← Wissen

// Gerät

Firewall

Die Firewall ist der Türsteher deines Netzes: Sie prüft jede Sendung und lässt nur Erlaubtes durch.

Firewall: prüft jedes Paket gegen Regeln, lässt Erlaubtes durch und blockt den Rest, trennt sichere und unsichere ZonenFirewallAussenunsicherInternes Netzvertrauenswürdig
Tempo:

Schritt 1 von 6

Links das unsichere Aussen (Internet), rechts das interne Netz. Die Firewall steht als Wand dazwischen.

In 30 Sekunden

Eine Firewall kontrolliert den Netzwerkverkehr an der Grenze zwischen einer vertrauenswürdigen Zone (zum Beispiel dein internes Netz) und einer weniger vertrauenswürdigen Zone (zum Beispiel dem Internet). Für jedes Datenpaket, also jede kleine Sendung im Netz, prüft sie ein Regelwerk und entscheidet: erlauben oder blocken. Moderne Firewalls sind stateful (zustandsbehaftet), das heisst sie merken sich bestehende Verbindungen und lassen die zugehörigen Antwortpakete automatisch zu. In der Betriebstechnik (OT, die Technik, die Maschinen und Anlagen steuert) trennt sie die normale Büro-IT von der Maschinen-Technik sowie einzelne Anlagenzellen voneinander. So kann sich ein Angriff nicht ungehindert ausbreiten. Sie ist damit einer der wichtigsten Bausteine für ein sicheres Netz.

Der Alltagsvergleich:

Stell dir eine Firewall wie den Türsteher eines Clubs vor. Er steht an der Tür zwischen drinnen und draussen und hat eine Gästeliste (das Regelwerk). Grundregel: Wer nicht ausdrücklich auf der Liste steht, bleibt draussen. Und wenn ein Gast von drinnen etwas bestellt, lässt der Türsteher den Lieferanten mit genau dieser Bestellung herein, weil er sich die Anfrage gemerkt hat. Genauso lässt eine stateful Firewall die Antwort auf eine von innen gestartete Anfrage automatisch wieder herein. Der Club hat zudem getrennte Bereiche, damit ein Problem in einem Raum nicht auf alle überspringt, so wie eine Firewall in der Anlage einzelne Zonen voneinander abschottet.

Aufgabe

Eine Firewall überwacht den gesamten Datenverkehr, der eine Netzgrenze passieren will, und entscheidet für jedes einzelne Paket, ob es durchdarf. Dafür prüft sie einige klare Kriterien: die Quell- und Ziel-Adresse (die eindeutige Adresse eines Geräts im Netz, IP genannt), den Port (eine Art nummerierter Anschluss für einen bestimmten Dienst) und die Richtung des Verkehrs. Passt ein Paket zu einer Erlauben-Regel, darf es passieren, sonst wird es verworfen. Als stateful Firewall führt sie zusätzlich eine Verbindungstabelle und lässt Antwortverkehr zu bereits erlaubten Verbindungen automatisch zu, ohne dass du dafür eine eigene Regel brauchst. In der OT übernimmt sie zusätzlich die Segmentierung, also das saubere Abtrennen einzelner Netzbereiche voneinander.

Wo im Netz

Sie sitzt an den Grenzen des Netzes, dort wo verschieden vertrauenswürdige Bereiche aufeinandertreffen. Technisch prüft sie Adressen und Anschlüsse (OSI-Schicht 3 und 4, die Ebenen für Adressierung und Anschlüsse), moderne Next-Generation-Firewalls (NGFW) schauen zusätzlich bis in die Anwendung hinein (Schicht 7).

Fakten

Kernfunktion
Prüft jedes Paket gegen ein Regelwerk und erlaubt oder blockt es
Position
An Netzgrenzen und Zonenübergängen zwischen unterschiedlich vertrauenswürdigen Zonen
Prüfkriterien
Typisch Quell- und Ziel-Adresse (IP), Port und Richtung des Verkehrs
Stateful
Merkt sich bestehende Verbindungen, Antwortpakete werden automatisch zugelassen
Prüftiefe
Prüft Adressen und Anschlüsse (Schicht 3 und 4); moderne Firewalls bis zur Anwendung (Schicht 7)
Empfohlene Grundeinstellung
Default Deny: Was nicht ausdrücklich erlaubt ist, wird blockiert
Rolle in OT
Segmentiert Büro-IT und OT sowie Anlagenzellen (Zonen- und Zellenschutz)
Relevanter Standard
IEC 62443: Zonen und kontrollierte Übergänge für industrielle Sicherheit

Im Detail

Wie eine Firewall entscheidet: das Regelwerk

Das Herzstück jeder Firewall ist ihr Regelwerk. Es ist eine geordnete Liste von Regeln, die von oben nach unten abgearbeitet wird. Jede Regel beschreibt einen bestimmten Verkehr, meist über Quell-Adresse, Ziel-Adresse, Port und Richtung, und legt fest, ob dieser Verkehr erlaubt oder blockiert wird. Sobald ein Paket zur ersten passenden Regel gehört, wird die dort hinterlegte Aktion ausgeführt.

Ein zentrales Sicherheitsprinzip lautet Default Deny: Am Ende der Liste steht eine Regel, die alles blockiert, was nicht vorher ausdrücklich erlaubt wurde. So musst du bewusst entscheiden, was durchdarf, statt zu hoffen, dass du an alles Gefährliche gedacht hast. Für einen Geschäftsführer bedeutet das: Nicht das Verbieten ist die Arbeit, sondern das saubere, dokumentierte Erlauben.

Genau deshalb ist die Reihenfolge der Regeln so wichtig. Eine zu breit gefasste Erlauben-Regel weiter oben kann eine später gedachte Sperre wirkungslos machen. Ein gepflegtes, schlankes Regelwerk ist daher kein Detail für Techniker, sondern ein handfester Sicherheits- und Compliance-Faktor.

Stateful statt vergesslich: Verbindungen im Blick

Frühe Firewalls betrachteten jedes Paket für sich allein, ohne Zusammenhang. Das war unsicher und aufwändig, weil man für Anfrage und Antwort jeweils eigene Regeln brauchte. Moderne Firewalls sind stateful, also zustandsbehaftet: Sie führen eine Verbindungstabelle, in der jede aktive Verbindung vermerkt ist.

Baut ein Gerät aus deinem internen Netz eine erlaubte Verbindung nach aussen auf, merkt sich die Firewall diesen Vorgang. Die zugehörigen Antwortpakete lässt sie dann automatisch wieder herein, ohne dass du dafür eine separate Regel brauchst. Antwortverkehr, der zu keiner bekannten Verbindung passt, wird hingegen verworfen.

Das macht Regelwerke schlanker und deutlich sicherer, weil unerwünschter Verkehr von aussen keine Verbindung vortäuschen kann, die es gar nicht gibt. Für dich heisst das: weniger Regeln, weniger Fehlerquellen und ein Netz, das nur die Rückwege öffnet, die es selbst angefragt hat.

Firewalls in der OT: Zonen und Zellen schützen

In der Betriebstechnik, also dort wo Maschinen, Anlagen und Steuerungen laufen, hat die Firewall eine besonders kritische Aufgabe. Sie trennt die klassische Büro-IT von der OT und unterteilt die OT zusätzlich in einzelne Anlagenzellen. Dieses Prinzip nennt man Zonen- und Zellenschutz.

Der Standard IEC 62443, das massgebliche Regelwerk für industrielle Cybersicherheit, beschreibt dafür Zonen (Bereiche mit gleichem Schutzbedarf) und kontrollierte Übergänge zwischen diesen Zonen (im Standard Conduits genannt). Firewalls setzen genau diese Übergänge technisch um und erlauben nur den Verkehr, den eine Anlage wirklich braucht.

Der Nutzen ist unmittelbar: Wird ein Bereich kompromittiert, etwa durch Schadsoftware auf einem Wartungslaptop, bleibt der Schaden in seiner Zelle eingesperrt und breitet sich nicht auf die ganze Produktion aus. Für ein Unternehmen ist das der Unterschied zwischen einem lokalen Zwischenfall und einem Stillstand der gesamten Fertigung.

Was eine Firewall kann und was nicht

Eine Firewall ist ein Grenzposten, kein Allheilmittel. Sie kontrolliert, wer über eine Netzgrenze mit wem kommunizieren darf. Sie ersetzt aber weder aktuelle Software noch Berechtigungskonzepte, sichere Passwörter oder geschultes Personal. Sicherheit entsteht aus mehreren Schichten, die Firewall ist eine davon, wenn auch eine sehr wichtige.

Moderne Next-Generation-Firewalls (NGFW) gehen über das reine Prüfen von Adresse und Port hinaus. Sie können bis in die Anwendungsschicht schauen, einzelne Anwendungen erkennen und teils Angriffsmuster im Datenstrom identifizieren. Damit verschiebt sich die Entscheidung von rein technischen Merkmalen hin zu inhaltlichem Verständnis des Verkehrs.

Für die Praxis zählt am Ende die Pflege. Eine Firewall ist nur so gut wie ihr Regelwerk und dessen laufende Aktualisierung. Regeln, die niemand mehr versteht oder braucht, sind ein Risiko. Regelmässige Überprüfung, klare Zuständigkeiten und Dokumentation machen aus dem Gerät einen verlässlichen Schutz.

Weiterführend