Eine zentrale Firewall gehört in Unternehmensnetzen zur Standardausrüstung. Allerdings bieten diese Systeme keinen umfassenden Schutz: Zwar blocken die Sicherheitsprodukte unerlaubte Verbindungen ab und sperren Netzdienste, doch interne Angriffe auf Rechner ("internal Hacking") vermögen sie kaum abzuwehren. Ebenso wenig bekommen sie schädliche Inhalte wie Javascript, Active X, Java Applets, Visual Basic Scripts in den Griff. Ereignisse wie die massenhafte Verbreitung von Würmern der Marke "Loveletter" oder "Anna Kournikova" sind deshalb Wasser auf die Mühlen der Anbieter von Sicherheitssoftware zur Abschirmung einzelner Rechner.
Eine Reihe von Herstellern hat solche Desktop- oder Personal-Firewalls auf den Markt gebracht. Sie sollen einerseits Notebooks und PCs an Heimarbeitsplätzen schützen, andererseits dienen sie dazu, die Sicherheit von Desktop-Rechnern und Servern in Unternehmen zu erhöhen.
Nutzen umstritten
Die Meinungen über den Sinn von Desktop-Firewalls gehen weit auseinander. Die einen tun sie als Spielerei ab, andere dagegen befürworten solche Schutzvorkehrungen. Zu letzteren zählt der Firewall-Experte Norbert Pohlmann, Chief Marketing Officer bei dem Security-Anbieter Utimaco Safeware AG aus Oberursel und Autor mehrerer Bücher über Internet-Sicherheit. Seiner Ansicht nach spricht einiges für die Firewall auf dem PC. Pohlmann betrachtet diese Tools vor allem als sinnvollen Schutz gegen interne Störenfriede. Mitarbeitern sollte der Zugriff auf die Rechner der Kollegen im Unternehmen verwehrt bleiben. Über entsprechende Regeln lässt sich darüber hinaus festlegen, auf welche Server im Intranet der einzelne Nutzer zugreifen darf. Zudem erhöhen diese Systeme die Sicherheit von Computern in Außenbüros und Home-Offices sowie von Notebooks, die alle auf ein zentrales Netz zugreifen. Falls nämlich der remote Anwender sich über analoges Modem oder ISDN-Karte ins Internet einwählt, könnten Hacker über diese ungeschützte Verbindung durch die Hintertür ins Firmennetz gelangen. Das Problem verschärft sich noch bei Digital-Subscriber-Line-(DSL-)Verbindungen, da sich der Internet-Anwender - je nach Implementierung des Dienstes - nicht mehr Einwählen muss, sondern ständig online ist.
Sascha Ziemann, Firewall-Spezialist beim Sicherheitsdienstleister Secunet in Essen, hält dagegen wenig von Desktop-Firewalls zur Abschirmung interner PCs. Seiner Ansicht nach eignen sich diese Produkte allenfalls für den Schutz von Notebooks und remoten Rechnern, die auf ein Firmennetz zugreifen. Einige Anbieter solcher Produkte wenden sich tatsächlich nur an diese Klientel, so etwa Symantec mit der "Personal Firewall". Andere, darunter Biodata, F-Secure, Norman Data Defense Systems, Tiny Software, Alladin oder Sygate, vermarkten ihre PC-Firewalls darüber hinaus auch als Ergänzung zum zentralen Schutzwall im Unternehmen. Gestützt wird ihr Ansatz vom Beratungs- und Marktforschungsunternehmen Gartner Group. Für deren Experten stellen individuelle Firewalls ein wichtiges Element in der Sicherheitsarchitektur von Firmen jeder Größe dar.
