Du packst einen neuen PC aus, und das Erste, woran du denkst, ist die Sicherheit ── also willst du dein Antivirenprogramm installieren, und es verlangt: Öffne zuerst unsere Website im Browser, um deine Lizenz zu aktivieren. Moment mal. Ins Internet gehen, bevor der Schutz überhaupt installiert ist ── ist das wirklich sicher?
Wenn dir dieser Moment des Zweifelns bekannt vorkommt, bist du nicht allein. Es gibt noch weitere Klassiker des „Bin ich gerade ungeschützt?“-Gefühls:
- Auf einem fabrikneuen PC sollst du die Aktivierungsseite öffnen, bevor das Antivirenprogramm installiert ist. Bin ich in diesem Moment schutzlos?
- Direkt nach einer sauberen Neuinstallation hängst du lange online und lädst Updates herunter ── ohne dass auch nur ein Sicherheitspatch installiert wäre
- Du bist gerade umgezogen, der Router steckt noch im Karton, also schließt du den PC direkt ans Modem an, um online zu kommen
- Sobald du dich ins kostenlose WLAN eines Cafés oder Hotels einklinkst, teilt sich dein Laptop ein Netzwerk mit wildfremden Menschen
Die Antwort vorweg: Die ersten beiden Fälle sind heutzutage im Wesentlichen sicher. Die letzten beiden sind je nach Umständen ein echtes Risiko. Und die Grenze dazwischen zieht deine Firewall (der Mechanismus, der von außen eintreffenden Datenverkehr kontrolliert) ── zusammen mit dem Router, der vor ihr steht.
In diesem Artikel gehen wir durch:
- Was eine Firewall wirklich ist (§1)
- Die Ära, in der „Infiziert durch bloßes Verbinden“ tatsächlich passierte (§2)
- Warum du heute sicher bist ── die Schichten der mehrschichtigen Verteidigung (§3)
- Die 5 Momente, in denen deine Verteidigung verschwindet (§4)
- Wovor eine Firewall nicht schützt (§5)
- Worin sich Firewalls zu Hause, in Firmen und in der Cloud unterscheiden (§6)
- Wie du in 3 Minuten deine Verteidigung überprüfst (§7)
Sicherheits-Vorwissen ist nicht nötig ── wir bauen alles Schritt für Schritt auf.
Dieser Artikel gehört zu unserer Sicherheitsserie, funktioniert aber auch als Fortsetzung der Serie „Wie dein PC wirklich funktioniert“ (IP-Adressen und DNS). Diesmal schauen wir uns an, was der Rest der Welt tatsächlich an diese deine „Adresse“ schickt.
1. Was ist eine Firewall? Von der echten Mauer zum Kontrollpunkt für Datenverkehr
1-1. Der Name stammt von einer echten Wand
„Firewall“ (Brandmauer) ist ursprünglich ein Begriff aus der Architektur: eine Wand, die verhindert, dass ein Feuer von einem Gebäudeteil auf den nächsten übergreift. Selbst wenn die Nachbarwohnung lichterloh brennt, schaffen es die Flammen nicht durch die Mauer. Die Informatik hat sich den Namen für eine Barriere mit derselben Mission geliehen ── was auch immer draußen tobt, es breitet sich nicht ins Innere deines Netzwerks aus.
1-2. In der Praxis: ein Kontrollpunkt mit Regelwerk
Tatsächlich verhält sich eine echte Firewall weniger wie eine Mauer und mehr wie ein Kontrollpunkt. Sie sitzt zwischen deinem PC und dem Internet, inspiziert jedes Stück Datenverkehr, das passieren will, und gleicht es mit einem Regelwerk ab, bevor sie es durchlässt oder abweist.
- „Die Antwort auf eine Webseite, die du angefordert hast“ → darf passieren
- „Eine Verbindungsanfrage aus dem Nichts, die niemand bestellt hat“ → wird blockiert
1-3. Eingehend vs. ausgehend ── die Unterscheidung, um die sich dieser Artikel dreht
Dem Kontrollpunkt ist die Richtung des Datenverkehrs wichtig, und das ist die wichtigste Unterscheidung des ganzen Artikels:
- Eingehender Verkehr (von außen in Richtung deines PCs): die Richtung, die die Firewall am strengsten bewacht. Verbindungsanfragen, die ankommen, obwohl du nichts angefordert hast, werden standardmäßig blockiert
- Ausgehender Verkehr (den dein PC nach draußen schickt): eine Website öffnen, eine App, die nach Updates sucht, und so weiter. Standardmäßig erlaubt ── und die zurückkommenden Antworten passieren ebenfalls, als „Fortsetzung eines Gesprächs, das du begonnen hast“
„Ist es sicher, eine Website im Browser zu öffnen?“ ── die Frage aus der Einleitung ist mit dieser einen Unterscheidung fast schon beantwortet. Eine Website zu öffnen ist ausgehend. Der Kontrollpunkt lässt die Antworten auf Gespräche, die du begonnen hast, korrekt durch ── und hält ungebetene Besucher weiterhin auf.
1-4. Ports ── die nummerierten Türen hinter deiner Adresse
In unserem Artikel über IP-Adressen haben wir die IP-Adresse als deine „Adresse im Netz“ beschrieben. Hinter dieser Adresse verbirgt sich noch eine Detailebene: Ports (nummerierte Türen, von 0 bis 65535, eine für jeden Dienst, der auf deinem PC läuft).
Internet
│
▼
┌─[ Kontrollpunkt = Firewall ]───────────────────────┐
│ Regel: nur Antworten auf Gespräche zulassen, │
│ die du selbst begonnen hast │
└────────┬───────────────────────────────────────────┘
▼
Dein PC (Adresse = IP-Adresse)
├─ Tür 443 ── der HTTPS-Verkehr deines Browsers
├─ Tür 3389 ── Remotedesktop (normalerweise geschlossen)
└─ Tür 135 ── interne Windows-Dienste (sollte nie exponiert sein)
Und jetzt kommt der entscheidende Punkt: Ab Werk hält dein PC mehrere Türen offen und lauscht. Dateifreigabe, Fernwartung, internes System-Räderwerk ── Türen, die für dein Heim- oder Büronetzwerk gedacht sind. Was passiert, wenn diese Türen direkt dem Internet ausgesetzt sind? Genau diese Frage hat die Geschichte für uns beantwortet ── in §2.
2. Die Ära, in der „Infiziert durch bloßes Verbinden“ tatsächlich passierte
2-1. Sommer 2003: Weltweit starten Windows-Rechner von selbst neu
Im August 2003 fegte ein Wurm namens Blaster (ein Wurm ist Schadsoftware, die sich völlig selbstständig über Netzwerke verbreitet) über den Planeten. Was Blaster selbst für damalige Verhältnisse schockierend machte, war seine Methode:
- Keine E-Mail, kein Anhang
- Kein Nutzerfehler, kein Klick, keinerlei Aktion erforderlich
- Er feuerte Angriffscode direkt auf eine Tür, die Windows auf jedem verbundenen Rechner offen hielt (den RPC-Dienst, Port 135)
Mit anderen Worten: Rechner wurden allein dadurch infiziert, dass sie verbunden waren. Schlimmer noch: Jeder infizierte PC wechselte ins Lager der Angreifer und besprühte seinerseits zufällige IP-Adressen mit demselben Exploit. Im Jahr darauf, 2004, spielte ein Wurm namens Sasser dasselbe Drehbuch gegen eine andere Tür durch (Port 445) ── mit ähnlichen Ergebnissen.
2-2. Als die „Überlebenszeit“ in Minuten gemessen wurde
Sicherheitsforscher verfolgten damals eine Kennzahl namens „Überlebenszeit“: Wie lange hielt ein ungeschütztes Windows direkt am Internet durch, bevor der erste Angriff eintraf? In den Studien Mitte der 2000er lautete die Antwort: Minuten bis einige Dutzend Minuten. Nicht etwa, weil jemand es auf dich abgesehen hatte ── sondern weil Horden infizierter Rechner mechanisch sämtliche IP-Adressen durchkämmten, sodass du immer innerhalb von Minuten an der Reihe warst.
- 1Direkt verbundenEin ungeschützter PC erhält eine öffentliche IP-Adresse.
- 2Der Scan trifft einInfizierte Rechner, die alle IPs durchkämmen, erreichen deine innerhalb von Minuten.
- 3Offene Tür gefundenDie Ports 135/445 und andere stets offene Türen werden entdeckt.
- 4Exploit wird geliefertDaten, die eine Schwachstelle des Dienstes ausnutzen, werden auf die Tür geschleudert.
- 5Infiziert, dann VerbreiterDein PC wird übernommen ── und beginnt selbst, das Internet als Angreifer zu durchkämmen.
2-3. Das Antivirenprogramm konnte es nicht stoppen
„Hätte dich ein Antivirenprogramm nicht gerettet?“ ── leider damals meistens nicht. Die Rollen waren verschieden.
Das Antivirenprogramm jener Ära war vor allem ein Feuerlöscher im Inneren des Hauses: Es untersuchte ankommende Dateien und laufende Programme. Aber Blaster kam nicht als Datei ── er kam als roher Netzwerkverkehr herein, direkt auf eine offene Tür. Ein Feuerlöscher im Wohnzimmer kann einen durchs Fenster geworfenen Molotowcocktail nicht aufhalten. Was fehlte, war ein Kontrollpunkt vor den Türen: eine Firewall.
„Antivirus oder Firewall ── eins von beiden reicht“ ist ein Missverständnis, das genau aus dieser Zeit stammt. Beide bewachen unterschiedliche Orte (§5 sortiert das).
2-4. Die Wende ── Windows XP SP2 schaltet die Firewall standardmäßig ein
Als Reaktion auf diese Epidemien vollzog Microsoft im großen Update von 2004, dem Windows XP Service Pack 2, einen historischen Wandel: Die Windows-Firewall, die es zwar gab, die aber ab Werk ausgeschaltet war, wurde fortan eingeschaltet ausgeliefert.
Unverlangter eingehender Verkehr wurde von nun an verworfen, ohne dass die Nutzer einen Finger rühren mussten ── und diese eine Änderung der Voreinstellung ließ das Geschäftsmodell „Infiziert durch bloßes Verbinden“ zusammenbrechen. Seither gilt unter Windows wie macOS: Die Firewall ist nichts, was man installiert. Sie ist etwas, das bereits läuft.
3. Warum du heute sicher bist ── mehrschichtige Verteidigung
Zeit, die Sorgen aus der Einleitung zu beantworten. Dein heutiger PC wird von dem geschützt, was effektiv drei Mauern sind.
Internet
│
▼
━━ Mauer 1: dein NAT-Router ━━━━━━━━━━━━━━━━━━━━
Verkehr, der draußen beginnt, kommt bauartbedingt nicht herein
│
▼
━━ Mauer 2: die Firewall des Betriebssystems ━━━
Unverlangter eingehender Verkehr wird verworfen (ab Werk aktiv)
│
▼
Die Programme auf deinem PC
▲
━━ Mauer 3: das Antivirenprogramm ━━━━━━━━━━━━━━
Überwacht bei der Ausführung alles, was die Mauern passiert hat
3-1. Mauer 1: der NAT-Router ── eine Festung aus Versehen
Der Internetanschluss zu Hause läuft fast immer über einen Router. Router setzen auf NAT (Netzwerkadressübersetzung ── der Trick, mit dem alle Geräte im Haus sich eine einzige öffentliche IP teilen), und das entpuppt sich als mächtige Verteidigung.
Schon durch die Funktionsweise von NAT gilt: Eine Verbindung, die draußen beginnt, gibt dem Router keinerlei Hinweis, an welches Gerät im Haus sie gerichtet ist ── sie wird schlicht verworfen, Empfänger unbekannt. Nur Antworten auf Gespräche, die von innen begonnen wurden, finden ihren Weg zurück, geleitet von der Übersetzungstabelle des Routers. Der NAT-Router wurde nie als Sicherheitsprodukt entworfen ── und funktioniert dennoch als strukturelle Barriere gegen eingehenden Verkehr.
