Netzwerksicherheit

Ist ihre Firewall veraltet?

| Autor / Redakteur: Ian Kilpatrick* / Peter Schmitz

Ohne es zu merken haben viele Unternehmen Löcher in ihren einst so sicheren Perimeter geschlagen, denn neue Technologien öffnen auch neuen Sicherheitslücken Tür und Tor.
Ohne es zu merken haben viele Unternehmen Löcher in ihren einst so sicheren Perimeter geschlagen, denn neue Technologien öffnen auch neuen Sicherheitslücken Tür und Tor. (© Ljupco Smokovski - Fotolia.com)

Es vergeht nahezu kein Tag ohne Schlagzeilen über die neue Datenlecks oder Hacking-Skandale. Dennoch glauben viele Unternehmen, sie seien gut für die unterschiedlichen IT-Sicherheitsrisiken gerüstet, die sie bedrohen. Doch die Realität sieht wahrscheinlich etwas anders aus.

Den Sicherheits-Perimeter von früher gibt es nicht mehr. Bring your own Device (BYOD), Telearbeit oder Arbeiten an unterschiedlichen Orten sowie die zunehmende Anhängigkeit von cloudbasierten Applikationen, zum Beispiel Office 365, Salesforce und öffentlichen Cloudservices, wie etwa Amazon AWS oder Microsoft Azure, schaffen eine dezentralisierte Umgebung, in der Unternehmensdaten und Applikationen von nahezu jedem beliebigen Gerät und Netzwerk aus zugänglich sind.

Ohne es zu wissen, haben viele Unternehmen wiederholt Lücken in den vormals so sicheren Perimeter geschlagen. Damit haben sie sich nicht nur angreifbar gemacht, sondern sind Angriffen sogar vollkommen schutzlos ausgeliefert.

Da diese Änderungen jedoch über einen langen Zeitraum hinweg geschehen sind – manchmal bis zu mehreren Jahren – habe viele Firmen die Risiken, denen sie ausgesetzt sind, nicht erkannt oder unterschätzt. Das hat in manchen Fällen auch zu einer gewissen Sorglosigkeit hinsichtlich der herkömmlichen Sicherheitsmaßnahmen geführt: warum etwas ändern, wenn es doch bisher auch funktioniert hat und sicher war? Dabei wird natürlich die neue Welle von Angriffen außer Acht gelassen, die von außen auf den geschwächten Perimeter einströmt.

Veraltete Firewall-Technik

Das gilt unter anderem für die Firewall-Technik, die sich stetig weiterentwickelt hat, um für die Sicherheitsbedrohungen der neuen Generation gewappnet zu sein. Auch eine Firewall, die sich in den letzten fünf Jahren bestens bewährt hat, reicht nicht mehr aus, um Ihr Unternehmen auch in Zukunft zuverlässig zu schützen.

So sollten zum Beispiel Firewalls, die heute in einer Umgebung mit mehreren Standorten zum Einsatz kommen, über Zusatzfunktionen verfügen, wie etwa die Fähigkeit, den unternehmenskritischen Datenverkehr zu optimieren und dafür zu sorgen, dass er nicht in weniger wichtigen Netzwerkaktivitäten untergeht. Ihre aktive Firewall sollte daher idealerweise Fähigkeiten mitbringen wie Kompression, Daten-Deduplikation, applikationsbasierte Priorisierung sowie Gewährleistung der Bandbreite.

Unternehmen sind heute zudem einer nie dagewesenen Anzahl von Ransomware-Angriffen ausgesetzt. Diese erfolgen üblicherweise per E-Mail, doch es gibt auch Computer, die „nach Hause telefonieren“, um von einem Command&Control-Server (C&C) Stealthware zu installieren. Mit der richtigen Firewall – häufig auch als „Next Generation“ bezeichnet – können solche Aktivitäten erkannt und verhindert werden.

Zusätzlich zu den Schutzmaßnahmen am Perimeter können auch weitere interne Firewalls eingesetzt werden, um verschiedene Zonen zu schaffen. Diese Zonenbildung bzw. Segmentierung macht es Malware und Angreifern schwerer, die Netzwerkgrenzen zu überwinden.

Es ist in vielen Fällen sinnvoll, den direkten Zugriff auf Cloud-Applikationen von allen externen Standorten aus freizugeben und sich komplett vom herkömmlichen Ansatz des zentralisierten Zugriffs zu lösen. Die Freigabe des Internetzugriffs an externen Standorten bedeutet heute meist den Einsatz von Firewalls an den entsprechenden Standorten. Dabei gibt es in der Praxis drei Herausforderungen zu beachten:

  • 1. Verfügt die am externen Standort eingesetzte, „kleinere“ Firewall über alle erforderlichen Sicherheitskontrollen, und ist sie noch kostengünstig? Unabdingbar sind dabei Funktionen der Next-Generation-Firewall, z.B. App-Steuerung, Benutzererkennung, integriertes IPS, die Möglichkeit, SSL abzufangen, sowie ein moderner Schutz vor Bedrohungen und Malware.
  • 2. Können die Geräte effektiv über eine zentrale Benutzeroberfläche gemanagt werden? Das ist wichtig, da so nur eine einzige Security-Policy für alle eingesetzten Firewalls definiert und gepflegt werden muss, auch wenn die Umsetzung der Regeln an verschiedenen physischen Orten stattfindet.
  • 3. Wie steht es mit den entsprechenden Betriebskosten? Firewall-Geräte erfordern Fehlersuche, Logs müssen gemanagt und Updates aufgespielt werden etc.

The Next Generation

Wie überall in der IT herrscht auch bei den Next Generation Firewalls (NGFW) mehr Hype als Realität. Viele dieser Firewalls sind auch mit dem vollständigen Funktionsumfang ausgestattet. Einige jedoch sind übermäßig angepriesene Versionen älterer Technologie, und trotz der reichlichen Auswahlmöglichkeiten bleiben die angebotenen Fähigkeiten und Performance-Angaben oftmals unklar.

Der Kunde sollte zu Anfang als Erstes seine Bedürfnisse abklären, da diese sich je nach Art der Organisation, Performance-Anforderungen, Sicherheitsanforderungen und natürlich der Compliance-Anforderungen unterscheiden. Zwar variieren die Preise für NGFW stark, entsprechen aber nicht immer der gebotenen Leistung, deshalb geht hier Bedarf vor Budget.

Trotz der Gefahr, eine langweilige Liste an Funktionen aufzustellen, sind im Folgenden einige der Punkte aufgeführt, die es bei Next-Generation Firewalls zu beachten und zu priorisieren gilt, wie etwa Application Firewalling (mit Deep Packet Inspection), Eindringschutz, Prüfung von verschlüsseltem TLS-SSI-Traffic, Filterung von Webseiten, Bandbreitenmanagement und Integration von externen Lösungen für das Identitätsmanagement (LDAP, Radius Active Directory, etc.). Als weitere Features kommen in Frage: Antivirus, Sandbox-Filtering, Tools für Logging und Auditierung, Steuerung des Netzwerkzugriffs, DDoS-Schutzmaßnahmen und natürlich Cloud-Fähigkeiten.

Natürlich haben unterschiedliche Organisationen auch unterschiedliche Anforderungen, je nach Größe und Performance- bzw. Sicherheitsanforderungen. Angesichts des großen Angebots an Lösungen kann die Auswahl zur echten Herausforderung werden, insbesondere wegen der großen Zahl an Anbietern, die mit innovativen Angeboten auf den Markt kommen. Allerdings wird das Angebot dadurch nicht gerade übersichtlicher, und es besteht das Risiko, dass Anbieter mit wirklich innovativen Ideen von einem der größeren Player aufgekauft werden.

Weitere wichtige Faktoren in dieser Gleichung sind Budget und Management-Fähigkeiten. Da Firewalls oft deutlich länger als drei Jahre im Einsatz bleiben, gilt es, die richtige Entscheidung zu treffen, um Ihre Umgebung abzusichern, nicht nur gegen aktuelle Bedrohungen, sondern auch gegen solche, die zukünftig im Fokus stehen werden.

Mit meiner über 40-jährigen Erfahrung im Bereich Security schlage ich als beste Vorgehensweise vor, den konservativen Weg zu gehen und einen gut etablierten Player als Partner zu wählen, der jetzt und auch in Zukunft in Abwehrmaßnahmen und Upgrades investiert. Dazu passen zahlreiche Organisationen, wie etwa Barracuda Networks, Check Point und WatchGuard Technologies, um nur einige zu nennen.

Je nach Umfang und potentiellen Kosten Ihrer Investition kann es äußerst effektiv sein, vor der Entscheidungsfindung einen oder mehrere Anbieter ein vollständiges POC (Proof of Concept) durchlaufen zu lassen. So schützen Sie Ihre Organisation in einer radikal veränderten Risikoumgebung, die bereits drei Jahre alt ist und sich potentiell auch immer schneller verändern wird.

* Ian Kilpatrick ist Executive Vice President Cyber-Security der Nuvias Group und Chairman der Wick Hill Group.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44534528 / Firewalls)