February 24, 2026

Firewall-Logs analysieren: So finden Sie Angriffe schneller

Firewall-Logs analysieren ist eine der schnellsten Methoden, um Angriffe frühzeitig zu erkennen, Fehlkonfigurationen aufzudecken und Incident Response deutlich zu beschleunigen. In der Praxis sind Firewalls nicht nur „Blocker“, sondern hochwertige Sensoren: Sie sehen Zonenübergänge, NAT-Übersetzungen, Policy-Entscheidungen (Allow/Deny), VPN-Sessions und – bei NGFWs – oft auch IPS-, App- und URL-Events. Trotzdem bleiben viele Unternehmen im Blindflug, weil Logs zwar gesammelt, aber nicht strukturiert ausgewertet werden. Entweder werden zu wenige relevante Events protokolliert, oder es gibt so viel Lograuschen, dass echte Signale untergehen. Wer Firewall-Logs systematisch analysiert, findet Angriffe schneller, weil typische Angriffsmuster im Netzwerk sehr früh sichtbar werden: Scans und Exploit-Versuche am Perimeter, laterale Bewegung zwischen Zonen, Command-and-Control-Kommunikation nach außen, Datenabfluss über ungewöhnliche Ziele oder Protokolle und Auffälligkeiten bei Remote Access. Dieser Artikel zeigt praxisnah, wie Sie Firewall-Logs so aufbereiten und auswerten, dass Sie Angriffe schneller finden – mit konkreten Suchmustern, sinnvollen KPIs, Best Practices für Logging-Qualität und einer Vorgehensweise, die sich im Alltag bewährt.

Warum Firewall-Logs oft der schnellste „Truth Source“ sind

Bei einem Sicherheitsvorfall ist die zentrale Frage fast immer: Was ist passiert, wann hat es begonnen und welche Systeme sind betroffen? Firewall-Logs liefern darauf häufig die schnellsten Hinweise, weil sie an zentralen Übergängen sitzen und Verbindungen zwischen Netzen dokumentieren. Gerade in segmentierten Umgebungen (DMZ, User, Server, Management, Cloud-Transit) bilden Firewall-Events einen belastbaren Überblick über Kommunikationspfade.

  • Perimeter-Sicht: Internet-Scans, Exploit-Versuche, unerwartete Inbound-Verbindungen
  • Interne Sicht: Ost-West-Verkehr zwischen Zonen, späterale Bewegung, Admin-Zugriffe
  • Egress-Sicht: Outbound-Verbindungen, neue Ziele, Datenmengen-Anomalien, C2-Muster
  • Kontext: Regel-ID, Zone/Interface, NAT-Übersetzungen, VPN-Benutzer (je nach System)

Die wichtigste Voraussetzung: Logging so konfigurieren, dass es auswertbar ist

Angriffe finden Sie nicht „durch Magie“, sondern durch gute Daten. Wenn Logs unvollständig sind, fehlen Ihnen später zentrale Puzzleteile. Wenn Logs zu umfangreich und unstrukturiert sind, ertrinken Sie im Noise. Ziel ist ein Logging-Profil, das sicherheitsrelevante Zonenübergänge sichtbar macht und gleichzeitig im Betrieb handhabbar bleibt.

Diese Felder sollten in Firewall-Logs immer vorhanden sein

  • Zeitstempel: mit Zeitzone oder UTC, konsistent über alle Geräte
  • Quelle/Ziel: src_ip, dst_ip, src_port, dst_port, Protokoll
  • Aktion: allow/deny/drop/reset, ggf. reason
  • Zone/Interface: ingress/egress, zone, vrf (falls vorhanden)
  • Regelbezug: policy_id/rule_id, rule_name, hit-count (wenn verfügbar)
  • NAT: pre-NAT und post-NAT (besonders wichtig für Forensik)
  • Session-Infos: session_id, bytes/packets, duration (wenn verfügbar)
  • Threat-Kontext: IPS-Signatur, severity, category, action (bei NGFW/IPS)

NTP und Zeitkonsistenz: Ohne korrekte Zeit kein Incident Timeline

Wenn Zeitstempel nicht stimmen, entstehen falsche Korrelationen und Fehlschlüsse. Stellen Sie sicher, dass Firewalls, Log-Collector und Analyseplattform (SIEM) über NTP synchronisiert sind. Eine konsistente Zeitbasis ist die Grundlage jeder schnellen Angriffsanalyse.

Logquellen richtig sammeln: Zentralisieren, normalisieren, korrelieren

Firewall-Logs sind am wertvollsten, wenn sie zentral durchsuchbar sind und mit anderen Quellen kombiniert werden können (DNS, Proxy/SWG, VPN/SSO, EDR). Für die reine Firewall-Analyse reicht oft ein zentrales Logsystem oder SIEM, aber der größte Mehrwert entsteht durch Korrelation.

  • Syslog/TLS: Für zuverlässigen, manipulationsärmeren Transport (wo möglich)
  • Parser/Normalisierung: Einheitliche Felder über Hersteller hinweg (src/dst, action, rule, zone)
  • Asset-Kontext: CMDB/Inventar zur Zuordnung: „Welche IP gehört zu welchem System?“
  • User-Kontext: VPN- und Identity-Logs, um „wer“ hinter einer IP steckt

Technische Grundlagen zu Syslog finden Sie z. B. in RFC 5424 und für sicheren Transport in RFC 5425.

Analyse-Strategie: Vom Überblick zur Hypothese

Wer Firewall-Logs „durchklickt“, verliert Zeit. Schneller ist ein strukturiertes Vorgehen: erst Überblick, dann Hypothese, dann gezielte Queries. Das ist besonders wichtig, wenn ein Incident bereits läuft und Sie schnell entscheiden müssen: isolieren, blocken, eskalieren.

Schritt 1: Was ist das Symptom?

  • Ungewöhnliche CPU/Traffic-Spitzen auf der Firewall?
  • Viele Denies/Blocks auf einer Zone?
  • Neue Outbound-Ziele oder Datenmengen-Spikes?
  • Alarm aus IPS/Threat-Profil?
  • Benutzer meldet „VPN langsam“ oder „App down“ (kann Angriff oder Fehlkonfig sein)?

Schritt 2: Zeitraum eingrenzen

Starten Sie mit einem klaren Zeitfenster: „letzte 15 Minuten“, „letzte Stunde“, „seit Beginn der Störung“. Dann erweitern Sie nur, wenn nötig. Kurze Zeitfenster reduzieren Noise und erhöhen die Trefferqualität.

Schritt 3: Kritische Zonen zuerst

Priorisieren Sie Zonen nach Risiko: Internet/DMZ, Management, Identity/Infrastructure, Server-zu-Server, Backup. Angriffe auf diese Bereiche sind meist geschäftskritisch und verdienen schnelle Aufmerksamkeit.

Angriffsmuster 1: Scans und Reconnaissance am Perimeter erkennen

Die meisten Internetangriffe beginnen mit Scans: Viele Ziele, viele Ports, kurze Sessions. In Firewall-Logs zeigen sich diese Muster oft als zahlreiche Denies von wenigen Quell-IPs gegen viele Zielports oder Ziele. Wichtig ist, zwischen „Hintergrundrauschen“ und zielgerichteter Aktivität zu unterscheiden.

  • Port-Scan: gleiche src_ip → gleiche dst_ip, viele dst_ports in kurzer Zeit
  • Host-Scan: gleiche src_ip → viele dst_ips (z. B. DMZ-Range), gleicher Port
  • Brute Force: viele Verbindungsversuche auf SSH/RDP/VPN, oft mit regelmäßigen Intervallen

Praktischer Filter: Was ist „auffällig“?

  • Ungewöhnlich hohe Anzahl an Denies pro Minute auf einen spezifischen Dienst
  • Denies auf seltene Ports, die normalerweise nicht adressiert werden
  • Treffer auf Systeme, die neu veröffentlicht wurden (neue DNATs, neue Services)

Angriffsmuster 2: Exploit-Versuche und IPS-Events richtig einordnen

Wenn Ihre Firewall ein IPS/Threat-Profil hat, sind Signaturtreffer ein starker Hinweis. Dennoch gilt: Ein einzelner IPS-Hit ist nicht automatisch ein erfolgreicher Angriff. Entscheidend ist der Kontext: War die Verbindung erlaubt? Hat das IPS blockiert? Gibt es Folgeaktivität?

  • IPS Action: alert vs. block/reset
  • Severity: kritisch/hoch priorisieren
  • Zielsystem: DMZ-Frontend, VPN-Gateway, öffentliches Portal besonders kritisch
  • Folgeverkehr: Nach IPS-Hit: neue Sessions zu internen Systemen, neue Outbounds?

Für die systematische Einordnung von Angreifertechniken und deren Spuren eignet sich MITRE ATT&CK.

Angriffsmuster 3: Laterale Bewegung anhand von Ost-West-Logs

Wenn ein Angreifer im Netzwerk ist, versucht er typischerweise, sich lateral zu bewegen: von Client zu Server, von Server zu Server, Richtung Identity-Systeme. Firewalls zwischen internen Zonen sind hier extrem wertvoll, weil sie „neue“ Kommunikationspfade sichtbar machen.

  • Client → viele Server: ein Endpoint kontaktiert plötzlich viele Systeme auf Admin-Ports
  • Server → Identity: unerwartete Zugriffe auf LDAP/Kerberos/AD-Services
  • Neue Peer-Beziehungen: Systeme, die bisher nie miteinander gesprochen haben
  • SMB/RDP/SSH-Spikes: starke Indikatoren für lateral movement (kontextabhängig)

Best Practice: Baseline pro Zone

Laterale Bewegung erkennen Sie schneller, wenn Sie „Normalverkehr“ kennen. Nutzen Sie Hit-Counts, Top-Talker-Reports und regelmäßige Übersichten: „Welche 20 Flows dominieren User→Server?“ Wenn sich diese Liste plötzlich ändert, ist das ein starkes Signal.

Angriffsmuster 4: Command-and-Control und „neue Outbound-Ziele“

C2-Kommunikation läuft oft über erlaubte Protokolle (HTTPS, DNS). Firewall-Logs zeigen hier häufig neue Ziel-IP-Adressen, ungewöhnliche Ports oder auffällige Sessionmuster (regelmäßig, kurze Sessions, konstante Paketgrößen). Auch ohne Payload lassen sich Muster erkennen.

  • Neue Destination: interner Host verbindet sich erstmals zu einer bisher unbekannten externen IP
  • Ungewöhnlicher Port: z. B. TCP 4444, 1337, 8081 (nicht beweisend, aber auffällig)
  • Beaconing: regelmäßige Outbound-Sessions im gleichen Intervall
  • DMZ-Outbound: DMZ-Systeme sollten sehr wenig Outbound haben; neue Outbounds sind oft kritisch

Praktischer Tipp: Egress-Policies erhöhen die Signalqualität

Wenn Outbound „Any“ ist, wird alles möglich und Logs werden schwerer interpretierbar. Je restriktiver Egress-Policies (DNS zentral, Proxy/SWG, definierte Update-Repos), desto schneller fallen Ausreißer auf.

Angriffsmuster 5: Datenabfluss (Exfiltration) über Firewall-Logs erkennen

Exfiltration ist häufig das wichtigste „Spätstadium“-Signal. Firewall-Logs können Datenabfluss sichtbar machen, wenn Bytes/Packets und Session-Dauer geloggt werden. Besonders wertvoll ist die Korrelation mit Proxy/DNS und Datenklassifizierung, aber auch reine Firewall-Metadaten liefern Hinweise.

  • Ungewöhnlich hohe Bytes outbound: aus sensiblen Zonen (DB, Fileserver, Backup) zu externen Zielen
  • Neue Ziele + hohe Datenmenge: besonders verdächtig
  • Zeiten außerhalb der Norm: große Transfers nachts/wochenends
  • Upload-Charakter: viel outbound, wenig inbound (je nach Protokoll interpretieren)

NAT und Forensik: Warum Sie ohne NAT-Logging blind sind

In vielen Umgebungen ist NAT der Standard: Private IPs werden nach außen übersetzt, öffentliche VIPs werden nach innen gemappt. Bei einem Incident müssen Sie schnell beantworten: „Welche interne IP steckt hinter dieser öffentlichen Session?“ Ohne pre-/post-NAT-Logging ist das mühsam oder unmöglich.

