Teil 1: Firewall, NAC und Log Files

In der physischen Welt schützt ein Zaun mit Toreinfahrt und Schranke ein Gebäude vor unbefugtem Zutritt. Der Zaun beziehungsweise die Schranke trennen das Gelände von der Außenwelt und sorgen dafür, dass nur grundsätzlich befugte Personen oder Fahrzeuge passieren dürfen. Genau diese Rolle übernimmt eine Firewall für Netzwerke im IT-Bereich.

Firewall – Der digitale Schutzzaun als erste Verteidigungslinie
Eine stabile Schutzbarriere verhindert, dass Unbefugte das Gelände betreten. Eine Firewall bildet die erste Schutzschicht zwischen dem internen Netzwerk und dem Internet. Sie blockiert unerwünschten Datenverkehr, schützt vor Angriffen und unterbindet unautorisierte Verbindungen.

Während der Zaun den Großteil des Geländes abschirmt, gibt es einen kontrollierten Zutrittspunkt – die Toreinfahrt mit Schranke. Dort wird geprüft, wer passieren darf und wer nicht. In der digitalen Welt steuert die Firewall den Zugang, indem sie entscheidet, welche Datenpakete durchgelassen oder blockiert werden. Das passiert anhand definierter Regeln, wie z. B. vertrauenswürdige IP-Adressen oder definierter Dienste. Ohne Absperrung kann jeder das Gelände betreten, ohne eine Schranke können Fahrzeuge ungehindert passieren. Ebenso ist ein Netzwerk ohne Firewall anfällig für Cyberangriffe. Angreifer können ungestört nach offenen Ports suchen, um Schwachstellen auszunutzen. Auch gezielte Überlastungen durch Brute-Force- oder DDoS-Angriffe können ungehindert erfolgen. Eine gut konfigurierte Firewall stellt sicher, dass nur erwünschter Datenverkehr in das Netzwerk gelangt. So sorgt die Firewall dafür, dass das IT-Netzwerk frühzeitig potenzielle Bedrohungen abwehrt und den Zugang grundsätzlich als erste Verteidigungslinie kontrolliert.

Network Access Control – Der digitale Pförtner
In der IT-Sicherheit spielen sowohl die Firewall als auch das Network Access Control (NAC) System eine entscheidende Rolle. Während die Firewall wie ein Schutzzaun mit kontrollierter Toreinfahrt fungiert, kann man das NAC-System mit einem Pförtner am Gebäudeeingang vergleichen, der die Identität jedes Besuchers prüft, bevor der das Gebäude betreten darf.

Wenn eine Person die Toreinfahrt passiert und das Firmengelände betritt, trifft sie auf den Pförtner, bevor sie das Gebäude betreten darf. Dieser kontrolliert den Ausweis in Kombination mit dem Zugangsschein. Nur autorisierte Personen dürfen weitergehen, alle anderen werden abgewiesen bzw. müssen sich registrieren und damit legitimieren.

Ohne NAC wäre ein Netzwerk für fremde Geräte und technisch nicht konforme Clients offene. Daher übernimmt das NAC eine wichtige Rolle in der IT-Welt. Sobald sich ein Gerät oder Benutzer ins Unternehmensnetzwerk einloggen möchte, überprüft das NAC definierte Kriterien. Dazu können u. a. gehören:

• Identität des Nutzers, Prüfung z. B. durch Login-Daten oder Zertifikate,
• Sicherheitsstatus des Geräts, Prüfung z. B. durch aktuelle Patch-Stände,
• Richtlinienkonformität, Prüfung z. B. durch Zugriffsberechtigung auf bestimmte Systeme.

Werden alle Kriterien erfüllt, bekommt das Gerät oder der Nutzer weiteren Zugang. Dies wird entsprechend protokolliert – ähnlich wie der Pförtner, der nur autorisierte Personen ins Gebäude lässt und dies idealerweise auch dokumentiert. Damit sorgt das NAC für eine transparente Übersicht über alle verbundenen Geräte.

Log-Dateien – Die stillen Wächter im System
In einem gut gesicherten Gebäude dokumentiert der Sicherheitsdienst alle relevanten Vorgänge:

• In Besucherlisten wird festgehalten, wer das Gebäude wann betreten und auch wieder verlassen hat.
• Ebenfalls protokolliert werden aufgetretene und sicherheitsrelevante Ereignisse, die ggf. mit Aufnahmen von Überwachungskameras ergänzt werden.

Genauso zeichnen Log-Dateien in der IT u. a. Folgendes auf:

• Wer hat sich wann in das System eingeloggt,
• welche Programme oder Dienste wurden genutzt,
• gab es verdächtige Zugriffsversuche oder Fehlermeldungen.

Log Files sind wichtig. Ähnlich wie ein Sicherheitsdienst im Nachhinein prüfen kann, wer sich wann im Gebäude befunden hat, helfen Log-Dateien , Cyberangriffe oder Systemprobleme nachzuvollziehen. Log-Dateien unterstützen dabei, den Ursprung von Vorfällen zu identifizieren und Anomalien frühzeitig zu erkennen. Auch Entwickler nutzen Log-Dateien, um Softwareprobleme oder Systemabstürze zu analysieren. Aktuelle IT-Sicherheitslösungen nutzen Security Information and Event Management (SIEM) Systeme, die Log-Dateien automatisch analysieren und verdächtige Muster erkennen. Ein SIEM korreliert aus Millionen Logzeilen verständliche sicherheitsrelevante Erkenntnisse, visualisiert diese und speichert sie. Ohne solche Analysen können sich Angreifer länger unbemerkt im System aufhalten.

Man kann sich Log-Dateien in Verbindung mit SIEM auch wie eine Kolonie von Erdmännchen vorstellen: Während einige Tiere nach Nahrung suchen oder schlafen, stehen andere aufrecht Wache. Sie beobachten aufmerksam ihre Umgebung und schlagen sofort Alarm, wenn sich etwas Ungewöhnliches nähert, beispielsweise wenn sich ein Nutzer nachts mehrfach mit einem falschen Passwort anzumelden versucht oder wenn der Transport ungewöhnlicher Datenmengen festgestellt wird. Ihre ständige Wachsamkeit schützt die gesamte Gruppe. Entsprechend arbeiten Log-Dateien im Hintergrund mit: Sie registrieren jede Bewegung im System und geben, unterstützt durch SIEM-Systeme, Alarm, wenn Gefahr droht. Ohne diese „digitalen Erdmännchen“ wäre das IT-System blind gegenüber versteckten Angriffen.

Genauso wie ein Unternehmen physische Sicherheitsprotokolle benötigt, um Zutritte und Vorfälle zu analysieren, sind Log-Dateien in der IT unverzichtbar, um Angriffe zu erkennen, Vorfälle nachzuvollziehen und Systeme zu schützen.