkverbundungen rechtsklickt man auf das Gerät, wählt Eigenschaften – und wirft unnötige Häkchen raus. Die Datei- und Druckerfreigabe zum Beispiel braucht man nur, wenn man Dateien des eigenen Rechners für andere freigeben will. Zu guter Letzt kann man aber eingehende Verbindungen auch verhindern, indem man sie per Firewall sperrt. Da man meist unter Windows Probleme damit hat, alle Programme davon abzuhalten, eingehende Verbindungen anzunehmen, kann die Firewall-Lösung hier hilfreich sein.

Auch ältere Trojaner haben mit eingehenden Verbindungen gearbeitet: Sie warten auf eine eingehende Verbindung, und wenn jemand sich zum Trojaner verbindet, kann er den Rechner fernsteuern und Daten kopieren. Davor schützt eine Firewall auch, wenn der Trojaner sie nicht vorher abschaltet. Allerdings nutzen moderne Schadprogramme geschicktere Wege statt eingehender Verbindungen.

Dazu sollte man zunächst wissen: Die meisten Nutzer, welche daheim das Internet nutzen, benutzen einen Router. Nutzt man einen Rechner ausschließlich an einem Router, muss man sich um eingehende Verbindungen eher weniger Sorgen machen – die werden von den Routern normalerweise blockiert, solange der Nutzer sie nicht ausdrücklich freigibt oder der Router UPnP eingeschaltet hat und der eigene Computer die Verbindung aktiv anfordert.

Windows (ab XP SP2) hat bereits eine gute eingebaute Firewallsoftware. Diese blinkt nicht, stört nicht, verwirrt nicht mit seltsamen Meldungen – und wird gerade deswegen oft als schlecht abgetan. Im Gegensatz zu vielen anderen Produkten schützt sie aber schon beim Hochfahren, ist im Betriebssystem verankert und macht keine Probleme. Sie blockiert nur eingehende Verbindungen. Ausnahmen können leicht definiert werden, beim ersten Start von Netzwerkprogrammen wird man gefragt, ob man eingehende Verbindungen zulassen möchte. Einige Ausnahmen sind vordefiniert – das kann man ausschalten: Systemsteuerung – Windows-Firewall, Registerkarte „Ausnahmen“.

Ausgehende Verbindungen blockiert die Windows-Firewall nicht. Diese Verbindungen muss man nur blockieren, wenn man bereits laufende Programme daran hindern möchte, Verbindungen aufzubauen. Das ist in der Regel nicht nötig, und selbst wenn, weiß man als Normalnutzer nicht, was man zulassen und was man blockieren soll. Normalnutzer blockieren daher typischer entweder alles, oder geben alles frei. In einem Fall wundern sie sich dann, dass einige Programme nicht richtig laufen (und Updates nicht funktionieren!), im anderen Fall bietet die Firewall keinen weiteren Schutz. Darüber hinaus können geschickte Trojaner legitime, in der Firewall freigegebene Programme missbrauchen, um ins Internet zu kommunizieren.

Ein Virus oder Trojaner, der sich auf dem Rechner einnistet, kann technisch gesehen in den meisten Fällen die Firewall einfach ausschalten – sofern er so programmiert wurde. Da sich nicht alle Malwareentwickler diese Mühe machen, kann eine Firewall tatsächlich verhindern, dass ein Trojaner ins Netz kommuniziert. Allerdings sollten Schutzmaßnahmen zum Ziel haben, zu verhindern, dass der Trojaner überhaupt zum Zug kommt. Wenn man sich was eingefangen hat, ist es meist eh zu spät.

Für den typischen Normalnutzer macht das Blockieren ausgehender Verbindungen keinen Sinn. Es kann aber zu ziemlichen Problemen führen, wenn ein Programm plötzlich nicht kommunizieren kann.

Ein Beispiel für eine Firewall-Software ist ZoneAlarm. Diese wird oft kritisiert, da sie viele Probleme verursachen soll. Ich hatte vor Jahren die kostenlose Version einige Zeit im Einsatz und war erfreut darüber, wie einfach und gut sich das Programm konfigurieren lässt, und hatte auch keine Probleme – weil ich wusste, was ich wie einstellen muss und will. Ich habe aber auch ein Netzwerk mit fast 200 Nutzern betreut, die dort ihre Privatrechner hatten. Wenn jemand nicht auf den Server kam, war die erste Frage „Ist Zonealarm installiert?“, meist gefolgt von „Ja“ und „Dann schmeiß es runter und mach die Windows-Firewall an“, womit das Problem behoben war. Ein normaler Nutzer kann es nicht richtig konfigurieren, und dann macht es Probleme. (ZoneAlarm soll wohl noch Programmierfehler enthalten, die auch bei richtiger Konfiguration absurde Probleme machen können, viele Probleme mit ZoneAlarm sind aber durch die Nutzer verursacht.)

Solche Konfigurationsfehler macht ein normaler Anwender auch mit anderer Software. Die bereits bei den Antivirenprogrammen erwähnten „gelben Schachteln“ von Norton/Symantec können auch Firewallsoftware enthalten (z. B. als „Internet Security“) und machen auch damit liebend gerne Schwierigkeiten – ohne nennenswerten Mehrwert. Die zu Internetanschlüssen oft für einen Monatsbeitrag angebotenen „Sicherheitspakete“ sind meist Norton/Symantec-Software. Selbst wenn so ein Paket kostenlos/inklusive sein sollte, würde ich einen Bogen darum machen.

Die allgemeinen Nachteile, die ich bei der Antivirensoftware schon genannt hatte (neue Verwundbarkeiten, bremst System, frisst Speicher) kommen zu den durch fehlkonfigurierte Firewalls oft verursachten Fehlern noch dazu.

In der Bemühung, einen (angeblichen) Mehrwert zu bieten, haken sich immer mehr Programme zum Beispiel in den Browser ein, und markieren Suchergebnisse nach sicher und unsicher. Nicht nur dass diese Erkennung nicht sonderlich zuverlässig ist, sie bremst auch den Browser und kann lustige Probleme verursachen, die man lange sucht.

Um klarzumachen, wie wichtig die Firewalls sind, nerven sie oft mit Anzeigen, wie viele Angriffe gerade abgewehrt werden, um dem Kunden klarzumachen, dass er die Firewall (und ihre kostenpflichtigen Aktualisierungen) weiter braucht. Diese Anzeigen sind meist völliger Unsinn – es werden Dinge angezeigt, die keine ernsthafte Gefahr darstellen.

Wer die eingebauten Kindersicherungen toll findet, die kleine Kinder von bösen Pornoseiten fernhalten sollten, sollte die Idee schnell vergessen. Das funktioniert nicht. Zu viel Schund bleibt weiter erreichbar, und viel zu viele legitime Seiten werden gesperrt. Mal abgesehen davon dass der Nachwuchs sich oft besser mit dem System auskennt und gute Chancen hat, die Sperre zu umgehen oder auszuschalten. Eine Software kann keine Eltern ersetzen, die das Kind im Internet begleiten.

Fazit: Die Windows-Firewall hat alles, was man in der Regel benötigt. Sie kostet nichts, nervt nicht und macht einfach ihren Job. Es ist nicht sinnvoll, viel Geld für irgendwelche kommerziellen „Internet Security“-Pakete auszugeben – und mit einem langsamen Rechner und ständigen Warnmeldungen dafür belohnt zu werden. Wer mir nicht glaubt, schaue z. B. in dieser c’t-FAQ unter „Firewall“. (Die Einschätzung zu sicheren Browsern teile ich nur teilweise)

  1. 2010-02-28 um 15:19 UTC

    Absolute Zustimmung. Vor etwa 2 Jahren habe ich meine Praxistests mit Zonealarm & Co. hier anschaulich zusammengefasst: http://www.oberthal-online.de/pfw.html
    Das meiste davon trifft auch heute noch auf die aktuellen Versionen zu und bestätigt bebildert, was Jan hier sehr verständlich beschreibt.

    Gruß,
    Forenwanderer

  1. 2010-03-01 um 01:00 UTC
  2. 2010-03-01 um 01:06 UTC
  3. 2010-03-01 um 01:08 UTC

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: