Jede Webseite braucht Schutz. Genau wie dein persönlicher Computer können auch Online-Server angegriffen werden. Du brauchst einen Weg, um Hacker oder andere Quellen von illegitimem Traffic fernzuhalten. Hier kommen Firewalls ins Spiel.

Was ist eine Firewall, kurz gesagt? Es ist eine Barriere zwischen einem Computer und der „Außenwelt“.

Böswillige Akteure können auf deinem Server Schaden anrichten, wenn du deine Webseite ungeschützt lässt. Deshalb solltest du alles tun, was du kannst, um deine WordPress Seite zu sichern. Das Einrichten einer Firewall sollte eine deiner ersten Maßnahmen sein.

Aber es gibt viele verschiedene Arten von Firewalls und du weißt vielleicht nicht, wo du anfangen solltest.

Gehen wir alle Arten von Firewalls durch, wann man eine benötigt und wie man sie auf seinem Server einrichtet.

Was ist eine Firewall? Was macht eine Firewall?

Immer wenn du eine Webseite besuchst, verbindest du dich im Grunde mit einem anderen Computer: dem Webserver. Aber weil ein Server nur eine spezialisierte Art von Computer ist, ist es anfällig für die gleiche Art von Angriffen wie dein eigener PC.

Es ist nicht sicher, sich so direkt mit einem anderen Gerät ohne jeglichen Schutz dazwischen zu verbinden. Sobald diese Verbindung hergestellt ist, ist es viel einfacher, die andere Partei mit Malware zu infizieren oder eine DDoS-Attacke zu starten.

Dafür ist eine Firewall da. Sie ist der Vermittler zwischen dir und allen anderen Geräten, die versuchen, sich mit dir zu verbinden, oder, im Fall eines Webservers, zwischen ihm und den Hunderten oder Tausenden von Verbindungen, die er jeden Tag mit anderen herstellt.

Verbindung zu einem Webserver herstellen
Verbindung zu einem Webserver herstellen

Also, wie genau funktioniert eine Firewall?

Firewalls überwachen einfach den ein- und ausgehenden Traffic auf einem Gerät und suchen nach Anzeichen bösartiger Aktivitäten. Sollte sie etwas Verdächtiges entdecken, blockiert sie es sofort, um das Ziel zu erreichen.

Es ist ein großes Filtersystem für deinen Computer oder Server.

Als sie zuerst entwickelt wurden, waren Firewalls sehr einfache Paketanalysatoren, die eingehenden Traffic basierend auf einem minimalen Satz von vordefinierten Regeln erlaubten oder blockierten. Sie waren sehr leicht zu umgehen.

Heutzutage haben sie sich zu komplexen Programmierungen entwickelt, die versuchte Eindringlinge viel besser abhalten können und ein unverzichtbares Stück Software für alle Geräte sind.

 

Wann du eine Firewall brauchst

Du fragst dich vielleicht: Wann ist eine Firewall notwendig? Brauche ich wirklich eine?

Eine Firewall wird für jeden Rechner benötigt, der sich mit dem Internet verbindet. Nicht nur dein Computer, sondern auch dein Webserver, dein Telefon, deine IoT-Geräte oder alles, was dir einfällt, das die Möglichkeit hat, das Internet zu nutzen.

Ein ungeschütztes Gerät ist eine leichte Beute für Eindringlinge und Infizierungen.

So könnten Hacker die Möglichkeit haben, deinen Computer zu übernehmen, alles zu installieren, was sie wollen, zu überwachen, wenn du sensible Daten wie Bankdaten eingibst, oder sogar durch deine Webcam/Kamera zu schauen und durch dein Mikrofon zu hören.

Im Falle eines Webservers könnten Hacker, wenn es ihnen gelingt, durchzukommen, deine Webseite verunstalten, Malware einbauen, die deine Besucher infiziert, deine Anmeldedaten für den Seitenadministrator von WordPress ändern oder deine Webseite komplett zerstören.