3-2. Mauer 2: die Firewall des Betriebssystems
Wie in §2-4 gesehen, werden sowohl Windows (Windows Defender Firewall) als auch macOS mit eingeschalteter Firewall ausgeliefert. Sie blockiert unverlangten eingehenden Verkehr, der am NAT vorbeigerutscht ist ── und, ganz entscheidend, auch den, der aus demselben Netzwerk kommt (von der Innenseite der NAT-Mauer). Merk dir dieses „aus demselben Netzwerk“; in §4 wird es wichtig.
3-3. Mauer 3: das Antivirenprogramm
Wenn etwas den Kontrollpunkt legitim passiert ── eine Datei, die du selbst heruntergeladen hast, ein E-Mail-Anhang ── und sich als bösartig erweist, ist das Antivirenprogramm die Schicht, die es im Moment der Ausführung stoppt. Windows bringt Microsoft Defender ab Werk mit, ebenfalls standardmäßig aktiv.
3-4. Also ja ── die Aktivierungsseite zu öffnen ist sicher
Beantworten wir die Einleitung direkt. Die Aktivierungsseite deines Antivirenprogramms auf einem fabrikneuen PC zu öffnen ist:
- Ausgehender Verkehr (ein Gespräch, das du beginnst ── §1-3), dessen Antworten der Kontrollpunkt korrekt zulässt
- Etwas, das passiert, während NAT-Router (Mauer 1) und System-Firewall (Mauer 2) bereits aktiv sind ── direkt ab Werk
- Und unter Windows läuft auch Microsoft Defender (Mauer 3) ab dem ersten Start
Kurz gesagt: Selbst bevor du eine Sicherheits-Suite eines Drittanbieters installierst, bist du nicht wehrlos. Die wirklich gefährliche Version dieser Szene war die von 2003, als Port 135 ohne Mauer 1 und Mauer 2 offen im Internet stand. Ein frisch neu installiertes System, das Updates lädt, folgt derselben Logik ── moderne Systeme ziehen die Firewall hoch, sobald die Installation abgeschlossen ist, die Verteidigung steht also, während die Updates heruntergeladen werden.
„Im Wesentlichen sicher“ heißt nicht „sicher, egal was du tust“. Die Mauern bewachen das Eingehende. Freiwillig eine zwielichtige Website anzusteuern ── ausgehend ── verlangt eine andere Art von Schutz (§5).
4. Die 5 Momente, in denen deine Verteidigung verschwindet
Jetzt kommen wir zum Kern der Sache. Jede der drei Mauern kann unter bestimmten Umständen verschwinden. Schauen wir uns mit dem Modell aus §3 an, welche Mauer in welchem Szenario wegfällt.
| # | Szenario | Welche Mauer verschwindet | Risiko |
|---|---|---|---|
| 1 | Öffentliches WLAN in Cafés und Hotels | Fremde gelangen hinter Mauer 1 | Mittel |
| 2 | PC direkt am Modem | Mauer 1 existiert nicht | Hoch |
| 3 | Einen VPS / Cloud-Server betreiben | Keine Mauer 1, und Türen absichtlich offen | Hoch |
| 4 | Portfreigabe / DMZ / UPnP | Löcher, die du selbst in Mauer 1 bohrst | Mittel–Hoch |
| 5 | Firewall „kurz“ deaktiviert und vergessen | Mauer 2 bleibt am Boden | Mittel |
4-1. Öffentliches WLAN ── Fremde innerhalb der Mauer
Klink dich ins WLAN eines Cafés oder Hotels ein, und dein Laptop teilt sich plötzlich ein LAN (das innere Netzwerk des Routers) mit wildfremden Menschen. Der NAT-Router blockiert Verkehr von „draußen“ ── aber Verkehr zwischen Geräten im selben inneren Netzwerk ist nicht „draußen“. Gegen die Person am Nachbartisch richtet Mauer 1 nichts aus.
Hier verdient sich Mauer 2 ── die System-Firewall ── ihr Geld. Genau deshalb fragt Windows „Möchtest du dieses Netzwerk als öffentlich behandeln?“, wenn du dich irgendwo Neuem verbindest.
Stell im öffentlichen WLAN das Netzwerkprofil immer auf „Öffentlich“. Windows schließt dann die Dateifreigabe-Türen und schaltet auf seine strengsten Eingangsregeln um.
4-2. Direkt am Modem ── keine Mauern, 2003 nachgestellt
Direkt nach einem Umzug ── oder während einer Störungssuche ── kann es passieren, dass du den Router umgehst und den PC direkt ans nackte Modem anschließt. Dein PC hat dann eine öffentliche IP, ohne irgendetwas davor. Strukturell stehst du damit auf demselben Spielfeld wie beim „Infiziert durch bloßes Verbinden“ von 2003.
Die gute Nachricht: Heutzutage steht Mauer 2, die System-Firewall, standardmäßig ── die Sofort-Infektion ist also nicht mehr der erwartete Ausgang. Trotzdem stehst du in der direkten Schusslinie, falls das System oder ein lauschender Dienst eine unbekannte Schwachstelle hat. Den Router wieder dazwischenzuschalten lässt Mauer 1 wiederauferstehen ── die Direktverbindung zum Modem sollte also so kurz wie möglich bleiben.
4-3. VPS und Cloud-Server ── die Bots der Welt kommen in Minuten
Miete einen VPS (virtuellen Server) für eine Website, und das Bild ändert sich: Es gibt keine NAT-Mauer, und weil du für die Welt veröffentlichst, öffnest du Türen (80/443) mit Absicht.
Und hier eine Realität, die man besser vorher kennt ── eine öffentliche IP bekommt vom ersten Tag an wahllose Scans ab, und sie hören nie auf. Das typische Muster sieht ungefähr so aus:
(Hypothetisches Beispiel: typischer unverlangter Verkehr auf einen frisch veröffentlichten Server) Sofort Verbindungsversuche auf Port 22 (SSH), mehrere ausländische IPs Nach Minuten Verbindungsversuche auf Port 23 (Telnet) Binnen Stunden Login-Versuche als admin / root beginnen, schubweise Stunden später Verbindungsversuche auf Port 3389 (Remotedesktop) Für immer Hunderte bis Tausende Versuche pro Tag, ohne Ende
Die „Überlebenszeit“-Geschichte aus §2 ist keine ferne Vergangenheit ── in der Welt öffentlicher Server ist sie noch heute Alltag. Noch einmal: Niemand zielt auf dich persönlich; Bots, die mechanisch den gesamten IP-Adressraum durchkämmen, laufen schlicht rund um die Uhr. Deshalb lautet die goldene Regel auf einem VPS: Nutze die Firewall deines Cloud-Anbieters (Sicherheitsgruppen) und die des Systems, um alle Türen zu schließen außer denen, die du bewusst veröffentlichst (mehr in §6).
4-4. Portfreigabe, DMZ, UPnP ── Löcher, die du selbst bohrst
Einen Game-Server hosten oder von unterwegs aufs heimische NAS zugreifen ── dafür braucht es manchmal eine Portfreigabe: ein Loch in Mauer 1, damit eine bestimmte Tür aus dem Internet erreichbar wird.
Das Loch an sich ist nicht das Übel. Der Haken: Die Sicherheit einer offenen Tür hängt fortan vollständig von der Qualität der Software ab, die dahinter antwortet. Eine veraltete NAS-Firmware, ein Game-Server, der keine Updates mehr bekommt ── ist das, was hinter dem Loch sitzt, verwundbar, hast du soeben eigenhändig den „Port 135″ aus §2 nachgebaut.
- Der DMZ-Modus (alle Türen an ein Gerät weiterleiten) ist kein Loch ── das ist der Abriss der Mauer. Grundsätzlich meiden
- UPnP (ein Mechanismus, mit dem Apps automatisch Portfreigaben anfordern können) ist bequem, bedeutet aber: Software in deinem Haus kann Löcher bohren, ohne dich zu fragen. Wirf ab und zu einen Blick in die Router-Verwaltung, ob dort Freigaben stehen, die du nicht kennst
4-5. „Kurz deaktiviert“ ── und nie wieder eingeschaltet
Wenn das Netzwerk zickt, ist „schalt mal kurz die Firewall aus“ ein klassischer Diagnoseschritt. Die Gefahr ist nicht der Schritt selbst ── sondern mit weiterhin ausgeschalteter Firewall in den Alltag zurückzukehren. Geh Tage später mit gefallener Mauer 2 ins öffentliche WLAN eines Cafés (Szenario 4-1), und du hast die schlechteste Kombination gebaut: Fremde innerhalb der Mauer, und der Kontrollpunkt hat Betriebsferien. Die Lösung ist reine Disziplin: Diagnose beendet, sofort wieder einschalten.
5. Wovor eine Firewall nicht schützt ── was du selbst hereinbittest
Wir haben behandelt, was eine Firewall verteidigt. Zu wissen, was sie nicht verteidigen kann, ist genauso wichtig ── und der blinde Fleck des Kontrollpunkts ist bemerkenswert konsistent: Er verdächtigt niemals etwas, das du selbst hereingebeten hast.
- Phishing-Websites und Betrugs-Mails: Die gefälschte Seite zu öffnen ist dein eigener ausgehender Verkehr. Der Kontrollpunkt winkt ihn durch
- Schadsoftware, die du selbst heruntergeladen und gestartet hast: Sie passiert legitim, als „Gast“. Sie zu stoppen ist der Job von Mauer 3 ── dem Antivirenprogramm
- Exploits gegen Browser oder Apps: Bösartige Daten kommen durch eine Tür, die du geöffnet hast (etwa die 443), getarnt als legitime Antwort. Die Verteidigung hier sind Software-Updates
| Bedrohung | Firewall | Antivirus | Updates |
|---|---|---|---|
| Direktangriff auf eine offene Tür (à la Blaster) | ✓ Schützt | △ Begrenzt | ✓ Schließt die Lücke selbst |
| Verbindungsversuche aus demselben WLAN | ✓ Schützt | △ Begrenzt | ✓ Schließt die Lücke selbst |
| Heruntergeladene Schadsoftware ausführen | ✗ Nein | ✓ Schützt | △ Indirekt |
| Phishing-Betrug | ✗ Nein | △ Höchstens Warnungen | ✗ Nein |
| Bösartige Seiten, die Browser-Lücken ausnutzen | ✗ Nein | △ Begrenzt | ✓ Schützt |
Das Fazit der Tabelle ist simpel. Firewall (Eingangskontrolle) + Updates (die Lücken der Türen selbst schließen) + Antivirus (Überwachung im Inneren) + du (keinen Ärger hereinbitten) ── keine Schicht deckt alles ab, und jede bewacht einen Ort, den die anderen nicht erreichen. Das ist die Idee der „mehrschichtigen Verteidigung“. Gewohnheiten wie das Nie-Wiederverwenden von Passwörtern gehören zu derselben „menschlichen Schicht“ (siehe unseren Guide zu Passwörtern, Hashes und Tokens).
6. Firewalls zu Hause, in Firmen und in der Cloud ── was sich ändert
„Firewall“ ist ein einziges Wort für mehrere Dinge, die an unterschiedlichen Orten stehen und unterschiedliche Bereiche bewachen.
