In Krimis und Spionage-Thrillern ist immer mal wieder von Firewalls die Rede und davon, dass ein Hacker oder ein Computervirus nur wenige Sekunden brauchte, um diesen Schutz zu knacken. Das klingt spektakulär, ist jedoch Unsinn.
Eine solche Aussage vermittelt eine falsche Vorstellung davon, wie eine Firewall funktioniert. Es wird der Eindruck erweckt, als sei das eine Art erweiterte Anwendung oder eine Form der Verschlüsselung. Beides jedoch trifft nicht zu.
In diesem Artikel geht es in erster Linie um die eingebaute Firewall von Windows, die gegenüber Firewall-Programmen von anderen Herstellern einige Besonderheiten aufweist. Wir zeigen Ihnen, wie sie funktioniert, wo Sie die Einstellungen finden, an welchen Stellen Sie die Konfiguration ändern können beziehungsweise sollten und welche Tools Ihnen dabei helfen.
Welchen Zweck erfüllt die Windows-Firewall?
Die Firewall von Windows dient in erster Linie dazu, nicht angeforderte Softwarezugriffe auf den Computer von außen zu unterbinden. In Ihrem eigenen Netzwerk daheim oder im Büro hat diese Funktion allerdings keine große Bedeutung, da auch ein Router wie die Fritzbox unangeforderte Datenpakete aus dem Internet abweist. Doch zum einen kann Schadsoftware auch in einem lokalen Netzwerk kursieren und versuchen, auf andere Rechner überzuspringen. Zum anderen nutzen Notebook-Besitzer unterwegs häufig ungesicherte Netzwerke. Ohne die Firewall könnten alle anderen Computer in diesem Netz auf die Notebook-Daten zugreifen.
Die Firewall kann aber auch ausgehende Verbindungen kontrollieren: Das ist beispielsweise dann sinnvoll, wenn Sie unerwünschte Kontaktaufnahmen von Programmen mit den Servern ihrer Hersteller unterbinden wollen, etwa um zu verhindern, dass Daten über Ihren Rechner und seine Konfiguration weitergegeben werden. Auch lässt sich auf diese Weise die Kommunikation eines bereits im PC sitzenden Trojanervirus mit seinem Command & Control-Server blockieren.
Windows installiert und aktiviert die Firewall automatisch und stellt eine Standardkonfiguration ein. Anschließend arbeitet das Programm weitgehend unbemerkt im Hintergrund. Es blockiert dann alle eingehenden Datenpakete, die nicht zuvor von einer Anwendung angefordert wurden. Als Administrator können Sie jedoch Ausnahmen definieren. Aber auch Programme, die auf eingehende Verbindungen angewiesen sind, etwa Remote-Control-Software, Chatprogramme oder Multiplayer-Spiele, können die für sie erforderlichen Änderungen an der Firewall selbsttätig ausführen. Dabei meldet sich jeweils die Benutzerkontensteuerung von Windows und fragt, ob diese Anwendung Änderungen an Ihrem Computer vornehmen darf.
Siehe auch: Der große Windows-Sicherheits-Check
Die Auswirkung des Netzwerkprofils auf die Firewall
Über die „Einstellungen“ von Windows können Sie zwischen dem öffentlichen und privaten Netzwerkprofil umschalten. Dabei ändert sich auch die Firewall-Konfiguration.
IDG
Die Konfiguration der Firewall ist abhängig vom Netzwerkprofil, das Sie in Windows eingestellt haben. Das öffentliche Profil ist stärker eingeschränkt und verhindert beispielsweise die Verbindung zu Datei- und Druckerfreigaben auf Ihrem Computer. Sie verwenden es, wenn Sie sich unterwegs in ein Netzwerk einloggen, das nicht unter Ihrer Kontrolle steht, also etwa ein freies WLAN. Das private Profil hingegen verwenden Sie, wenn Sie sich in Ihrem eigenen LAN oder WLAN befinden.
