Zum Inhalt

Firewall

Firewall – Wächter an zwei Türen

Was eine Firewall eigentlich macht

Das Wort „Firewall" taucht überall auf – in Produktbeschreibungen, in IT-Sicherheitsempfehlungen, im Windows-Sicherheitscenter. Trotzdem haben die meisten Menschen eine ungenaue Vorstellung davon, was eine Firewall tatsächlich tut.

Die häufigste Annahme: Eine Firewall hält Angreifer von außen ab. Das stimmt – aber es ist nur die halbe Wahrheit.

Eine Firewall kontrolliert den Netzwerkverkehr in beide Richtungen: was hereinkommt, und was hinausgeht.

Der Eingangsschutz ist der offensichtliche Teil: Verbindungsversuche aus dem Internet, die nicht erlaubt sind, werden blockiert. Kein unbefugter Zugriff von außen auf interne Systeme.

Der Ausgangsschutz ist der unterschätzte Teil – und oft der wichtigere. Eine Firewall kann festlegen, welche Programme und Dienste überhaupt Verbindungen nach außen aufbauen dürfen. Das klingt zunächst weniger spektakulär, hat aber erhebliche Konsequenzen:

  • Schadsoftware kommuniziert nach Hause. Ransomware, Spyware, Trojaner – all das muss nach einer erfolgreichen Infektion Verbindungen zu externen Servern aufbauen, um Daten abzuziehen, Verschlüsselungsschlüssel zu übermitteln oder weitere Anweisungen zu empfangen. Eine Firewall, die ausgehenden Traffic kontrolliert, kann genau das blockieren – auch wenn das Gerät bereits kompromittiert ist.
  • Datenabfluss lässt sich erkennen. Wenn ein Gerät plötzlich große Mengen Daten an eine unbekannte IP-Adresse überträgt, ist das ein Warnsignal. Ohne Kontrolle des ausgehenden Traffics bemerkt man das nie.
  • Anwendungen können eingeschränkt werden. Nicht jedes Programm muss das Internet erreichen. Eine Firewall kann einzelnen Anwendungen die Kommunikation nach außen verbieten.

Eine reine Eingangssperre ist wie ein Wachmann an der Eingangstür, der alle Ausgehenden ungeprüft passieren lässt – und damit übersieht, wenn jemand mit einem vollen Aktenkoffer das Gebäude verlässt.

Die Fritz!Box – ein großartiger Router, aber keine Firewall

Die AVM Fritz!Box ist ein hervorragendes Gerät. Sie ist einfach zu bedienen, zuverlässig, gut in Deutschland verankert und wird von vielen Internetprovidern als Standardgerät angeboten. Für die meisten Heimanwender ist sie das Richtige.

Aber sie ist keine vollwertige Business-Firewall mit granularer Regel- und Analysefunktion – und das ist wichtig zu verstehen.

Was die Fritz!Box kann:

Die Fritz!Box betreibt NAT – Network Address Translation. Das bedeutet: Alle Geräte in deinem Heimnetz teilen sich eine einzige öffentliche IP-Adresse nach außen. Verbindungsanfragen aus dem Internet, die niemand im Heimnetz initiiert hat, landen am Router und werden ohne passenden Eintrag in der Verbindungstabelle einfach verworfen. Das bietet einen passiven Schutz gegen viele einfache Angriffe – nicht weil der Router sie aktiv erkennt und blockiert, sondern weil er schlicht nicht weiß, an welches Gerät er ungebetene Anfragen weiterleiten soll.

Darüber hinaus bietet die Fritz!Box einfache Portfreigaben, ein Gäste-WLAN, einen integrierten Kindersicherungsfilter und – in aktuellen Versionen – grundlegendes WLAN-Sicherheitsmanagement. Das sind nützliche Funktionen.

