Personal Firewalls auf Firmen-PCs

NetzwerkeSicherheit

Personal Firewalls werden in Unternehmen meist nicht als Teil der Sicherheitsstrategie gesehen. Sie gelten als nutzloses Spielzeug für Privatanwender. Das Kuriose: Vor allem in Firmennetzen sind die Desktop-Firewalls sinnvoll.

Die Sicherheitsanforderungen von Unternehmen lassen sich nur unzureichend mit allgemeinen Tipps beantworten. Wichtig ist immer der Blick auf den konkreten Fall. Deshalb sollte jedes Unternehmen eine eigene Security-Strategie entwickeln. Ein häufiger Diskussionspunkt sind dabei Personal Firewalls, auch Desktop Firewalls genannt.

Immer mehr Malware
Jüngste Ergebnisse von Security-Trend-Untersuchungen sollten Unternehmen aufhorchen lassen: Immer mehr neue Schadprogramme tauchen in immer kürzerer Zeit auf. Egal ob die Reports von Sophos, F-Secure, Trend Micro oder Kaspersky stammen, das erste Quartal 2008 lieferte einige beunruhigende Tendenzen. So stieg die Verbreitungsgeschwindigkeit von neuen Schadprogrammen weiter an. Alte Ideen und Techniken werden wiederbelebt und stellen nun in verändertem Kontext eine immer größer werdende Gefahr dar. Bootkits sind das beängstigendste Beispiel. Moderne Rootkit-Technologien werden dabei mit dem fast schon vergessen geglaubten Bootvirus kombiniert.

Die in Windows eingebaute Firewall lässt sich nur eingeschränkt über Gruppenrichtlinien zentral steuern.

Teil des Sicherheitskonzepts
Klar ist, dass Unternehmen auf diese vielfältigen Bedrohungen reagieren müssen. Das Mittel der Wahl ist ein mehrstufiger Schutz. Es reicht also nicht aus, das firmeneigene Netzwerk nach außen durch eine Netzwerk-Firewall abzuschotten, auch die internen Systeme müssen geschützt werden. So ist etwa eine Antivirus-Lösung für Gateways, Terminal- und File-Server Pflicht. Doch auch die Clients sollten im Sicherheitskonzept nicht fehlen, und da kommen Personal Firewalls ins Spiel. Der Grund: Die Software kontrolliert zwei Arten von Netzwerk-Operationen. So werden auf der Anwendungsebene Aktivitäten im Webbrowser oder E-Mail-Programm geprüft. Außerdem erfolgt eine Inspektion auf Paket-Ebene. Sollte sich etwa ein Schädling auf einem Client-PC einnisten, etwa von einem infizierten USB-Stick, dann verhindern geeignete Sicherheitsmaßnahmen, dass sich auch andere PCs im Netzwerk infizieren.

Personal Firewalls erkennen Veränderungen an Standard-Programmen wie dem Internet Explorer und warnen vor Manipulationen.

Schutz für mobile Mitarbeiter
Aber der Nutzen von Personal Firewalls in Unternehmen zeigt sich auch in anderen Bereichen. In seltener Einigkeit sagen die Marktforscher voraus, dass der tägliche Weg ins Büro immer mehr zur Ausnahme wird. IDC etwa verortet für die nächsten zwei Jahre ein strammes Wachstum bei mobilen Mitarbeitern. Darunter fallen laut eigener Definition alle Angestellten, die mehr als zwei Tage pro Woche unterwegs sind, etwa bei Kunden vor Ort oder im Home Office. Das wirkt sich stark auf die IT-Infrastrukturen aus, denn die Mitarbeiter sind zwar nicht im Office, aber trotzdem sollen sie erreichbar sein und Zugriff auf Unternehmensanwendungen haben.

Neben der Frage wie man den Mitarbeitern den Zugriff auf ERP- und CRM-Systeme sowie Spezial-Applikationen gestattet, ist auch wichtig zu wissen, wie man die Notebooks der Kollegen schützt. Denn die verlassen das sichere Firmen-LAN und arbeiten beim Kunden oder sogar an öffentlichen Hotspots. Auch hier sind Personal Firewalls Pflicht.

Worauf muss man achten?
Längst nicht jede Personal Firewall taugt für den Einsatz im Unternehmen. So ist etwa die Windows-Firewall schon beim Betriebssystem dabei, die zentrale Verwaltung aber nur eingeschränkt und sperrig über Gruppenrichtlinien möglich. Administratoren sollten darauf achten, dass es ein zentrales Werkzeug zum Verwalten der Personal Firewalls gibt. Das fängt an bei der Verteilung der Software auf die Clients. Das alles sollte mit wenigen Mausklicks erledigt sein. Außerdem wichtig: Updates sollten sich ebenso unkompliziert verteilen lassen.

Weiterhin muss es eine Möglichkeit geben, alle wichtigen Einstellungen von zentraler Stelle aus vorzunehmen, etwa vordefinierte Filter einzurichten. Praktisch ist es, wenn die Desktop-Firewall selbst schon vorgefertigte Filterregeln mitbringt, die sich zeitsparend anpassen lassen. Das gleiche gilt für die Regeln der installierten Anwendungen. So kann es etwa Arbeitsgruppen im Unternehmen geben, die Skype nutzen dürfen und andere, bei denen das verboten ist – die Firewall-Regeln müssen diese Flexibilität mitbringen.

Intrusion Detection und Intrusion Prevention
Wichtig ist auch, dass die Nutzer nicht einfach selbst Ausnahmen für die Firewall einrichten dürfen, sondern dass das nur von zentraler Stelle aus gemacht werden darf. Die Auswertung der Log-Files sollte ebenso zentral möglich sein. Ein weiterer Punkt: Auch bei den Funktionen sollten Unternehmen aufpassen. Wichtig ist eine Firewall mit Intrusion Detection System, das den Netzwerkverkehr auf bekannte Angriffsversuche hin überwacht und gegebenenfalls Alarm schlägt. Noch besser sind Firewalls, die sogar Intrusion Prevention bieten. Diese Systeme erkennen nicht nur die Angriffe, sondern verwerfen automatisch die bösartigen Datenpakete.

Personal Firewalls, die für den Einsatz in Unternehmen taugen, sind Kaspersky Anti-Hacker und McAfee Personal Firewall Plus. Es gibt aber auch Komplettpakete, ähnlich den aus dem Privatbereich bekannten Security-Suiten. Dazu zählen etwa McAfee Total Protection for Small Business, Kaspersky Open Space Security für kleine unter mittlere Unternehmen und Microsoft Forefront Client Security.
Jörg Geiger/mt

Links zum Thema:

McAfee
Kaspersky
Microsoft
Sophos
Trend Micro
F-Secure
Bundesamt für Sicherheit in der Informationstechnik
Leitfaden IT-Sicherheit