Welche Mindestanforderungen muss eine Firewall erfüllen?

Das Surfen im Web am Arbeitsplatz ist grundsätzlich mit einem nicht unerheblichen Risiko verbunden! Ohne technische Hilfe wären wir vermutlich alle im Internet verloren. Die Gefahren sind einfach zu vielfältig und massenhaft vorhanden. Glücklicherweise gibt es Technologien, die uns den sicheren Umgang mit dem Internet erleichtern. Allerdings sollte man bedenken, dass auch diese technische Unterstützung (z.B. in Form einer Firewall) nicht immer vollumfänglichen Schutz bietet. Daher ist immer auch der gesunde Menschenverstand und Vorsicht angemessen! Dennoch möchte ich Ihnen in diesem Artikel aufzeigen, was Ihre Firewall leisten sollte, um Sie und Ihr Unternehmen vor unerwünschten Netzwerkzugriffen zu schützen.

Der erste Schritt: Internetzugänge eliminieren und Risiko senken

Überprüfen Sie als erstes, welche Mitarbeiter und welche Computer wirklich einen Internetzugang benötigen. PC’s die beispielsweise nur für bestimmte Zwecke eingesetzt werden brauchen eventuell nicht zwingend einen Internetzugang. Wenn Sie also unnötige Internetzugänge eliminieren, senken Sie automatisch das Risiko, sich Viren oder andere Schadsoftware im Internet einzufangen. Und nicht nur das: Sie senken außerdem Ihr Geschäftsführer-Haftungsrisiko. Denn am Ende müssen Sie als Geschäftsführer nachweisen,  dass Sie geeignete Vorkehrungen zum Schutz des Unternehmens getroffen haben.

Hier geht's zum Leitfaden: So prüfen Sie, ob Ihr Virenschutzkonzept alle Haftungsrisiken ausschließt

Welche Firewall-Funktionalitäten sollte mein Internetgateway enthalten?

Downloadgröße

In der Regel können Sie Downloads ab einer, zum Beispiel vom Administrator festgelegten, Größe blockieren. Dies macht zum Beispiel Sinn, um unnötige Downloads wie zum Beispiel Filme am Arbeitsplatz zu verhindern. Sicherlich ist dieser Punkt in Zeiten von Streaming nicht mehr ganz zeitgemäß, man sollte aber dennoch wissen, dass es diese Möglichkeit gibt.

Virenschutz

Zum Thema Virenschutz empfehle ich Ihnen, darauf zu achten, dass Ihre Firewall zwei Virenschutzsysteme von unterschiedlichen Herstellern im Traffic-Filter verwendet. Durch diesen „Dual-Scan“ können Sie die Erkennungsrate von Download Viren und Malware nämlich wirksam erhöhen.

Sandboxing

Ferner können Viren sozusagen in einem „Sandkasten“ von der Firewall automatisch getestet werden. Dabei wird in einer gekapselten Umgebung überprüft, ob ein Programm bzw. ein Schadprogramm schädliche Aktionen durchführt. Damit kann unbekannte Malware abgefangen werden die der Virenschutz-Engine bisher noch unbekannt sind. Das Angriffsmuster ist in der Regel besser und leichter zu erkennen, als die reine Identifizierung über Hashes oder File patterns.

Allerdings müssen Sie bedenken, dass nicht alle Viren so erkannt werden können. Denn manche Viren erkennen sogar, dass Sie sich in einer solchen Umgebung befinden. In jedem Fall liefert das Sandboxing bei einigen Malware Varianten zusätzliche Sicherheit.

Extension blocking

Ähnlich wie bei der Downloadgröße gibt es auch die Möglichkeit bestimmte Typen von Dateien z.B. EXE, BAT, DLL, MP4-, MP3-Dateien usw. vom Download auszuschließen. Somit werden Downloads dieser Art sofort blockiert und gar nicht erst zugelassen, was dazu beiträgt, dass bestimmte Dateien gar nicht erst in Unternehmens-Netzwerk gelangen und dort vielleicht sogar ausgeführt werden.

URL-Filter

Selbstverständlich ist auch möglich, das Surfverhalten im Unternehmen einzuschränken, um das Sicherheitsrisiko zu erhöhen. Es gibt Kategorien (Crimal Activities, Online Games, Nudity, usw.), die von der Firewall blockiert werden können. Beispielsweise können Sie so verhindern, dass auf Seiten mit illegalem Inhalt zugegriffen wird. Sollten Sie minderjährige Auszubildende haben sind Sie sogar gesetzlich nach dem Jugendschutzgesetz verpflichtet dafür zu sorgen, dass Ihre Jugendlichen keine jugendgefährdenden Inhalte im Internet abrufen können. Davon abgesehen schützen Sie auch Ihre anderen Mitarbeiter davor, sich mit unproduktiven Inhalten zu beschäftigen was in der Regel dazu führt, dass sich die Investitionen in eine neue Firewall umgehend wieder amortisieren.

Content-Removal

Im Gegensatz zum Content Blocking welches bestimmte Dateitypen in Quarantäne verschiebt, kann das Content-Removal zum Beispiel gefährliche Word- oder Excel-Dateien mit Makros erkennen und sofort löschen. Da immer noch eine ganz beträchtliche Anzahl von Cyberangriffen auf solchen Makros zurückzuführen sind, sollten Sie sicherstellen, dass solche Dateien gar nicht erst in Ihr Netzwerk gelangen.

Logging

Letztlich kann es durchaus Sinn machen mit zu loggen, welche Seiten im Unternehmen aufgerufen werden. Doch Vorsicht! Gerade im Bezug auf personenbezogene Daten (Stichwort DSGVO) und Mitarbeiterüberwachung ist das ein sehr heikles Thema, welches unbedingt den rechtlichen Rahmen einhalten muss. Dazu sind rechtlich gültige und korrekte Regelungen mit dem Betriebs- oder Personalrat bzw. der Arbeitnehmervertretung notwendig.

Fazit: Was sollten Sie nun tun?

Diese Frage lässt sich relativ einfach beantworten. Sie sollten unbedingt klären, welche Funktionalitäten auf Ihrem Internetgateway verfügbar sind und ob diese auch richtig funktionieren. Falls Ihnen Ihr Administrator nicht bestätigen kann, dass die zuvor genannten Funktionen bei Ihnen im Unternehmen implementiert sind, so sollten Sie über den Austausch Ihres Internetgateways nachdenken.

Falls die Funktionalitäten vorhanden und auf Ihrem Internetgateway aktiviert sind, so überprüfen Sie zusammen mit Ihrem Administrator, ob die Konfiguration Ihrem Schutzbedarf entspricht und ob diese rechtlich sauber implementiert wurde!

Bedenken Sie dabei immer: Ihr Internetgateway bzw. Ihre Firewall muss an die Anforderungen im Unternehmen angepasst sein, damit sie Ihre volle Wirkung entfalten kann. Dabei kann es hilfreich sein, verschiedene Konfigurationen für verschiedene Zwecke bzw. Abteilungen einzurichten. Falls Sie bzw. Ihr Administrator mit den doch recht komplexen Fragestellungen überfordert sind, hilf Ihnen unser IT-Sicherheitsbeauftragter von BRANDMAUER IT gerne weiter.