Was die Fritz!Box nicht kann:

  • Ausgehenden Traffic kontrollieren. Alles, was deine Geräte nach außen senden wollen, lässt die Fritz!Box durch. Egal ob Browser, Betriebssystem oder Schadsoftware – ausgehende Verbindungen werden nicht geprüft oder eingeschränkt.
  • Anwendungen erkennen. Die Fritz!Box sieht, dass Daten über Port 443 (HTTPS) übertragen werden. Aber sie erkennt nicht, ob dahinter ein Browser, ein Passwortmanager oder ein Trojaner steckt. Diese Fähigkeit – „Deep Packet Inspection" oder „Application Layer Filtering" – haben echte Firewalls.
  • Verhaltensanomalien erkennen. Eine Fritz!Box hat keine Intrusion-Detection-Funktion. Sie bemerkt nicht, wenn ein Gerät im Netz plötzlich ungewöhnlich viel Traffic produziert, mit bekannten Schadsoftware-Servern kommuniziert oder Port-Scans gegen andere Geräte durchführt.
  • Interne Zonen trennen. Zwar lässt sich mit einer Fritz!Box ein Gäste-WLAN einrichten, das vom Hauptnetz getrennt ist. Eine echte Segmentierung des internen Netzes – zum Beispiel Arbeitsnetz, IoT, und Server in getrennten Zonen mit kontrollierter Kommunikation dazwischen – ist damit nicht möglich.

Das ist keine Kritik an AVM. Die Fritz!Box ist für ihren Zweck gebaut: als Heimrouter für Privatanwender. Dieser Zweck umfasst keinen unternehmenstauglichen Netzwerkschutz.

Das Problem entsteht, wenn Selbständige – oft ohne sich dessen bewusst zu sein – geschäftliche Daten und Kundenkommunikation über ein Heimnetz abwickeln, das nur für den privaten Gebrauch ausgelegt ist.

Merksatz: Die Fritz!Box schützt dein Netz vor ungebetenen Gästen von außen – aber nicht davor, dass etwas von innen unbemerkt nach außen kommuniziert.

Wann reicht die Fritz!Box – und wann nicht?

Die ehrliche Antwort: Es kommt auf deine Situation an.

Wenn du... - als Einzelperson von zu Hause arbeitest, - keine besonders sensiblen Kundendaten verarbeitest (kein Arzt, kein Anwalt, kein Steuerberater), - aktuelle Endgerätesicherheit hast (Antivirussoftware, Betriebssystem auf aktuellem Stand), - und die Empfehlungen aus den anderen Kapiteln umgesetzt hast...

...dann ist eine gut konfigurierte Fritz!Box für den Anfang vertretbar. Kein Rundum-Schutz, aber ein solides Fundament.

Wenn du... - mit besonders schützenswerten Daten arbeitest (Mandantenakten, Patientendaten, Finanzunterlagen), - Mitarbeitende hast, die sich im selben Netz bewegen, - ein kleines Büro oder eine Gemeinschaftsfläche betreibst, - oder regulatorisch verpflichtet bist, ein bestimmtes Sicherheitsniveau nachzuweisen...

...dann solltest du über eine dedizierte Firewall und eine strukturierte Netzwerksegmentierung nachdenken.

Das klingt nach einem großen Projekt. Es muss aber keines sein. Es gibt kostengünstige und alltagstaugliche Lösungen – und vor allem: Du musst das nicht allein machen. Ein erfahrener IT-Dienstleister kann dir in wenigen Stunden eine saubere, wartungsarme Grundstruktur einrichten, die jahrelang zuverlässig funktioniert. Was dafür genau nötig ist, erklärt der Anhang.

Wenn schon Fritz!Box, dann richtig: Härtung Schritt für Schritt

Eine Fritz!Box, die werksmäßig eingerichtet wurde und seitdem unangetastet läuft, ist nicht automatisch sicher. Viele Standardeinstellungen sind auf Bequemlichkeit optimiert, nicht auf Sicherheit. Das lässt sich ändern – und die folgenden Maßnahmen kosten zusammen weniger als eine Stunde.

Admin-Zugang absichern

Das Wichtigste zuerst: Wer Zugang zur Administrationsoberfläche der Fritz!Box hat, hat Zugang zu allem – WLAN-Passwörter, Portfreigaben, VPN-Konfiguration, angeschlossene Geräte. Dieser Zugang muss gut geschützt sein.

Unter fritz.box → System → Fritz!Box-Benutzer legst du Benutzerkonten mit starken, einzigartigen Passwörtern an. Das Standard-Administratorkonto sollte ein Passwort haben, das im Passwort-Manager gespeichert ist – nicht das, das auf dem Aufkleber am Gerät steht. Für jeden Nutzer, der Zugang zur Oberfläche benötigt, ein eigenes Konto – so lassen sich Zugriffsrechte gezielt vergeben und Aktionen im Nachhinein nachvollziehen.

