fairlane.systems

FIREWALL · SICHERHEIT & BETRIEB

Firewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026

Netzwerk-Firewall (ufw/nftables) plus Application-Schutz mit CrowdSec, der Open-Source-Nachfolger von Fail2ban mit Crowd-Sourced Threat-Intel.

Recherche & Faktencheck: · Stand: 2026-05

Was ist eine mehrschichtige Server-Firewall?

Eine Server-Firewall ist nicht ein einzelnes Werkzeug, sondern eine Verkettung von Filtern auf verschiedenen Netzwerk-Schichten. Die unterste Schicht ist die Netzwerk-Firewall: iptables, nftables oder uncomplicated firewall (ufw) entscheiden, welche TCP/UDP-Ports nach aussen offen sind. Die nächste Schicht ist die Application-Firewall: Tools wie CrowdSec, Fail2ban oder ModSecurity analysieren Logs der Anwendungen (nginx, sshd, postfix), erkennen Angriffsmuster und blockieren angreifende IPs.

CrowdSec ist Mai 2026 der Marktführer im Open-Source-Bereich für KMU. Das französische Unternehmen hat 2020 ein moderneres Konzept als Fail2ban entwickelt: nicht nur lokale Log-Analyse, sondern Crowd-Sourced Threat Intelligence. Jeder CrowdSec-Knoten meldet beobachtete Angriffe an die zentrale Plattform (anonymisiert, nur Hash der IP plus Angriffsmuster), und alle Knoten teilen sich die daraus gebaute Blocklist mit über 100.000 Servern weltweit. Eine IP, die in Paris einen Treuhand-Server angreift, ist 90 Sekunden später auf einem Server in Zürich gesperrt.

Die Architektur ist klar getrennt: ein lokaler Agent liest Logs und entscheidet Sperren. Bouncer (Plugins) erzwingen die Sperren - es gibt Bouncer für nginx, iptables, Cloudflare, Traefik, AWS WAF, custom Web-Apps. Free-Tier ist die Community Edition, voll funktionsfähig für KMU. Mai 2026 hat CrowdSec einen neuen AI-Bouncer eingeführt: ein leichtes ML-Modell erkennt verhaltensbasierte Anomalien (Geschwindigkeit der Requests, Pfadmuster, User-Agent-Drift), die regelbasierte Erkennung nicht sieht.

Warum die Schichten zählen

Ein KMU-Server ohne Firewall ist innerhalb von Minuten nach der Bereitstellung im Internet Ziel von SSH-Brute-Force, Login-Stuffing auf bekannten Pfaden (/wp-admin, /api/v1/login), Schwachstellen-Scans (Shodan, Censys). Der Server kann den Angriff nicht mit eigener Auth-Logik abwehren - er erschöpft sich an der schieren Menge der Versuche.

Konkret für eine Schweizer Anwaltskanzlei mit einem Nextcloud-Server für Mandantenakten: Ohne Schutz erlebt der Server täglich 200 bis 5000 fehlgeschlagene Login-Versuche. Auch mit starkem Passwort und MFA sind das ein Performance-Problem (Logs füllen, CPU-Last) und ein DoS-Risiko (Brute-Force-Wellen überlasten Auth-Endpunkt). Mit CrowdSec werden Angreifer nach 3 bis 5 fehlgeschlagenen Logins für 4 Stunden gesperrt - und der zuständige Bouncer dropt die Pakete bereits in iptables, bevor sie die Anwendung erreichen.

Für Compliance ist eine dokumentierbare Abwehr Stand der Technik. DSG Art. 8 verlangt angemessene Sicherheit. EDÖB-Leitfaden führt Firewall und Brute-Force-Schutz unter den TOM-Mindestmassnahmen. Ohne Firewall + Application-Layer-Schutz ist die DSG-Konformität für ein Mandanten-Portal nicht haltbar.

Der dritte Treiber: Geschwindigkeit der Bedrohungslage. Botnets nehmen 2026 Server in Mengen ins Visier, die mit reiner lokaler Erkennung nicht zu pflegen sind. Crowd-Sourced Blocklist macht den 100.000-fachen Multiplikator nutzbar.

