Computer im Internet sind prinzipiell angreifbar - sie sollen ja mit der Welt kommunizieren. Viren, Trojaner und Würmer versuchen, in Rechner einzudringen. Um das zu verhindern, haben viele Anwender und Netzwerkadministratoren eine Brandschutzmauer eingebaut, die sogenannte Firewall. Doch einer aktuellen Studie der Universität von Kalifornien zufolge helfen die virtuellen Mauern in vielen Fällen kaum noch gegen Angreifer von außen. In einem Versuch gelang es den Wissenschaftlern, 78Prozent der attackierten Rechner neu zu infizieren und das, obwohl sie hinter einer Firewall lagen.
Firewalls versuchen den Rechner zu schützen, indem sie Regeln definieren, was eingelassen werden darf. Das geschieht vor allem über IP-Adressen und den sogenannten Port. Sueddeutsche.de wohnt sozusagen im Internet unter 213.221.91.5. Der Port, also das Stockwerk des Webservers ist die 80. Eine Firewall erlaubt beispielsweise, dass alle Datenpakete, die zur sueddeutsche.de-Adresse gehören und auf Stockwerk mit der Nummer 80 Zuhause sind, durchgelassen werden.
Die Idee, die hinter diesem Sicherheitskonzept steckt, ist aber mittlerweile etwas in die Jahre gekommen. Firewalls wurden vor 15 Jahren erstmals entwickelt, sie stammen aus einer Zeit, als der Nutzer noch mit dem Netscape Navigator gesurft hat und die spektakulärste Online-Anwendung das eigene E-Mail-Programm war.
Heutigen Anforderungen ist diese Technik von damals kaum noch gewachsen. Heute gibt es Anwendungen wie Facebook, Twitter, Peer-to-Peer-Netzwerke wie BitTorrent oder Dienste wie Skype, die sich keiner eindeutigen IP und keinem Port mehr zuordnen lassen, da sie diese entweder nach den Zufallsprinzip ständig wechseln oder sie innerhalb einer verschlüsselten Verbindung verbergen. Eine herkömmliche Firewall scheitert an dem Chaos, den diese Dienste anrichten. Sie kann nicht mehr erkennen, was alles durch die Leitung schlüpft, welche gefährlichen Sicherheitslücken entstehen.
Abhilfe soll jetzt eine Lösung schaffen, welche die kalifornische Firma Palo Alto Networks entwickelt hat. Die neue Firewall schaut nicht mehr auf IP-Adresse und Port. Sie versucht stattdessen, die verwendeten Anwendungen zu identifizieren und die damit verschickten Inhalte zu scannen.
"Die Software überwacht nicht mehr die Wege, sie kontrolliert die Daten", sagt CTO der Firma Nir Zuk. Knapp 1000 Anwendungen habe man bereits klassifiziert, zudem sei das neue Firewall-Konzept in der Lage Verbindungen zu entschlüsseln.
Scharfe und sichere Grenze
Auch nach Einschätzung von Jürgen Schmidt, Sicherheits-Experte der Computerzeitschrift , stoßen portbasierte Firewalls mittlerweile deutlich an ihre Grenzen: "Bei modernen Applikationen wie ICQ oder Skype haben sich konventionelle Filter inzwischen mehrheitlich als unzureichend erwiesen." So sei es durchaus denkbar, dass man die Vorstellung einer scharfen und sicheren Grenze, wie sie die herkömmliche Firewall verspreche, aufgeben müsse.
Ob man aber mit den Filtermöglichkeiten die Probleme wieder in den Griff bekomme, sieht Schmidt skeptisch, gerade bei webbasierten Anwendungen. "Deren Kommunikation erfolgt innerhalb des Datenstroms, über den die Mitarbeiter auch surfen." Der Aufwand sei viel zu groß, um alles effizient zu filtern und zu reglementieren. Man kann also kaum darauf hoffen, alles Unerwünschte einfach auszusperren.