Sinn und Unsinn einer Desktop Firewall
Abgelegt unter: Sicherheit
Beim Lesen der heute durch viele Medien geisternden Meldung über die Verfügbarkeit der beliebten Desktop Firewall Zone Alarm 7.1 für Windows Vista (Link), habe ich mir zum wiederholten Mal die Frage gestellt, aus welchem Grund so viel Aufhebens um eine relativ unwichtige Software gemacht wird.
Noch mehr erstaunt es mich, dass ein – nach eigener Aussage fachlich versiertes – Portal die Meldung nicht nur durch inoffizielle Downloads (noch vor der Freigabe durch den Hersteller) forciert, sondern mit keinem Wort auf den Unsinn eines solchen Tools eingeht. Offenbar wird hier nach der Devise ‘Jeder Klick zählt‘ auf Userfang gegangen. Augenscheinlich ist dem Seiten-Betreiber Kommerz wichtiger, als Qualität und ernsthafte Berichterstattung!
Seriöse Portale wie beispielsweise das Berliner Magazin ‘WinFuture’ (Link) recherchieren nicht nur gründlich, vielmehr weist das Team auch auf den ‘Placebo-Effekt’ solcher Tools hin.
Ein Firewallsystem ist kein Allheilmittel, das einen Virenscanner oder Schutzprogramme gegen Dialer, Werbe-Einblendungen oder gefährliche dynamischen Elementen ersetzen kann.
Selbstverständlich stehen die Dateien auch im Download-Channel der freenet AG zur Verfügung (Link). Schließlich wollen und werden wir interessierte Anwender nicht im Regen stehen lassen.
Allerdings bin ich der Auffassung, dass sich ein Anwender vor dem Einsatz eines solchen Sicherheits-Werkzeuges folgende Frage stellen sollte: ‘Brauche ich eine zusätzliche Firewall?’
Mit Windows Vista wird eine – bei richtigen Einsatz – durchaus brauchbare Desktop Firewall geliefert, die zu Unrecht vielfach wegen ihrer geringen ‘Auskunftsfreudigkeit’ kritisiert wird. Doch haben die ewigen Nörgler scheinbar noch immer nicht verstanden, dass dahinter volle Absicht seitens des Herstellers steht.
Im Gegensatz dazu machen die Programme der Konkurrenz bei jedem Datenpaket, das den eigenen PC kontaktiert, durch überflüssige Meldungen auf sich aufmerksam und behaupten, der Rechner würde angegriffen. In nahezu allen Fällen ist dies aber blanker Unsinn und grenzt an Panikmache.
Sollt es dennoch einmal zutreffen, dass jemand versucht, in Ihren Rechner einzudringen, ist die Alarmmeldung des Firewall-Programms sowieso überflüssig. Denn Ihr System würde den ‘Angriff’ auch ohne die Firewall abblocken. Täte es das nicht, könnten Sie davon ausgehen, dass bereits eine Verseuchung mit bösartiger Software vorliegt.
Ist die Schutzwirkung einer sogenannten Desktop Firewall tatsächlich gleich Null?
Wie schützt man sich aber ohne Firewall?
Zunächst muss man sich zumindest ein wenig mit der Thematik beschäftigen. Jeder Computerbenutzer hat andere Ansprüche und andere Gewohnheiten, an denen sich orientiert, was zu unternehmen ist, um den Rechner abzusichern. Sie brauchen also ein Konzept … und Verstand beim Surfen.
Wer sich via Datenleitung im Internet aufhält, sollte wissen, dass er nicht in einer Einbahnstraße unterwegs ist. Nicht nur Sie selbst können auf Daten zugreifen, andere ebenfalls. Das bedeutet in der Konsequenz: mit Vorsicht surfen. Nicht ohne nachzudenken auf jeden x-beliebigen Link klicken. Weder auf einer Webseite, noch in einer E-Mail.
Plötzlich auftauchenden PopUps, die die irgendetwas installieren oder laden wollen, sollten Ihr Misstrauen wecken.
Gerade E-Mails sollten Ihre erhöhte Aufmerksamkeit hervorrufen. Die meisten Schädlinge werden mit der elektronischen Post übertragen. Nachrichten aus unbekannter Quelle, erst recht solche mit Dateianhängen, sollten nur mit Bedacht oder gar nicht geöffnet werden.