Wie der mehrschichtige Schutz funktioniert

Schicht 1 - Netzwerk-Firewall. ufw ist die einsteigerfreundliche Variante auf Ubuntu/Debian, ein Wrapper um iptables/nftables. Standard-Konfiguration: alle eingehenden Ports per Default gesperrt, Ausnahmen für 22 (SSH), 80 (HTTP), 443 (HTTPS). SSH idealerweise nicht auf 22, sondern auf einem nicht-standard Port (z.B. 2847) - reduziert das Hintergrund-Rauschen massiv. Fortgeschrittene Setups verwenden nftables direkt für feinere Regeln (z.B. Geolocation-Blockierung, Connection-Limits).

Schicht 2 - SSH-Härten. Vor jeder Application-Firewall: PasswordAuthentication no in sshd_config, nur Public-Key-Auth, Root-Login deaktiviert, AllowUsers Whitelist, Fail2ban oder CrowdSec mit ssh-Acquis. Mai 2026 ist die Empfehlung: SSH zusätzlich hinter einem Tailscale- oder WireGuard-VPN verstecken, dann gibt es keinen öffentlichen SSH-Port mehr.

Schicht 3 - CrowdSec Agent. Der Daemon läuft als Container oder systemd-Service. Acquis-Konfiguration sagt ihm, welche Logs er liest (nginx access.log, sshd.log, postfix.log, eigene App-Logs). Parser zerlegen Log-Zeilen in strukturierte Events. Scenarios sind YAML-Regeln, die Patterns matchen (z.B. http-bruteforce: 5 fehlgeschlagene /login in 60 Sekunden). Bei Match feuert ein Decision (typisch IP-Ban für 4 Stunden).

Schicht 4 - Bouncer. Die Decision wird an alle registrierten Bouncer gesendet. iptables-Bouncer setzt eine DROP-Regel. Nginx-Bouncer gibt HTTP 403 zurück. Cloudflare-Bouncer setzt einen Block-Eintrag im Cloudflare-Account. Bei Fairlane: nginx-Bouncer plus iptables-Bouncer kombiniert (Defense in Depth - selbst wenn ein Bouncer ausfällt, blockt der andere).

Schicht 5 - Crowd Blocklist. Die CrowdSec Console (kostenlos für Community Edition) liefert das geteilte Blocklist-Set: 4-6 Millionen aktive böse IPs auf typischem Stand. Update alle 15 Minuten. AI-Bouncer (Mai 2026 neu) ergänzt regelbasierte Erkennung um verhaltensbasierte Klassifikation - fängt Angreifer, die unter den Schwellenwerten der Scenarios bleiben.

Schicht 6 - Web Application Firewall. ModSecurity mit dem OWASP Core Rule Set ist die quelloffene Wahl. ModSecurity sitzt im nginx oder Apache, prüft jede HTTP-Anfrage gegen 200+ Regeln (SQL-Injection, XSS, RFI, Pfad-Traversal). Cloudflare WAF (siehe ddos-schutz-cloudflare) ist die Cloud-Variante. Beides ergänzt CrowdSec - Layer-7-Pattern-Matching anstelle von Log-Analyse.

Schicht 7 - Logging und Audit. Alle Bouncer-Aktionen loggen mit Bezug zu Decision-ID, IP, Pattern, Bouncer. Loki oder Elasticsearch nimmt das auf (siehe logging-und-audit-trail). Wichtig für DSG: IP-Adressen sind Personendaten, die Aufbewahrungsfrist soll 6 Monate nicht überschreiten ausser bei laufender forensischer Untersuchung.

CrowdSec-Setup in 6 Schritten

  1. 01Netzwerk-Firewall härten: ufw default deny incoming, ufw allow 22/2847/80/443, SSH-Public-Key-Auth aktivieren.
  2. 02CrowdSec installieren: curl -s https://install.crowdsec.net | sudo sh, dann sudo systemctl status crowdsec.
  3. 03Acquis konfigurieren: cscli parsers install crowdsecurity/nginx-logs sshd-logs, falls nötig postfix-logs, custom-app-logs.
  4. 04Bouncer installieren: cs-firewall-bouncer (iptables) und/oder cs-nginx-bouncer, optional cs-cloudflare-bouncer.
  5. 05CrowdSec Console verbinden (cscli console enroll) für Crowd-Blocklist und Dashboard-Zugriff.
  6. 06Whitelist konfigurieren: eigene Office-IP, Monitoring-IPs, Health-Check-Endpunkte unter scenarios/whitelists.yaml.

Wann CrowdSec einsetzen

CrowdSec gehört auf jeden Linux-Server mit öffentlicher Erreichbarkeit. Setup-Aufwand für ein typisches KMU-Setup: 2 bis 4 Stunden. Wartung: 1 bis 2 Stunden pro Monat. Wirkung: 90 bis 99 Prozent des Angriffs-Rauschens verschwindet, echte Vorfälle werden sichtbar.

Konkrete Anwendungsfälle: Hetzner-Server mit eigenen Apps (Treuhand-Portal, Anwalts-Akten-System, E-Commerce-Backend). Nextcloud-, Bitwarden-, MinIO-Server. Eigene LLM-API-Endpunkte (CrowdSec erkennt Token-Burn-Angriffe über Pattern-Matching auf Request-Rate). Mail-Server (postfix-Acquis erkennt Spam-Versuche und Auth-Brute-Force). Docker-Hosts mit n8n, Loki, Qdrant, Grafana.

Besondere Eignung: KMU mit mehreren Servern. CrowdSec Console aggregiert die Decisions über alle Knoten - ein Angriff auf den n8n-Server führt automatisch zu einer Sperre auf dem Web-Server. Auch über Cloud-Anbieter hinweg.

Wann CrowdSec zu viel ist

Drei Fälle, in denen CrowdSec nicht die richtige Wahl ist.

Erstens: Reine Single-Page-Marketing-Site hinter Cloudflare ohne Login, ohne API. Cloudflare WAF deckt die Angriffe bereits ab, eine zusätzliche CrowdSec-Schicht bringt wenig Mehrwert. Hier reicht ufw plus Cloudflare WAF.

Zweitens: Server unterhalb der Mindest-Hardware-Anforderung. CrowdSec braucht etwa 200 MB RAM und einen halben CPU-Kern. Auf einem 512-MB-VPS ist das spürbar.

Drittens: Streng compliance-getrieben mit Verbot von Cloud-API-Aufrufen ausserhalb des Schweizer Datenraums. CrowdSec Community Edition sendet anonymisierte Telemetrie an die zentrale Plattform (IP-Hash, Angriffsmuster). Wer diese Verbindung verbieten muss, kann CrowdSec im Offline-Modus betreiben - verliert dann allerdings den entscheidenden Crowd-Vorteil und steht effektiv bei Fail2ban-Funktionalität.

Generelle Fallen: Zu aggressive Scenarios bauen, die false positives produzieren (eigener Health-Check fällt unter eine Bruteforce-Regel - der Loadbalancer wird gebannt). Bouncer auf einem System aktivieren, ohne den Admin-Zugang zu schützen (man sperrt sich selbst aus). Whitelist für eigenes Office-VPN nicht setzen (Tor-Exit-Node-Match auf der eigenen IP führt zur Sperre).

Vor- und Nachteile

STÄRKEN

  • Crowd-Sourced Blocklist mit 100.000+ Knoten und 4 bis 6 Mio. aktiven bösen IPs
  • Klare Trennung von Agent und Bouncer, Mehrere Bouncer parallel möglich
  • YAML-Scenarios verständlicher als Fail2ban-Regex
  • AI Bouncer ergänzt regelbasierte Erkennung um Verhaltens-ML

SCHWÄCHEN

  • Hardware-Bedarf etwa 200 MB RAM, für Minimal-VPS spürbar
  • Community Edition sendet Telemetrie - im Offline-Modus geht der Hauptvorteil verloren
  • False Positives bei zu aggressiv konfigurierten Scenarios
  • Selbst-Aussperrung möglich ohne sorgfältige Whitelist-Pflege

Häufige Fragen

Was ist der Unterschied zu Fail2ban?

Fail2ban ist der Klassiker seit 2004, weiter aktiv gepflegt, aber konzeptionell veraltet. CrowdSec hat drei strukturelle Vorteile: (1) Crowd-Sourced Threat Intel über die Console, (2) klarere Trennung von Agent und Bouncer (Fail2ban macht beides in einem Prozess), (3) YAML-basierte Scenarios statt Regex in INI-Files. Für ein einzelnes KMU-System ohne Compliance-Druck reicht Fail2ban; für mehrere Server und moderne Anforderungen ist CrowdSec die bessere Wahl.

Was ist mit DSG-Konformität bei der Threat Intel?

CrowdSec Community Edition sendet nur Hashes von IP-Adressen plus Scenario-Namen. Keine Mandantendaten, keine Klartext-Logs. Die Aufbewahrungsfrist im Console-Account ist 7 Tage. CrowdSec ist eine französische SAS mit Hauptsitz in Paris, unterliegt der DSGVO. Für Schweizer KMU akzeptabel; für streng FINMA-regulierte Betriebe ist der Offline-Modus zu erwaegen.

Wie lange werden IP-Adressen gesperrt?

Standard für SSH-Bruteforce: 4 Stunden. Standard für HTTP-Bruteforce: 4 Stunden. Crowd-Blocklist: 24 Stunden bis 7 Tage je nach Reputation. Die Werte sind in YAML konfigurierbar. Persistente Sperre für schwere Vorfälle (z.B. erfolgreicher Exploit-Versuch): mit Custom-Scenario auf 30 Tage oder dauerhaft. Whitelist und Manual-Unblock per cscli decisions delete jederzeit möglich.

Was ist der CrowdSec AI Bouncer?

Mai 2026 veröffentlicht. Ein ergänzendes ML-Modell, das nicht auf Pattern-Matching basiert, sondern auf Verhaltensanalyse: Anfragerate, Pfad-Sequenzen, User-Agent-Drift, Header-Anomalien. Fängt Angreifer, die unter den klassischen Scenario-Schwellenwerten bleiben (z.B. 1 Login-Versuch pro Minute statt 5 pro Minute). Free-Tier in der Community Edition, basiert auf einem leichten Modell, das lokal läuft (kein API-Call ausserhalb für Inference). Bei Fairlane in Pilot-Phase: Vorerfahrung positiv.

Verwandte Themen

DDoS · SICHERHEIT & BETRIEBDDoS-Schutz mit Cloudflare: Layer 3, 4 und 7 für KMU-Web-Anwendungen 2026CLOUDFLARE · TECH-STACKCloudflare als DNS, Reverse-Proxy und WAF: SSL-Modi, Cache-Rules, Origin-CertificatesTLS · SICHERHEIT & BETRIEBSSL/TLS-Zertifikate mit Lets Encrypt: TLS 1.3, HTTP/3 und Auto-Renew für KMU 2026LOGGING · SICHERHEIT & BETRIEBLogging und Audit-Trail: revisionsfeste Protokollierung nach OR Art. 957a für KMUINCIDENT RESPONSE · SICHERHEIT & BETRIEBIncident-Response-Playbook: 6-Phasen-Modell nach NIST SP 800-61 für KMUHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenMANAGED · SERVICEManaged Service & Monitoring: Wir betreiben es weiter, Sie nutzen es

Quellen

  1. CrowdSec Documentation - Getting Started · 2026-05
  2. CrowdSec Hub - Scenarios and Parsers · 2026-05
  3. BSI IT-Grundschutz NET.3.2 Firewall · 2026-03
  4. EDÖB - Technische und organisatorische Massnahmen (TOM), Abschnitt Firewall und Eindringschutz · 2026-04
  5. OWASP - ModSecurity Core Rule Set v4.x · 2026-02

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen