Vista-Gerüchte: Zweiwege-Firewall oder doch Einbahnstraße

Dass Windows Vista eine komplett neue Firewall enthalten soll, ist schon länger bekannt. Als besonderes Schmankerl soll sie ausgehenden Verkehr von Anwendungen blockieren können – bei Firewalls von Drittanbietern ist das schon seit einem Jahrzehnt Standard. Der Redmonder Konzern entspricht damit Wünschen von Anwendern, die die Firewall in Windows XP nicht ausreichend fanden.

ZDnet will erfahren haben, dass Microsoft plant, die Filterung von abgehendem Verkehr standardmäßig abzuschalten. Sicherheitsexperten kommen zu Wort, dass die Redmonder den Anwendern das tiefe Wissen nicht abverlangen wollen, das zur angepassten Konfiguration der Firewall nötig wäre. Alles Blödsinn, meinen Leser beim Internet Storm Center, abgehender Verkehr wird von der Firewall kontrolliert, wie sie am Rande eines Microsoft Security Summits in Dallas Mitte der Woche erfahren haben.

Die Diskussion geht jedoch am eigentlichen Thema vorbei: Ist es überhaupt sinnvoll, zu versuchen, Anwendungen am Versenden von Daten zu hindern? In diversen Tests von c't gelang es keiner einzigen Desktop-Firewall, dieses Ziel zu erreichen. Mit einfachsten Methoden lassen sich vertrauliche Daten an den Schutzprogrammen vorbei ins Netz transportieren. Einzig ZoneAlarm ist etwas robuster, jedoch mit etwas mehr Kreativität von Seiten der Schädlingsprogrammierer ebenfalls umgehbar.

Grundsätzlich ist es natürlich wünschenswert, nur die Programme ins Netz zu lassen, die man zum Arbeiten benötigt. Jedoch sind die Betriebssysteme und Programmumgebungen inzwischen derartig komplex, dass die Unterscheidung von guter und böser Software selbst Experten schwerfällt. Normalen Nutzern ohne Expertenwissen sollten die Firewall-Produzenten diese Entscheidung daher nicht abverlangen. Die meisten Firewalls kommen deshalb mit einer Datenbank daher, die für bekannte Software passende Regeln mitbringt.

Insbesondere Heimanwender wollen jedoch alle Freiheiten auf ihrem Rechner haben, bestimmte Programme auszuführen. Aufgrund der schlichten Programmvielfalt kann eine Firewall keine vollständige Datenbank enthalten, außerdem sind alle Rechnerbenutzer unterschiedlich paranoid. Den Einen stört die Update-Suche eines Programmes nicht, der Andere sieht darin eine Verletzung seiner Privatsphäre und befürchtet die Übertragung sensibler Daten. Schließlich werden viele Anwender die durch Nachfragen nervende Filterung deaktivieren.

Ein weiteres Problem, das in den Diskussionen ebenfalls nicht angesprochen wird, betrifft die Programmierung von Schädlingen. Die Schadsoftwareautoren haben alle Zeit der Welt, ihr Machwerk so zu modifizieren, dass es an der Firewall vorbeikommt. Die Vista-Firewall legt mit der Filterung abgehenden Verkehrs die Latte zwar höher, doch handelt es sich nur um einen kurzzeitigen Vorteil. So wie es jetzt schon Virenbaukästen im Netz gibt, werden die Virenautoren die Sache sportlich sehen, in kürzester Zeit diverse Umgehungsansätze finden und diese in Programmcode gießen. (dmk)