Virenschutz
Ohne ein zuverlässiges Virenschutz-Programm geht gar nichts. Zwischenzeitlich bieten nahezu alle Hersteller von Virenscannern ihre Produkte für Windows Vista an, manche sogar kostenlos.
Die Programme blocken Viren und Würmer zuverlässig ab, ob sie nun per E-Mail oder auf anderen Wegen auf Ihrem Rechenknecht landen.
Achten Sie aber darauf, dass die sogenannten Signaturdateien möglichst regelmäßig und häufig aktualisiert werden. Meine persönlichen Favoriten sind neben dem unentgeltlichen AntiVir Personal Edition Classic (Download) die Ressourcen schonende Software Eset NOD32 (Link) sowie neuerdings auch das Microsoft Sicherheitspaket Live OneCare (Link).
Ungewollte Werbung
Welcher Computeranwender ist nicht von ihr genervt: unerwünschte Werbung, kurz Spam. Die Shareware- und Freeware-Szene bietet zahlreiche zuverlässige Tools (Link), die Ihren PC relativ zuverlässig abschotten. Allerdings können diese Programme keine Wunder vollbringen, es gibt einfach zu viele Spammer, die sich täglich neue Tricks einfallen lassen, Ihre ungewollte Reklame zu verteilen.
Spyware
Mindestens ebenso ‘beliebt’ wie Spam, ist sogenannte Spyware.
Spyware (Link) arbeitet auf vielfältige Weise .
Die ungebetenen Gäste auf Ihrem PC, spionieren Sie und Ihre Surfgewohnheiten ohne Ihr Wissen aus. Spyware landet häufig durch Internetseiten auf Ihrer Festplatte, die “Aktive Inhalte” enthalten. “Aktive Inhalte” sind nicht sichtbare Funktionen von Webseiten die mit Unterstützung Ihres Browsers auf Ihrem Rechner ausgeführt werden. Eigentlich sollen sie die besuchten Internetseiten anschaulicher darstellen. Es können aber auch ungewollte Aktionen auf Ihrem Rechner ausgeführt werden, wie beispielsweise das Installieren von unerwünschten Programmen oder das Auslesen von Benutzerdaten.
Das Sicherheitskonzept von Windows Vista enthält mit dem Programm Defender bereits eine Lösung im Kampf gegen Spyware.
Windows Defender schützt Ihren Computer vor Sicherheitsrisiken, Popups und Beeinträchtigungen der PC-Leistung, die durch Spyware oder andere unerwünschte Software verursacht werden.
Dank der täglichen Online-Aktualisierung sind die Signaturen des Programms stets auf dem aktuellen Stand und das System auch gegen neue Spyware abgesichert.
Sicherheitsupdates
Doch wie sinnvoll ist alle Sicherheits-Software, wenn das Betriebssystem selbst nicht regelmäßig gepflegt wird. Schalten Sie also keinesfalls das zweckmäßige Feature der automatischen Aktualisierung des Betriebssystems ab.
Microsoft liefert häufig auch abweichend vom Rhythmus des monatlichen Patchday ‘Zwischenupdates’, wenn dies erforderlich ist.
In jeder Software stecken, Fehler, Lücken und Schwachstellen – eine Binsenweisheit, die unzweifelhaft auch auf Windows Vista zutrifft. Schützen Sie sich deshalb vor Angriffen, die solche Löcher bereits häufig kurz nach dem Bekanntwerden ausnutzen, durch umgehende Installation der vom Hersteller nicht grundlos angebotenen Updates und Patches.
Ist diese Aussage zutreffend?
Wie ist Ihre Meinung, was tun Sie um Ihr System zu schützen?
Wie wirksam sind die Grundeinstellungen der einzelnen Tools?
Ist ‘Otto Normalanwender’ gut beraten bzw. überhaupt in der Lage durch eine DFW sein System zu sichern?
Wie widersprüchlich ist die Auffassung, eine DFW sei nahezu nutzlos?
Ähnliche Beiträge:
Hardware Firewall: Gerät, das je nach Ausstattung mit Paketfilter und sogar Virenschutz ausgestattet sein kann.
Firewall im DSL-Router: Funktion, die nur Pakete durch lässt, die von innen (Ihrem Rechner) kommen, oder angefordert wurden.
ERGÄNZUNG ist DFW: soll die Weiterverbreitung von Malware und das “nach hause telefonieren” unterbinden, den Rechner im LAN schützen und Hinweise auf Infektionen liefern.
XP Firewall: unsinnig für einzelnen Rechner hinter DSL Router (halbe DFW)
Vista / Win7 Firewall: sehr weit verbreitete brauchbare (ganze) DFW.
Fazit
Im Netz ohne Router und Virenschutz: geht nicht! Ohne ganze DFW: ist rücksichtslos! Mit veralteter sicherheitsrelevanter SW: ist sinnlos! Echte Sicherheit: Netzwerkstecker ziehen (“Auch das WLAN-Kabel” ;-) )! Plus: wenig verbreitete sicherheitsrelevante SW kann von Würmern nur schwer überwunden werden.
Natürlich ist eine DFW kein perfekter Schutz, aber wie schon gesagt ist sie absolut nicht sinnlos. Jeder der mal eine DFW installiert hat wird mit Erschrecken feststellen, wie viele Programme (nicht Schadsoftware) eine Verbindung nach “Aussen” aufbauen – sei es um nach Updates zu suchen oder aber eben um Informationen wie z.B. Nutzungsstatistiken o.ä. zu senden. Wer jetzt meint das Problem auf den User schieben zu können, der einen entsprechenden Hinweis auf solche Dinge in den AGBs einer Software ignoriert, ist theoretisch im Recht, praktisch aber einfach nur naiv. Ich will wissen wann, wie und warum mein PC eine Verbindung wohin aufbaut und in den meisten Fällen ist eine DFW da unersetzlich.
dito..
router blockt alles was rein will.. was ich nich rein lasse, kommt nich rein. fertig! was ich über port forwarding rein lasse, kommt auch rein. basta.
wenn man allerdings auf popup verseuchten seiten wie t-online surft und dann evtl mal woanders auch jedes popup anklickt muss sich nich wundern wenn man durch eigene dummheit (!) und unachtsamkeit plötzlich mal was im sys hat was da nich hingehört
(oder man alle plugins ohne nachzudenken in den IE/FF lädt weil angeblich die website ohne nicht geht!)
hachja =)
Nur mal zum nach Hause telefonieren: Normale Programme (keine Schadsoftware ! ) lassen sich sehr wohl abblocken. Wenn ich das so mag bin ich in der Lage Zugiffe meiner Software zum Internet einigermaßen zu kontrollieren. Und ob ich zu diesem Zweck eine DFW einsetze (nicht im AUTO-Modus) oder nicht sollte jedem selber überlassen werden.
hmm … doch denn die Desktop Firewall hat dem Wurm einfach keinen Zugriff auf den Dienst zugelassen. Somit gab es keinen Buffer Overflow und somit blieb mein System sauber!
Also um mal einen anderen Aspekt anzuführen, heute nutzt doch eigentlich fast jeder eine Breitbandverbindung über einen Router. Mittlerweile kann fast jedes neuere Gerät mit einer Firewallfunktion aufwarten, die sicher besser ist, als die ressoucenhungrigen Programme. Hier lassen sich nach Bedarf Ports für Filesharing etc. sperren oder öffnen. Mir hat das bisher immer ausgereicht.
Auch Eine Personal Firewall kann das “Telefonieren” nicht unterbinden, wenn man es wirklich darauf anlegt! Wer das nicht glaubt, soll mal nach den einschlägigen Beiträgen zu diesem Thema vom CCC suchen.
Übrigens glaube ich dem Artikel zu entnehmen, dass bei falscher Konfiguration bzw. nur mit den Grundeinstellungen einen DWF mehr Schaden als Nutzen angerichtet wird, auch hier wird das Telefonieren NICHT unterbunden. Im Gegenteil, meist wird durch eine AUTO-Einstellung fast alles zugelassen, was ins Net will.
Oh man, oh man! Selten so eine engstirnige Betrachtungsweise erlebt!
Ich zitiere mal:
“Wer sich via Datenleitung im Internet aufhält, sollte wissen, dass er nicht in einer Einbahnstraße unterwegs ist.â€
Und genau das ist der Punkt!
Klar bietet ein Desktop-FW keinen Schutz vor Angriffen!
Aber ist euch auch mal der Gedanke gekommen, dass es primär nicht darum geht Angriffe von aussen abzuwehren, sondern das “Nach-Hause-Telefonieren†diverser Programme zu underbinden???
Könnt ihr mir da Alternativen zur Desktop-FW anbieten?
Ein Wurm wird NICHT von der FW erkannt, sondern von einem zuverlässigen Antiviren-Programm, das hätte nämlich den Angriff erkennen können. Ist der Wurm erstmal im System und wird dann erst von einer sogenannten Fw geblockt ist es zu spät. Viele Würmer sind außerdem locker im Stande ne Fw auszutricksen.
Also nochmal: Das sinnloseste Programm auf einem PC ist u.a. die Desktop Firewall, besonders dann, wenn sich der Anwender (und das schließe ich aus Deinen Ausführungen) NICHT mit der richtigen Konfiguration und dem Erstellen von Regeln auskennt. Für Fachleute dagegen, die sich mit Netzwerken etc. auskennen, ist eine Firewall (Hardware) ein nicht zu unterschätzendes Hilfsmitte um das Netz zu sichern!
so unwichtig ist eine Firewall garnicht, wie hier dargestellt wird. Klar, wenn jemand reinkommen will, dann kommt er auch rein, selbst durch Antivirus und co aber mal ein praktisches Beispiel wo mich die Firewall geschützt hatte.
Zu meiner Schande muss ich gestehen, das ich damals nicht regelmäßig Windows up to date hatte. So geschah es das ein findiger Programmierer einen Wurm ins Inernet ließ der durch einen Buffer Overflow auf den Rechner kam. Es reichte eine Internetverbindung. Während mein Kollege nebenan sich das Teil gleich mal einfing als er online ging, blockte meine Firewall einfach den Zugriff. Gut, es mag nicht sehr oft vorkommen, das eine Firewall greift aber ganz sinnlos ist sie eben nicht!
Bin früher immer mit ZA im internet rumgegurkt… bis ich dann ein buch von dummies übers “hacken” gelesen hab… da hab auch ichs verstanden. Wer rein will den stört kein ZA, und wer sich verteidigen muss (weil seine Daten von interesse sind) der benutzt nicht ZA…
Endlich ma eine Aussage, die den Nagel aufn Kopp trifft. Alles nur Augenwischerei. Das böse Internet ist ja auch die Hölle und deshalb schnell ne DFW kaufen … Wer mehr über Firewalls und deren (Un)Wirksamkeit lesen will, sollte ma hier gucken:
Firewall-FAQ von Lutz Donnerhacke
Auch wenn vielleicht einiges an ZA 7.1 verbessert wurde, haste genau recht, braucht kein Mensch!
Punkt 1: Kein Hax0r der Welt interressiert sich für einen Privat-PC (es sei den der böse Nachbar)
Punkt 2: Gerade ZoneAlarm lässt sich mit 2 Zeilen Script, eingebettet in HTML, abschiessen -> wer rein will, der kommt auch rein
Punkt 3: ZoneAlarm ist keine richtige Firewall sondern ein schlichter Paketfilter
Punkt 4: eine Firewall ist NIEMALS ein einzelnes Programm, sondern immer ein Gesamtkonzept (nicht alles anklicken, Ports manuell dichtmachen; Vorsicht beim öffnen von E-Mail Anhängen, regelmässig Updates einspielen, Virenscans etc. pp.)
Punkt 5: die meisten Anwender haben heutzutage sowieso nen Router und da ist in 99% aller Fälle bereits eine Firewallfunktion mit drin
Fazit: Ich bin seit “immer” ohne Desktop Firewall unterwegs, und mich hat noch nie einer angegriffen.
Natürlich hab auch ich hin und wieder gepennt und einen Virus selber runtergeladen, aber Fehler sind menschlich, deswegen gibts auch Bleistifte mit Radiergummi dran….