Um zwischen den beiden umzuschalten, öffnen Sie im Startmenü die „Einstellungen“ von Windows, wechseln zu „Netzwerk und Internet“ und klicken oben auf „Eigenschaften“. Im folgenden Fenster können Sie den Netzwerkprofiltyp umstellen. Die Änderung der Konfiguration dauert ein paar Sekunden, danach ist sie sofort wirksam.
Tipp: Windows-Firewall vorübergehend deaktivieren – so geht’s
Die Firewall-Konfiguration aufrufen und erste Einstellungen
Die Windows-Firewall wird konfiguriert über eine Microsoft Management Console (MMC) mit ihrem typischen, dreigeteilten Fenster und der in allen Konsolen gleichen Menüstruktur.
IDG
Die Einstellungen der Firewall finden Sie jedoch an anderer Stelle. Wenn Sie den Windows Defender als Virenscanner nutzen, führt der einfachste Weg über einen Mausklick auf das Icon des Programms rechts unten in der Taskleistenecke. Klicken Sie dann auf „Firewall und Netzwerkschutz“ und anschließend auf „Erweiterte Einstellungen“.
Alternativ dazu öffnen Sie über das Startmenü die „Einstellungen“ von Windows und gehen auf „Datenschutz und Sicherheit –› Windows-Sicherheit –› Firewall und Netzwerkschutz –› Erweiterte Einstellungen“. Dritte Möglichkeit: Sie rufen das Startmenü auf und tippen ins Suchfenster wf.msc gefolgt von einem „Enter“. Sie sehen nun das Fenster „Windows Defender Firewall mit erweiterter Sicherheit“ vor sich.
Über das Status-Fenster erfahren Sie, wie die Windows- Firewall aktuell in den drei möglichen Profilen konfiguriert ist.
IDG
Auf der linken Seite erscheint eine Baumstruktur, ganz oben steht „Windows Defender Firewall mit erweiterter Sicherheit auf Lokaler Computer“. Wenn Sie diesen Eintrag markieren, zeigt sich in der Mitte des Fensters eine Übersicht der aktuellen Einstellungen. Dort erkennen Sie zum einen, welches Profil gerade aktiv ist, also das Domänenprofil, das private oder das öffentliche Profil. Zum anderen nennt Windows die Einstellungen für die ein- und ausgehenden Verbindungen. In der Voreinstellung blockiert die Firewall alle eingehenden Verbindungen, für die es keine Regel gibt, und lässt alle ausgehenden Verbindungen, für die keine anderslautende Einstellung existiert, zu. Diese grundlegende Konfiguration ist in allen drei Profilen identisch.
Klicken Sie auf den Link „Windows Defender Firewall-Eigenschaften“ und wechseln Sie im folgenden Fenster zum Register für das aktive Profil. Sie können in diesem Fenster über das Menü „Firewallstatus“ die Firewall ausschalten – was nicht zu empfehlen ist. Ein Deaktivieren ist nur dann sinnvoll, wenn Sie zusätzlich eine Firewall-Software eines anderen Herstellers installiert haben. Auch an den Einstellungen für die ein- und ausgehenden Verbindungen sollten Sie nichts ändern, dazu später jedoch mehr.
Die Firewall kann Sie benachrichtigen, wenn sie ein nicht angefordertes, eingehendes Datenpaket abgewiesen hat.
IDG
Nach einem Klick auf den Button „Geschützte Netzwerkverbindungen“ zeigt Ihnen Windows, welche Verbindungen durch die Einstellungen der Firewall erfasst werden. Klicken Sie dann im Bereich „Einstellungen“ auf den Button „Anpassen“ und stellen Sie neben „Benachrichtigung anzeigen“ um auf „Ja“. So erhalten Sie eine Nachricht, sobald die Firewall eine versuchte, aber nicht genehmigte Kontaktaufnahme von außen registriert. Bestätigen Sie die neue Einstellung dann mit „OK“.