| Typ | Wo sie steht | Hauptaufgabe |
|---|---|---|
| Personal Firewall | In deinem PC (ins System integriert) | Ein-/ausgehende Kontrolle pro Anwendung |
| NAT/SPI des Routers | Am Internetzugang des Hauses | Blockiert Eingehendes strukturell für den ganzen Haushalt |
| Firmen-Perimeter-Firewall / UTM | An der Grenze des Firmennetzwerks | Firmenrichtlinie in beide Richtungen, Protokollierung und Überwachung |
| Cloud-Sicherheitsgruppen | In der Infrastruktur des Anbieters | Beschränkt die Türen, bevor der Verkehr deinen Server überhaupt erreicht |
- Die Personal Firewall (Mauer 2 aus §3-2) glänzt mit ihrer Granularität pro Anwendung: „Diese App darf kommunizieren, jene nicht“
- Eine Firmen-Perimeter-Firewall unterscheidet sich vom Heimgebrauch vor allem dadurch, dass sie auch das Ausgehende überwacht ── sie prüft, ob Büro-PCs nicht heimlich Daten an seltsame Server verschicken
- Cloud-Sicherheitsgruppen sind die Mauer, die VPS-Nutzer selbst konfigurieren. Standardpraxis ist, mit einem systemseitigen Werkzeug wie
ufw(ein Befehl, der die Linux-Firewall-Konfiguration vereinfacht) doppelt abzusichern: „alles schließen außer SSH und HTTPS“ (für die Server-Seite dieser Geschichte siehe unseren Guide zu Python-Sicherheitspatterns)
Noch ein Name, der dir begegnen wird: die WAF (Web Application Firewall), ein auf Websites spezialisierter Kontrollpunkt. Sie inspiziert den Inhalt des Datenverkehrs nach Angriffsmustern gegen Webanwendungen ── ähnlicher Name, aber sie bewacht eine andere Schicht als die Firewalls in diesem Artikel.
7. Überprüfe deine Verteidigung in 3 Minuten
Zum Abschluss verwandeln wir all das in eine schnelle Inspektion deines eigenen Setups.
7-1. Windows ── bestätigen, dass die Firewall steht
Einstellungen → Datenschutz und Sicherheit → Windows-Sicherheit → Firewall- & Netzwerkschutz: Jedes Netzwerk sollte als „aktiviert“ angezeigt werden. Du kannst es auch über die Kommandozeile prüfen:
netsh advfirewall show allprofiles | findstr StateWenn alle drei Profile (Domäne / Privat / Öffentlich) ON melden, ist alles in Ordnung. Hier würdest du auch das „vergessen wieder einzuschalten“ aus §4-5 erwischen.
7-2. macOS
Systemeinstellungen → Netzwerk → Firewall: bestätige, dass sie eingeschaltet ist. Eingehende Berechtigungen pro App verwaltest du auf demselben Bildschirm.
7-3. Linux
sudo ufw status verboseBestätige Status: active ── und dass die offenen Ports genau die sind, die du beabsichtigst.
7-4. Die Router-Verwaltung ── das Loch-Inventar
Drei Dinge, die du in der Verwaltungsoberfläche des Routers durchgehen solltest:
- Portfreigabe-Regeln: Ist etwas dabei, das du nicht kennst?
- DMZ: bestätige, dass sie deaktiviert ist
- Automatisch per UPnP geöffnete Ports: Haben sich dort Apps eingenistet, die du nicht kennst?
7-5. Betrachte dich von außen
Port-Check-Dienste (eine kurze Suche fördert mehrere zutage) zeigen, wie deine Türen von der Internetseite aus aussehen. Wenn alles als „closed“ oder „stealth“ gemeldet wird, leisten die Mauern aus §3 ihren Dienst.
Scanne ausschließlich Ports an deinem eigenen Anschluss. Den Server von jemand anderem ── oder den deiner Firma ── ohne Erlaubnis zu scannen, kann als Auftakt eines Angriffs gewertet werden.
