Eine Firewall ist ein sicherer Computer-Schutz.
Eine Boeing 737 ist ein sicheres Flugzeug.
 
Diese beiden Aussagen sind nicht wirklich falsch, denn...
 

 
Die Boeing 737 gehört in der Tat zu den sichersten Flugzeugen der Welt. Wer allerdings keine Ahnung vom Fliegen hat, dürfte wohl kaum eine Chance haben, die Maschine heil zu landen.
 
Ähnlich sieht es mit den sogenannten Personal Firewalls aus, also Software, die man auf seinem PC installiert. Entscheidend ist auch hier der menschliche Faktor.
 

 
Leider ist oft unverständlich, was sich hinter der Vielzahl an Einstellmöglichkeiten im Einzelnen verbirgt.
 

 
Firewalls geben zum Beispiel mehr oder weniger viele Warn-Meldungen aus, meist verbunden mit der Frage, ob die Aktion, vor der gewarnt wird, erlaubt werden soll. Man kann dem zustimmen oder es ablehnen und hat meist noch die Option, dieselbe Warnung künftig immer automatisch so behandeln zu lassen.
 
Das ist zunächst mal recht sinnvoll, denn man will ja vielleicht einerseits einem neuen Programm nicht gleich am Anfang einen Freibrief erteilen, andererseits will man aber beim Benutzen des eigenen Browsers oder E-Mail-Programms nicht ständig bestätigen müssen, dass diese aufs Internet zugreifen dürfen.
 
Wie aber geht man in der Praxis mit solchen Meldungen um? Nun, man wird nach und nach allen vertrauten Programmen den Zugriff auf's Internet dauerhaft gestatten. Bei suspekter Software dagegen wird man den Zugriff eher verweigern. So weit, so gut.
 

 
Nun, beim Arbeiten mit Personal Firewalls gibt es leider oft Missverständnisse und es kann Einiges schief gehen:
 

 
Erstens gibt man damit Programmen, wie zum Beispiel dem Internet Explorer, eventuell unbegrenzten Zugriff auf's Internet. Klar, soll er doch auch haben, oder? Nein! Denn der Internet Explorer ist tief in Windows verwurzelt und es gibt Möglichkeiten, dass sich Schädlinge selber per Internet Explorer mit dem Netzwerk verbinden, wovon der PC-Besitzer in der Regel nicht das Geringste merken wird. In diesem Fall wären eingeschränkte Rechte der bessere Weg.
 

 
Zweitens sperrt man damit auf der anderen Seite Programme aus dem Internet aus, die eventuell zur Funktion anderer Software zwingend erforderlich sind. Die virtuelle Programm-Zeitschrift "TV-Browser" basiert zum Beispiel auf Javascript. Hätte man zuvor Javascript generell den Zugriff aufs Internet untersagt, würde der TV-Browser nicht mehr funktionieren und man wüsste eventuell nicht mal warum!
 

 
Drittens ist der Gewöhnungsfaktor bzw. die mangelnde Reaktions-Geschwindigkeit des Benutzers nicht zu unterschätzen! Bei gehäuft auftretenden Warn-Meldungen lässt nämlich die Aufmerksamkeit nach und verführt damit zu einem vorschnellen Klicken auf den vielleicht falschen Schalter. Zudem kommt es nicht selten vor, dass man während der Benutzung eines beliebigen Programmes just in dem Moment auf die Enter-Taste drückt, wenn gerade eine Firewall-Meldung aufspringt, die man damit dann versehentlich und möglicherweise auch unbemerkt wegklickt. Und schon hat man einem Eindringling eventuell die virtuelle Tür geöffnet!
 

 
Viertens, und das ist die wohl kritischste Sicherheitslücke von Personal Firewalls(!), sind solche "Sicherheitsprogramme" selber letztlich auch nur Software, die auf dem zu schützenden PC läuft. Diese kann aber prinzipbedingt erst dann aktiv werden, wenn der Schädling bereits zu ihr vorgedrungen ist, sich also längst auf dem System befindet! Wenn er schnell genug ist (und diese Programme sind verdammt schnell!), kann er die Firewall nach Belieben umkonfigurieren, bevor diese überhaupt reagieren kann. Der Eindringling hat fortan den vollen Zugriff auf das System!
 

