IT-Security im Brennpunkt

Darauf müssen Sie achten - Die neuen IT-Bedrohungen

Next Generation Firewalls bieten mehr Schutz

Auf Nummer sicher: Next Generation Firewall von Palo Alto.
Auf Nummer sicher: Next Generation Firewall von Palo Alto.
Foto: Ulli Ries

Traditionelle Firewalls, die Datenverkehr nur nach IP-Port und Protokoll klassifizieren können, sind hier chancenlos. Für diese Modelle sieht der per Port 80 gestartete Betrugsversuch genauso aus wie harmloser Web-Traffic. Die Industrie hat sich des Problems angenommen und das Konzept der sogenannten Next Generation Firewalls (NGFW) erdacht. Diese Firewalls können einzelne Webanwendungen unterscheiden. Modelle wie die PA4020 von Palo Alto Networks erkennen einen Unterschied zwischen Facebook, Twitter, SharePoint oder Salesforce - auch wenn die Datenpakete alle über Port 80 (http) oder Port 443 (https) ins Unternehmensnetz rauschen.

Der Gründer von Palo Alto Networks, Nir Zuk, hat seinerzeit die jetzt so chancenlos aussehende Stateful Inspection Firewall mit erdacht. Heute lässt er kein gutes Haar mehr an seiner Erfindung: "Diese Art Firewall versucht, mit 15 Jahre alter Technik gegen die Bedrohungen von heute zu kämpfen." Obwohl das Konzept der NGFW nicht mehr neu ist, gingen die Analysten von Gartner Ende 2010 davon aus, dass lediglich ein Prozent des weltweiten Datenverkehrs durch NGFW-Modelle analysiert wird. Die älteren, zunehmend hilfloser werdenden Generationen werden offenbar nur langsam ersetzt. Angesichts der Bedrohungslage vielleicht sogar zu langsam.

Zuks neues Unternehmen ist jedoch nicht der einzige Hersteller, der moderne Firewalls im Programm hat. Kürzlich kündigte Netzwerkausrüster Cisco mit SecureX ein ähnliches Konzept an. SecureX ist eine Software, die aus den Cisco-ASA-Firewalls Next Generation Firewalls macht. Später soll SecureX auch für Router und Switche bereitstehen.

Außerdem ist die Software in der Lage, den jeweiligen Kontext zu erkennen: SecureX Software findet selbstständig heraus, welcher User gerade welchen Webdienst nutzt, ob er es mit einem von der Unternehmens-IT verwalteten Endgerät oder einem anderen Client tut und welche Art Netzwerk für den Zugriff dient. Anhand all dieser Informationen kann das System dann gezielter nach potenziell gefährlichen Datenströmen suchen.