Die Administrationsoberfläche sollte ausschließlich aus dem eigenen Netz erreichbar sein. Der Fernzugriff aus dem Internet ist standardmäßig deaktiviert – und sollte es auch bleiben, solange du ihn nicht bewusst benötigst. Mehr dazu weiter unten.

UPnP deaktivieren – Ports gehören dir, nicht deinen Geräten

Universal Plug and Play (UPnP) ist eine Funktion, die Geräten in deinem Netz erlaubt, selbstständig Portfreigaben im Router einzurichten – ohne dass du das bestätigst oder überhaupt mitbekommst. Das klingt praktisch, ist aber ein ernstes Sicherheitsproblem: Schadsoftware, die ein Gerät infiziert hat, kann UPnP nutzen, um sich aus dem Internet erreichbar zu machen. Ohne UPnP wäre eine solche Freigabe nur mit bewusstem Eingriff an der Fritz!Box möglich.

Deaktiviere UPnP unter fritz.box → Heimnetz → Netzwerk → Reiter „Heimnetzfreigaben" (je nach Firmware-Version auch unter „Programm-Einstellungen"). Wenn nach dem Deaktivieren eine Anwendung nicht mehr funktioniert, ist das ein Hinweis darauf, dass sie UPnP aktiv genutzt hat – und ein guter Moment, um zu entscheiden, ob diese Freigabe wirklich gewollt ist.

Netzwerkfilter: die unterschätzte Sicherheitsfunktion

Die Fritz!Box enthält einige Netzwerkfilter, die in der Standardkonfiguration nicht zwingend aktiviert sind und von vielen Nutzern gar nicht wahrgenommen werden. Sie befinden sich unter fritz.box → Internet → Filter.

NetBIOS-Filter: NetBIOS ist ein älteres Windows-Protokoll für Netzwerkfreigaben und Geräteerkennung im lokalen Netz. Es hat im Internet nichts verloren – NetBIOS-Traffic nach außen kann Informationen über dein internes Netz preisgeben und ist ein bekannter Angriffspunkt. Der Filter blockiert NetBIOS-Pakete, bevor sie das lokale Netz verlassen.

DNS-Rebinding-Schutz: Ein DNS-Rebinding-Angriff funktioniert so: Eine bösartige Website gibt im DNS-System ihre Adresse als IP-Adresse deines Heimnetzes aus. Dein Browser denkt dann, er kommuniziere mit der Website – kommuniziert aber tatsächlich mit einem Gerät in deinem Netz. Die Fritz!Box kann solche manipulierten DNS-Antworten erkennen und blockieren. Der DNS-Rebinding-Schutz ist unter fritz.box → Heimnetz → Netzwerk → Reiter „DNS-Rebind-Schutz" konfigurierbar.1

IPv6-Firewall: Das ist ein häufig übersehener Punkt. Mit IPv6 erhält jedes Gerät in deinem Netz eine weltweit eindeutige, direkt erreichbare IP-Adresse – der passive Schutz durch NAT entfällt damit vollständig. Die Fritz!Box bietet eine IPv6-Firewall, die eingehende Verbindungen zu IPv6-Geräten im Heimnetz blockiert, sofern sie nicht explizit freigegeben sind. Diese Firewall sollte aktiv sein. Zu finden unter fritz.box → Internet → Zugangsdaten → Reiter „IPv6".

Portfreigaben: weniger ist mehr

Unter fritz.box → Internet → Freigaben → Portfreigaben siehst du alle aktiven Weiterleitungen aus dem Internet in dein Netz. Jede dieser Freigaben ist ein Kanal, über den jemand von außen ein Gerät in deinem Netz direkt erreichen kann.

Geh diese Liste durch und frag dich bei jedem Eintrag: Weiß ich noch, warum diese Freigabe eingerichtet wurde? Wird sie noch gebraucht? Wenn die Antwort unklar ist, entferne die Freigabe. Was nicht erreichbar ist, kann nicht angegriffen werden.

