Zurück zur Startseite

SZI: Firewall IDS IPS DLP SIEM

Der Artikel zerlegt die wichtigsten SZI herunter: Firewalls (stateless, stateful, NGFW), IDS/IPS mit Analyse-Methoden, DLP zur Verhinderung von Lecks, SIEM und Sandbox. Beschreibt Betriebsprinzipien, Bereitstellungstypen und Anwendungsszenarien für IB-Spezialisten.

Firewall, IDS/IPS, DLP: grundlegende SZI in IB
Advertisement 728x90

Kernwerkzeuge der Cybersicherheit: Firewall, IDS/IPS, DLP und SIEM

Firewalls, Intrusion-Detection- und -Prevention-Systeme, DLP und SIEM bilden den unverzichtbaren Stack zur Absicherung von Unternehmensnetzwerken. Diese Tools filtern Traffic, überwachen Anomalien und verhindern Datenlecks auf allen Protokoll-Ebenen. Wir zerlegen ihre Funktionsweisen, Typen und Praxisbeispiele für Cybersecurity-Profis auf Mittel- bis Senior-Niveau.

Firewalls: Von Stateless bis Next-Gen

Eine Firewall sitzt am Netzwerkrand hinter dem Router und steuert den gesamten Traffic zwischen Ihrem lokalen Netz und dem Internet. Sie folgt der Standardrichtlinie „Alles blocken, außer explizit erlaubt“ – keine Regel, kein Zugriff.

Stateless Firewalls prüfen jedes Paket unabhängig anhand von Regeln wie Quell-IP, Quell-Port, Ziel-IP und Ziel-Port. Sie ignorieren den Verbindungs-Kontext und benötigen Spiegelregeln für eingehenden/ausgehenden Traffic. Skalierung wird schwierig, wenn die Regelanzahl explodiert.

Google AdInline article slot

Stateful Firewalls führen eine Verbindungsstatustabelle, die Rücktraffic automatisch freigibt. Sie arbeiten auf L4 (Transportschicht) und übersehen Angriffe auf der Anwendungsschicht.

NGFW (Next-Generation Firewalls) tauchen in die Paketinhalte ein:

  • Erkennen von Apps unabhängig vom Port (z. B. Telegram über 443).
  • Blockieren nach Domain.
  • Integration von Antivirus, Sandbox und IPS/IDS.

Beispiel: Das Sperren von YouTube und Online-Marktplätzen steigert die Performance, indem unnötiger Nicht-Arbeits-Traffic gekappt wird.

Google AdInline article slot

IDS/IPS: Intrusionen erkennen und blocken

IPS (Intrusion Prevention System) wird inline eingesetzt – Traffic fließt nach der Firewall hindurch. Es blockt bösartigen Traffic in Echtzeit und alarmiert die Security-Teams.

Analyse-Methoden:

  • Signatur-basiert: Abgleich mit Datenbanken (Byte-Sequenzen, Hashes, SQL-Injections). Zerlegt zuvor fragmentierte Pakete.
  • Anomalie-basiert: Erzeugt eine Baseline normalen Traffic (z. B. ausgeglichener Inbound/Outbound in Geschäftszeiten). Blockt Abweichungen, birgt aber False-Positive-Risiken.
  • Heuristisch: Regeln für verdächtiges Verhalten (Brute-Force-Logins, DNS-Fluten).

IDS (Intrusion Detection System) zapft den SPAN-Port eines Switches an, analysiert Traffic-Kopien und erzeugt Alarme ohne Blockade. Ideal für kritische Zonen, wo False Positives den Betrieb stören könnten.

Google AdInline article slot

DLP: Datenlecks stoppen

DLP (Data Loss Prevention) scannt Netzwerktraffic und Endgeräte-Aktivitäten auf Lecks sensibler Daten. Es überwacht E-Mails, Web-Uploads, Messenger-Apps, USB-Sticks, Drucker, Zwischenablage und Screenshots.

Erkennungsmethoden:

  • Regex-Muster: Abgleich für Ausweise, Steuernummern, Kreditkarten (leicht zu umgehen durch Vertauschen von Ziffern mit Buchstaben).
  • Digitale Fingerabdrücke: Hashes von Referenzdokumenten, resistent gegen Umbenennung oder kleine Änderungen.
  • Linguistische Analyse: Keywords wie „Geschäftsgeheimnis“.
  • Markierungen: Kennzeichnungen wie „vertraulich“.
  • Verhaltensbasiert: Anomalien (z. B. Buchhalter kopiert Kundendatenbank um Mitternacht).

DLP-Typen:

| Typ | Einsatz | Vorteile | Nachteile |

|-----|---------|----------|-----------|

| Endpoint (Software) | Agenten auf Geräten | Erfasst lokale Aktivitäten (USB, Drucker) | Ressourcenintensiv, Installation auf jedem Gerät nötig |

| Network | Am Netzwerkrand | Deckt alle ab (inkl. Mobilgeräte), keine Agenten | Verpasst rein lokale Aktionen |

SIEM und Sandbox: Log-Aggregation und Bedrohungsisolierung

SIEM (Security Information and Event Management) sammelt Logs aller Security-Tools, korreliert Ereignisse zur Incident-Erkennung und bietet zentrale Überwachung.

Sandbox isoliert verdächtige Dateien oder Traffic in einer virtuellen Umgebung, um Verhalten zu beobachten (z. B. Ransomware). Oft in NGFW integriert.

Wichtige Erkenntnisse

  • Firewalls sind am Perimeter unverzichtbar; NGFW für Anwendungsschicht (L7)-Prüfung wählen.
  • IPS inline für aggressives Blocken, IDS passiv für Monitoring einsetzen.
  • DLP kombiniert Signaturen und Verhalten; Endpoint oder Network je nach Bedarf.
  • SIEM und Sandbox runden den Stack für volle Bedrohungssicht ab.

— Editorial Team

Advertisement 728x90

Weiterlesen