Wie funktioniert ein sicherer Browser im Unternehmensnetzwerk?

Holger Maczkowsky ·
Laptop auf minimalistischem Schreibtisch mit Glasscheibe als digitale Trennung von Netzwerkkabeln im Hintergrund.

Ein sicherer Browser im Unternehmensnetzwerk ist eine Lösung, die den Webbrowser physisch oder logisch vom internen Netzwerk trennt, sodass Schadcode aus dem Internet niemals direkt auf Unternehmensrechner oder interne Systeme gelangen kann. Statt den Browser lokal auf dem Arbeitsplatzrechner auszuführen, findet die gesamte Browseraktivität in einer isolierten Umgebung statt. Das Ergebnis: Mitarbeitende surfen produktiv im Internet, während das interne Netz zuverlässig abgeschirmt bleibt.

Ungepatchte Browser sind das offene Einfallstor, das Ihre Sicherheitsstrategie untergräbt

Webbrowser gehören zu den meistgenutzten Anwendungen im Unternehmen und gleichzeitig zu den häufigsten Angriffsvektoren. Sicherheitslücken in Browsern werden regelmäßig entdeckt, und zwischen dem Bekanntwerden einer Schwachstelle und dem Einspielen eines Patches liegt oft ein gefährliches Zeitfenster. In dieser Lücke reicht ein einziger Klick auf eine manipulierte Webseite, um Schadsoftware ins Netzwerk zu schleusen. Die Lösung liegt nicht allein im schnelleren Patchen, sondern in einer Architektur, die Browseraktivität grundsätzlich vom internen Netz fernhält.

Lokale Browser-Ausführung hält Ihr internes Netzwerk dauerhaft verwundbar

Solange ein Browser direkt auf dem Arbeitsplatzrechner läuft, besteht eine direkte Verbindung zwischen dem Internet und Ihrer internen Infrastruktur. Jede besuchte Webseite, jede heruntergeladene Datei, jedes ausgeführte Skript hat theoretisch Zugriff auf lokale Ressourcen und Netzwerkpfade. Das ist kein hypothetisches Risiko, sondern ein strukturelles Problem, das technische Gegenmaßnahmen wie Firewalls und Antivirensoftware zwar mildern, aber nicht vollständig beseitigen können. Der einzige wirksame Ansatz ist eine konsequente Trennung der Ausführungsumgebung.

Was ist ein sicherer Browser im Unternehmensnetzwerk?

Ein sicherer Browser im Unternehmensnetzwerk ist ein Browsersystem, das die Ausführung von Webinhalten vollständig von der internen IT-Umgebung trennt. Der Browser läuft nicht auf dem Arbeitsplatzrechner selbst, sondern auf einem dedizierten Server oder in einer isolierten Umgebung. Der Nutzer sieht nur eine Bildschirmausgabe, während keine Webinhalte den lokalen Rechner oder das interne Netz direkt erreichen.

Dieses Prinzip schützt Unternehmen vor einer breiten Klasse von Angriffen: Drive-by-Downloads, Browser-Exploits, Phishing-Skripte und manipulierte Webseiten können keinen Schaden anrichten, weil sie niemals in Kontakt mit der eigentlichen Unternehmensinfrastruktur kommen. Die Sicherheit entsteht nicht durch die Erkennung von Bedrohungen, sondern durch deren strukturelle Isolation.

Sichere Browser kommen besonders dort zum Einsatz, wo der Internetzugang am Arbeitsplatz notwendig ist, gleichzeitig aber hohe Anforderungen an den Schutz interner Systeme bestehen, etwa in Behörden, Finanzinstituten oder bei Betreibern kritischer Infrastrukturen.

Wie funktioniert das Prinzip der Browser-Isolation technisch?

Browser-Isolation funktioniert, indem die Ausführungsumgebung des Browsers physisch oder logisch vom Endgerät getrennt wird. Der Browser läuft auf einem separaten Server; an den Arbeitsplatzrechner wird nur eine visuelle Darstellung der Browseraktivität übertragen, keine Webinhalte, keine Skripte, keine Dateien.

