Die Firewall bleibt wichtig

Längst ist es eine alltägliche Schlagzeile: «Schweizer Firma wird Opfer von Hackergruppe.» Es wird Lösegeld erpresst und im schlimmsten Fall wird die Firma durch den Vorfall handlungsunfähig, muss die Produktion einstellen und endet in der Insolvenz. Während sich die IT-Verantwortlichen den Kopf zerbrechen, was sie dagegen unternehmen können, haben die Cyberkriminellen leichtes Spiel. Im Darknet lässt sich die Ransomware gleich für ein paar Hundert Dollar als Ransomware as a Service (RaaS) beziehen und für längere Zeit abonnieren. Technisches Know-how braucht es dafür praktisch keines.

Doch wie sieht es auf der anderen Seite aus? Einen hundertprozentigen Schutz für Firmen wird es bekanntlich nie geben. Erst recht nicht, wenn die IT-Infrastruktur immer komplexer und dezentraler wird. Nebst der grossen Mobilität der Benutzer verändert sich auch die Rechenzentrumslandschaft. Public Clouds haben bereits vieles verändert und neue Herausforderungen zutage gebracht. Die Be­nutzer und auch die Services befinden sich nicht immer am gleichen Ort und benötigen trotzdem einen gleichwertigen Schutz. Der altbekannte Perimeter hat sich vervielfacht und ist an allen Enden anzutreffen.

Mit Software-Defined Wide Area Network (SD-WAN) und Secure Access Service Edge (SASE) stehen Technologien zur Verfügung, um die Dezentralisierung durchzuführen. Diese Technologien bauen noch immer auf dem Dienst der Firewall auf, bei der sich nur noch das Management an zentraler Stelle befindet. Sie kann sich den äusseren Umständen anpassen und benötigt keine eigene Hardware mehr. Angefangen mit der virtuellen Firewall, sind wir heute bei Firewall as a Service (FWaaS) oder Firewall as a Platform (FWaaP) angelangt. Firewalls schützen die Dienste in der Public Cloud oder erweitern den Schutz zwischen Containern.

In der Praxis versuchen die Firewall-Hersteller, den Angreifern immer einen Schritt voraus zu sein. Sie erweitern ihr Portfolio beinahe täglich, jede neue Funktion bringt die Sicherheit auf ein neues Level. Vom Kunden eingesetzt wird sie aber oft noch nicht. Während die Firewalls seit geraumer Zeit in der Cloud angekommen sind, setzen noch viele auf Legacy Firewalls oder haben die Next-Generation-Firewall-Funktionen nicht aktiviert. Die Gründe dafür sind vielfältig: Eine Migration von portbasierten zu applikationsbasierten Regeln erscheint als zu aufwendig, Threat Prevention verhindert mehr als sie sollte, erweiterten cloudbasierten Funktionen wird misstraut und SSL-Entschlüsselung ist ein rotes Tuch für die Rechtsabteilung.

Sind die zusätzlichen Funktionen doch aktiv, kann die Flut an neuen Logfiles und Alarmen oft überfordernd sein. Dabei wäre es so wichtig, auf diese neuen Funktionen zu setzen. Denn heutige Firewalls sind keine einfachen Port­filter mehr. Sie sind zum Beispiel in der Lage, Geräte zu identifizieren, die bereits mit Malware infiziert sind und ver­suchen, den Command-and-Control-Server zu erreichen, um die benötigten Dateien für eine Verschlüsselung herunterzuladen. Moderne Firewalls sind ständig mit einem Threat-Intelligence-Service verbunden und werden durch Machine-Learning-Funktionen noch effizienter. Nur mit solchen Erweiterungen kann den Angreifern die Stirn geboten werden.

Die Firewall-Technologie ändert sich ständig und passt sich den neuen Anforderungen an. Nun ist es an der Zeit, dass die neuen Technologien eingesetzt werden. Finanzielle Investitionen in Hardware und Software reichen nicht mehr aus, auch das Personal muss entsprechend aufgerüstet werden – sei es mit Ausbildung oder Aufstockung. Denn ohne genügend kompetentes Personal, das mit den neuen Werkzeugen umgehen kann, bietet auch die beste Firewall nicht genügend Schutz gegen die immer fortschrittlicheren Angriffe aus dem Cyberspace.