Zusammenfassung ── das Wesentliche in 4 Zeilen
- Eine Firewall ist ein Kontrollpunkt, der von außen beginnenden Verkehr blockiert. Sie bewacht einen anderen Ort als das Antivirenprogramm, das Dateien hinter den Türen überwacht
- 2003 war „Minuten verbunden = infiziert“ die Realität. Windows XP SP2 (2004) schaltete die Firewall standardmäßig ein, und die Ära endete
- Ein moderner Haushalt fährt mehrschichtige Verteidigung: NAT-Router + System-Firewall + Antivirus. Den Browser auf einem neuen PC zu öffnen lässt dich nicht schutzlos zurück
- Die Gefahr wohnt dort, wo die Mauern verschwinden ── öffentliches WLAN, Direktverbindung zum Modem, öffentliche Server, Portfreigaben und Firewalls, die ausgeschaltet blieben. Weißt du, welche Mauer fehlt, ist die Gegenmaßnahme selten kompliziert
Für das Adresssystem selbst siehe Was ist eine IP-Adresse? ── und dafür, wie Namen auf diese Adressen abgebildet werden, Was ist DNS?. Zusammen vervollständigen sie das Bild dessen, was zwischen deinem PC und dem Internet passiert.
FAQ
F1. Ist es gefährlich, die Aktivierungsseite zu öffnen, bevor mein Antivirenprogramm installiert ist?
A. Heutzutage ist das im Wesentlichen sicher. Eine Website zu öffnen ist ausgehender Verkehr ── ein Gespräch, das du beginnst ── und die Firewall lässt die Antworten korrekt zu. Währenddessen sind NAT-Router, System-Firewall und (unter Windows) Microsoft Defender vom Einschalten an aktiv. Deine Aufmerksamkeit verdient nicht die Richtung des Verkehrs, sondern das Ziel: Vergewissere dich, dass es die echte Hersteller-Website ist, und lass dich nicht von einer Suchmaschinen-Anzeige auf eine Fälschung umleiten.
F2. Reicht die eingebaute Windows-Firewall, oder brauche ich eine von Drittanbietern?
A. Für die Verteidigung des Eingehenden ── die Kernaufgabe ── reicht die eingebaute: standardmäßig aktiv, automatisch aktualisiert, mit Kontrolle pro Anwendung. Was Dritt-Suiten hinzufügen, liegt in anderen Schichten: Sichtbarkeit des Ausgehenden (welche App mit welchem Server spricht), Phishing-Schutz und so weiter. Zumindest musst du keine kaufen, weil „die eingebaute Firewall Löcher hat“. Hat sie nicht.
F3. Wenn ich eine Firewall habe, kann ich mir das Antivirenprogramm sparen?
A. Nein. Wie die Tabelle in §5 zeigt, kann eine Firewall nicht stoppen, was du selbst hereinbittest ── heruntergeladene Dateien, E-Mail-Anhänge, Phishing. Das ist das Revier der Antivirus-Schicht, und umgekehrt gilt dasselbe: Es ist Arbeitsteilung, kein Ersatz. Beachte, dass Windows Microsoft Defender ab Werk mitbringt ── „ich habe nichts gekauft“ heißt also nicht „ungeschützt“.
F4. Mein Smartphone scheint keine Firewall zu haben. Ist das schlimm?
A. Smartphones folgen einer anderen Designphilosophie. iOS und Android führen jede App in einer Sandbox aus (einer isolierten Box pro App) und öffnen von vornherein kaum Türen, die auf Verbindungen von außen lauschen. Obendrein leiten dich die Mobilfunkanbieter durch ihr eigenes NAT, sodass es kaum einen Pfad gibt, auf dem das Internet dein Telefon direkt erreichen könnte. Es ist nicht so, dass der Kontrollpunkt fehlt ── das Gebäude wurde schlicht fast ohne zu bewachende Türen entworfen. Im öffentlichen WLAN gilt dieselbe Vorsicht wie beim PC.
F5. Ist eine Portfreigabe für Online-Spiele gefährlich?
A. Nach dem Prinzip „so wenig wie möglich öffnen und die Software dahinter aktuell halten“ ist es ein beherrschtes Risiko. Gefährlich wird es, wenn du zum DMZ-Modus greifst (der alles weiterleitet), die Freigabe vergisst und jahrelang liegen lässt, oder hinter dem Loch ein Gerät oder einen Server ohne Updates parkst. Wenn du auf UPnP setzt, schau ab und zu in die Router-Verwaltung und geh die Liste der automatisch geöffneten Ports durch.
Schreibe einen Kommentar