Ports abdichten
Ähnlich wie zentrale Firewalls arbeiten auch die Desktop-Produkte mit Filtern, um die Internet-Kommunikation auf das gewünschte Maß zu reduzieren. "Norman Personal Firewall", ein zur CeBIT neu vorgestelltes Produkt des norwegischen Sicherheitsspezialisten Norman Data Defense Systems, bietet hierzu einen Assistenten, der den Benutzer fragt, ob eine Anwendung über einen Port Daten versenden oder empfangen darf. Viele andere Hersteller haben ähnliche Funktionen implementiert, um die auf dem Rechner laufende Software sicherheitstechnisch abzuklopfen. Beim Norman-Produkt bleibt es dem User überlassen, wie er den Netzzugriff eines Programms reglementieren möchte. Üblicherweise kommuniziert der Web-Browser über den Port 80 mit dem Web-Server, und es besteht in der Regel kein Grund, anderen Anwendungen diesen Verbindungskanal zur Verfügung zu stellen. Über unbewachte Ports können Spionageprogramme gezielt Dateien von einem PC oder Server aus dem Unternehmen schmuggeln.
Damit die Regeln greifen, muss die Firewall die Programme identifizieren. Norman wertet hierzu den Dateinamen sowie den Verzeichnispfad aus. Dies funktioniert zwar zuverlässig, bietet aber keinen vollständigen Schutz gegen Trojanische Pferde, die sich als Browser oder ähnliche Programme getarnt, Zugang zu PC-Ressourcen verschaffen. Ebenso lässt sich nur schwer verhindern, dass Störroutinen ausführbare Dateien verändern, um so unbemerkt ihr Unwesen zu treiben. Abhilfe sollen Authentifizierungsverfahren schaffen. Dabei weist sich jede Anwendung gegenüber der Firewall mit einem digitalen Pass aus. Gleichzeitig wird über Prüfsummen die Integrität der ausführbaren Datei sichergestellt. Ein solches Verfahren hat beispielsweise der US-Anbieter Tiny Software in seine "Tiny Personal Firewall" auf Basis des MD5-Algorithmus implementiert.
Neben der TCP/IP-Kommunikation treten Personal Firewalls auch bei Netbios-Verbindungen in Aktion, beispielsweise bei lokalen Laufwerksfreigaben sowie der Verknüpfung von Verzeichnissen auf einem Server.
Auch für die Benutzung von ausführbaren Inhalten wie Active X, Java und Javascript kann der Anwender Regeln aufstellen. Bei vielen Firewall-Produkten hat er die Wahl, diese vollständig zu blocken, ungehindert durchzulassen oder er entscheidet bei jeder Sitzung selbst, was geschehen soll - eine unter Umständen lästige Prozedur. Neben diesen Schutzmaßnahmen zeichnen viele Desktop-Firewalls auf Wunsch auch den Netzverkehr auf dem Rechner auf, so dass nachvollzogen werden kann, welche Verbindungen zum und vom PC aufgebaut wurden.
Die Anbieter von Personal Firewalls wenden sich an den Sicherheitsexperten, der einen einzelnen PC absichern möchte. Dem technisch weniger versierten Benutzer sind Fragen wie "Javascript zulassen?" oder "Verbindung zu Port 1352 erlaubt?" nicht zuzumuten. Insofern wären die meisten Mitarbeiter im Unternehmen überfordert, sollten sie selbst Sicherheitsrichtlinien aufstellen. Dies ist Aufgabe eines Spezialisten, der zunächst festlegen muss, vor welchen Gefahren die Software Schutz bieten soll, und zwar im Einklang mit der Sicherheitspolitik des Unternehmens. Um diese Richtlinien könnte sich zwar der für Sicherheit zuständige Administrator im Unternehmen kümmern, doch da beispielsweise dem Produkt von Norman geeignete Remote-Management-Funktionen zur zentralen Definition von Firewall-Rules fehlen, müsste der Security-Spezialist jeden Rechner einzeln konfigurieren. Für große Installationen scheidet die Software damit aus.
