nein, letztendlich sind diese software-firewalls schon überflüssig.
eigentlich ist mein beitrag noch viel zu kurz gewesen, um alle wichtigen zusammenhänge ohne verwendung von fachbegriffen anschaulich für laien darzustellen (zu denen ich mich übrigens auch immer noch zähle ).
betrachten wir das ganze nochmal etwas ausführlicher:
eine firewall soll verbindungen in 2 richtungen erlauben oder verbieten: von draussen auf den rechner und vom rechner nach draussen.
1. verbindungen von draussen
eine firewall kann nicht feststellen, was für ein programm in welcher absicht ein datenpaket an den rechner sendet. sie ist nur dafür zuständig, datenverkehr auf bestimmten ports zu erlauben oder zu verbieten. deshalb wird der inhalt der datenpakete auch nicht von ihr kontrolliert, sondern nur nach der zuordnung zu den ports entschieden, ob das paket weitergeleitet oder verworfen wird.
auf einer windows-standard-installation sind einige betriebssystemeigene programme, dienste genannt, so konfiguriert, das sie über einen spezifischen port auf datenpakete aus dem internet warten.
dass diese dienste überhaupt auch datenpakete von draussen warten, ist schon eine fehlkonfiguration von microsoft.
auf dem rechner eines typischen privatanwenders gibt es keinen grund, die nutzung lokaler dienste über das internet anzubieten.
folglich ist es unsinnig, diese ports weiterhin offen zu halten und zu ihrer sicherung zusätzlich eine software zu installieren, die potentiell selber fehler enthalten kann.
der logische weg ist es, diese dienste, soweit sie vom anwender nicht benötigt werden, zu deaktivieren und wenn sie lokal benötigt werden, ihre verbindung zum internet zu trennen.
da dieses für einen laien sehr schwer ist, haben sich nette leute auf http://www.ntsvcfg.de/ die arbeit gemacht, ein script zu schreiben, das die verschiedenen, dazu notwendigen einstellungen im betriebssystem automatisch vornimmt.
port 80 (http), 443 (https) und 21 (ftp) werden zum surfen benötigt. port 25 (smtp), 110 (pop3) und 143 (imap) evtl. für email.
fazit: ohne offene ports braucht man auch keine firewall mehr für diesen zweck. den datenverkehr auf den notwendiger weise offenen ports kann eine firewall nicht sichern.
2. verbindungen von drinnen
jede software, die auf dem gleichen rechner läuft, wie die software-firewall, kann genauso wie ein virus deren programmcode manipulieren.
die nachfrage von zonealarm, ob einem programm der internetzugriff gewährt werden soll, bestätigt eine software schneller, als die grafikkarte überhaupt das entsprechende fenster darstellen kann. der user bekommt also nicht mal etwas davon mit und wiegt sich in falscher sicherheit.
kein gefängnis-wächter würde auf die idee kommen, sich zusammen mit den häftlingen in eine zelle einzusperren. die räumliche trennung durch gitter hat schon ihren sinn.
damit eine firewall nicht von anderen programmen manipuliert werden kann, muss sie deren zugriff entzogen werden, das heist, sie muss auf einem eigenen rechner laufen, auf dem keine anderen programme aktiv sind. ausserdem muss sie auf einem betriebssystem laufen, das nicht schon selber durch bugs diverse sicherheitslücken öffnet.
und an diesem punkt fliegen die desktop-firewalls endgültig aus dem rennen, weil sie unter windows nicht die sicherheit bieten können, die eine kostenlose lösung, wie fli4l (linux + firewall "iptables" + routerfunktion) erreicht.
professionelle firewalls laufen auf extra dafür entwickelten betriebssystemen, die nur die dafür notwendige funktionalität zur verfügung stellen.
an dem punkt, wo eine desktop-firewall von anderer software manipuliert werden kann, ist es bereits zu spät. sicherheit auf dem desktop fängt da an, wo aktive inhalte im browser grundsätzlich deaktiviert und nur bei bedarf auf vertrauenswürdigen seiten explizit aktiviert werden. sicherheit bekommt man durch die nutzung von software, die nicht alle drei tage einen sicherheitspatch braucht. und durch erziehung der anwender zu verantwortungsbewusstem umgang mit mailanhängen und software unbekannter herkunft.
fazit:
- eine destop-firewall wird nicht benötigt, um angriffe von draussen abzuwehren, wenn man sein system richtig konfiguriert.
- eine destop-firewall ist nicht in der lage, einen mit malware/spyware/homecallware/viren/trojanern kompromitierten rechner zu sichern.
- eine destop-firewall bringt zusätzlichen, potentiell fehlerhaften code auf das system, was weitere sicherheitslücken öffnen kann.
ergo: eine destop-firewall ist für die ihr zugedachten aufgaben ungeeignet.
kleiner nachtrag:
ähnlich wie winzip oder winrar existieren auch sogenannte exe-packer für das komprimieren von ausführbaren programmen.
viren, trojaner und spyware werden bevorzugt mehrfach mit verschiedenen exe-packern und ungewöhnlichen einstellungen gepackt, um die erkennung durch virenscanner zu erschweren.
"norton anti virus" hatte zumindest bis vor kurzem überhaupt keine "unpack-engine", konnte also derart veränderte dateien garnicht überprüfen.
und selbst die testsieger unter den virenscannern sind meist nicht in der lage, einen neuen virus mit heuristischen methoden zu erkennen.
bis der hersteller aktualisierte viren-signaturen bereitstellt, haben heutige viren mit ihrer hohen verbreitungsgeschwindigkeit sich schon über das ganze internet verbreitet.
und es gibt mehr als genügend unwissende anwender, deren systeme überhaupt nicht durch einen virenscanner geschützt sind.
selbst ein guter, aktueller virenscanner bietet heute also nur noch einen unsicheren schutz von viren.
für weitere fragen und auch korrekturen meiner aussagen stehe ich gerne zur verfügung.
freundl. grüsse, faker