Technisch gibt es dafür verschiedene Ansätze. Bei Remote-Controlled Browser Systems (ReCoBS) wie TightGate-Pro wird der Browser auf einem dedizierten Server im Netzwerk betrieben. Der Nutzer steuert diesen Browser über eine verschlüsselte Verbindung fern, ähnlich einem Remote-Desktop-Protokoll, jedoch speziell für die Browsernutzung optimiert. Was den Arbeitsplatzrechner erreicht, ist ausschließlich die Bildschirmausgabe.

Eine weitere Variante ist die cloudbasierte Browser-Isolation, bei der die Browseraktivität in externen Rechenzentren stattfindet. Beide Ansätze verfolgen dasselbe Ziel: Webinhalte werden niemals lokal ausgeführt. Der entscheidende Unterschied liegt im Verarbeitungsort und in den jeweiligen Anforderungen an Datenschutz und Kontrolle.

Was ist der Unterschied zwischen ReCoBS und herkömmlichem VPN?

ReCoBS und VPN lösen grundlegend verschiedene Probleme. Ein VPN verschlüsselt die Netzwerkverbindung und schützt die Übertragung von Daten. Es verändert jedoch nicht, wo der Browser ausgeführt wird. ReCoBS hingegen verlagert die Browserausführung vollständig auf einen separaten Server und verhindert damit, dass Webinhalte den Endpunkt überhaupt erreichen.

Ein VPN schützt den Übertragungsweg, nicht die Ausführungsumgebung. Wenn ein Nutzer über ein VPN eine kompromittierte Webseite besucht, läuft der Schadcode trotzdem lokal auf dem Endgerät. ReCoBS verhindert genau das: Schadcode wird auf dem isolierten Server ausgeführt, nicht auf dem Arbeitsplatzrechner, und erreicht das interne Netz nie.

Beide Technologien schließen sich nicht aus. In vielen Sicherheitsarchitekturen ergänzen sie einander: VPN für die sichere Anbindung von Remote-Arbeitsplätzen, ReCoBS für den sicheren Internetzugang am Arbeitsplatz selbst.

Wann sollten Unternehmen einen sicheren Browser einsetzen?

Unternehmen sollten einen sicheren Browser einsetzen, wenn der Internetzugang am Arbeitsplatz notwendig ist, gleichzeitig aber interne Systeme, sensible Daten oder kritische Prozesse zuverlässig geschützt werden müssen. Das gilt besonders für Organisationen mit erhöhtem Schutzbedarf oder regulatorischen Anforderungen.

Konkrete Szenarien, in denen Browser-Isolation besonders sinnvoll ist:

  • Behörden und öffentliche Einrichtungen, die vertrauliche Daten verarbeiten
  • Finanzinstitute mit strengen Compliance-Anforderungen
  • Betreiber kritischer Infrastrukturen, bei denen ein Sicherheitsvorfall weitreichende Folgen hätte
  • Industrieunternehmen mit schützenswerten Produktionsprozessen oder Entwicklungsdaten
  • Jede Organisation, die Mitarbeitenden Internetzugang gewährt, aber keine direkte Verbindung zwischen Internet und internem Netz akzeptieren kann

Auch für Organisationen, die bereits andere Sicherheitsmaßnahmen einsetzen, schließt Browser-Isolation eine strukturelle Lücke, die durch Firewalls und Antivirensoftware allein nicht vollständig geschlossen werden kann.

Welche Zertifizierungen belegen die Sicherheit solcher Lösungen?

Die wichtigste Zertifizierung für sichere Browserlösungen im behördlichen und unternehmerischen Umfeld ist die Common-Criteria-(CC)-Zertifizierung, vergeben durch anerkannte Prüfstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland. Sie belegt, dass ein Produkt nach international anerkannten Sicherheitsstandards geprüft wurde.

Common Criteria definiert Evaluierungsstufen von EAL1 bis EAL7. Je höher die Stufe, desto umfangreicher und strenger die Prüfung. Für Unternehmens- und Behördenanwendungen ist EAL3+ eine anspruchsvolle Stufe, die eine methodische Sicherheitsanalyse und eine unabhängige Überprüfung durch eine akkreditierte Prüfstelle voraussetzt.

Neben Common Criteria sind für den Einsatz in bestimmten Branchen auch weitere Zertifizierungen relevant, etwa ISO 27001 für das Informationssicherheitsmanagementsystem einer Organisation. Für Beschaffungsentscheidungen in Behörden und kritischen Infrastrukturen ist eine BSI-Zertifizierung oft eine formale Voraussetzung.

Wie lässt sich ein sicherer Browser in bestehende IT-Infrastrukturen integrieren?

Ein sicherer Browser lässt sich in bestehende IT-Infrastrukturen integrieren, indem er als dedizierter Server oder Servercluster im Netzwerk betrieben wird. Die Arbeitsplatzrechner greifen über eine gesicherte Verbindung auf den Browserserver zu, ohne dass bestehende Systeme grundlegend verändert werden müssen.

Die Integration folgt typischerweise diesen Schritten:

  1. Analyse der bestehenden Netzwerkarchitektur und Identifikation der Anforderungen an den Internetzugang
  2. Bereitstellung des Browserservers in einer dedizierten Netzwerkzone, getrennt vom internen Netz
  3. Konfiguration der Zugriffsregeln, sodass Arbeitsplatzrechner ausschließlich über den Browserserver ins Internet kommunizieren
  4. Einbindung in bestehende Authentifizierungs- und Verzeichnisdienste wie Active Directory
  5. Schulung der Mitarbeitenden für den Umgang mit dem ferngesteuerten Browser

Der Betrieb ist in der Regel transparent für die Nutzenden: Der sichere Browser verhält sich aus Anwendersicht wie ein normaler Browser, die Sicherheitsarchitektur arbeitet im Hintergrund. Das reduziert den Schulungsaufwand und erleichtert die Akzeptanz im Unternehmen.

So unterstützt m-privacy GmbH Ihr Unternehmen beim sicheren Internetzugang

Wir bei m-privacy GmbH haben uns seit 2002 auf genau diese Herausforderung spezialisiert: den sicheren Internetzugang am Arbeitsplatz, ohne Produktivität zu opfern. Unser Kernprodukt TightGate-Pro setzt das ReCoBS-Prinzip konsequent um und ist durch das BSI nach Common Criteria EAL3+ zertifiziert. Damit bieten wir Ihnen eine geprüfte, vertrauenswürdige Lösung für Behörden, Finanzinstitute und kritische Infrastrukturen.

Was wir für Sie leisten:

  • TightGate-Pro: Unsere BSI-zertifizierte ReCoBS-Lösung, die den Browser physisch vom Arbeitsplatzrechner trennt und Ihr internes Netz zuverlässig schützt
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehende Sicherheitsarchitektur und identifizieren konkrete Handlungsfelder
  • Risikoanalysen und Beratung: Methodische Bewertung Ihrer IT-Risiken mit klaren Empfehlungen für Ihre individuelle Situation
  • Schulungen: Wir schulen Ihre Mitarbeitenden praxisnah zu IT-Sicherheit und datenschutzkonformem Verhalten
  • Externer Datenschutzbeauftragter: Als Alternative zur internen Stabsstelle übernehmen wir diese Funktion für Ihr Unternehmen

Möchten Sie wissen, wie TightGate-Pro in Ihre bestehende IT-Infrastruktur passt? Kontaktieren Sie uns für ein unverbindliches Gespräch. Oder erfahren Sie auf unserer Website mehr über unsere Lösungen und Dienstleistungen.