Eine 404 Seite
Eine 404 Seite

Ohne Firewall sind deine Webseite und sogar deine persönlichen Geräte anfällig für DDoS-Angriffe, ein Angriffsvektor, der Tausende oder Millionen von gefälschten Paketen verschickt, um deinen Server zu überlasten und deine Webseite oder dein Internet zum Erliegen zu bringen.

Nicht überzeugt? Hier ist, wovor eine Firewall dich oder deine Webseite schützen kann:

  • Eindringlinge: Firewalls verhindern, dass unbefugte Benutzer aus der Ferne auf deinen Computer oder Server zugreifen und tun können, was sie wollen.
  • Malware: Angreifer, denen es gelingt, sich einzuschleusen, können Malware senden, um dich oder deinen Server zu infizieren. Malware kann persönliche Informationen stehlen, sich selbst an andere Benutzer verbreiten oder deinen Computer auf andere Weise beschädigen.
  • Brute force attacks: Versuche von Hackern, hunderte von Benutzernamen- und Passwort-Kombinationen auszuprobieren, um dein Admin (oder die Login-Daten anderer Benutzer) herauszufinden.
  • DDoS-Angriffe: Firewalls (insbesondere Webapplikations-Firewalls) können versuchen, den Zustrom von gefälschtem Traffic zu erkennen, der während eines DDoS-Angriffs auftritt.

Arten von Firewalls

Es gibt viele verschiedene Arten von Firewalls, jede für eine andere Situation entworfen. Einige sind besser für einzelne Computer geeignet, während andere für netzwerkweite Filterung gemacht sind.

Sie funktionieren alle unterschiedlich und sind besser darin, bestimmte Arten von Traffic zu blockieren. Wenn du dich fragst, nach welcher du suchen solltest, werden wir alle wichtigen Arten von Firewalls zerlegen.

Hier ist eine kurze Zusammenfassung: Wenn du keinen eigenen Server-Stack betreibst (der eine Webseite mit deinem eigenen Internet zur Verfügung stellt), musst du dich vor allem um Personal Firewalls, Software Firewalls und Firewalls für Webanwendungen kümmern.

Diese drei sind die wichtigsten. Lies jedoch mehr über den Rest, wenn du besser verstehen willst, wie eine Firewall funktioniert und wie sie sich über die Jahre entwickelt haben.

Personal Firewall

Firewalls funktionieren sehr unterschiedlich, je nachdem, ob sie von einzelnen Computern, ganzen Netzwerken (z.B. innerhalb eines Geschäftsbüros) oder Webservern genutzt werden. Eine Personal Firewall ist für den Einsatz auf nur einem Computer gedacht. Das ist die Firewall, die auf Windows- und Mac-Rechnern oder mit deiner Antiviren-Software vorinstalliert ist.

Während sie ähnlich wie eine Server-Firewall funktioniert – Verbindungen von anderen Geräten, Anwendungen und IPs auf der Grundlage einer Reihe vordefinierter Regeln zulässt oder abweist – verhält sie sich in ihrer Funktion etwas anders.

Personal Firewalls können die Ports schützen, die du benutzt, um dich mit Webseiten und Online-Anwendungen zu verbinden (sie tarnen sie so, dass Angreifer nicht sehen können, dass sie offen sind), sie können Angriffe abwehren, die durch das Netzwerk schlüpfen, sie können verhindern, dass Leute auf deinen Computer zugreifen und ihn übernehmen, und sie können den gesamten ein- und ausgehenden Traffic analysieren.

Sie fungieren auch als Anwendungs-Firewalls, überwachen die Aktivität von Anwendungen auf deinem Gerät und verweigern den Verbindungsaufbau mit unsicherer oder unbekannter Software.

Heutzutage ist es ziemlich einfach, eine persönliche Firewall zu erhalten. Wenn du eine moderne Windows-Version verwendest, sollte standardmäßig bereits eine laufen.

persönliche Firewall
Windows Defender Firewall

Mac-Computer werden auch mit einer geliefert, obwohl du es selbst einschalten musst. Dazu gehst du zu Systemeinstellungen, klickst auf Sicherheit & Datenschutz und dann auf Firewall:

Firewall-Anwendung auf macOS
Firewall-Anwendung auf macOS

Antiviren-Software kommt oft auch mit seiner eigenen. Ein Beispiel ist das Antivirusprogramm Avast: es ist eine Software-Firewall, die mit Windows kompatibel ist und als zweite Verteidigungsebene dient.

