Firewalls richtig konfigurieren

Würmer verbreiten sich über Sicherheitslücken. Sie infizieren ein System, das mit dem Internet verbunden ist und dem die aktuellen Patches fehlen. Schutz gegen diese Schädlinge bietet - einmal abgesehen von den Patches - eine Firewall. Sie blockt alle unerwünschten Anfragen aus dem Internet ab und sperrt damit auch die Schädlinge aus. Software-Lösung benachrichtigen die Anwender, wenn ein Programm online gehen will, das nicht ausdrücklich erlaubt wurde. So erhält der Nutzer zunächst einen genauen Überblick darüber, welche Online-Aktivitäten sich auf seinem Rechner abspielen. Vor allem aber ist diese Funktion das letzte Bollwerk: Sollte sich ein Schädling oder Spionage-Programm am Antiviren-Tool vorbeigeschmuggelt haben, werden Anwender darauf aufmerksam, sobald es Kontakt mit dem Internet herstellen will.

So lange eine Firewall nicht weiss, was sie erlauben und was sie blockieren soll, überschüttet sie die Anwender mit Fragen. Diese können fortgeschrittene Anwender strapazieren und Einsteiger abschrecken. Denn sie müssen beispielsweise entscheiden, ob das Programm Svchost.EXE ins Internet senden darf oder nicht. In der ersten Phase sind Geduld und Sorgfalt gefordert. Wer nämlich entnervt bei der xten Frage ,,Darf das Programm XYZ Daten ins Netz senden?", mal schnell auf ,,Ja" klickt, schafft womöglich einem Trojaner freie Bahn. Und wer bei der manuellen Konfiguration der Firewall einen Fehler macht, der verliert den Schutz vor Angriffen aus dem Internet.

Im grossen Angebot an Desktop-Firewalls finden sich kostenlose Tools und Kaufprogramme. Kostenpflichtige Firewalls bieten einige Extras. Das Wertvollste ist sicher eine Liste, in der bereits viele Programme stehen, die gefahrlos online gehen dürfen. Ausserdem besitzen diese Tools Prüfmechanismen, die über einen einfachen Check von Pfad und Name hinausreichen. Die Lernphase ist bei solchen Produkten deutlich kürzer. Der Trend bei den kostenpflichtigen Firewalls geht in Richtung Komplettlösung inklusive Antiviren-Software und einiger Zusatz-Tools.

Ist ein Anwender bereit, etwas mehr Zeit in die Konfiguration seiner Firewall zu investieren, so genügt eine Freeware. Sorgfältig eingerichtet bieten die kostenlosen Tools dasselbe Sicherheitsniveau wie die Kaufprogramme. Auf jeden Fall sollte das System vor der Installation einer Firewall so sauber und sicher sein wie möglich.

Die Entscheidung, ob ein Programm raustelefonieren darf, lässt sich häufig recht leicht beantworten. Wenn Anwender etwa das Mailprogramm Thunderbird zum ersten Mal starten, dann ist es nur logisch, dass die Firewall fragen wird, ob Thunderbird.EXE online gehen darf. Wichtig ist, dass es sich dabei wirklich um das eben gestartete Programm handelt. Anwender können dies über den Speicherort, also die Pfadangabe und den Namen, kontrollieren.

Ab und an meldet sich die Firewall aber auch, ohne dass der Grund gleich ersichtlich ist. Können Anwender den Programmnamen samt Pfad nicht sicher zuordnen, sollten sie misstrauisch sein und die Online-Verbindung zunächst weder erlauben noch verbieten. Recherchen, beispielsweise mit dem PC-Welt-Tool, helfen bei der Entscheidungsfindung.

Die meisten Programme wollen nur eine einfache Verbindung zum Internet - etwa der Browser. Er fordert einzelne Web-Seiten an und bekommt diese dann zugestellt. Die Firewall lässt die Seiten aus dem Internet passieren, denn sie wurden ja zuvor angefordert. Für ein paar Programme - etwa Chat- oder Voip-Tools - genügt das aber nicht. Damit sie vollständig funktionieren, müssen sie auch Daten empfangen können, die sie vorher nicht bestellt haben. Das aber muss die Firewall wissen, denn sie wirft für gewöhnlich alle Daten weg, die ohne vorherige Anforderung aus dem Internet eintreffen - und zwar ohne Info an den Anwender.

Desktop-Firewalls sollten Netzwerke eigentlich automatisch erkennen. Doch das klappt oft nicht. Die Folge: Die Firewall stuft die anderen PCs im Netz wie Rechner im Internet ein und blockt etwa den Zugriff auf die Dateien der PC. Lösen lässt sich das Problem auf einem Umweg: Das Netzwerk muss in der Firewall als vertrauenswürdige Zone eingestuft werden.

Hardware-Firewalls bieten einen tollen zusätzlichen Schutz gegen Gefahren aus dem Internet. Anders als Desktop-Firewalls sind sie kaum anfällig gegen Angriffe auf Sicherheitslücken in Software. Mit nur einem Gerät lassen sich mehrere Rechner auf einmal schützen. Das reduziert den Konfigurationsaufwand bei einem grösseren Netzwerk erheblich. Zudem arbeiten sie unabhängig von den Betriebssystemen der PC im Netzwerk.