Firewalls: Die Illusion der Kontrolle

Dass Firewall-Audits regelmäßig Mängel zutage fördern, hat sich in vielen Unternehmen zur traurigen Normalität entwickelt – und genau das sollte Sicherheitsverantwortliche aufhorchen lassen. Benchmarks großer Unternehmensinfrastrukturen zeigen ein wiederkehrendes Bild: Rund 60 Prozent aller Firewalls fallen bei internen Bewertungen oder formellen Audits durch – nicht selten mit Befunden der höchsten Kritikalitätsstufe.

Solche Erkenntnisse drängen sich selten von selbst auf, denn operative Kennzahlen wirken stabil, Dienste bleiben verfügbar und die Security-Teams haben keinen sichtbaren Ausfall zu bewältigen. Und dennoch ist die Gefahr real: Regeln, die zu viele Rechte einräumen und nie auf das notwendige Minimum zurückgesetzt werden, Segmentierungskonzepte, die durch Ausnahmeregelungen ausgehöhlt werden und eine schleichende Policy Drift, die Zugriffsrechte ausweitet, ohne dass dies jemals explizit so beschlossen wurde.

Auditoren mögen diese Ergebnisse zwar unterschiedlich beschreiben, doch das zugrunde liegende Problem ist immer dasselbe: Die Kontrolle existiert zwar nach wie vor, erfüllt aber ihren ursprünglichen Zweck nicht mehr. Dies lässt sich als Kontrollversagen bezeichnen und es ist ein Problem, das sich nur schwer beheben lässt.

Das Versagensmuster, das niemand einplant

Die meisten schwerwiegenden Firewall-Probleme entstehen nicht durch Nachlässigkeit. Sie sind das Ergebnis nachvollziehbarer Entscheidungen, die unter Druck getroffen wurden – und dann bestehen blieben, lange nachdem der ursprüngliche Anlass, der sie rechtfertigte, verschwunden war. Mit der Zeit wird eine Richtlinie so eher zum Protokoll vergangener Dringlichkeit als zum Ausdruck der aktuellen Zielsetzung.

Deshalb ist der Begriff „Fehlkonfiguration” oft irreführend. Er suggeriert einen klar abgrenzbaren Fehler. Was bei Audits jedoch häufig aufgedeckt wird, ist struktureller Natur: Richtlinien, die sich von ihrem ursprünglichen Zweck entfernt haben.

Diese Policy-Drifts werden erst sichtbar, wenn gezielt danach gesucht wird. Vorübergehende Any-to-Any-Pfade werden dauerhaft. Überlagerte Regeln erwecken den Anschein von Kontrolle, lassen den tatsächlichen Zugriff aber unverändert. Objekte vermehren sich, die Bezeichnungen werden inkonsistent, es treten Regelkonflikte auf und Segmentierungsmodelle wirken auf dem Papier zwar solide, halten jedoch im laufenden Betrieb nicht stand.

Der entscheidende Punkt ist nicht, dass diese Probleme existieren. In komplexen Umgebungen wird es immer ein Element der Abweichung geben. Der entscheidende Punkt ist, dass viele Unternehmen keine verlässliche Methode haben, um diese Fälle zu lokalisieren, ihre Auswirkungen zu verstehen und sie zu beheben, ohne dabei neue Störungen zu verursachen.

Compliance-Lücken sagen meist mehr aus, als sie auf den ersten Blick zeigen

Für Unternehmen in der EU finden Firewall-Audits zunehmend im Rahmen einer umfassenderen Rechenschaftspflicht statt. Die regulatorischen Anforderungen gehen längst über den bloßen Nachweis hinaus, dass Kontrollen vorhanden sind. Unternehmen müssen nun belegen können, dass ihre Kontrollen effektiv, konsistent und unter Einhaltung der Governance funktionieren. So verschärfen beispielsweise NIS-2 und DORA die Erwartungen an operative Disziplin, kontinuierliche Überwachung und eine belastbare Nachweisführung von Kontrollen.

In diesem Zusammenhang sind wiederkehrende, schwerwiegende Firewall-Befunde selten „nur” Compliance-Lücken. In der Regel deuten sie darauf hin, dass das Richtlinienmanagement nicht mehr mit der aktuellen Arbeitsweise des Unternehmens übereinstimmt.

Ein wiederkehrendes Muster macht das deutlich: Die Teams können die architektonische Absicht beschreiben – also wo Grenzen verlaufen sollen, welche Systeme miteinander kommunizieren dürfen und welche Datenflüsse nicht existieren sollten. Sie können jedoch nicht verlässlich nachweisen, dass die durchgesetzten Richtlinien diese Absicht in Rechenzentren, Cloud-Umgebungen und virtualisierten Kontrollen wirklich widerspiegeln.

Wenn das der Fall ist, bringen Audits die Lücken ans Licht. Spätestens dann lässt sich das Risiko kaum noch ignorieren. Die schlechte Nachricht: Angreifer brauchen keinen Auditbericht, und sie warten auch nicht darauf, dass einer durchgeführt wird. Sie brauchen nur eines: Inkonsistenz.