Besondere Vorsicht gilt für Freigaben auf typischen Angriffs-Ports: RDP (Port 3389) für Windows-Fernzugriff, SSH (Port 22) für Linux-Systeme oder Freigaben für NAS-Geräte sind häufige Ziele automatisierter Angriffe. Wer Fernzugriff auf solche Dienste benötigt, sollte das über einen VPN-Tunnel lösen – nicht über eine direkte Portfreigabe.

Fernzugriff aus dem Internet – wenn überhaupt, dann mit Bedacht

Die Fritz!Box bietet mehrere Möglichkeiten, von außen auf das Heimnetz zuzugreifen: MyFritz! (der AVM-Clouddienst), direkten HTTPS-Zugriff auf die Administrationsoberfläche und VPN (WireGuard und IPSec).

Falls du den Fernzugriff benötigst, gelten folgende Grundregeln:

Erstens: Aktiviere für alle Fritz!Box-Benutzer, die sich von außen einloggen dürfen, die Zwei-Faktor-Authentifizierung. Das findest du in den Benutzereinstellungen unter System → Fritz!Box-Benutzer. Ein kompromittiertes Passwort allein reicht dann nicht mehr für einen Zugriff.

Zweitens: Der direkten Erreichbarkeit der Administrationsoberfläche aus dem Internet ist gegenüber dem VPN-Zugang klar der Vorzug zu geben. Bei VPN baut dein Gerät eine verschlüsselte Verbindung ins Heimnetz auf – von dort aus ist die Fritz!Box-Oberfläche nur intern erreichbar. Das ist erheblich sicherer als eine direkt aus dem Internet aufrufbare Admin-Oberfläche.

Drittens: MyFritz! ist bequem, aber bedeutet, dass AVM-Server als Vermittler fungieren. Wer maximale Kontrolle über seine Verbindungen haben möchte, richtet stattdessen WireGuard-VPN direkt auf der Fritz!Box ein – ohne externe Dienste.

Merksatz: Eine Fritz!Box mit deaktivierten unnötigen Freigaben, aktiver IPv6-Firewall, deaktiviertem UPnP und starken Admin-Passwörtern ist deutlich mehr als ein durchschnittlich konfigurierter Heimrouter. Sie bleibt trotzdem keine vollwertige Firewall – aber sie ist so gut abgesichert, wie es das Gerät erlaubt.

Checkliste: Firewall und Netzwerkschutz

  • Ich weiß, welches Gerät bei mir als Netzwerkschutz fungiert und was es kann – und was nicht.
  • Das Admin-Passwort der Fritz!Box ist geändert – kein Standardpasswort, kein aufgedrucktes Passwort.
  • Die Fritz!Box-Firmware ist aktuell – automatische Updates sind aktiviert.
  • UPnP ist deaktiviert – Portfreigaben werden nur manuell eingerichtet.
  • Der NetBIOS-Filter ist aktiviert (Internet → Filter).
  • Der DNS-Rebinding-Schutz ist aktiv (Heimnetz → Netzwerk → DNS-Rebind-Schutz).
  • Die IPv6-Firewall ist aktiviert (Internet → Zugangsdaten → IPv6).
  • Ich habe die Portfreigaben überprüft und alle nicht mehr benötigten entfernt.
  • Kein direkter RDP- oder SSH-Zugriff aus dem Internet – nur über VPN.
  • Falls Fernzugriff aktiviert: 2FA für alle berechtigten Fritz!Box-Benutzer ist eingeschaltet.
  • Ich habe bewertet, wie sensibel die Daten sind, die ich verarbeite – und ob ein Heimrouter als einziger Schutz ausreicht.
  • Falls ich sensible Daten verarbeite oder Mitarbeitende habe: Ich habe geprüft, ob eine dedizierte Firewall sinnvoll ist.
  • Ich weiß, dass ich bei Bedarf professionelle Hilfe für die Netzwerkeinrichtung in Anspruch nehmen kann.

  1. DNS-Rebinding-Angriffe wurden dokumentiert als Methode, um auf Heimnetzgeräte wie Router, Smart-Home-Geräte oder interne Webserver zuzugreifen. Referenz: Stutterheim, J., „Protecting Browsers from DNS Rebinding Attacks", ACM SIGSAC 2007.