Es gibt auch kostenpflichtige Personal Firewalls von Drittanbietern, aber diese können mit deinem Standard-Setup in Konflikt geraten.

Hardware vs Software Firewall

Firewalls gibt es in zwei verschiedenen Formen: Hardware- und Software-Firewalls. Software-Firewalls sind herunterladbare Programme für deinen Computer, die alles von einem zentralen Kontrollpanel aus überwachen. Hardware-Firewalls bieten eine ähnliche Funktionalität, aber sie sind physisch im Computer installiert.

Vielleicht kennst du es nicht, aber du hast wahrscheinlich eine Art Hardware-Firewall in deinem Haus: deinen Router, das Gerät, mit dem du dich mit dem Internet verbinden kannst. Es ist zwar nicht genau dasselbe wie ein dediziertes Hardware-Firewall-Gerät, aber es bietet ähnliche Funktionen zur Überwachung und zum Erlauben oder Verweigern von Verbindungen.

Sowohl Software- als auch Hardware-Firewalls sitzen zwischen deinem Computer und der Außenwelt und analysieren sorgfältig alle Verbindungen, die versuchen, durchzuschlüpfen. Du kannst eine oder beide in deinem Netzwerk laufen lassen.

Es gibt jedoch einige Nachteile von Hardware-Firewalls. Sie sind schwer einzurichten und müssen ständig gewartet werden, daher sind sie im Allgemeinen nicht für einzelne Computer oder sehr kleine Unternehmen ohne IT-Abteilung geeignet. Sie können Leistungsprobleme verursachen, besonders wenn sie mit einer Software-Firewall gestapelt sind. Und sie eignen sich auch nicht dazu, Anwendungen auf einem Gerät zu blockieren oder benutzerbasierte Einschränkungen vorzunehmen.

Andererseits wird eine Hardware-Firewall dein gesamtes Computernetzwerk leicht schützen, während das Einrichten von Software dafür eine schwierigere Aufgabe ist. Und während ein Angreifer Software deaktivieren kann, wenn es ihm gelingt, in das Netzwerk einzudringen, kann er sich nicht an einem physischen Gerät zu schaffen machen.

Software-Firewalls sind, wie der Name schon sagt, besser in der Lage, mit Programmen auf einem Computer zu arbeiten. Das Blockieren von Anwendungen, das Verwalten von Benutzern, das Erstellen von Logs und das Überwachen von Benutzern in deinem Netzwerk sind ihre Spezialität. Sie sind netzwerkweit nicht so einfach zu konfigurieren, aber wenn sie auf mehreren Geräten installiert sind, erlauben sie eine feinere Kontrolle.

Paketfilternde Firewall

Die einfachste Art von Firewall, und eine der ersten, die jemals entwickelt wurden, sind die Paketfilter-Firewalls. Ein Paket sind die Daten, die zwischen deinem Computer und einem Server ausgetauscht werden. Wenn du auf einen Link klickst, eine Datei hochlädst oder eine E-Mail schickst, schickst du ein Paket an den Server. Und wenn du eine Webseite lädst, sendet es Pakete an dich.

Eine paketfiltrierende Firewall analysiert diese Pakete und blockiert sie auf der Grundlage einer Reihe vordefinierter Regeln. Du könntest zum Beispiel Pakete blockieren, die von einem bestimmten Server oder einer IP-Adresse stammen, oder die versuchen, ein bestimmtes Ziel auf deinem Server zu erreichen.

Die Kehrseite der Medaille: Diese Arten von Firewalls sind einfach und leicht zu überlisten. Es gibt keine Möglichkeit, erweiterte Regeln anzuwenden. Wenn du erlaubst, dass Traffic durch einen bestimmten Port fließt, lässt die Paketfilter-Firewall alles durch, sogar Traffic, der zu modernen Firewalls offensichtlich nicht legitim ist.

