TightGate-Schutzkonzept

Schutz vor Angriffen aus dem Internet

Schutz vor Datendiebstahl und Wirtschaftsspionage!

Trotz vieler Konzepte zum sicheren Surfen gibt es kaum Schutz vor Angriffen aus dem Internet, die über  E-Mail-Anhänge oder verseuchte Webseiten in ein Netzwerk eindringen. Vor allem Sicherheitslücken im Internetbrowser sind ein zentraler Angriffspunkt.
Gelangt Schadcode durch eine Sicherheitslücke im Webbrowser in das interne Netzwerk, erhalten Angreifer weitreichenden Zugriff auf sensible Daten und Anwendungen. Es drohen Systemausfall, Manipulation, Sabotage und Wirtschaftsspionage.

Wo klassische Sicherheit versagt

Reaktive Schutzsysteme

In klassischen Netzwerken wird der Browser im internen Netzwerk am Arbeitsplatz  ausgeführt. So werden potenziell bösartige Webinhalte aus dem Internet dort interpretiert wobei sie vielfältigen Schaden anrichten können (siehe Schaubild). Dabei spielt es keine Rolle, ob der Browser direkt einem PCs läuft, in Terminal-Server-Umgebungen betrieben oder lokal virtualisiert ausgeführt wird. Denn in allen Fällen ist die Trennung von der internen IT-Umgebung nur schwach. Es drohen Datendiebstahl, Erpressung und Sabotage, denn Schadcode, der in das interne Unternehmensnetz gelangt ist kann interne Daten über den Browsers abfließen lassen.

Schadcode kann ungehindert eindringen.
Schaubild 1- Schadcode durchdringt klassische Schutzsysteme

Die technisch machbare, vollständige Trennung interner Netzwerke vom Internet (Doppeltes Netzwerk) kommt aus betrieblichen Gründen kaum noch infrage. Denn  Internetrecherchen gehören zum Unternehmensalltag und sind unerlässlich für zentrale Prozesse der Produktion, Verwaltung und Kommunikation. Internetangebote und Multimedia-Anwendungen müssen daher jederzeit verfügbar und Funktional bleiben!

Keine ausreichende Sicherheit bieten konventionelle Maßnahmen wie das Filtern von URL-Adressen oder das Blocken bestimmter Inhalte. Sie erhöhen die Sicherheit nicht und bringen zusätzlich hohen Administrationsaufwand mit sich. Vor allem arbeiten sie rein statisch und bekämpfen nicht die Ursache des Problems. Denn oft werden auch seriöse Webseiten ohne Wissen der Betreiber Opfer von Kompromittierung und wandeln sich zu regelrechten „Malware-Schleudern“.

Abwehrmaßnahmen wie Intrusion Detection Systeme (IDS) oder Virenscanner schützen ebenfalls nur begrenzt, da sie nur auf bekannte Angriffsmuster reagieren. Weltweit gelangen jedoch täglich neue Schadcodes und Angriffsstrategien in den Umlauf: ein letztlich aussichtsloses Katz-und-Maus-Spiel für die reaktiven Schutzsysteme.

Sicherheitslücken in Webbrowsern 2024

Google Chrome
259 Sicherheitslücken
Firefox
190 Sicherheitslücken
Edge
62 Sicherheitslücken
Safari
54 Sicherheitslücken

Der Lösungsansatz

Die Zwei-Browser-Strategie

Der ideale Webbrowser hat zwar Internetzugang, soll aber interne Daten und Ressourcen nicht gefährden. Er darf folglich nicht im internen Netz ausgeführt werden, muss jedoch zugleich vom Arbeitsplatz aus nutzbar sein. Diese auf den ersten Blick unvereinbaren Anforderungen werden mit dem Remote-Controlled Browser-System (ReCoBS) TightGate-Pro im Rahmen einer Zwei-Browser-Strategie sicherheitstechnisch einwandfrei und sehr komfortabel umgesetzt.

Bei TightGate-Pro wird der Browser nicht im internen Netzwerk, sondern innerhalb der DMZ auf dem dedizierten ReCoBS-Server ausgeführt (siehe Schaubild 2). Der für den Anwender relevante Bildschirminhalt wird in Form von Bild- und Tondaten verschlüsselt an die Arbeitsplatzrechner übertragen. Umgekehrt ist eine Fernsteuerung des Browsers vom Arbeitsplatz aus möglich. Das Internet kann voll funktional genutzt werden.

Das entscheidende Sicherheitsplus: Jetzt kann das interne Netzwerk über geeignete Firewall-Regeln vollständig gegenüber dem offenen Internet abgeschottet werden. Es ist damit für Angreifer aus dem Internet prinzipiell unerreichbar. In der Gegenrichtung wird ungewollter Datenabfluss zuverlässig unterbunden. So erreichen Sie einen effektiven Schutz vor Angriffen aus dem Internet.

So schützt TightGate-Pro vor Angriffen aus dem Internet
Schaubild 2 - Ein ReCoB-System trennt die Ausführungsumgebung

TightGate-Pro

Eine benutzerfreundliche Zwei-Browser-Lösung

  1. Das offene Internet steht über TightGate-Pro risikofrei zur Verfügung.
  2. Das Intranet bleibt über den lokalen Browser zugänglich.

Der nur zum internen Gebrauch vorgesehene, lokale Browser kann beliebig ausgewählt werden. Da er über keinen Internetzugang verfügt, wird die Gefährdung des internen Netzwerks ausgeschlossen. Alle Fachanwendungen oder vertrauenswürdige Gegenstellen können anhand einer Whitelist in der Internet-Firewall freigeschaltet werden (siehe Schaubild 3).

Noch etwas… Mobile Rechner oder Arbeitsplätze im Homeoffice sind nicht weniger schutzbedürftig als stationäre Arbeitsplatzplatzrechner. Allerdings ist deren Netzwerkanbindung über WLAN oder LTE mit Latenzen oder geringerem Datendurchsatz ausgestattet. Eine Nutzung des Internets über TightGate-Pro wird hierdurch erschwert.
Mit TightGate-Mobile stellt die m-privacy GmbH eine virtuelle Umgebung bereit, die den gefährdeten Internetbrowser auf Mobilrechnern isoliert. So ist die sichere Internetnutzung auf Reisen, bei Geschäftspartnern oder im Homeoffice kein Problem mehr.
TightGate-Schutzkonzept mit Zwei-Browser-Strategie schützt Angriffen aus dem Internet
Schaubild 3 - Zugriff auf vertrauenswürdige Gegenstellen mit einer Zwei-Browser-Strategie

TightGate-Pro als zentraler Sicherheitsbaustein

TightGate-Pro als zentraler Sicherheitsbaustein

Der Internetbrowser wird bei TightGate-Pro auf dem ReCoBS-Server ausgeführt, die Anzeige der Bildschirmausgabe erfolgt auf dem Monitor des Arbeitsplatzcomputers.

Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos. Durch Drive-by-Downloads oder Links von Phishing-E-Mails (Link-Spoofing) kann kein Schaden entstehen. Interne Unternehmensdaten bleiben vor Angriffen aus dem Internet immer geschützt (siehe Schaubild 4).

Auch das versehentliche Öffnen von Anhängen, das Aufrufen von gefahrenträchtige Webseiten oder das Folgen fragwürdigen Links verschafft einem Angreifer aus dem Internet keinen Zugang zu internen Daten.

Mit TightGate-Pro ist die Internetnutzung komfortabel möglich und Angriffe aus dem Internet, Ausspähung und Wirtschaftsspionage werden effektiv verhindert.

So schützt TightGate-Pro vor Angriffen aus dem Internet
Schaubild 4 - TightGate-Pro verhindert das Eindringen von Schadcode

Sicherheit und Verfügbarkeit

TightGate-Pro macht die Internetnutzung sicher und schützt zugleich vor unbeabsichtigtem Datenabfluss – selbst wenn über andere Wege Schadcode ins interne Netzwerk gelangen sollte. Denn auch USB-Sticks oder E-Mail-Anhänge können bösartigen Code enthalten. Sollte die Schadsoftware versuchen weiteren Code aus dem Internet nachladen oder interne Daten versenden scheitert sie. Denn das TightGate Schutzkonzept mit TightGate-Pro versperrt den Weg. (siehe Schaubild 5).

Die umfangreiche Härtung von TightGate-Pro macht diesen zu einem zweistufigen Schutzsystem. Die erste Stufe von weitreichenden Maßnahmen zur Härtung des Betriebssystems verhindert eine Kompromittierung des ReCoBS-Servers durch Angriffe über den Internetbrowser. Die zweite Schutzstufe ist die physische Trennung des internen Netzwerks vom Internet über das funktionsspezifischen Protokolls, welches für Angreifer nahezu unüberwindbar ist.

Mit dem TightGate Schutzkonzept und dem Sicherheitsbaustein TightGate-Pro wird die gefahrlose und komfortable Nutzung des Internets Realität – bei zugleich hohem Schutz und dauerhafter Verfügbarkeit.

So schützt TightGate-Pro vor Angriffen aus dem Internet
Schaubild 5 - TightGate-Pro verhindert den ungewollten Datenabfluss

Das Video zu TightGate-Pro

Ausführlich erklärt: Funktion und Sicherheit

Zertifizierung

Sicher bleibt sicher

TightGate-Pro (CC) 1.4 ist für hochsensible Umgebungen konzipiert und wurde 2015 vom BSI (BSI-DSZ-CC-0589) nach Common Criteria EAL 3+ zertifiziert. Die formale Zertifizierung lief 2020 turnusgemäß aus; die zugrunde liegenden Schutzmechanismen bleiben unverändert wirksam.

Sicher Surfen im Vergleich

Ausführlich erklärt

Warum es keinen 100 %-sicheren Browser gibt, welche Risiken wirklich zählen und welche Optionen das BSI empfiehlt – vom Mindeststandard bis zum Optimum.

Zum Vergleich

Die Top 5 zum "Sicher Surfen"

Der große Überblick

Fünf Ansätze: von lokalem Browser-Hardening über (Mikro-)Virtualisierung bis hin zu ReCoBS – mit klaren Vor-/Nachteilen und Praxisempfehlung.

Zu den TOP 5

Ihr Ansprechpartner

Vertriebsmitarbeiter der m-privacy GmbH

Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de

Jetzt Kontakt aufnehmen!

Vereinbaren Sie kostenlos einen persönlichen Termin und erfahren Sie mehr über TightGate-Pro.
Termin buchen

Downloads & Links

Infobogen (PDF) >
TightGate-Schutzkonzept (PDF) >
Vergleichsleitfaden (PDF) >
Online-Dokumentation  (Link) >