Immer wenn sich ein Rechner mit dem Internet verbindet, lauern Gefahren von der Außenwelt. Die Aufgabe einer Firewall (engl. Brandmauer) ist es, unerlaubte Zugriffe auf den eigenen Rechner bzw. auf das eigene lokale Netzwerk zu verhindern. Aber auch die Ports spielen bei der Abwehr ungebetener Gäste eine wichtige Rolle.
Der Inhalt im Überblick
Was ist eine Firewall?
Eine Firewall ist eine Software, die zwischen erlaubten und unerlaubten Zugriffen unterscheiden kann, wobei sie die verbotenen blockiert. Diese Software kann entweder direkt auf dem Computer installiert werden oder in einem Router eingebaut sein.
Weiterhin wird zwischen Personal Firewall unterschieden, die auf dem eigenen System installiert ist und einer externen Firewall. Bei den meisten Desktop Firewalls (so wird die Personal Firewall auch genannt) entsteht mit der Zeit ein eigenes Regelwerk, so dass sich der Nutzer nicht um Konfigurationen kümmern muss. Unternehmen greifen dagegen auf externe Firewall-Lösungen zurück, da sie auf separaten Geräten installiert sind und manuell nach eigenen Bedürfnissen konfiguriert werden können.
Was ist ein Port?
Um die Funktionsweise einer Firewall erklären zu können, muss zunächst geklärt werden, was ein Port (engl. Anschluss, Durchlass) ist. Um den Begriff einfach und verständlich erklären zu können, fangen wir mit einem anschaulichem Beispiel an, bevor wir zu der technischen Erklärung kommen.
Bildlich kann man sich das Ganze folgendermaßen vorstellen: In dem IP-Artikel haben wir die IP-Adresse als eine Hausadresse dargestellt. Nun stellen wir uns vor, dass die Ports für die einzelnen Eingänge in das Haus bzw. Räume stehen. Wir stellen uns weiterhin vor, dass sich in unserem Beispielhaus eine Firma befindet, die neben durchnummerierten Mitarbeiterbüros auch eine Firmenküche mit der Eingangsnummer 80, einen Kopierraum mit der Nummer 25 und eine Garage mit der Nummer 55 enthält. Bestellt die Firma nun einen neuen Kopierer, reicht es nicht aus, dass dieser an die Hausadresse (IP-Adresse) geliefert wird. Zusätzlich muss der Lieferant wissen, dass der Kopierer in den Kopierraum (Port 25) gehört. Deswegen erhält der Lieferschein nicht nur die Lieferanschrift (IP-Adresse), sondern auch den genauen Zielort „Kopierraum“ (Port 25). Denn es nützt nichts, wenn der Kopierer zwar an die richtige Adresse geliefert wird, dann aber in der Garage landet.
Wenn Rechner also miteinander kommunizieren möchten, benötigen diese jeweils eine IP-Adresse. Mit der IP-Adresse weiß ein Datenpaket aber nur, an welchen Rechner es adressiert ist. Da es aber verschiedene Dienste gibt (z.B. Web, E-Mail, FTP, Online-Spiele, Fernwartungsprogramme usw.) muss dem Datenpaket zusätzlich der Port bekannt sein. Das Datenpaket wird dann durch die Tür mit der richtigen Nummer (Port) durchgelassen, so dass es stets dem passenden Dienst zugeordnet werden kann. Insgesamt besitzt ein Rechner standardmäßig 65.535 Ports.
Für übliche Dienstanwendungen sind standardisierte Ports vergeben: Für den E-Mail-Dienst ist der Port 25 reserviert, zum Abrufen einer Webseite im Browser wird Port 80 (http) oder Port 443 (https) verwendet.
Dank Ports können also über eine einzige Internetverbindung (IP-Adresse), mehrere Internet-Dienste (gleichzeitiges Empfangen von E-Mails und Surfen im Web) genutzt werden und kommen nicht durcheinander.
Wie funktioniert eine Firewall?
Eine Firewall sitzt genau an der Verbindungsstelle zwischen dem lokalen Netzwerk (LAN) und dem Internet (WAN). Sie bildet eine Art Schranke, durch die sich alle Datenpakete von und ins Internet zur Kontrolle stellen müssen.
In unserem Beispielbüro gibt es mehrere Eingänge. Zunächst gibt es einen Personaleingang. Hier wird nur das Personal kontrolliert: Angestellte, Reinigungskräfte, Hausmeister, Werkstudenten werden über den Personaleingang durchgelassen. Allerdings muss auch sichergestellt werden, dass nicht benötigte Dienstleister keinen Einlass erhalten. Deswegen erhält der Pförtner eine Liste mit Regeln, wem er die Schranke öffnen darf. Dabei können z.B. alle Mitarbeiter automatisch einen Ausweis erhalten und werden nicht kontrolliert. Andere erhalten dagegen einen Ausweis erst, wenn sie vorher geprüft wurden. Andere Dienstleister werden nicht durchgelassen. Wenn die Firma also keinen Bedarf an Reinigungsutensilien hat, kann sie dem Pförtner die Anweisung geben, generell keine Staubsaugenvertreter durchzulassen. Für den Vertreter heißt es dann an der Schranke: „Du kommst hier nicht rein.“ Dann gibt es noch den Haupteingang, an dem Besucher empfangen und ebenfalls kontrolliert werden. Diese müssen vorher klingeln, damit die Empfangsdame entscheiden kann, wer rein darf und wer nicht. Alle nicht benötigten Zugänge (Ports) wie Seiten- und Hofeingänge, Schächte, Garagentüren sollten dagegen fest verschlossen werden, um das Eindringen in das Bürogebäude zu verhindern.
Die Firewall kontrolliert also anhand eines sog. Firewall-Regelwerks u.a. die Absender- oder Zieladresse von Datenpaketen sowie genutzten Dienste, ob diese durchgelassen oder abgewehrt werden. Feste Regeln, die immer wieder aktualisiert werden müssen, entscheiden darüber, ob ein Datenpaket die Schranke passieren (pass) darf, abgelehnt (deny, reject) oder verworfen (drop) wird.
Die Firewall kann aber mehr als nur Zugriffe von außen regeln. Zusätzlich kann Sie auch Zugriffe auf das Internet von innen steuern. Erlaubt der Arbeitgeber seinen Mitarbeitern keinen Zugriff z.B. auf Facebook über den Firmen-Internetzugang, kann er die entsprechenden Internetseiten über die Firewall sperren. So kann der Zugriff auf bestimmte Seiten beschränkt und eine Liste erlaubter Programme erstellt werden.
Grenzen und Tipps
Grenzen einer Firewall
Eine Firewall kann keinen Schaden abwehren, wenn „unberechtigte Daten“ auf dem Rechner eingedrungen sind. Sie schützt also nicht vor E-Mails, die Viren enthalten oder verseuchten Programmen, die aus dem Internet geladen und auf dem Rechner gestartet werden. Die Firewall hilft auch oft nicht, wenn eine Sicherheitslücke im Dienst ausgenutzt und Datenpakete durchgelassen werden. Gegen solche Attacken müssen andere Mechanismen wie z.B. Anti-Virus Programme eingesetzt werden.
Tipps
Um einen effektiven Schutz durch eine Firewall gewährleisten zu können, sollte u.a. Folgendes beachtet werden:
- Die Firewall muss durch Updates auf den neuesten Stand gehalten und kontrolliert werden.
- Nicht benötigte Ports sollten geschlossen werden. Nur das, was benötigt wird, wird zugelassen.
- Eventuell sollten eigene Filterregelungen aufgestellt und implementiert werden.
- Regelmäßige Kontrolle auf Korrektheit und Freigaben
Nun verstehen Sie den Administrator wenn es wieder heißt: “Ich habe ein paar Ports aufgemacht, nun müsste die Software funktionieren.“
Hallo Dr. Datenschutz! Sie schreiben ja, dass man mittels einer Firewall definieren kann welche Seiten zugänglich sind und welche nicht. Kann man hier für einige wenige Nutzer auch Ausnahmen schaffen? Ich bin Teil des Betriebsrates und frage mich wenn dies möglich ist, wie dies technisch umgesetzt werden kann und was datenschutzrechtlich zu beachten ist. Könnte es da nicht ein Problem geben, da man die IP Adressen der Geräte mit den tatsächlichen Nutzern zusammenführen könnte? Ich stelle mir das ganze recht schwierig vor und frage mich, ob es hier eine Lösung/Empfehlung gibt. Haben Sie vielleicht ein paar Tipps?
Die Freigabe einzelner IP-Adressen über die Firewall ist technisch möglich, so dass nur einzelne Rechner auf bestimmte Seiten zugreifen können.
Die datenschutzrechtliche Beantwortung der Frage hängt allerdings davon ab, ob eine Protokollierung der Zugriffe stattfindet und ob eine private Nutzung des Internets erlaubt ist. Zudem sind weitere Details wichtig, um die Frage abschließend beantworten zu können.
Grundsätzlich gilt: Ist die private Nutzung des Internets erlaubt, ist der Arbeitgeber als Dienstanbieter nach dem TKG anzusehen. In diesem Fall besteht keine gesetzliche Erlaubnis zur Speicherung bzw. Protokollierung von dem Arbeitsplatz zugewiesenen IP-Adressen bzw. der Nutzungs- und Verbindungsdaten.
Untersagt der Arbeitgeber die private Nutzung des Internets, kommt das TKG nicht zur Anwendung. Eine Protokollierung kann zwar stattfinden, die Auswertung muss allerdings nach den datenschutzrechtlichen Vorgaben erfolgen.
Zum letzten Satz: „die Auswertung muss allerdings nach den datenschutzrechtlichen Vorgaben erfolgen.“ Was sind denn die datenschutzrechtlichen Vorgaben?
Der Arbeitgeber darf grundsätzlich anhand von Protokolldaten stichprobenartig prüfen, ob das Verbot der Privatnutzung des Internets auch tatsächlich eingehalten wird. Ausreichend ist hierfür aber zunächst, dass eine Auswertung des Surfverhaltens ohne Personenbezug stattfindet, d.h. insbesondere auch ohne Einbeziehung der IP-Adresse und anderer Daten, die zur Identifizierung einzelner Arbeitnehmer führen (können). Liegt ein konkreter Missbrauchsverdachts vor, ist eine personenbezogene Kontrolle im verhältnismäßigen Rahmen des § 26 Abs. 1 S. 2 BDSG zulässig.