Ein ReCoBS und eine klassische Firewall verfolgen beide das Ziel, interne Netzwerke vor Bedrohungen aus dem Internet zu schützen, setzen dabei jedoch grundlegend unterschiedliche Methoden ein. Während eine Firewall den Datenverkehr filtert und unerwünschte Verbindungen blockiert, verhindert ein ReCoBS, dass Webinhalte den Arbeitsplatzrechner überhaupt erreichen. Beide Technologien ergänzen sich und schließen sich nicht gegenseitig aus.
Ungefilterte Browsernutzung hält Ihr Netzwerk dauerhaft angreifbar
Der Webbrowser ist heute eines der meistgenutzten Werkzeuge am Arbeitsplatz und gleichzeitig eines der häufigsten Einfallstore für Cyberangriffe. Schadcode, der über eine kompromittierte Webseite eingeschleust wird, landet direkt auf dem Arbeitsplatzrechner und kann sich von dort aus im internen Netzwerk ausbreiten. Eine Firewall allein filtert diesen Angriff oft nicht heraus, weil der Datenverkehr auf den ersten Blick legitim aussieht. Der entscheidende Schritt besteht darin, die Ausführungsumgebung des Browsers physisch vom Endgerät zu trennen, sodass Schadcode schlicht keinen Weg ins interne Netzwerk findet.
Veraltete Schutzkonzepte halten nicht Schritt mit modernen Angriffsmethoden
Firewalls wurden ursprünglich entwickelt, um Netzwerkgrenzen zu definieren und bekannte Bedrohungen zu blockieren. Moderne Angriffe nutzen jedoch legitime Protokolle, verschlüsselten Datenverkehr und Zero-Day-Lücken in Browsern, um diese Grenzen zu umgehen. Wer seinen Schutz ausschließlich auf Filterregeln und Signaturerkennung stützt, setzt auf ein Konzept, das reaktiv statt präventiv arbeitet. Eine ergänzende Architektur, die den Browser vollständig isoliert, schließt diese Lücke strukturell, ohne auf die Erkennung einzelner Bedrohungen angewiesen zu sein.
Was ist ein ReCoBS und wie funktioniert es?
Ein ReCoBS (Remote-Controlled Browser System) ist ein Sicherheitskonzept, bei dem der Webbrowser nicht auf dem Arbeitsplatzrechner selbst, sondern auf einem separaten Server ausgeführt wird. Der Nutzer sieht lediglich eine visuelle Darstellung der Webseite auf seinem Bildschirm. Webinhalte, Skripte und potenzieller Schadcode erreichen das Endgerät nie direkt.
Die Trennung funktioniert auf Architekturebene: Der Browser läuft in einer isolierten Umgebung auf einem dedizierten Server. Zwischen diesem Server und dem internen Netzwerk besteht keine direkte Verbindung. Was der Nutzer auf seinem Bildschirm sieht, ist im Wesentlichen eine Bildübertragung, vergleichbar mit einer Fernsteuerungssitzung. Tastatureingaben und Mausbewegungen werden an den Server übertragen; die Antwort kommt als gerenderte Darstellung zurück.
Dieses Prinzip macht ReCoBS besonders wirksam gegen browserbasierte Angriffe. Selbst wenn eine Webseite Schadcode enthält, wird dieser auf dem isolierten Server ausgeführt, der nach jeder Sitzung zurückgesetzt werden kann. Das interne Netzwerk bleibt strukturell unerreichbar.
Was macht eine klassische Firewall und wo liegen ihre Grenzen?
Eine klassische Firewall überwacht und filtert den Datenverkehr zwischen Netzwerken anhand von Regeln. Sie entscheidet, welche Verbindungen erlaubt oder blockiert werden, basierend auf IP-Adressen, Ports und Protokollen. Bekannte Bedrohungen kann sie zuverlässig abwehren, unbekannte oder verschleierte Angriffe jedoch nicht.
Firewalls arbeiten auf Netzwerkebene. Sie sehen, woher Daten kommen und wohin sie gehen, können den Inhalt verschlüsselter Verbindungen jedoch nicht vollständig analysieren, ohne zusätzliche Technologien einzusetzen. Moderne Angriffe nutzen genau diese Einschränkung: Sie tarnen Schadcode als legitimen HTTPS-Datenverkehr oder verstecken ihn in Webinhalten, die durch die Filterregeln der Firewall hindurchgelassen werden.
Eine weitere Grenze liegt darin, dass Firewalls auf bekannte Bedrohungsmuster angewiesen sind. Zero-Day-Exploits, also Angriffe, die bisher unbekannte Sicherheitslücken ausnutzen, passieren Firewalls häufig unbemerkt. Das liegt nicht an schlechter Implementierung, sondern an einem strukturellen Merkmal dieser Technologie: Sie kann nur filtern, was sie kennt oder erkennen kann.
Was ist der Unterschied zwischen ReCoBS und einer Firewall?
Der grundlegende Unterschied liegt im Ansatz: Eine Firewall filtert Datenverkehr und versucht, Bedrohungen zu erkennen und zu blockieren. Ein ReCoBS verhindert strukturell, dass Webinhalte das Endgerät überhaupt erreichen. ReCoBS ersetzt Erkennung durch Isolation.