  • DNAT: Welche öffentliche VIP wurde auf welches internes Ziel gemappt?
  • SNAT: Welche interne Quelle wurde auf welche öffentliche IP/Port übersetzt?
  • Port-Kollisionen: Bei Carrier-Grade oder großen NAT-Pools sind Portinformationen entscheidend

Praktische Suchlogik: Von „Top“ zu „Targeted Queries“

Auch ohne konkretes SIEM-Produkt können Sie in Ihrer Analyse immer gleich vorgehen: erst aggregieren, dann fokussieren. Die wichtigsten Aggregationen sind:

  • Top Quellen: Welche src_ip erzeugt die meisten Denies/Allows?
  • Top Ziele: Welche dst_ip oder dst_port ist am häufigsten betroffen?
  • Top Regeln: Welche policy_id feuert am häufigsten (und warum)?
  • Top neue Ziele: Welche Ziel-IP/Domain ist „neu“ im betrachteten Zeitraum?
  • Traffic-Spitzen: Welche Sessions/Hosts verursachen ungewöhnlich hohe Bytes?

Aus diesen Übersichten bauen Sie Hypothesen: „Host A hat neu viele Outbounds zu Ziel X“ oder „Zielserver B wird auf Port 22 stark gescannt“. Danach filtern Sie gezielt nach Zeitfenster, Host, Zone und Regel.

False Positives vermeiden: Betriebsereignisse von Angriffen unterscheiden

Firewall-Logs zeigen auch „normale“ Ereignisse: Health Checks, Backup-Jobs, Monitoring, Lasttests, neue Deployments. Ohne Kontext werden diese schnell als Angriff fehlinterpretiert. Drei einfache Regeln helfen:

  • Änderungskontext prüfen: Gab es Releases, neue DNATs, neue Standorte, Wartungsfenster?
  • Wiederholbarkeit prüfen: Ist das Muster regelmäßig und erklärbar (z. B. Backup nachts)?
  • Quellen validieren: Kommt der Traffic von bekannten Scannern/Monitoring-Systemen?

Dashboards und KPIs: Was bei Firewall-Logs wirklich zählt

Viele Dashboards sind „Zahlenwände“ ohne Nutzen. Sinnvolle KPIs sind solche, die Veränderungen sichtbar machen und Handlungen auslösen. Bewährt haben sich:

  • Deny Rate pro Zone: plötzliche Anstiege können Scans oder Fehlkonfigurationen anzeigen
  • Neue Outbound-Ziele: Anzahl neuer Destinationen pro Tag/Woche, besonders aus Server- und DMZ-Zonen
  • Top IPS Blocks: welche Signaturen blocken am häufigsten, in welchen Zonen
  • Policy Drift: Anzahl Policy- und NAT-Änderungen, insbesondere außerhalb von Wartungsfenstern
  • High-Byte Sessions: Top 20 outbound Bytes aus sensiblen Zonen

Operational Best Practices: So werden Logs im Alltag schneller verwertbar

  • Regeln dokumentieren: policy_id mit Zweck, Owner, Ticket-ID, Review-Datum
  • Ausnahmen befristen: temporäre Freigaben laufen ab und müssen aktiv verlängert werden
  • Zone-Standards: DMZ-Outbound restriktiv, Server-Outbound minimal, Management strikt getrennt
  • Alert-Playbooks: Für häufige Muster („Portscan“, „C2-Verdacht“, „Exfiltration“) klare Schritte definieren
  • Regelmäßige Reviews: ungenutzte Regeln, Shadowing, überbreite Regeln identifizieren

Incident-Workflow: Schnelle Reaktion aus Log-Hinweisen

Wenn Sie einen Verdacht aus Firewall-Logs haben, brauchen Sie einen klaren Ablauf, der reproduzierbar ist. Ein praxistauglicher Mini-Workflow:

  • Bestätigen: Zeitfenster, betroffene Hosts, Zonen, Regeln, NAT-Kontext
  • Einordnen: Perimeter-Scan vs. interne Laterals vs. Outbound-Anomalie
  • Korrelieren: DNS/Proxy/VPN/EDR dazu holen (wenn verfügbar)
  • Eindämmen: gezielte Blockregel, Quarantäne des Hosts, Sperrung von Credentials (nach Policy)
  • Dokumentieren: Timeline, betroffene Systeme, getroffene Maßnahmen

Weiterführende Informationsquellen

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern