Akute IT-Bedrohungen

Security-Trends 2011

20.10.2011
Von 
Uli Ries ist freier Journalist in München.

Trend 5: Next Generation Firewalls bieten mehr Schutz

Next-Generation Firewall von Palo Alto.
Next-Generation Firewall von Palo Alto.
Foto: Ulli Ries

Traditionelle Firewalls, die Datenverkehr nur nach IP-Port und Protokoll klassifizieren können, sind hier chancenlos. Für diese Modelle sieht der per Port 80 gestartete Betrugsversuch genauso aus wie harmloser Web-Traffic. Die Industrie hat sich des Problems angenommen und das Konzept der sogenannten Next Generation Firewalls (NGFW) erdacht. Diese Firewalls können einzelne Web-Anwendungen unterscheiden. Modelle wie die PA4020 von Palo Alto Networks erkennen einen Unterschied zwischen Facebook, Twitter, Sharepoint oder Salesforce – auch wenn die Datenpakete alle über Port 80 (http) oder Port 443 (https) ins Unternehmensnetz rauschen.

Der Gründer von Palo Alto Networks, Nir Zuk, hat seinerzeit die jetzt so chancenlos aussehende Stateful Inspection Firewall mit erdacht. Heute lässt er kein gutes Haar mehr an seiner Erfindung: „Diese Art Firewall versucht, mit fünfzehn Jahre alter Technik gegen die Bedrohungen von heute zu kämpfen.“ Obwohl das Konzept der NGFW nicht mehr neu ist, gingen die Analysten von Gartner Ende 2010 davon aus, dass lediglich ein Prozent des weltweiten Datenverkehrs durch NGFW-Modelle analysiert wird. Die älteren, zunehmend hilfloser werdenden Generationen werden offenbar nur langsam ersetzt. Angesichts der Bedrohungslage vielleicht sogar zu langsam.

Zuks neues Unternehmen ist jedoch nicht der einzige Hersteller, der moderne Firewalls im Programm hat. Kürzlich kündigte Netzwerkausrüster Cisco mit SecureX ein ähnliches Konzept an. SecureX ist eine Software, die aus den Cisco-ASA-Firewalls Next Generation Firewalls macht. Später soll SecureX auch für Router und Switche bereit stehen.

Außerdem ist die Software in der Lage, den jeweiligen Kontext zu erkennen: SecureX Software findet selbständig heraus, welcher User gerade welchen Webdienst nutzt, ob er es mit einem von der Unternehmens-IT verwalteten Endgerät oder einem anderen Client tut und welche Art Netzwerk für den Zugriff dient. Anhand all dieser Informationen kann das System dann gezielter nach potentiell gefährlichen Datenströmen suchen.