Richtlinien verlieren ihre Kontrollfunktion, wenn sie ihre Bedeutung verlieren

In der Regel scheitern Firewall-Richtlinien eher an der Interpretation als an der Umsetzung. Eine Regelbasis kann technisch einwandfrei sein und dennoch kein kohärentes Zugriffsmodell mehr abbilden, da sie jahrelange Ausnahmeregelungen und überlieferte Entscheidungen widerspiegelt, aber nicht die aktuelle Absicht. Wenn Teams die Auswirkungen nicht zuverlässig testen können oder Abhängigkeiten nicht mit Sicherheit validieren können, wird das Change Management vorsichtig und konservativ. Die Firewall wird dann zu einer Infrastruktur, die man besser nicht anfasst.

Die operative Reaktion ist vorhersehbar. Zugriffsrechte werden ausgeweitet, um Störungen zu vermeiden. Bereinigungen werden aufgeschoben. Audits werden zu einer reinen Übung in puncto Rekonstruktion statt zu einem Beweis für eine stabile Governance.

Hat eine Richtlinie diesen Zustand erst einmal erreicht, kann eine periodische Überprüfung das Problem im Nachhinein beschreiben. Was sie aber nicht kann, ist die Kontrolle in einem System wiederherstellen, das sich täglich verändert.

Kontinuierliche Validierung ist die einzig ehrliche Antwort

Punktuelle Audits können dieses Problem nicht lösen, denn Policy-Drift entsteht durch tägliche Veränderungen. Erforderlich ist eine Validierungsdisziplin, die die Richtlinie kontinuierlich im Einklang mit ihrer ursprünglichen Absicht hält, während sich die Umgebung weiterentwickelt.

Wirksam wird diese Disziplin, wenn sie als operative Praxis verankert ist – nicht als Berichtsebene. Das bedeutet: Absicht, durchgesetzte Richtlinie und beobachtete Abhängigkeiten werden kontinuierlich miteinander abgeglichen. Teams erkennen so, wo Zugriffsrechte über das gerechtfertigte Maß hinausgewachsen sind, wo Segmentierung aufgeweicht wurde und wo Ausnahmen still und leise zur Norm geworden sind. Ebenso wichtig ist die Möglichkeit, Änderungen vor ihrer Umsetzung zu testen – und so Mutmaßungen durch belastbare Erkenntnisse zu ersetzen.

Wie sich klare Richtlinien in der Praxis auswirken

Klare Richtlinien beeinflussen die Qualität der Entscheidungen, die Teams unter Druck treffen können. In einer gut verwalteten Umgebung lässt sich die Firewall-Regelbasis anhand der aktuellen Serviceabsicht erklären, nicht aus organisatorischem Erfahrungswissen. Das erfordert keine lückenlose Dokumentation jeder einzelnen Regel, wohl aber ein Zugriffsmodell, das explizit genug ist, um Änderungsanfragen sachgerecht zu prüfen. Dadurch bleibt die Diskussion daran ausgerichtet, welche Befugnisse ein Dienst hat und ob die vorgeschlagene Änderung diese Absicht wahrt.

Das Prinzip der geringsten Privilegien (least privilege) wird dann zur gelebten Praxis, wenn die Absicht eindeutig ist und eine routinemäßige Validierung erfolgt. Berechtigungen können anhand eines klaren Zugriffsmodells beurteilt werden und Prüfer können die Notwendigkeit sowie die Auswirkungen anhand von Beweisen statt auf Basis von Vermutungen validieren. Auch Bereinigungsmaßnahmen gewinnen so an Bedeutung: Redundante und veraltete Richtlinienelemente werden nicht länger als bloßer Ballast betrachtet, sondern als Risikoquellen und operative Hemmnisse behandelt.

Das Ziel ist nicht, Komplexität zu beseitigen – das wäre illusorisch. Das Ziel ist, sie beherrschbar zu machen. Eine Umgebung, in der Richtlinien lesbar, testbar und anpassbar sind, muss Stabilität nicht länger auf Kosten von Sicherheit erkauft werden.

Die Fragen, die Audits nicht beantworten können

Wenn in einem Auditbericht ein schwerwiegender Befund auftaucht, ist es leicht, diesen als Mangel zu betrachten, der behoben werden muss, und dann weiterzumachen. Sinnvoller ist jedoch die Interpretation, dass er auf ein größeres Problem hinweist: Kann das Unternehmen mit Sicherheit erklären, wie die Richtlinien die aktuellen Absichten im gesamten Unternehmen widerspiegeln? Und kann es diese Richtlinien sicher ändern, wenn das Geschäft dies erfordert? Ist dies nicht möglich, werden dieselben Schwachstellen immer wieder in neuer Form auftauchen. Die Bezeichnung mag sich ändern, die eigentliche Ursache jedoch nicht.

Autor
Peter Köhncke ist Country Manager DACH & Central Europe bei FireMon.