Die heutigen Sicherheitsrisiken in den IT-Systemen bedürfen eines wirksamen Schutzes durch Anti-Viren- und  Firewall-Lösungen. Unabhänig davon, ob es sich um soft- oder hardwaretechnische Firewalls handelt, soll damit originär das unternehmensinterne Netzwerk vor Zugriffen von außerhalb geschützt werden. Als eine Art Schranke fungiert die Firewall zumeist zwischen dem lokalen Netzwerk und dem Internet.

Es gibt eine Vielzahl an Ausgestaltungsmöglichkeiten, wobei eine Desktopfirewall (vgl. Personalfirewall) grundsätzlich im Betriebssystem, also auf dem zu schützenden Gerät selbst, eingebracht wird und im Gegensatz dazu wird bei der Netzwerk- oder Hardwarefirewall ein externes Gerät zwischen zwei Netzwerken zugeschaltet.

1. Vorteile einer optimierten Firewall

Die Verwaltung der Netzwerke einschließlich der Einstellungen zur Sicherheit und den Zugriffsberechtigungen kann durch ein entsprechendes Firewall-Regelwerk[i] unterstützt werden.

Als Nebeneffekt können die Konfigurationen so ausgestaltet werden, dass Begrenzungen hinsichtlich des Internetzugangs, Zulassung von Diensten, Vergabe von lokalen IP-Adressen, Ausschluss bestimmter Internetserver oder Domians, Ausschluss aktiver Komponenten wie Java oder ActiveX sowie die Kontrolle auf schädliche Inhalte wie Viren oder Trojanern vorgenommen wird. Dahingehend sollten auch nur wirklich erforderliche Ports freigegeben werden und Filterregelungen eingesetzt werden. Zudem lassen sich mittels einer Firewall Verantwortlichkeiten und Benutzerrechte anlegen.

Damit die Firewall Ihren Sinn und Zweck erfüllt, ist die Software bzw. Firmware in regelmäßigen Abständen zu aktualisieren und zu kontrollieren.

2. Firewall als Datensicherungsmaßnahme

Des Weiteren kann mit dem Einsatz einer Firewall die Eingabekontrolle als technische und organisatorische Maßnahme zur Protokollierung der Angriffsversuche dienen, welche zur Nachvollziehbarkeit essentiell ist. Bei der Protokollierung ist aus datenschutzrechtlicher Sicht zu bedenken, dass Maßnahmen vorliegen können, welche dazugeeignet sind Mitarbeiter (z. B. bei der Internetnutzung) zu überwachen. Daher ist insbesondere die Unterscheidung zwischen der dienstlichen und privaten Nutzung des Internets relevant, denn bei der Bereitstellung eines Telekommunikationsdienstes für den privaten Bereich ist die vorzunehmende Protokollierung nur eingeschränkt möglich (je nach Festlegung von internen IT-Richtlinien). Dem Grundsatz nach gilt, dass eine flächendeckende Leistungs- und Verhaltenskontrolle nicht möglich ist und die Protokollierung sich nach der besonderen Zweckbindung zu richten hat.

3. Planung und Neuerungen beim Einsatz von Firewalls

Bei intergreiten Sicherheitskomponenten spricht man von einer  Next Generation Firewall. Der Mehrwert, welcher von der Next Generation ausgeht, sind die Schlüsselfunktionen der professionellen Firewalls, Intrusion Prevention Systemen (IPS) und Applikations-Kontrolle zur Datenstromkontrolle[ii].

Auch im Rahmen Verwendung von Cloud-Diensten sind angemesene Schutzmaßnahmen zu integrieren. In der Regel wird dabei die Firewall in der Verbindungsstelle zwischen der lokalen Clientinfrastruktur eingesetzt, damit der Datenverkehr ausreichend geschützt wird.

Die Art und Funktion der eingesetzten Firewall sollte dokumentiert werden, als einzelne Übersicht oder als Teilaspekt im IT-Sicherheitskonzept.

Um zu überprüfen wie die bereits eingesetzte Firewall arbeitet gibt es Netzwerkchecks bei welchen die Funktionen getestet werden.[iii]

Vor einem geplanten Einsatz oder Umstrukturieungen können Hilfsmittel des Bundesamts für Sicherheit in der Informationstechnik (BSI)[iv] bzw. Veröffentlichungen zur Cybersicherheit herangezogen werden. Wenn Zweifel bestehen, ob die Firewall datenschutzkonform arbeitet sollte der Datenschutzbeauftragte einbezogen werden. Dies kann gegebenenfalls sogar im Rahmen einer Vorabkontrolle (bzw. nach der EU-DSGVO Datenschutz-Folgenabschätzung) relevant sein.

Gerne stehen wir Ihnen für Rückfragen zum Datenschutz zur Verfügung oder verweisen Sie an ensprechende IT-Dienstleister.

[i] Erlaubter und verbotener Datenverkehr kann durch eine Freigabe auf sog. Whitelists festgehalten werden.

[ii] vgl. Empfehlung von Next Generation Firewalls unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_112.pdf?__blob=publicationFile&v=2

[iii] http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

[iv] vgl. Hinweise des BSI zum Einsatz von Firewalls unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Firewall/firewall.html