Schwierigkeiten beim Management
Auf ein zentrales Management kommt es an: Exodus Communications aus Frankfurt am Main, eine Niederlassung des US-Anbieters von Web-Hosting-Diensten für Unternehmen, hat bereits Erfahrungen mit der Administration von Desktop-Firewalls gemacht. Das Sicherheitsteam des Internet-Dienstleisters musste feststellen, dass ab einer Anzahl von etwa 200 PCs die Verwaltung der Schutzsoftware enorm aufwändig wurde. Der Grund: Es lassen sich üblicherweise nicht auf alle PCs im Unternehmen die gleichen Sicherheitsregeln anwenden. "Die Firewall auf dem Rechner einer Sekretärin muss anders konfiguriert werden als das System eines Consultants, allein schon wegen der unterschiedlichen Ausstattung an Software", so Martin Pfeilsticker, Security Engineer im Cyber Attack Tiger Team (CATT) bei Exodus. Das CATT ist verantwortlich für das Erkennen und Abwehren von Hacker-Angriffen.
Zudem steige der Support-Aufwand rapide, da sich lokale Anwendungen anfangs oft nicht mit der Desktop-Firewall vertrügen und die Regeln immer wieder angepasst werden müssten. Doch damit nicht genug: "Da die Anwender in der Lage sind, die Firewall-Konfiguration zu verändern, könnten sie auf diese Weise leicht zentral vorgegebene Sicherheitseinstellungen unwirksam machen", gibt Pfeilsticker zu bedenken. Er begutachtete unter anderem das Produkt "PGP Corporate Desktop" der Network-Associates-Tochter PGP Security.
Andere Erfahrungen als in der deutschen Exodus-Niederlassung wurden dagegen in der Firmenzentrale in den USA gemacht. Bill Hancock, Chief Security Officer in Santa Clara, hat 1000 interne Rechner mit der Personal Firewall "Zonealarm Pro" des kalifornischen Herstellers Zone Labs ausgestattet. Anfangs gab es auch dort Probleme mit exotischen Anwendungen, die nicht in die Kategorie der gängigen Office-Applikationen fallen, doch Hancock hat das zentrale Administrationswerkzeug von Zonealarm Pro schätzen gelernt. Damit sei es möglich, systematische Angriffe auf Rechner von falschen Alarmen zu unterscheiden. Zudem sei das Tool gut dazu geeignet, die Firewall auf die Tätigkeit des jeweiligen PC-Benutzers einzustellen.
Die Anbieter haben den Bedarf an geeigneten Lösungen für ein zentrales Management offenbar erkannt. Norman Data Defense Systems will im nächsten Release ein Administrationswerkzeug mit ausliefern. Der Hersteller F-Secure bietet für seine "Distributed Firewall" mit "F-Secure Policy Manager" bereits ein solches Tool an. Wie bei Zonealarm Pro stellt ein Sicherheitsexperte die Firewall-Regeln auf und übermittelt sie an die einzelnen Desktop-Schutzprogramme beziehungsweise an Notebooks und Home-Office-PCs. Er kann dabei ebenfalls abteilungs- oder benutzerspezifische Einstellungen vornehmen. Vor kurzem gab F-Secure bekannt, dass die Distributed Firewall sowie eine Reihe anderer Sicherheitsanwendungen des Herstellers über die Management-Plattform "Openview Vantagepoint" von Hewlett-Packard zentral verwaltet werden können. Darüber hinaus sollen Verwalter in der Lage sein, über das HP-System die Sicherheitssoftware auf eine Vielzahl von Clients zu verteilen.
In den USA haben persönliche Firewalls einen höheren Stellenwert als hierzulande. Das beobachtet auch Pfeilstickers, denn bei deutschen Exodus-Kunden seien Desktop-Firewalls noch dünn gesät. Nur wenige hätten solche Programme im Einsatz und einige befinden sich in der Testphase. Doch speziell bei Unternehmen mit Hunderten von Desktops kommen die Schutzprogramme wegen des administrativen Aufwands oft nicht in Frage. Selbst Anwender mit hohem Sicherheitsbewusstsein wie etwa die Deutsche Bank nutzen Desktop-Firewalls nicht. Beim Geldinstitut gibt es auch keine Pläne, diese Software auf internen PCs, in Home-Offices oder auf Notebooks zu installieren, da stattdessen auf sichere Remote-Access-Lösungen gesetzt wird, die sowohl den Zugang zu Systemen als auch den Informationsaustausch absichern. Dieses Schutzsystem sichert jedoch nur den Fernzugriff ab.
Zu den bislang wenigen deutschen Anwendern einer Desktop-Firewall gehört der Bekleidungshersteller S. Oliver aus dem bayrischen Rottendorf. Er hat fünf Prozent seiner Rechner im Unternehmensnetz mit Secure4u ausgestattet. Zwar bietet das Produkt auch Firewall-Funktionen wie Packet-Filtering und die Kontrolle von Ports, doch erwarb die Modemarke das Sicherheitswerkzeug allein wegen der Sandbox-Technik (siehe Kasten auf Seite 20). Jede Anwendung auf den so geschützten Rechnern erhält bestimmte Befugnisse. Beispielsweise darf die im Unternehmen favorisierte E-Mail- und Kalendersoftware nur eine festgelegte Auswahl an Dateien öffnen oder verändern sowie nur bestimmte Betriebssystemfunktionen aufrufen. Die Zugriffsrechte für gängige Anwendungen wie etwa E-Mail-Clients oder Web-Browser, hat der Hersteller bereits vorkonfiguriert. Noch nicht registrierte Software muss der Administrator entsprechend einrichten. S. Oliver ging diesen Schritt vor allem deshalb, weil Active X Controls, "Macromedia-Flash"-Animationen und Javascript nicht grundsätzlich geblockt werden sollten, die Verantwortlichen andererseits aber um die Sicherheit der einzelnen Arbeitsplätze besorgt waren. Ein generelles Flash-Verbot wäre auch kaum durchzuziehen gewesen, denn dann würde das Unternehmen den Mitarbeiter den Zugang zur eigenen, mit Macromedia-Technik reich verzierten Homepage versperren. Sollte ein aktives Element einer Website, eine ausführbare Datei im E-Mail-Anhang oder ein Virus versuchen, auf Systemdateien oder Betriebssystemfunktionen zuzugreifen, würde die Sandbox diesen Versuch unterbinden. Gleiches gilt aber auch für kommerzielle Applikationen, die bei Secure4u nicht registriert wurden. Vor dem Einsatz des Programms muss der Verwalter daher eine Vielzahl von Einstellungen vornehmen und Tests fahren, damit Secure4u die Mitarbeiter schützt, ohne sie bei der Arbeit zu beeinträchtigen.
Grundsätzlich hat sich Secure4u bei S. Oliver bewährt, allerdings gibt es noch Schwierigkeiten im Zusammenspiel mit dem Netzbetriebssystem "Novell Netware". Gelegentlich verweigert die Sicherheitssoftware den E-Mail-Clients die automatische Archivierung von Mails auf Netzlaufwerken. Der Hersteller hat versprochen, diese Macke im nächsten Release zu beheben.
Bei den Endanwendern stieß die Sandbox-Lösung indes weniger auf Gegenliebe, schiebt doch Secure4u dem Installieren von per E-Mail empfangenen Filmchen oder Animationen einen Riegel vor. Zumindest verzeichneten die User keine Performance-Einbußen durch das zusätzliche Schutzschild auf ihren Rechnern.
Eine Desktop-Firewall der besonderen Art haben der Netzwerkspezialist 3Com und die auf Sicherheitsprodukte wie Firewalls und Authentifizierungssysteme spezialisierte US-Firma Secure Computing ersonnen. Beide wollen eine Firewall in 3Coms Netzwerkkarten integrieren. Eingebaut werden soll die Embedded Firewall in 10/100-Mbit/s-Ethernet-Karten, die mit 3XP-Prozessor ausgestattet sind. Mit diesem Ansatz wären Endbenutzer nicht mehr in der Lage, Einstellungen an der Firewall am PC zu verändern, hofft 3Com. Zudem arbeitet das Schutzsystem auf der Netzkarte unabhängig vom Betriebssystem und erfordert auch keine Softwareverteilung auf einzelne Arbeitsplätze.
Security-Suites
Um den Anwenderunternehmen Personal Firewalls schmackhaft zu machen, schnüren die Anbieter Produktpakete. So enthält PGP Corporate Desktop ein Dateiverschlüsselungsprogramm, eine Intrusion-Detection-Software, die vor Eindringlingen warnen und einen Virtual-Private-Network(VPN-)Client. Letztere verschlüsselt die Verbindung zwischen einem Notebook oder einem Home-Office-Rechner und dem Firmen-LAN. F-Secure offeriert seine Distributed Firewall gemeinsam mit einem hauseigenen Antivirenwerkzeug, einer Dateiverschlüsselungssoftware und wie das PGP-Produkt einen VPN-Client.
Gerade die Kombination von Firewalls und VPN-Technik steht bei vielen Herstellern auf dem Plan. Sie wenden sich damit an Firmen, die Notebooks und Telearbeitsplätze mit Sicherheitstechnik ausstatten wollen. Jüngst hat Zone Labs sein Produkt Zonealarm Pro mit einer solchen Technik ausgestattet. Die US-Firma integrierte die Verschlüsselungssoftware "Cipror" des israelischen Sicherheitsspezialisten Radguard.
Aus Sicherheitsgründen aktiven Content erst gar nicht zuzulassen, klingt plausibel. Andererseits bedeutet der Verzicht einen großen Teil der Websites nicht mehr in vollem Umfang nutzen zu können. Die Entscheidung "ungestört Surfen oder Sicherheit" wollen die Hersteller von Desktop-Firewalls ihren Kunden mit eingebauter Sandbox-Funktion abnehmen. Die "Sandkiste" blockt aktive Inhalte nicht, unterbindet aber illegale Aktionen. Alle Anwendungen beziehungsweise aktiven Elemente erhalten keinen direkten Zugang zum Betriebssystem, sondern laufen in einer Schutzebene ab. Nach diesem Konzept arbeiten beispielsweise die Desktop-Firewall-Produkte "Secure4u" der Sandbox Security AG aus Puchheim bei München sowie "Esafe Desktop" von Aladdin Knowledge Systems aus Israel.
Links
Anbieter von Personal Firewalls
Die Hersteller der hier aufgeführten Produkte bieten ein Management-Werkzeug zur zentralen Verwaltung der Firewalls an.
PGP Security,
PGP Security Corporate Desktop
www.pgp.com
Sandbox Security,
Secure 4u
www.sandboxsecurity.com
Zone Labs,
Zonealarm Pro
www.zonelabs.com
Tiny Software,
Tiny Personal Firewall
www.tinysoftware.com
Sygate,
Sygate Enterprise Network
www.sygate.com
F-Secure,
F-Secure Distributed Firewall
www.f-secure.de
Symantec,
Norton Personal Firewall
www.symantec.com
Biodata,
Biodata Pcfire (ab 3. Quartal 2001)
www.biodata.de
Hinweis: Diese Übersicht erhebt keinen Anspruch auf Vollständigkeit
Abb: Firewalls außen und innen
Personal Firewalls ergänzen den zentralen Schutzwall und schirmen Notebooks ab. Viele Anbieter stellen zusätzlich VPN-Lösungen für den sicheren Fernzugriff zur Verfügung. Quelle: Nach einer Vorlage von Norbert Pohlmann, Autor des Buches "Firewall-Systeme", MITP-Verlag, Bonn