Moin!

ich würde empfehlen, überhaupt keine Firewall zu benutzen, obwohl ich hier bestimmt auf Widerspruch stoße:

Sehr wahrscheinlich.  ;-)

Aber nur von denen, die _Personal Firewalls_ propagieren, weil sie glauben, damit irgendeinen Schutz realisieren zu können - was informierte Kreise wiederum als unmöglich bewiesen haben. :)

1. Firewalls können keine Malware daran hindern, auf den Rechner zu gelangen, wenn die Firewall auf demselben Rechner sitzt.

Doch, mit Einschränkungen.

Entweder können sie es - und dann absolut. Oder sie können es nicht, weil es Ausnahmen gibt - dann nutzen die bösen Buben eben diese Ausnahmen, was die Firewall in diesem Punkt folglich sinnlos macht.

Wenn du sie _selbst_ auf deinen Rechner bringt (per Datenträger oder per gewolltem Download), ist die Firewall machtlos.

Richtig.

Sie kann dann höchstens noch verhindern, dass diese Programme nach draußen telefonieren.

Falsch - dazu gleich noch mehr.

Aber die ungewollte Einschleusung (per Mail, per ActiveX, per anderem Angriff von extern) kann sie unterbinden.

Die Einschleusung per Mail ist identisch zu einem gewollten Download - also auch nicht verhinderbar durch eine Firewall. Eine schon ältere Masche gegen Contentfilter sind übrigens verschlüsselte ZIPs gewesen - hast du bestimmt auch gemailt bekommen.

ActiveX ist per se eine Technologie, die man abschalten sollte und betrifft ohnehin nur den IE. Darin Malware zu finden ist aber ebenfalls Aufgabe eines Contentfilters, der Download eines ActiveX fällt in die Kategorie "gewollter Download".

Und mit "anderem Angriff von extern" bleibst du herzlich unkonkret. Und gerade diese diffuse Wolke nutzen die Hersteller dieser Software, um das Gefühl zu verbreiten, jeder würde solche Firewalls benötigen. Grundsätzlich gilt: Wenn man nicht durch Programmfehler im Code von Serverdiensten gehackt werden will, muß man diese Serverdienste abschalten. Und wenn man auf sie nicht verzichten kann, muß man fehlerfreie Versionen einspielen, die sich nicht hacken lassen. Eine Firewall kann absolut nicht mehr leisten, als das Abschalten des Dienstes auch tun würde. Wozu also eine Firewall als zusätzliche Ebene einfügen, die genauso fehlerbehaftet sein kann und deshalb möglicherweise noch ein größeres Loch reißt?

2. Firewalls können auch keine bereits vorhandene Malware daran hindern, rauszutelefonieren, denn wenn ich eine Malware schreiben würde, würde ich mich auch nicht als böser Bube registrieren, sondern als das vorhandene Mail-Programm oder als Browser, und dann lässt die Firewall mich durch

Falsch. Gute Firewalls schlagen schon Alarm, wennn eigentlich erlaubte Programme plötzlich in einem anderen Verzeichnis liegen, oder wenn der Programmcode gegenüber dem ursprünglich erlaubten verändert wurde.

Firewalls sind nicht in der Lage, und es ist auch nicht ihre Aufgabe, grundsätzlich Programminstallationen und die Ausführung von gespeicherten Programmen zu verhindern.

Damit aber besteht grundsätzlich die Möglichkeit, dass böser Code ausgeführt werden kann und dann Dinge tut, die der Nutzer mit dem Einsatz der Firewall verhindern will. Es ist also Aufgabe des bösen Codes, genau die Dinge NICHT zu tun, die typische Firewall-Produkte gewöhnlich abprüfen. Ein böses Programm wird also keinesfalls eine eigene IP-Verbindung eröffnen, um im Klartext und schön betitelt die gefundenen persönlichen Daten ins Internet zu senden. Stattdessen wird der böse Code den Internet Explorer aufrufen, ihm per simuliertem Tastendruck eine passende URL in die URL-Zeile eintippen und diese URL dann aufrufen. Da es sehr unwahrscheinlich ist, dass der Internet Explorer ein verbotenes Programm auf dem User-Rechner ist, welches keinen Zugriff auf das Internet haben darf, dürften sich damit 99% aller Windows-Rechner ferngesteuert zu Hause melden können.

Für das letzte Prozent User ist es entweder egal, ob der IE geblockt ist, oder der böse Code schaut vorher mal in der Konfiguration der Firewall nach, welcher Browser ansonsten benutzt werden darf.

Es gilt ultimativ: Personal Firewalls verhindern nicht, dass böse Programme nach Hause telefonieren. Wer immer das behauptet, der lügt. Der Beweis dafür ist bereits angetreten.

3. Firewalls wiegen einen in trügerische Sicherheit und verleiten evtl. dazu, den Virenschutz nicht oft genug zu aktualisieren.

Das mag sein. Eine gesunde Portion Skepsis ist trotz allem angeraten.

Psychologische Effekte sind technisch nicht meßbar.

5. Nichts einzuwenden gegen eine Hardware-Firewall, z.B. in einem Router, weil der tatsächlich vor dem Rechner ist.

Das ist gegen Angriffe von außen wohl die beste Lösung.

Es ist die einzige Firewall-Lösung, die irgendeinen Sinn ergibt.

Problem hier: die Aktualität des Schutzes, man muss selbst für ein entsprechendes Firmware-Update sorgen.

Ein funktionierender Paketfilter (mehr bieten die üblichen, zu privatkundenkompatiblen Preisen erwerbbaren Firewalls in Routern nicht) ohne Programmfehler muß nicht aktualisiert werden. Meist nutzen diese Router Linux-Code, und den würde ich schon als ziemlich ausgereift bezeichnen, so dass die Notwendigkeit für Updates in diesem Punkt relativ gering ist.

- Sven Rautenberg