Hallo Klaus,
ich bin nur Laie und habe interessiert diesen langen
Diskussionsbeitrag gelesen.
Es ist aber eine Diskussion unter Experten.
Nein, es ist eine Diskussion unter Besessenen 
(scnr)
Ich habe mal so ein paar wichtige Punkte zusammengefaßt, die in diesem Forum immer wieder auftauchen.
Höchstmögliche Sicherheit bekommt man über ein ausgefeiltes Sicherheitskonzept, das die folgenden Punkte berücksichtigt:
- Dienste sinnvoll und richtig konfigurieren: http://ntsvcfg.de/
- Aktuelle Patches für Windows einspielen, täglich automatisch aktualisieren.
- Einen Virenscanner installieren und diesen zweimal täglich aktualisieren.
- Wenn angebracht und nicht als zu teuer empfunden,eine Hardware-firewall,z.b. im DSL-Router, entsprechend konfigurieren.
- Zusätzlich eine Software-Firewall einsetzen, z.B. Zone Alarm.
- Tägliches Backup, mindestens wöchentlich Systembackup, denn auch die Festplatte kann mal kaputt gehen.
- Spyware nicht als harmlos betrachten und nach Möglichkeit dagegen mit Tools vorgehen, siehe auch www.xp-antispy.org.
- Sichere Passwörter, Datenverschlüsselung und verschlüsselte Protokolle nutzen.
- Bei zeitkritischen Systemen Disaster Recovery.
- Bei hohen Kosten infolge Datenverlusts Notfallplan.
- Regelmäßig alle Sichereheitsmechanismen testen: Portscanner auf http://www.khine.de/tools/portscan, Windows Sicherheitsupdates, Personal Firewall aktualisieren, Spywarerisiken, aktuelle Verschlüsselungserkenntnisse, Datenrücksicherung, Anwenderaufklärung
Da umfangreiche IT Sicherheitsmaßnahmen in kleinen Netzwerken oft aus Kostengründen nicht umsetzbar sind, werden Kompromisse erforderlich.
Neben Tools wie Anti Spy Ware und Anti Virus, die Attacken unschädlich machen, bietet eine Firewall die Möglichkeit, den unerlaubten Zugriff aus dem Internet zu unterbinden. Positive Nebenerscheinung, aber in meinen Augen nicht wirklich Argumentationskriterium, ist die Tatsache, daß im Schadensfall durch eine Firewall Schadensbegrenzung betrieben wird. Dies ist im Sinne der aktuellen Haftungsregelung (siehe iX 06/04) ein Thema sein, aber nicht aus pragmatischer IT Sicherheitssicht.
Theoretisch könnte man das, was die Firewall abblockt, auf jedem PC durch die Maßnahmen 1. Alle Sicherheitsupdates einspielen, 2. risikobehaftete Dienste nicht zur Verfügung stellen, abblocken. Doch ich würde es nicht wagen, eine Bewertung darüber abzugeben, ob nicht nur die bisherigen Sicherheitslücken, sondern auch welche, die erst in Zukunft erkannt werden, abgesichert sind.
Und selbst bei täglichem Update des Virenscanners und der Sicherheitsupdates ist man unter Umständen mehrere Stunden unsicher. Da die Attacken zunehmend schneller werden wird es auch immer wahrscheinlicher, daß man selber in den ersten Stunden schon Ziel eines Angriffs wird.
Der Empfehlung, den PC sicher zu machen und auf eine Firewall grundsätzlich zu verzichten, würde ich auf keinen Fall folgen.
Eine Hardwarefirewall bietet im Gegensatz zur Personal Firewall einen deutlich höheren Schutz, weil sie nicht als Computerdienst angreifbar ist. Auch Ausfälle von Personal Firewalls haben ganz andere Auswirkungen. Bei einem Ausfall der PC Firewall ist der PC nicht mehr geschützt. Bei einem Ausfall der Hardwarefirewall ist im Idealfall Idealfall kein Internet Access mehr möglich. Dies bewirkt zum einen daß keine Angriffe möglich sind und erfolgte Angriffe nicht raus können. Zum anderen hat es natürlich noch den psychologischen Nebeneffekt, daß man sich der Problembehebung auch annimmt.
Die Hardware Firewall ist bei fachgerechter Konfiguration von außerhalb nicht angreifbar. Es exisitert kein einziger offener Port, der angreifbar wäre. Ganz anders sieht dies von innerhalb aus. Hier ist jeder Port der Firewall von einem Host aus dem Intranet aus erreichbar. Es bieten sich verschiedene Dienste an. Um sich auch innerhalb des Intranets zu schützen, kann man daher eine PC Firewall verwenden. Diese bietet auch als Alternative zur Hardware Firewall einen Schutz, z.B. beim direkten Dial In über ISDN oder Modem (auch DSL).
Wie Du hier sehen kannst bieten Personal Firewalls durchaus
einen Schutz:
Portscan über ISDN ohne Zone Alarm
"Folgende offene Ports wurden entdeckt:
Port Beschreibung
135 Microsoft RPC Services (Location Service)
427 Server Location
445 Microsoft Directory Service
1025 MS Task Scheduler engine, network blackjack
5000 Universal Plug & Play (UPnP), Socket de Troie (Trojanisches Pferd)"
Portscan über ISDN mit Zone Alarm
„Gute Nachrichten! Der Portscanner konnte auf dem untersuchten System keine offenen TCP-Ports finden.“
Alle angezeigten PC Dienste sollten natürlich auch mit Einsatz einer Personal Firewall als Windows Dienst deaktiviert sein, um doppelt abgesichert zu sein. (Hier habe ich eine XP Standardkonfiguration mit aktuellem Virenscanner und allen Sicherheitspatches ohne weitere Konfiguration zur Demonstration verwendet.) Insofern ist es im Zweifelsfall besser, eine Personal Firewall einzusetzen, als gar keine Firewall. Dies gilt z.B. für Dial In über ISDN oder Modem (auch DSL). Eine Firewall ist obligatorisch. Solange keine sicher konfigurierte KHardwarefirewall existiert, ist also die Personal Firewall obligatorisch. Ich persönlich habe gute Erfahrungen mit Zone alarm gemacht und kann dieses Produkt uneingeschränkt weiter empfehlen.
Masquerading, NATting und Proxy bieten weiteren Schutz, lassen sich aber auch nur im Netzwerk realisieren, nicht bei direkten Dial In über ISDN oder Modem (auch DSL).
Durch den Einsatz immer mächtigerer Abwehrmechanismen gegen ungeliebte Gäste auf dem PC wird zwar die Systemkomplexität erhöht, was mancher naiv als Nachteil schildert. Doch die Viren, Trojaner, Würmer, Spione und wie sie alle heißen sowie die menschlichen Hacker werden immer intelligenter und man kann IMO nur dagegen halten, wenn man kein windowsbasiertes Betriebssystem einsetzt oder eben sein Windows rund um schützt.
Es gibt keine vernünftige Begründung für die Aussage, dass weder Software Firewalls wie ZoneAlarm noch Hardware Firewalls in Routern Schutz bieten. Jeder Mechanismus schützt einen Teilbereich und erst in der Gesamtheit ist der Schutz ausreichend. In Summe sollte man immer darauf achten, daß man doppelt bis dreifach abgesichert ist: Ursache bekämpfen, Symptome ausschalten, Wirkung verhindern. Schließlich ist ein PC kein Forschungslabor.
Wer noch mehr herumschrauben möchte, sollte sich mal die Powertoys von Microsoft ansehen:
http://www.microsoft.com/windowsxp/pro/downloads/pow…
Gruß, AndyM