Konkret bedeutet das:
- Firewall: Daten fließen zum Endgerät, werden aber vorher geprüft. Unbekannte Bedrohungen können durchkommen.
- ReCoBS: Webinhalte werden auf einem separaten Server verarbeitet. Zum Endgerät gelangt nur eine visuelle Darstellung, kein ausführbarer Code.
Eine Firewall ist reaktiv in dem Sinne, dass sie auf Bedrohungen reagiert, die sie identifizieren kann. Ein ReCoBS ist präventiv, weil es den Angriffsweg selbst unterbricht, unabhängig davon, ob eine Bedrohung bekannt ist oder nicht. Diese strukturelle Prävention ist besonders wertvoll in Umgebungen, in denen Zero-Day-Exploits eine reale Gefahr darstellen.
Schließen sich ReCoBS und Firewall gegenseitig aus?
Nein, ReCoBS und Firewall schließen sich nicht gegenseitig aus. Sie sind komplementäre Technologien, die unterschiedliche Schutzebenen abdecken. In der Praxis werden beide gemeinsam eingesetzt, um eine mehrschichtige Sicherheitsarchitektur zu bilden.
Die Firewall schützt das Netzwerk auf Verbindungsebene: Sie kontrolliert, welche Systeme miteinander kommunizieren dürfen, blockiert bekannte Angriffsmuster und segmentiert das Netzwerk in Zonen. Das ReCoBS ergänzt diesen Schutz auf Anwendungsebene: Es stellt sicher, dass der Browser als häufigster Angriffsvektor vollständig isoliert bleibt.
Eine vollständige Sicherheitsarchitektur für Organisationen mit erhöhtem Schutzbedarf kombiniert typischerweise mehrere Schichten: Firewall, Netzwerksegmentierung, Endpoint-Schutz und Browser-Isolation durch ein ReCoBS. Jede Schicht schließt Lücken, die andere Schichten offen lassen.
Wann sollte eine Organisation ReCoBS einsetzen?
ReCoBS ist besonders sinnvoll, wenn Mitarbeitende regelmäßig im Internet surfen müssen, das interne Netzwerk aber ein hohes Schutzniveau erfordert. Das betrifft Behörden, Finanzinstitute, Betreiber kritischer Infrastrukturen und Industrieunternehmen, bei denen ein erfolgreicher Browserangriff schwerwiegende Folgen hätte.
Konkrete Situationen, in denen ReCoBS den entscheidenden Unterschied macht:
- Arbeitsplätze, die auf öffentliche Webseiten zugreifen müssen, aber an sensible interne Systeme angebunden sind
- Umgebungen, in denen Zero-Day-Exploits in Browsern ein realistisches Angriffsszenario darstellen
- Organisationen, die regulatorischen Anforderungen unterliegen und nachweislich präventive Schutzmaßnahmen implementieren müssen
- Behörden und Institutionen, die nach BSI-Empfehlungen oder Common-Criteria-zertifizierten Lösungen suchen
Für Organisationen mit geringem Schutzbedarf und überschaubarem Risikoprofil kann eine gut konfigurierte Firewall in Kombination mit aktuellen Endpunktlösungen ausreichend sein. Sobald jedoch sensible Daten, kritische Prozesse oder hohe Compliance-Anforderungen ins Spiel kommen, bietet die strukturelle Isolation durch ReCoBS einen Schutz, den keine Filterlösung allein leisten kann. Informieren Sie sich über die Möglichkeiten moderner Browser-Isolation, bevor Sie Ihre Sicherheitsarchitektur festlegen.
Wie wir von m-privacy GmbH Organisationen beim Schutz ihrer Netzwerke unterstützen
Wir bei der m-privacy GmbH haben uns seit 2002 auf genau diese Herausforderung spezialisiert: den sicheren Internetzugang am Arbeitsplatz, ohne die interne Infrastruktur zu gefährden. Unser Kernprodukt TightGate-Pro ist eine nach Common Criteria (EAL3+) zertifizierte ReCoBS-Lösung, die vom BSI evaluiert wurde und in Behörden, Finanzinstituten und kritischen Infrastrukturen im Einsatz ist.
Was wir Ihnen konkret anbieten:
- TightGate-Pro: Zertifizierte Browser-Isolation, die Webinhalte physisch vom Arbeitsplatzrechner trennt und Zero-Day-Exploits strukturell ausschließt
- Security Audits nach ISO 27001: Analyse Ihrer bestehenden Sicherheitsarchitektur und Identifikation von Schutzlücken
- Risikoanalysen und Beratung: Methodische Bewertung, welche Schutzmaßnahmen für Ihre spezifische Situation sinnvoll sind
- Schulungen: Sensibilisierung Ihrer Mitarbeitenden für IT-Sicherheit und datenschutzkonforme Prozesse
Sie möchten wissen, ob ReCoBS für Ihre Organisation die richtige Lösung ist? Kontaktieren Sie uns für ein unverbindliches Gespräch. Wir analysieren Ihre Situation und zeigen Ihnen, welche Schutzmaßnahmen wirklich zu Ihrem Bedarf passen.