Kernwerkzeuge der Cybersicherheit: Firewall, IDS/IPS, DLP und SIEM
Firewalls, Intrusion-Detection- und -Prevention-Systeme, DLP und SIEM bilden den unverzichtbaren Stack zur Absicherung von Unternehmensnetzwerken. Diese Tools filtern Traffic, überwachen Anomalien und verhindern Datenlecks auf allen Protokoll-Ebenen. Wir zerlegen ihre Funktionsweisen, Typen und Praxisbeispiele für Cybersecurity-Profis auf Mittel- bis Senior-Niveau.
Firewalls: Von Stateless bis Next-Gen
Eine Firewall sitzt am Netzwerkrand hinter dem Router und steuert den gesamten Traffic zwischen Ihrem lokalen Netz und dem Internet. Sie folgt der Standardrichtlinie „Alles blocken, außer explizit erlaubt“ – keine Regel, kein Zugriff.
Stateless Firewalls prüfen jedes Paket unabhängig anhand von Regeln wie Quell-IP, Quell-Port, Ziel-IP und Ziel-Port. Sie ignorieren den Verbindungs-Kontext und benötigen Spiegelregeln für eingehenden/ausgehenden Traffic. Skalierung wird schwierig, wenn die Regelanzahl explodiert.
Stateful Firewalls führen eine Verbindungsstatustabelle, die Rücktraffic automatisch freigibt. Sie arbeiten auf L4 (Transportschicht) und übersehen Angriffe auf der Anwendungsschicht.
NGFW (Next-Generation Firewalls) tauchen in die Paketinhalte ein:
- Erkennen von Apps unabhängig vom Port (z. B. Telegram über 443).
- Blockieren nach Domain.
- Integration von Antivirus, Sandbox und IPS/IDS.
Beispiel: Das Sperren von YouTube und Online-Marktplätzen steigert die Performance, indem unnötiger Nicht-Arbeits-Traffic gekappt wird.
IDS/IPS: Intrusionen erkennen und blocken
IPS (Intrusion Prevention System) wird inline eingesetzt – Traffic fließt nach der Firewall hindurch. Es blockt bösartigen Traffic in Echtzeit und alarmiert die Security-Teams.
Analyse-Methoden:
- Signatur-basiert: Abgleich mit Datenbanken (Byte-Sequenzen, Hashes, SQL-Injections). Zerlegt zuvor fragmentierte Pakete.
- Anomalie-basiert: Erzeugt eine Baseline normalen Traffic (z. B. ausgeglichener Inbound/Outbound in Geschäftszeiten). Blockt Abweichungen, birgt aber False-Positive-Risiken.
- Heuristisch: Regeln für verdächtiges Verhalten (Brute-Force-Logins, DNS-Fluten).
IDS (Intrusion Detection System) zapft den SPAN-Port eines Switches an, analysiert Traffic-Kopien und erzeugt Alarme ohne Blockade. Ideal für kritische Zonen, wo False Positives den Betrieb stören könnten.
DLP: Datenlecks stoppen
DLP (Data Loss Prevention) scannt Netzwerktraffic und Endgeräte-Aktivitäten auf Lecks sensibler Daten. Es überwacht E-Mails, Web-Uploads, Messenger-Apps, USB-Sticks, Drucker, Zwischenablage und Screenshots.
Erkennungsmethoden:
- Regex-Muster: Abgleich für Ausweise, Steuernummern, Kreditkarten (leicht zu umgehen durch Vertauschen von Ziffern mit Buchstaben).
- Digitale Fingerabdrücke: Hashes von Referenzdokumenten, resistent gegen Umbenennung oder kleine Änderungen.
- Linguistische Analyse: Keywords wie „Geschäftsgeheimnis“.
- Markierungen: Kennzeichnungen wie „vertraulich“.
- Verhaltensbasiert: Anomalien (z. B. Buchhalter kopiert Kundendatenbank um Mitternacht).
DLP-Typen:
| Typ | Einsatz | Vorteile | Nachteile |
|-----|---------|----------|-----------|
| Endpoint (Software) | Agenten auf Geräten | Erfasst lokale Aktivitäten (USB, Drucker) | Ressourcenintensiv, Installation auf jedem Gerät nötig |
| Network | Am Netzwerkrand | Deckt alle ab (inkl. Mobilgeräte), keine Agenten | Verpasst rein lokale Aktionen |
SIEM und Sandbox: Log-Aggregation und Bedrohungsisolierung
SIEM (Security Information and Event Management) sammelt Logs aller Security-Tools, korreliert Ereignisse zur Incident-Erkennung und bietet zentrale Überwachung.
Sandbox isoliert verdächtige Dateien oder Traffic in einer virtuellen Umgebung, um Verhalten zu beobachten (z. B. Ransomware). Oft in NGFW integriert.
Wichtige Erkenntnisse
- Firewalls sind am Perimeter unverzichtbar; NGFW für Anwendungsschicht (L7)-Prüfung wählen.
- IPS inline für aggressives Blocken, IDS passiv für Monitoring einsetzen.
- DLP kombiniert Signaturen und Verhalten; Endpoint oder Network je nach Bedarf.
- SIEM und Sandbox runden den Stack für volle Bedrohungssicht ab.
— Editorial Team
Noch keine Kommentare.