Moin!

Als Firewall, die ankommende Datenpakete korrekt blockt, kann man eine Destop-Firewall zwar vergessen, aber als "Wächter" darüber, welches Programm nach Hause telefonieren möchte, sind sie schon ganz sinnvoll.

Nicht wirklich.
Die bösen und dummen Programme kann man so vielleicht blocken, aber die bösen und schlauen Programme nicht.

Drei Taktiken führen zum Erfolg:
1. Firewall abschalten. Das ist ja auch nur ein Programm - beim falschen Betriebssystem oder der falschen Anmeldung läuft jedes Programm praktisch mit Admin-Rechten und kann alle anderen Programme stoppen.
2. Tarnung als Browser. Wenn das böse Programm sich als Browser tarnt, und die Firewall zu doof ist, das zu merken, kommt man trotzdem durch. Dem Browser dürften die Zugriffe ja wohl gestattet worden sein. Schlaue Firewalls bilden eine Prüfsumme vom Programmcode und checken den erstmal, bevor sie grünes Licht geben.
3. Huckepack-Datenversand. Der Real-Player beispielsweise kontaktiert sein Zuhause notfalls auch mit HTTP und einem langen GET-Parameter, wenn er anders nicht durchkommt. Und wenn das böse Programm ein Browser-Plugin installiert, über das aufs Netz zugegriffen wird, dann kann man als Firewall wirklich nichts mehr "programmorientiert" verbieten - das Plugin tritt nicht persönlich in Erscheinung, sondern nutzt den Browser als Datenbeschaffer. Und der darf eben surfen.

Zumindest kann eine _echte_ Firewall keine Programme detektieren, sondern nur Ports und Quell- bzw Zieladressen. Das ist IMHO das einzig sinnvolle Anwendungsgebiet von Desktop-FWs.

Wenn man wirklich sichergehen könnte, dass sich die Firewall nicht abschalten läßt, dass sich Programme nicht tarnen können und dass legitimierte Programme nicht durch Drittsoftware doch Blödsinn treiben, dann magst du vielleicht Recht haben. Aber wie das Beispiel Real-Player beweist: Es ist verdammt schwierig. Dem entgeht man eigentlich nur dadurch, indem man solche Software nicht einsetzt.

- Sven Rautenberg