 
Zu allem Überfluss ist es zudem so, dass Firewalls nahezu alles als potenziellen Angriff melden, was irgendwie versucht, mit dem heimischen PC Kontakt aufzunehmen. Dazu gehören aber auch zahllose Rückmeldungen von Servern, deren Internet-Seiten man gerade aufgerufen hat, und auch der eigene Provider sendet ständig Kontrollsignale. Über dieses harmlose "Netzrauschen" ständig informiert zu werden, ist allerdings ähnlich spannend, wie Farbe beim Trocknen zuzuschauen. Es führt zudem zu einer gewissen Abstumpfung gegenüber Warnungen, so dass die irgendwann vielleicht wirklich kritische nicht als solche erkannt wird.
 

  Nein, natürlich nicht! Allerdings gibt es zuverlässigere Methoden, als sich auf Programme zu verlassen, die zu viele Fragen und Lücken offen lassen.
 

 
Um Verbindung mit dem Internet aufnehmen zu können, bleibt es natürlich nicht aus, die dafür erforderlichen Türen (Ports genannt) zu öffnen. Windows XP ist (oder besser gesagt war) von Haus aus so konfiguriert, dass weit mehr solcher Türen offen sind, als eigentlich nötig wäre. Der Grund sind die sogenannten Windows-Dienste, die verschiedensten Zwecken dienen können und für ihre Arbeit halt offene Ports benötigen. Genauer betrachtet, braucht man diese Dienste aber in der Regel überhaupt nicht! Denn welcher "normale" PC-Besitzer setzt seinen Computer zum Beispiel als Server ein? Mittlerweile hat Microsoft das erkannt und seit SP2 (Service Pack 2) sorgt die integrierte Firewall dafür, dass diese Dienste zunächst deaktiviert sind.
 

 
Durch das abschalten unbenötigter Windows-Dienste sind die zugehörigen Ports somit geschlossen. Sollte man einen dieser Windows-Dienste eventuell doch mal benötigen, kann man ihn ja immer noch relativ einfach aktivieren. So sind dann also nur solche Ports offen, die für die "normale" Nutzung des Internets tatsächlich benötigt werden. Da diese Ports zudem an ganz bestimmte Software gebunden sind, hat ein Schädling somit schlechte Chancen, in das System einzudringen. Ihm fehlt einfach der "Partner", mit dem er kommunizieren kann.
 

 
Die Sache hat allerdings einen kleinen Haken! In jeder Software kann es Sicherheitslücken geben, und je komplexer die Software, desto wahrscheinlicher, dass solche Lücken existieren. Speziell Windows samt Internet Explorer, Outlook und Co. stellt da eine häufig genutzte Angriffsfläche dar. Diese Sicherheitslücken nutzen Programmierer von Schädlingen in der Regel aus, sobald sie bekannt werden.
 

 

 
Zum Glück ist Microsoft im eigenen Interesse bestrebt, neu erkannte Lücken möglichst schnell zu schließen. Sie bieten dafür sogenannte Sicherheits-Updates (Patches) zum Download an. Und in dieser Beziehung sind sie wirklich sehr schnell!
 
Diverse Schädlinge, die in den letzten Jahren mit dem Befall Tausender PCs Schlagzeilen gemacht haben, wären nicht mal eine Randnotiz wert gewesen, wenn jeder Windows-Benutzer regelmäßig diese Windows-Updates installiert hätte!
 
Das geht unter Windows übrigens recht einfach, indem man im sogenannten Sicherheits-Center die automatischen Updates aktiviert. Keine Sorge bezüglich des Datenschutzes! Windows sendet dabei zwar Informationen an Microsoft, allerdings nur solche, die zur Auswahl der richtigen Updates beitragen, jedoch (entgegen manchen Unkenrufen) keine persönlichen Daten. Wer das nicht glaubt, der muss sich die Frage gefallen lassen, warum er dann noch mit einem Betriebssystem arbeitet, dem er nicht traut!? Das wäre doch ebenso paradox wie fahrlässig!?
 

 
Hierzu hat ein Mitglied des Chaos Computer Club vor dem Erscheinen von SP2 (Service Pack 2) erfreulicherweise ein simples Tool geschrieben, das man von seiner Internet-Seite dingens.org herunter laden kann. Das Tool muss nicht mal installiert werden, sondern man kann es direkt starten. Es besteht aus nur einem einzigen Fenster, in dem man zwischen drei Optionen wählen kann:
 

 
2.1 Die erste (voreingestellte) Option ist für PCs, die per Modem (egal ob analog, ISDN oder DSL) direkt mit dem Internet verbunden sind.
 

 
2.2 Die zweite Option ist für PCs, die über ein Netzwerk (also zum Beispiel mittels eines Routers) ins Internet gehen. In diesem Fall bleiben die für interne Netze erforderlichen Windows-Dienste aktiviert. Die dann offenen Ports werden von einem korrekt konfigurierten Router bestens geschützt.
 

 
2.3 Die dritte Option dient lediglich dem Zweck, die Einstellungen der ersten beiden wieder aufzuheben, sollte also in der Regel nicht genutzt werden!
 

 
Hinweis: Dieses Tool ist seit Windows XP SP2 (Service Pack 2) nicht mehr unbedingt erforderlich, doch andererseits schadet es auch dann nicht. Es gibt zumindest die Sicherheit, dass auch bei eventuell mal ausgeschalteter Firewall das System noch hinreichend geschützt ist.
 

 
Die in den aktuellen Windows-Versionen bereits enthaltene hauseigene Firewall ist zum Beispiel eine solche. Da gibt es wenig, was man falsch machen kann und sie beschränkt sich erfreulicherweise auf wenige Meldungen, die auf tatsächliche potenzielle Risiken aufmerksam machen. Man wird also auf so manche gewohnte Warnung verzichten "müssen":
 

 
3.1 Die Windows-Firewall meldet zum Beispiel nicht, wenn ein Eindringling von außen ins System hinein will.
 
Wozu auch? Wenn die Ports geschlossen sind, kommt doch ohnehin Niemand rein! Und wenn die Ports doch mal offen sein sollten? Nun, dann ist die Windows-Firewall natürlich angreifbar und nahezu wertlos, aber das gilt ja eben auch für alle anderen Firewalls!
 

 
3.2 Die Windows-Firewall meldet ebenfalls nicht, wenn ein Programm Kontakt nach außen aufnehmen will.
 
Wozu auch? Wenn man einem Programm nicht traut, dann installiert man es doch besser gar nicht erst, oder!? Dagegen würde man einem (eventuell zu Unrecht) als vertrauenswürdig eingestuften Programm den Zugriff aufs Internet eh gestatten. Zudem hätte ein ernst zu nehmendes Schadprogramm, wie bereits weiter oben geschildert, ohnehin keine Probleme eine Firewall auszuhebeln.
 

 
3.3 Was die Windows-Firewall dagegen sehr wohl meldet, ist, wenn ein auf dem PC befindliches Programm als Server dienen will, wozu es offene Ports benötigt, durch die auf das Programm zugegriffen werden kann.
 
Bei einem Messenger-Programm macht das eventuell auch Sinn, um eingehende Nachrichten zu erhalten. Bei einem Programm zur Datenübertrag dagegen muss man entscheiden, ob man lediglich auf externe Server zugreifen oder auch den Zugriff auf den eigenen PC erlauben will.
 
Die Frage einer Firewall, ob einem Programm Server-Funktionen gestattet oder untersagt werden sollen, ist also durchaus sinnvoll.
 

 
Brain.exe ist nichts anderes, als die unter Fachleuten verbreitete scherzhafte Bezeichnung des gesunden Menschenverstandes. Hier ein paar Tipps, wo Brain.exe zum Einsatz kommen sollte:
 

 
4.1 Nichts installieren, von dem man nicht sicher weiß, dass es keinen Schaden anrichtet.
 
Im Zweifel Finger weg!
 

 
4.2 Nichts öffnen, von dem man nicht sicher weiß, dass es harmlos ist.
 
Insbesondere sind hier Anhänge von E-Mails zu nennen, selbst wenn sie scheinbar von einem vertrauenswürdigen Absender stammen. Die in E-Mails stehenden Absender-Angaben lassen sich nämlich sehr leicht fälschen. Zudem könnte der PC des Absenders selber schon befallen sein. Also Vorsicht!
 

 
4.3 Keine Software benutzen, die bekanntermaßen als unsicher eingestuft wird.
 
Hier ist zum Beispiel der Internet Explorer zu nennen. Microsoft sorgt zwar dafür, dass bekannt gewordenen Sicherheitslücken per Windows-Update umgehend geschlossen werden, doch das Problem liegt hier woanders:
 
Einige Funktionen des Internet Explorer basieren auf Techniken, die ihrerseits ein Eigenleben führen (wie zum Beispiel ActiveX) und von Angreifern ausgenutzt werden können. Ähnliches gilt für Outlook.
 
Hier empfiehlt sich dringend die Nutzung alternativer Software! Der Browser Firefox und das E-Mail-Programm Thunderbird (beide auch zu finden auf der Seite mozilla-europe.org/de ) verzichten zum Beispiel auf derlei riskante Techniken.
 

 
Windows ist von Haus aus so eingestellt, dass man Administrator-Rechte hat. Das bedeutet, man darf auf dem System alles machen. Dummerweise gilt das aber auch für die installierten Programme. Und dazu gehören auch eventuell eingedrungene Schädlinge!
 
Man sollte daher grundsätzlich ein zusätzliches Benutzer-Konto einrichten, das nur über eingeschränkte Rechte verfügt. Meldet man sich unter diesem Konto an, kann man alle "normalen" Tätigkeiten ausführen, hat aber keinen Zugriff auf Systemdateien. Da dies auch für Eindrinlinge gilt, ist das System in diesem Modus weit sicherer, als mit Administrator-Rechten.
 
Als Administrator meldet man sich fortan nur noch an, wenn es gilt, Programme zu installieren oder Änderungen am System vorzunehmen. Im Administrator-Modus, sollte man allerdings keine Verbindung zum Internet aufbauen. Nie!
 

 
Wer Jemanden hat, der ihm bei der Einrichtung des PCs und bei Problemen hilft und dem er vertraut(!), der sollte Denjenigen bitten, für den Administrator-Modus ein Passwort zu vergeben, das nur er selber kennt. Der Besitzer des PCs sollte dann ein eigenes Benutzer-Konto mit eingeschränkten Rechten bekommen. Unter diesem Benutzer-Namen kann man relativ sorglos arbeiten und wenig falsch machen.
 

 
Ich habe mit dem oben genannten Tool die überflüssigen Windows-Dienste deaktiviert und die Firewall abgeschaltet. Anschließend hab ich diverse einschlägige Internet-Seiten aufgesucht, auf denen Tests angeboten werden, mit denen man die Sicherheit des eigenen PCs überprüfen lassen kann.
 
Zu diesen Testseiten gehören unter anderem auch solche von Firmen, die Personal Firewalls anbieten (zum Beispiel Symantec ), die also selber größtes Interesse daran haben, dem Besucher Sicherheitslücken aufzuzeigen. Sie wollen ja schließlich ihre Produkte verkaufen.
 
Erfolg: Jeder dieser Tests kam zu demselben Ergebnis, nämlich dass sie nicht in mein System eindringen konnten. Logisch, denn die Ports waren schließlich geschlossen.
 

 
Firewalls tun zwar noch etwas mehr, indem sie die Ports nicht nur schließen (was sie hoffentlich tun!?), sondern diese zudem noch "verstecken". Doch was bringt das?
 
Normalerweise bekäme ein Angreifer eine Rückmeldung, ob ein Port offen oder geschlossen ist. Eine Firewall unterdrückt diese Meldung, so dass der Angreifer diese Information nicht erhält. Was ist die Folge? Wenn der Angreifer beharrlich ist (und davon sollte man ausgehen!), wird er es immer wieder versuchen, in der Hoffnung, irgendwann vielleicht doch noch eine Lücke zu finden. Bekommt er dagegen die klare Meldung, ein Port sei geschlossen, dann wird er in der Regel aufgeben, denn selber öffnen kann er es von außen eh nicht.
 

 
Das stimmt aber nur bedingt! Schädlinge legen es nicht mehr nur noch darauf an, sich möglichst schnell und möglichst weit zu verbreiten. Mittlerweile wurden auch Strategien entwickelt, um Schädlinge möglichst lange am Leben zu erhalten. Zu diesem Zweck benutzen sie neuerdings immer häufiger private PCs, die in ihrer Summe als riesiges Netzwerk funktionieren!
 
Die Besitzer dieser PCs bekommen davon meist gar nichts mit, da der befallene PC lediglich als Operationsbasis herhalten muss. Solche Zombie-Computer, wie sie in Fachkreisen genannt werden, sind zunehmend die Verbreitungsbasis für Schädlinge.
 
Und genau da liegt das Problem!
 
Auch wenn diese PCs selber nicht erkennbar geschädigt werden, so stellen sie doch für das Internet eine enorme Gefährdung dar. Die Besitzer solcher PCs müssen sich also den Vorwurf der Fahrlässigkeit oder gar Mittäterschaft gefallen lassen, da sie mit ihren Systemen indirekt Beihilfe zur Computer-Kriminalität leisten.
 
Das kann nicht nur dazu führen, auf schwarzen Listen zu landen und dadurch bei keinem seriösen Provider mehr einen Vertrag zu bekommen, sondern in letzter Konsequenz sind auch Schadenersatz-Forderungen nicht auszuschließen.
 

 
Sollte ich jetzt Jemanden verängstigt oder zumindest verunsichert haben, so lag das durchaus in meiner Absicht. Das Internet sind nun mal wir alle mit unseren PCs, und ein Netz ist immer so schwach, wie seine schwächste Masche. Ich würde mich freuen, wenn ich mit meinen Schilderungen dazu beigetragen haben sollte, die eine oder andere dieser Maschen zu festigen.
 

 
Eine echte Firewall ist immer Hardware, also ein zweiter Computer (zum Beispiel in Form eines Routers), der zwischen den eigenen PC und das Internet geschaltet ist. Nur solche Systeme tragen die Bezeichnung Firewall zu Recht, da angreifende Signale zuverlässig daran gehindert werden können, in den eigenen PC einzudringen. Die Betonung liegt allerdings auf "können"! Denn auch hier gilt natürlich, dass die Firewall korrekt konfiguriert sein muss, um zuverlässig zu funktionieren. Auch eine solche Firewall kann jedoch nur vor unerwünschten Verbindungen schützen! Das einschalten von Brain.exe ist also auch hier unerlässlich.
 

 
Eine Personal Firewall dagegen (und um speziell die geht es mir) ist ein Programm auf dem eigenen PC, welches eine echte Firewall lediglich simuliert! Da es aber auf demselben Computer läuft, den es schützen soll, ist es selber ebenso angreifbar, wie jede andere Software auf diesem System auch! "Intelligente" Schädlinge nutzen genau das aus, indem sie als Erstes diese Personal Firewalls (und auch Antiviren-Software!) außer Gefecht setzen. Man kann sich also auf den versprochenen Schutz solcher Firewalls nicht wirklich verlassen. Was sie können, ist lediglich mehr oder minder brauchbare Informationen liefern und den PC-Besitzer bei der Konfiguration unterstützen. Mehr nicht! Durch ihre unnötige Komplexität bergen sie aber die Gefahr, genau die Sicherheitslöcher zu öffnen, die ohne sie geschlossen wären!
 

 
Ein Beispiel: Eine Personal Firewall fragt, ob das Programm "inetupd.exe" auf das Internet zugreifen darf. Wenn der PC-Besitzer diese Datei nicht kennt, wird er dies natürlich ablehnen. Die Folge ist, dass er damit sein Antiviren-Programm daran hindert, auf dem aktuellesten Stand zu sein! Es handelt sich nämlich in diesem Beispiel um das Update-Programm, mit dem sich der Virenscanner "AntiVir" die aktuellen Viren-Informationen aus dem Internet holen sollte. Möglicherweise hindert man also mit diesem vermeintlichen Schutz vor einem Angreifer das eigene Antiviren-Programm daran, genau den Schädling zu bekämpfen, der wiederum in der Lage ist, die Personal Firewall abzuschalten!
 

 
Die Tipps in meinem Beitrag beziehen sich vorwiegend auf Windows XP und Windows 2000. Das hat seinen guten Grund, denn ältere Windows-Versionen unterliegen nicht mehr der intensiven Pflege und werden nur noch wenig bzw. gar nicht mehr durch Updates unterstützt. Auch gibt es dafür kaum noch Sicherheitstools, die dem aktuellen Stand der Schädlingstechniken angemessen sind. Solche veralteten Windows-Versionen sollte man also besser nicht mehr benutzen.