15. November 2010 - Datenschutz-Kontrolle

So wird das Firewall-Protokoll verständlich

Firewalls bilden das Herzstück der Netzwerksicherheit. Die Datenschutz-Kontrolle kommt deshalb ohne die Prüfung der Firewall-Protokolle nicht aus. Auch wenn es Unterschiede im Logging bei den Firewall-Herstellern gibt, sollten Sie sich die Grundlagen der Firewall-Protokolle ansehen und für optimierte Firewall-Loggings sorgen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Diskussion um Firewalls: Verwirrung statt Durchblick?

Wenn es um Firewalls geht, also um die Abschottung des eigenen Netzwerkes gegenüber offenen und damit gefährlichen Netzen wie dem Internet, hören Sie zurzeit vielleicht Aussagen wie „Eigentlich sind Firewalls ja bald unnötig. Schließlich liegen bei dem zukunftsträchtigen Cloud Computing sowie so alle Daten irgendwo im Internet. Wofür also noch eine Firewall?“.

Das aber ist ein gefährlicher Irrtum. Gerade durch die steigende Nutzung des Internets werden Firewalls für das verbleibende interne Netzwerk immer wichtiger.

Protokolle der Firewalls: Noch mehr Verwirrung?

Wenn Sie deshalb im Rahmen der Datenschutz-Kontrolle ein Firewall-Audit einplanen, werden Sie meistens erneut auf Verwirrung stoßen. Denn auch die Protokollierung einer Firewall liefert nicht immer das, was Sie als Datenschutzbeauftragter sehen wollen.

Das liegt vor allem an den wenig verständlichen Begriffen, wie dies auch schon für die Netzwerk-Protokollierung beschrieben wurde. So finden Sie in den Firewall-Protokollen zum Netzwerkverkehr (Traffic-Log) Begriffe wie

  • Time (Zeitstempel, lokale Zeit im Netzwerk)
  • Action (accept = Datenpaket durchgelassen, deny = Datenpaket blockiert, Absender wurde informiert, drop = Datenpaket blockiert, ohne Meldung an Absender)
  • Source (IP-Adresse des Absenders)
  • Destination (IP-Adresse des Ziels)
  • Rule (Firewall-Regel, die als Grundlage für die Firewall-Aktion genutzt wurde)

Allerdings variieren die Meldungen in den Logging-Dateien bei den verschiedenen Firewall-Herstellern. Was ebenfalls variiert, ist die Qualität der Umsetzung der Firewall-Protokollierung, und daran kann Ihre Netzwerk-Administration in der Regel etwas machen.

Prüfung der Firewall-Administration: Durchblick unabdingbar

In Zusammenarbeit mit der Firewall-Administration sollten Sie sich die Protokollierung ansehen und prüfen, ob Sie zum Beispiel sehen können, wann welcher Firewall-Administrator in der Administrationssoftware der Firewall eingeloggt (Log in/Log out) war und welche Firewall-Regeln geändert wurden.

Hier muss Transparenz herrschen, denn ohne eine transparente Firewall-Administration kann auch nicht sichergestellt werden, dass die Firewall die gewünschte Netzwerksicherheit bringt.

Lassen Sie sich die gegenwärtig ausgewählten Regeln erklären und achten Sie bei Ihrer Protokollauswertung darauf, dass es keine unbegründete Regeländerung gibt.

Weniger Firewall-Regeln für mehr Sicherheit

Es macht nicht nur die Auswertung der Firewall-Protokolle einfacher, wenn die Zahl der Firewall-Regeln sinnvoll begrenzt wird. Auch die Gefahr einer Fehlkonfiguration und das Risiko sich widersprechender Regeln wird dadurch minimiert.

  • Hilfreich ist dabei der Ansatz, dass Firewalls erst einmal alles verbieten sollten, was nicht ausdrücklich erlaubt ist. Zudem sollten nur die Benutzer bestimmte Netzwerkdienste wie FTP verwenden dürfen, für die es wirklich erforderlich ist (Verwendung von Access-Listen).
  • Ebenso sinnvoll ist es, die Berechtigungen zeitlich zu begrenzen, also durch die Firewalls bestimmte Dienste für definierte Benutzer außerhalb der regulären Dienstzeit zu sperren, innerhalb der Dienstzeit aber zu erlauben.
  • Aus Datenschutz-Sicht entscheidend ist es auch, genau festzustellen, welche Netzwerkaktivitäten im Logging protokolliert werden dürfen und mit welchem Detailgrad (insbesondere bei erlaubter Privatnutzung von Internet und E-Mail).

Verbesserte Firewall-Protokolle verschaffen Durchblick

Wenn Sie sich gemeinsam mit den Netzwerk-Administratoren das Regelwerk der Firewalls ansehen, werden Sie unter Umständen auf einige „Leichen“ unter den Regeln treffen. Zudem sind nicht alle Firewall-Protokolle und -Regeln sauber und sprechend definiert, wodurch die Protokolle für Dritte unverständlich werden.

Lassen Sie sich nicht vormachen, dass diese unklaren Bezeichnungen der Sicherheit dienen. Wirkliche Sicherheit entsteht durch klare Protokolle, die vor Unbefugten geschützt werden. Befugte Zugriffe hingegen sollten nicht unnötig erschwert werden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln