ReCoBS steht für „Remote-Controlled Browser System“ und beschreibt ein Sicherheitskonzept, bei dem der Webbrowser nicht auf dem Arbeitsplatzrechner selbst, sondern auf einem separaten Server ausgeführt wird. Die Zertifizierung nach Common Criteria (CC) belegt, dass eine solche Lösung unabhängig geprüfte Sicherheitseigenschaften besitzt. Die Rezertifizierung von TightGate-Pro nach CC v3.1 Revision 5 mit EAL3+ im Jahr 2026 durch das BSI ist ein konkreter Nachweis dafür, dass diese Schutzarchitektur auch aktuellen Anforderungen standhält.
Ungezertifizierte Sicherheitslösungen kosten Sie im Ernstfall mehr als nur Geld
Wer auf Sicherheitslösungen ohne unabhängige Zertifizierung setzt, geht ein Risiko ein, das sich erst im Schadensfall zeigt. Behörden und Unternehmen in regulierten Branchen müssen im Zweifel nachweisen, dass die eingesetzten Systeme eine geprüfte Schutzwirkung bieten. Fehlt dieser Nachweis, drohen nicht nur Sicherheitsvorfälle, sondern auch haftungsrechtliche und regulatorische Konsequenzen. Der Weg heraus führt über zertifizierte Lösungen, die einen dokumentierten, nachvollziehbaren Prüfprozess durchlaufen haben.
Veraltete Browser-Schutzkonzepte halten mit modernen Angriffsvektoren nicht mehr Schritt
Viele Organisationen verlassen sich auf Endpoint-Schutz oder Netzwerkfilter, die den Browser auf dem Arbeitsplatzrechner belassen. Genau dort setzen moderne Angriffe jedoch an: Sicherheitslücken in Browsern werden aktiv ausgenutzt, bevor Patches verfügbar sind. Wer das Risiko an der Wurzel beseitigen will, muss die Ausführungsumgebung des Browsers physisch vom internen Netzwerk trennen. Das ist der Kerngedanke hinter ReCoBS, und genau hier zeigt sich, warum das Konzept strukturell anders funktioniert als klassische Schutzmaßnahmen.
Was ist ReCoBS und wie schützt es Netzwerke?
ReCoBS ist ein Sicherheitskonzept, bei dem der Webbrowser auf einem dedizierten Server ausgeführt wird und der Nutzer am Arbeitsplatz lediglich eine Bildschirmübertragung sieht. Schädlicher Code, der über eine Browser-Sicherheitslücke eindringt, erreicht dadurch weder den Arbeitsplatzrechner noch das interne Netzwerk.
Das Prinzip ist so einfach wie wirkungsvoll: Der Browser und alles, was er aus dem Internet lädt, bleibt auf dem Server eingeschlossen. Der Arbeitsplatzrechner empfängt lediglich eine grafische Darstellung der Browseroberfläche. Selbst wenn eine Webseite Schadsoftware enthält oder ein Zero-Day-Exploit im Browser aktiv ist, gibt es keinen Pfad ins interne Netz.
Für Organisationen, die auf Internetzugang am Arbeitsplatz angewiesen sind, gleichzeitig aber sensible interne Systeme schützen müssen, schließt ReCoBS eine strukturelle Lücke, die andere Sicherheitsmaßnahmen offen lassen. Das Konzept wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer eigenen Schutzprofil-Dokumentation beschrieben und ist damit auch behördlich anerkannt.
Was bedeutet eine Common-Criteria-Zertifizierung für Software?
Eine Common-Criteria-Zertifizierung (CC) ist eine international anerkannte Prüfung, bei der ein unabhängiges Labor die Sicherheitseigenschaften eines Produkts systematisch bewertet. Das Ergebnis ist ein offizielles Zertifikat, das dokumentiert, welche Sicherheitsfunktionen das Produkt bietet und wie vertrauenswürdig die Umsetzung ist.
Common Criteria ist kein Qualitätssiegel im allgemeinen Sinne, sondern ein strukturierter Rahmen. Hersteller definieren zunächst ein sogenanntes Sicherheitsziel, das beschreibt, was das Produkt schützen soll und unter welchen Bedingungen. Ein akkreditiertes Prüflabor untersucht dann, ob Produkt und Dokumentation diesen Ansprüchen gerecht werden.