Bedienhilfen für die Firewall
Da die Windows-Firewall recht unübersichtlich ist und das Programm zudem den Anwender nicht über seine Aktivitäten informiert, haben Freeware-Autoren Tools geschrieben, welche diese Defizite beheben sollen. Die englischsprachige Software Windows 10 Firewall Control funktioniert auch mit Windows 11. Sie blendet über der Taskleistenecke sämtliche Blockade-Events ein, zeigt die IP-Adressen an, mit denen sich die Anwendungen verbinden, und erlaubt ein schnelles Blockieren und Zulassen von Verbindungen per Mausklick.
Das Tool Windows 10 Firewall Control setzt auf die Windows- Firewall auf und kontrolliert unter anderem die ein- und ausgehenden Verbindungen.
IDG
Der Firewall App Blocker ist ein kleines Tool, das keine Installation erfordert, und alle Drittanbieter-Programme zeigt, für die ein- oder ausgehende Regeln definiert sind. In der einfach aufgebauten Software können Sie die Firewall für ausgewählte Anwendungen öffnen oder auch schließen.
Firewall-Regeln ändern oder löschen
Nach Markieren von „Eingehende Regeln“ zeigt Ihnen Windows die entsprechenden Regeln für die installierten Programme an. An diesen Einstellungen brauchen Sie normalerweise nichts zu ändern.
IDG
Die Konfiguration der Firewall erledigen Windows und die Programme, die Sie installieren, automatisch im Hintergrund. Wenn Sie „Eingehende Regeln“ oder „Ausgehende Regeln“ markieren, zeigt Ihnen Windows eine lange Liste mit Programmen und deren Firewall-Regeln. Diese Regeln sind so gestaltet, dass die Software fehlerlos funktioniert, und sollten nicht verändert werden. Es ist normalerweise auch nicht erforderlich, dass Sie selbst eine Regel für ein neu eingerichtetes Programm anlegen. Und: Sobald Sie eine Software wieder entfernen, löscht die Deinstallations-Routine auch die zugehörigen Firewall-Regeln.
An dieser Stelle passieren am ehesten Fehler. Teilweise tauchen in der Liste Programme auf, die Sie schon längst wieder von Ihrem Rechner geworfen haben. Deren Einträge in der Regelliste können Sie getrost aussortieren: Klicken Sie den Eintrag mit der rechten Maustaste an und wählen Sie zunächst „Eigenschaften“. Wechseln Sie zu „Programme und Dienste“ und überprüfen Sie unter „Programme“ den Pfad zur EXE-Datei. Sehen Sie im Explorer nach, ob die Anwendung tatsächlich nicht mehr existiert. Falls ja, können Sie die Regel nach einem weiteren Rechtsklick und einem Klick auf „Löschen“ entfernen.
Seien Sie beim Löschen vor allem äußerst umsichtig, und lassen Sie die Regeln von Programmen und ganz allgemein von Einträgen, die Sie nicht kennen, im Zweifelsfall lieber bestehen.
Ein- und ausgehende Verbindungen gezielt kontrollieren
Die Voreinstellung der Windows-Firewall sieht im Prinzip so aus: Eingehende Verbindungen werden blockiert, außer es existiert für einzelne Programme eine Ausnahmeregel. Ausgehende Verbindungen sind dagegen offen, aber auch hier kann es Ausnahmeregeln geben. Man könnte auch sagen, dass die Ausnahmeregeln für eingehende Verbindungen einer Whitelist entsprechen, die Ausnahmen für ausgehende Verbindungen einer Blacklist.
Um das Sicherheitslevel des Computers zu erhöhen, können Sie die ausgehenden Verbindungen umstellen: Sämtliche Verbindungen werden blockiert, und lediglich ausgewählte Anwendungen bekommen Ausnahmegenehmigungen. Anstatt einer Blacklist definieren Sie also eine Whitelist. Auf diese Weise verhindern Sie unter anderem, dass Anwendungen Daten zu Ihrem Benutzerverhalten oder zu Ihrer PC-Konfiguration an den Hersteller schicken. Dabei gibt es allerdings einen Haken: Wenn eine Anwendung aufgrund der Sperre nicht korrekt funktioniert, erhalten Sie von der Firewall keine Benachrichtigung – die gibt es nur bei eingehenden Verbindungen.