Der einzige Vorteil dieser Regeln ist, dass sie so einfach sind, dass sie fast keinen Einfluss auf die Leistung haben. Sie inspizieren nicht den Traffic, speichern keine Logs und führen keine erweiterten Funktionen aus. Heutzutage sollten Paketfilter-Firewalls vermieden oder zumindest neben etwas Fortgeschrittenerem eingesetzt werden, da es viel bessere Lösungen gibt.

Stateful-Firewall

Nach den „zustandslosen“, einfachen Paketfiltern kam die Stateful-Firewall-Technologie. Dies war revolutionär, denn anstatt Pakete nur zu analysieren, wenn sie durchkommen, und sie anhand einfacher Parameter abzulehnen, handhaben Stateful-Firewalls dynamische Informationen und überwachen weiterhin Pakete, wenn sie durch das Netzwerk gehen.

Eine einfache Paketfilter-Firewall kann nur auf der Basis statischer Informationen wie IP-Adresse oder Port blockieren. Stateful-Firewalls sind besser darin, illegitimen Traffic zu erkennen und zu blockieren, weil sie Muster und andere fortgeschrittene Konzepte erkennen.

Verglichen mit zustandslosen Firewalls sind die Nachteile, dass sie intensiver sind, da sie Paketdaten im Speicher speichern und sie strenger analysieren, sowie Protokolle darüber führen, was blockiert wird und was durchläuft. Aber sie sind eine viel bessere Lösung.

Web-Anwendungs-Firewall

Wie WAFs funktionieren
Wie WAFs funktionieren

Zwar wird auch heute noch zustandsbehaftete Technologie verwendet, aber es allein reicht nicht mehr aus, um ein Netzwerk effektiv sicher zu halten. Application und Web Application Firewalls waren der nächste große Schritt.

Herkömmliche Firewalls überwachen nur den allgemeinen Traffic in einem Netzwerk. Sie haben Mühe oder können überhaupt keinen Traffic erkennen, der von einer App, einem Dienst oder einer anderen Software kommt oder geht. Anwendungs-Firewalls wurden entwickelt, um mit diesen Programmen zusammenzuarbeiten und Eindringversuche aufzufangen, die Software-Schwachstellen ausnutzen, um an älteren Firewalls vorbeizukommen.

Sie könnten auch als Kindersicherung für ein Unternehmen fungieren und den Zugang zu bestimmten Apps und Webseiten komplett blockieren.

Firewalls für Webanwendungen funktionieren ähnlich, aber sie überwachen Webanwendungen anstelle von Programmen auf einem Computer. Beispiele für Webanwendungen sind Formular- oder Warenkorb-Plugins von Drittanbietern, die manchmal gekapert werden können, um Malware auf deinen Server zu schicken. Ohne eine WAF bist du für diese Angriffe anfällig.

Viele WAFs sind Cloud-basiert, was bedeutet, dass du keine radikalen Änderungen an deinem Server vornehmen musst, um sie einzurichten. Sie können aber auch auf Hardware oder Server-Software existieren.

Wenn du einen Firewall-Service benötigst, um deine Webseite zu schützen, suchst du nach einer Cloud-basierten WAF wie Cloudflare oder Sucuri. Diese können installiert werden, ohne an sensiblen Webhost-Einstellungen herumfummeln oder teure Hardware einrichten zu müssen.

Firewall der nächsten Generation

Zuletzt die Next-Generation-Firewall (NGFW), eine der neuesten Erfindungen, die aus dieser Generation von Sicherheitstechnologie hervorgegangen ist. Diese Enterprise-Grade-Tools sind wie alle oben genannten in einem vereint. Deep Packet Filtering, Intrusion Prevention und Anwendungsüberwachung sind nur einige der vielen Netzwerk-Features.

Cloud-Firewalls der nächsten Generation existieren zwar als Online-Dienst, aber WAFs sind weitaus verbreiteter und bieten ähnliche Funktionen. Aber wenn du die absolut fortschrittlichste Firewall-Technologie willst, mit einer kompletten Suite an Sicherheitsschutz in einem Programm, dann suche nach einer NGFW.

Wie man eine Firewall bekommt

Um dich und deine Webseite zu schützen, brauchst du eine hochwertige Firewall, die Eindringlinge fernhält.

Was persönliche Firewalls angeht, ist es normalerweise nicht nötig, sich eine zu besorgen. Die eingebaute Firewall von Windows funktioniert sehr gut, ganz ohne Konfiguration. Und zwischen der Anwendungs-Firewall, die oft zusammen mit deiner Antiviren-Software geliefert wird, und dem Paketfilter deines Routers ist dein Computer normalerweise mehr als geschützt.

Stelle einfach sicher, dass deine Firewall aktiviert ist, du ein gutes Antivirenprogramm installiert hast und dein Router richtig konfiguriert ist. Dasselbe gilt für MacOS-Benutzer.

Aber was ist, wenn du eine Webseite hast, die geschützt werden muss?

Dann ist es ganz anders. Es gibt nicht so viele eingebaute Tools, um dich zu schützen, und oft liegt es an dir, deine Webseite zu sichern. Wenn du zum Beispiel WordPress verwendest, gibt es keine Firewall oder irgendetwas anderes, um deinen Server zu schützen, und Sicherheits-Plugins sind eine der häufigsten Optionen.

Die WordPress-Entwickler tun ihr Bestes, um den Code optimiert zu halten, aber wenn Schwachstellen auftauchen, hast du nichts, um Einbrüche zu verhindern.

Jede Webseite kann von einer WAF profitieren. Online-Dienste wie Sucuri, Wordfence, Cloudflare können eine solche in wenigen Minuten auf deinem Server einrichten.

Kinsta sicheres Hosting
Kinsta bietet aktive und passive Maßnahmen für mehr Sicherheit

Du solltest nicht nur selbst eine Firewall installieren, sondern auch einen Webhost wählen, der sich richtig um seine Server kümmert. Zu viele billige Hosts kümmern sich nicht um die Sicherheit und es kann große Probleme verursachen, wenn deine Webseite unter Beschuss gerät.

Die Cloudflare-Integration von Kinsta

Wenn deine Seite auf Kinsta gehostet wird, musst du dich nicht um die manuelle Einrichtung einer WAF kümmern. Alle Seiten auf unserer Infrastruktur werden automatisch durch unsere kostenlose Cloudflare-Integration geschützt, die eine sichere Firewall mit benutzerdefinierten Regelsätzen und kostenlosem DDoS-Schutz beinhaltet. Zusätzlich zu unserer Cloudflare-Integration implementieren wir auch andere Sicherheitsmaßnahmen wie Brute-Force-Erkennung, SFTP-only-Dateizugriff, Google Cloud Platform VMs, ein umfassendes Versprechen zur Entfernung von Malware und mehr.

Zusammenfassung

Auf einem modernen Personal Computer musst du normalerweise nicht viel tun, da eine Firewall bei den meisten Betriebssystemen vorinstalliert ist. Was deine Webseite angeht, so kümmern sich zu viele Hosts einfach nicht um die Sicherheit ihrer Server, also ist es deine Aufgabe, dich zu schützen.

Wenn du einen Webhost mit zuverlässiger Sicherheitsinfrastruktur suchst, der eine Webseite jeder Größe unterstützen kann, solltest du Kinsta in Betracht ziehen. Mit unserer Sicherheitsgarantie weißt du, dass du keinem Hacker zum Opfer fallen wirst. Und für den seltenen Fall, dass sie den Durchbruch schaffen, unternehmen wir Schritte, um die Malware kostenlos loszuwerden.

Selbst wenn du einen zuverlässigen Host wählst, der viel Wert auf Sicherheit legt, ist es eine gute Idee, als zweite Verteidigungslinie eine Web Application Firewall zu installieren. Finde einen guten Service wie Sucuri, oder lade ein WordPress-Sicherheits-Plugin herunter, und du bist startklar.

Matteo Duò Kinsta

Chefredakteur bei Kinsta und Content Marketing Berater für WordPress Plugin-Entwickler. Verbinde dich mit Matteo auf Twitter.