Das Verfahren ist international durch ISO/IEC 15408 standardisiert. In Deutschland ist das BSI die zuständige Zertifizierungsstelle. CC-Zertifikate werden von vielen Behörden und Beschaffungsstellen als Voraussetzung für den Einsatz sicherheitskritischer IT-Produkte angesehen, insbesondere in der öffentlichen Verwaltung und bei Kritischen Infrastrukturen.
Wie läuft der Common-Criteria-Zertifizierungsprozess ab?
Der Common-Criteria-Prozess folgt einem festgelegten Ablauf: Der Hersteller definiert das Sicherheitsziel, ein akkreditiertes Labor prüft Produkt und Dokumentation, und die zuständige Zertifizierungsstelle erteilt abschließend das Zertifikat. Der Prozess kann je nach Evaluierungsstufe und Produktkomplexität mehrere Monate bis Jahre dauern.
Im Einzelnen gliedert sich das Verfahren in folgende Phasen:
- Vorbereitung: Der Hersteller erstellt das Security Target, das Bedrohungsszenarien, Sicherheitsziele und die eingesetzten Mechanismen beschreibt.
- Evaluation: Ein vom BSI anerkanntes Prüflabor analysiert Quellcode, Dokumentation, Testberichte und die Entwicklungsumgebung des Herstellers.
- Zertifizierung: Das BSI prüft den Evaluierungsbericht des Labors und stellt bei positivem Ergebnis das Zertifikat aus.
- Veröffentlichung: Das Zertifikat wird im Common-Criteria-Portal und auf der BSI-Website veröffentlicht und ist damit öffentlich nachvollziehbar.
Die Evaluierungsstufe EAL (Evaluation Assurance Level) gibt an, wie tiefgehend die Prüfung war. EAL3+ bedeutet, dass das Produkt methodisch getestet und überprüft wurde, einschließlich einer Analyse der Entwicklungsumgebung. Das ist die Stufe, die für viele behördliche Einsatzszenarien gefordert oder empfohlen wird.
Warum ist die EAL3+-Zertifizierung von TightGate-Pro 2026 bedeutsam?
Die Rezertifizierung von TightGate-Pro nach CC v3.1 Revision 5 mit EAL3+ im Jahr 2026 durch das BSI belegt, dass das Produkt aktuelle Sicherheitsanforderungen erfüllt. Zertifikate haben eine begrenzte Gültigkeit, weshalb eine Rezertifizierung zeigt, dass die Lösung kontinuierlich weiterentwickelt und geprüft wird.
Besonders relevant ist der Zeitpunkt: Die IT-Sicherheitsanforderungen in Behörden und regulierten Branchen werden durch Regelwerke wie NIS2 und den BSI-Grundschutz kontinuierlich aktualisiert. Ein Zertifikat aus dem Jahr 2026 signalisiert, dass das Produkt nicht auf einem alten Prüfstand steht, sondern im Kontext aktueller Bedrohungslagen und Normen bewertet wurde.
Für Beschaffer in öffentlichen Einrichtungen oder Kritischen Infrastrukturen hat das konkrete Bedeutung: Ein gültiges CC-Zertifikat vereinfacht die Beschaffungsentscheidung, weil die Sicherheitseigenschaften nicht intern nachgewiesen werden müssen, sondern durch eine unabhängige Stelle bereits dokumentiert sind.
Für wen ist eine CC-zertifizierte ReCoBS-Lösung geeignet?
CC-zertifizierte ReCoBS-Lösungen sind besonders geeignet für Organisationen, die einen regulierten oder sicherheitskritischen Betrieb führen und gleichzeitig auf Internetzugang am Arbeitsplatz angewiesen sind. Das schließt Behörden, Finanzinstitute, Industriebetriebe und Betreiber Kritischer Infrastrukturen ein.
In der Praxis tritt der Bedarf immer dann auf, wenn zwei Anforderungen gleichzeitig bestehen: Mitarbeitende müssen das Internet für ihre Arbeit nutzen können, und das interne Netzwerk darf dabei nicht gefährdet werden. Klassische Sicherheitsmaßnahmen wie Firewalls oder Antivirensoftware reduzieren das Risiko, eliminieren es aber nicht strukturell.
Für Organisationen, die dem BSI-Grundschutz folgen oder NIS2-Anforderungen unterliegen, bietet eine CC-zertifizierte Lösung einen zusätzlichen Vorteil: Sie können den Einsatz des Produkts mit einem unabhängigen Prüfergebnis belegen, was bei Audits und Nachweispflichten erheblich hilft.
Wie unterscheidet sich ReCoBS von anderen Browser-Isolationslösungen?
ReCoBS unterscheidet sich von anderen Browser-Isolationsansätzen durch die vollständige physische Trennung der Browserausführung vom Arbeitsplatzrechner. Während viele Isolationslösungen auf Virtualisierung innerhalb des Endgeräts setzen, läuft der Browser beim ReCoBS-Prinzip ausschließlich auf einem dedizierten Server.
Andere verbreitete Ansätze umfassen containerbasierte Browser-Isolation, bei der der Browser in einem isolierten Container auf dem lokalen Gerät läuft, sowie cloudbasierte Remote-Browser-Isolation, bei der ein externer Anbieter die Browsersitzung in seiner Infrastruktur ausführt. Beide Ansätze bieten mehr Schutz als ein ungeschützter Browser, weisen jedoch strukturelle Unterschiede gegenüber ReCoBS auf:
- Containerbasierte Isolation: Der Browser läuft weiterhin auf dem Endgerät. Kernel-Exploits oder Fehler in der Container-Runtime können theoretisch einen Ausbruch ermöglichen.
- Cloudbasierte Remote-Browser-Isolation: Die Ausführung findet extern statt, was Datenschutzfragen aufwirft und eine dauerhafte Internetverbindung voraussetzt.
- ReCoBS: Der Browser läuft auf einem Server im eigenen Netzwerk. Das interne Netz bleibt unter eigener Kontrolle, und es gibt keine externe Datenübertragung an Dritte.
Für Organisationen mit hohen Datenschutzanforderungen oder souveränitätsbewusstem IT-Betrieb ist der Unterschied relevant: ReCoBS ermöglicht sichere Internetnutzung, ohne dass Browserdaten die eigene Infrastruktur verlassen.
Wie wir Sie bei der m-privacy GmbH bei der sicheren Internetanbindung unterstützen
Wir bei der m-privacy GmbH entwickeln und betreiben TightGate-Pro, die nach Common Criteria EAL3+ zertifizierte ReCoBS-Lösung für Unternehmen und Behörden. Unser Angebot richtet sich an Organisationen, die ihren Internetzugang strukturell absichern möchten, ohne auf Benutzerfreundlichkeit zu verzichten.
Konkret unterstützen wir Sie mit:
- TightGate-Pro: Die BSI-zertifizierte Client-Server-Lösung, die den Webbrowser physisch vom Arbeitsplatz trennt und so Angriffe über Browser-Sicherheitslücken zuverlässig verhindert.
- Security Audits nach ISO 27001: Wir analysieren Ihre bestehende IT-Sicherheitsarchitektur und identifizieren Schwachstellen, bevor sie ausgenutzt werden.
- Risikoanalysen und Beratung: Methodische Bewertung Ihrer Sicherheitslage mit konkreten Handlungsempfehlungen, die zu Ihrer Infrastruktur passen.
- Schulungen zu IT-Sicherheit und Datenschutz: Wir bereiten Ihre Mitarbeitenden auf reale Bedrohungsszenarien vor und stärken das Sicherheitsbewusstsein im Alltag.
- Externer Datenschutzbeauftragter: Als Alternative zur internen Stabsstelle übernehmen wir die Datenschutzverantwortung und entlasten Ihre Organisation nachhaltig.
Erfahren Sie mehr über unsere Lösungen und Dienstleistungen auf unserer Website oder lernen Sie uns als Berliner Familienunternehmen auf der Über-uns-Seite besser kennen. Wenn Sie konkrete Fragen zu TightGate-Pro oder einer CC-zertifizierten ReCoBS-Implementierung in Ihrer Organisation haben, kontaktieren Sie uns direkt. Wir beraten Sie gerne.