Foto: fotolia/shamrock
Neben diversen Security-Anwendungen, die vor Spam und Viren schützen, gehört die Firewall ohne Zweifel zu den bekanntesten Sicherheitsmaßnahmen. Wird der Sinn und Zweck der "großen" Firewalls am Eingang des Firmennetzwerks in der Regel nicht diskutiert, so scheiden sich die Geister an den sogenannten Desktop-Firewalls, die direkt auf den Systemen der Anwender installiert werden.
In den Sicherheitsforen und -Blogs wird immer wieder darüber diskutiert, wie nützlich die Desktop-Firewalls auf Software-Basis sind: Ein "harter Kern" von Gegnern dieser Programme hebt dabei häufig hervor, dass ein Einsatz mehr Schaden als Nutzen bringen würde. Grund: Die Anwendungen würden die Anwender in falscher Sicherheit wiegen und sie zudem mit viel zu vielen unverständlichen Benachrichtigungen dazu verleiten, im Zweifelsfall immer auf "Ja" zu klicken.
Die Windows-Firewall: Ein langer Weg von XP zu Windows 7
Trotzdem gehört bereits seit den Zeiten von Windows XP eine Firewall zu den Standard-Features des Betriebssystems. Allerdings begründet diese erste Ausprägung der Windows-Firewall auch den häufig noch schlechten Ruf dieser Einrichtung: Sie war unter XP zunächst standardmäßig deaktiviert. Erst mit dem Service Pack 2 wurde die Sicherheitsmaßnahme so implementiert, dass sie auch ohne weiteres Zutun des Anwenders oder gar Administrators aktiv war. Der größte Nachteil der Windows-Firewall bestand aber sicher darin, dass sie ausschließlich eingehenden Netzwerkverkehr kontrollierte. Den ausgehenden Netzwerkverkehr ließ die Software unbehelligt passieren.
Als Windows Vista und Windows Server 2003 auf den Markt kamen, fügte Microsoft diesen Betriebssystemen auch eine stark überarbeitete Version der Firewall hinzu. Diese Version kommt heute auch auf den Systemen unter Windows 7 und dem Windows Server 2008 R2 zum Einsatz. Ein großer Vorteil besteht darin, dass sie mit gleicher Oberfläche und mit den gleichen Funktionalitäten sowohl auf den Windows-7-Versionen als auch auf den aktuellen Windows-Servern zur Verfügung steht. Sie unterscheidet sich in vier wichtigen Punkten von ihrem Vorgänger: So wird die Software jetzt über ein sogenanntes Snap-In für die MMC (Microsoft Management Console) gesteuert, was nicht nur die Übersicht fördert, sondern auch die Bedienung deutlich vereinfacht. Innerhalb dieses Snap-Ins stehen nun auch die entsprechenden Einstellungen für IPv6 und für die verschiedenen Filterregeln direkt zur Verfügung. Zudem besitzen Systemverwalter aktuell weitaus mehr Möglichkeiten, auch entsprechende Ausnahmen beispielsweise für Active-Directory-Konten direkt zu konfigurieren.
Die wichtigste Änderung aber besteht darin, dass mit dieser Firewall-Version nun sowohl der aus- als auch der eingehende Netzwerkverkehr überwacht und im Zweifelsfall blockiert werden kann. Dies tat die Windows-Firewall während des Testraums auf unserem Testrechner auch völlig klaglos. Sie fordert keine zusätzliche Konfiguration und bietet allen Anwendern den notwendigen grundsätzlichen Schutz.
Im Gegensatz zu den zwei anderen Testkandidaten überwacht sie allerdings nicht den Start und die Installation neuer Programme auf dem System - was grundsätzlich auch nicht zu den Aufgaben einer Firewall gehört. So werden jedoch Programme, die sogenannte "Leak-Tests" ausführen und dabei eine gebräuchliche Vorgehensweise vieler Trojaner-Programme imitieren, von der Windows-Firewall nicht bemerkt. Ein solcher Angreifer befindet sich in der Regel schon auf dem PC und nutzt den für Zugang zum Web offenen Port 80 zur Kontaktaufnahmen mit dem Internet. Dadurch sieht dieser ausgehende Netzwerkverkehr für viele Firewalls wie eine legitime Verbindung aus. Eine gute Antivirus-Software und/oder ein Programm zur verhaltensorientierten Analyse wie ThreatFire sollten deshalb den Einsatz der Windows-Firewall immer ergänzen.
Online Armor: Freeware mit vielen Fähigkeiten
Wir haben uns zum Vergleich mit der Standard-Firewall unter Windows zwei Softwarelösungen aus dem Bereich der Freeware auf einem Rechner unter Windows 7 Ultimate in der 64-Bit-Version angeschaut. Die erste dieser Lösungen trägt den Namen Online Armor und wird von der Firma Emsisoft in einer freien sowie in einer sogenannten PremiumVersion und einer "Online Armor++"-Variante angeboten. Die Softwarefirma hat das Produkt im Juli 2010 von den Entwicklern einer australischen Firma übernommen und in ihr Portfolio eingereiht.
Wie üblich bietet die freie Version nur einen grundlegenden Firewall-Schutz an, während die beiden anderen kostenpflichtigen Varianten um zusätzliche Features wie Phishing-Filter oder einen Antivirus-Scanner ergänzt wurden. Die freie Version der Online Armor Firewall kann unter Windows XP (ab SP3), Windows Vista und Windows 7 installiert werden. Nur bei Windows 7 gibt der Anbieter 32- und 64-Bit-Systeme als mögliche Zielsysteme an. Installiert wurde aber auch auf unserem 64-Bit-Betriebssystem nur eine 32-Bit-Version der Software. Der Anbieter verlangt während der Installation die Eingabe einer gültigen E-Mail-Adresse zur Registrierung. Sehr gut gefallen hat es uns, dass die Software vom ersten Installationsfenster an komplett in deutscher Sprache zur Verfügung steht.
Die Installation läuft schnell und einfach ab und stellt dem Anwender zum Abschluss vor die Wahl, ob er alle Programme auf seinem Rechner als sicher einstufen oder diese mit Hilfe eines Assistenten einzeln bewerten will. Dabei wird dann beispielsweise auch das Startmenü auf "unbekannte" Programme hin untersucht, wobei es schon etwas verwunderlich scheint, dass die Firewall solche Klassiker wie den Photoshop von Adobe oder WinRAR in diese Kategorie der Unbekannten einreiht. Insgesamt ist der Assistent jedoch sehr hilfreich und kann auch von weniger erfahrenen Anwendern gut eingesetzt werden.
Nach der Installation eigener Treiber verlangt die Firewall einen Neustart, wobei sie hier sinnvollerweise die Windows Firewall automatisch ausschaltet - zwei derartige Programme sollten nie auf einem System gemeinsam aktiv sein. Nach dem Neustart ist die Firewall als Symbol in der Taskbar zu finden. Ein Klick auf dieses Symbol öffnet ein Menü, von dem aus der Anwender verschiedene Konfigurationen und Modi erreichen kann. Die Firewall fügt sich gut in die Windows-7-Oberfläche ein und verzögert den Systemstart nur unmerklich. Sie meldete während des Testzeitraums alle Versuche verschiedenster Programme, eine Verbindung zum Internet aufzubauen. Dabei bekommt der Anwender jedes Mal ein Fenster präsentiert, das erläutert, welches Programm einen Zugriff verlangt - wurde dieses bereits vom Online-Team des Herstellers bewertet, so kann das Programm eine automatische Entscheidung treffen - ansonsten ist der Anwender gefordert.
Um Keylogger und ähnliche Programme an der Ausführung zu hindern, meldet die Software auch den Start und/oder die Installation ausführbarer Programme, wobei ebenfalls entsprechende Informationen in einem Fenster angezeigt werden. Das Programm erfüllt damit vorbildlich seine Pflicht als Schutz, wird aber "normale" Anwender sehr schnell mit der Vielzahl an Informationen überfordern und dazu verleiten, im Zweifelsfall nicht mehr alle Hinweise genau durchzulesen, sondern das zweifelhafte Programm schnell "abzunicken".
Unsere Empfehlung: IT-affine Anwender, die sich mit der Problematik beschäftigen, bekommen hier sicher eine gute Software, die genau das tut, was von ihr erwartet wird. Einer kleinen Firma, in der kein Administrator die "normalen" Anwender unterstützt ist vom Einsatz der Software abzuraten - sie wird zu viele Nachfragen verursachen. Zumal sie sich den Patzer leistet, nach ihrer Deinstallation die Windows Firewall nicht automatisch wieder einzuschalten.
ZoneAlarm: Der Klassiker auf dem Desktop
Wer noch vor wenigen Jahren von einer Personal Firewall für Windows-XP-Rechner sprach, der meinte in der Regel damit die kostenlose Lösung "ZoneAlarm". In der Zwischenzeit wurde dieses Programm von der Sicherheitsfirma Check Point Software aufgekauft, was unter anderem dazu führte, dass ein Anwender beim Download sehr oft darauf hingewiesen wird, dass er doch lieber gleich die komplette Security-Suite des Herstellers nutzen solle. Wer sich diesen Verlockungen widersetzt, kann eine aktuelle Version der Software herunterladen, die auch unter Windows 7 einzusetzen ist.
Ähnlich wie schon die Online Armor Software stellt auch Check Point ausschließlich eine 32-Bit-Version der Firewall zur Verfügung. Diese bietet dem Anwender bei der Installation die Möglichkeit, zwischen einer Schnellinstallation oder einer benutzerdefinierten Variante auszuwählen. Bei der benutzerdefinierten Version sind die Erläuterungen aber leider nicht so ausführlich und Anwender-freundlich wie es bei der Online Armor Software der Fall ist. Auch diese Lösung verlangt nach der Installation einen Neustart.
Während Hersteller Check Point die allgemeine Oberfläche der Software moderat an das modernere Aussehen der Windows-7-Systeme angepasst hat, versprühen die kleinen Fenster mit den Fehlermeldungen nicht nur im "Look & Feel" nach wie vor den Charme der frühen Windows-Versionen. Gleich nach dem Start taucht dann beispielsweise die Meldung auf, dass der "TPAuto Connect User Agent" den Zugriff auf die sichere Zone verlangt. Als einzige Hilfe und Erläuterung steht hier nur der Hinweis zur Verfügung, dass dieses Programm schon früher diesen Zugang verlangt habe - dem Anwender wird geraten den Zugriff zu gewähren.
Nun soll hier nicht der Eindruck entstehen, dass die ZoneAlarm-Lösung nicht ihre Arbeit erledigen würde - genau wie die Online Armor Software und die Windows-Firewall hat sie während unseres Tests alle Aufgaben zufriedenstellend bewältigt. Aber für einen unerfahrenen Anwender ist diese Software mit ihren zumeist kryptischen Meldungen nach wie vor wenig geeignet. Weiterhin hat uns geärgert, dass der Hersteller an vielen Punkten - so auch im Hauptmenü der Software - versucht, den Anwender zwecks Upgrade auf die vollständige Software-Suite auf die eigene Webseite zu locken.
Unsere Empfehlung: Wer schon unter Windows XP auf die ZoneAlarm-Firewall gesetzt hat und mit der Werbung im Programm leben kann, der bekommt mit dieser Software einen zuverlässigen Schutz auf sein System. Für kleine Firmen ohne Administrator können wir auch diese Lösung nicht empfehlen. Selbst wenn ein mittelständisches Unternehmen einen Administrator beschäftigt, kann es sich durch die Installation dieser Firewall auf den Anwendersystemen durchaus mehr Arbeit ins Haus holen: Die Meldungen der Software sind ohne solide PC- und Netzwerkkenntnisse zumeist wenig hilfreich und werden entsprechend häufige Nachfragen der Anwender verursachen.
Fazit: Es kommt darauf an…
Die sogenannten Personal-Firewalls, die wir in diesem kurzen Praxistest etwas genauer unter die Lupe genommen haben, verrichten alle ihren Dienst zur vollen Zufriedenheit. Installation und Betrieb warfen keine Probleme auf, wenn auch die Online-Armor-Firewall bei der Deinstallation patzte und die Windows-Firewall nicht wieder einschaltete.
Ob es sich lohnt, eine zusätzliche Personal-Firewall auf einem modernen System wie Windows 7 zu installieren, bleibt zu diskutieren: Unsere Empfehlung bleibt die eingebaute Firewall der Windows-Rechner: Sie ist in der Zwischenzeit durchaus in der Lage, einen Großteil der Gefahren abzuwehren, kann auch ausgehenden Netzwerkverkehr überwachen und belästigt den Anwender zudem nicht mit vielfältigen und oft unverständlichen Meldungen. Da sich die meisten Anwender auch im SOHO-Bereich und bei kleinen Betrieben mindestens hinter einem Router befinden, der mit NAT-Technik arbeitet (Network Adress Translation) und ausgehende Ports in der Regel sperrt, sind ihre Fähigkeiten in den meisten Fällen mehr als ausreichend. Trojaner-Programme, die sich als "normale Anwendung" tarnen und über den Port 80 eine Verbindung aufbauen, kann sie allerdings nicht entdecken. Deshalb sollte sie selbstverständlich durch weitere Schutzmaßnahmen wie Antivirus-Programme und Programme zur verhaltensbasierten Analyse wie ThreatFire ergänzt werden. Ein weiterer Vorteil der Windows-Firewall: Befindet sich in der Firma ein Administrator, so kann er sie mit Hilfe der Gruppenlinien einfach verwalten und für seine Anwender konfigurieren. (wh)