Eine Whitelist für ausgehende Verbindungen anlegen
Machen Sie ein Backup der Firewall-Einstellungen, bevor Sie die Konfiguration ändern oder neue Regeln hinzufügen oder löschen. Dazu exportieren Sie die aktuellen Einstellungen in eine WFW-Datei.
IDG
Bevor Sie beginnen, sollten Sie unbedingt ein Backup der Firewall-Einstellungen machen. Stellen Sie sicher, dass „Windows Defender Firewall mit erweiterter Sicherheit auf Lokaler Computer“ markiert ist, klicken Sie rechts „Aktion –› Richtlinie exportieren“, und speichern Sie die Konfiguration wie eingestellt als WFW-Datei in einem beliebigen Ordner. Falls später durch die blockierten ausgehenden Verbindungen Probleme auftreten, können Sie die ursprünglichen Regeln über „Aktion –› Richtlinie importieren“ wiederherstellen.
Klicken Sie nun auf „Windows Defender Firewall-Eigenschaften“ und gehen Sie im folgenden Fenster zum Register des aktiven Profils, normalerweise ist es „Privates Profil“. Stellen Sie nun neben „Ausgehende Verbindungen“ die Option „Blockieren“ ein und schließen Sie das Fenster mit „OK“. Der Effekt ist sofort sichtbar. Wenn Sie etwa in Ihrem Browser www.google.de aufrufen, erscheint eine Meldung, dass die Website nicht erreichbar ist.
Nach und nach müssen Sie nun für alle Programme, die Daten ins Internet senden sollen, Ausnahmen einrichten. Klicken Sie dazu mit der rechten Maustaste auf „Ausgehende Regeln“ und wählen Sie „Neue Regel“. Stellen Sie sicher, dass unter „Schritte“ die Option „Regeltyp“ und daneben „Programm“ markiert ist. Klicken Sie auf „Weiter“, und geben Sie unter „Dieser Programmpfad“ den Pfad zu der Anwendung ein, also etwa der EXE-Datei Ihres Browsers. Klicken Sie auf „Weiter“, und markieren Sie „Verbindung zulassen“. Klicken Sie erneut auf „Weiter“, und achten Sie darauf, dass in allen drei Kontrollkästchen ein Häkchen steht. Klicken Sie „Weiter“, geben Sie der Regel einen Namen (am besten den der Anwendung), und schließen Sie den Assistenten mit „Fertig stellen“ ab. Wiederholen Sie den Vorgang für alle Anwendungen, mit denen Sie Kontakt mit dem Internet aufnehmen, also mit Ihrem E-Mail-Programm, dem Messenger, der Videokonferenz-Software, dem FTP-Client und Tools wie Google Earth und dergleichen.
Achtung: Die Windows-eigenen Programme, also Windows Mail oder die Apps aus dem Microsoft Store und Ähnliches, bekommen vom Betriebssystem Ausnahmegenehmigungen. Um sie am Datenversand ins Internet zu hindern, markieren Sie „Ausgehende Regeln“ und suchen dann in der Liste den Namen des Programms. Klicken Sie den Eintrag mit der rechten Maustaste an und gehen Sie auf „Regel deaktivieren“.
Die Fritzbox als Firewall
Jeder Router erfüllt auch die Funktion einer Firewall, da er die IP-Adressen der Geräte im Heimnetz per Network Address Translation (NAT) vor Anfragen aus dem Internet verbirgt. Zudem sind die TCP- und UDP-Ports des Routers normalerweise per Voreinstellung geschlossen. Die Fritzbox kontrolliert darüber hinaus noch die einund ausgehenden Datenpakete und weist alle nicht angeforderten Pakete aus dem Internet ab. Gleichzeitig verhindern Paketfilter, dass Informationen über die internen Geräte ins Internet gelangen. Unter „Diagnose –› Sicherheit“ finden Sie in der Bedienoberfläche der Box eine Aufstellung der geöffneten Ports für den Zugriff aus dem Heimnetz sowie eine Liste der Paketfilter.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.