Wie schützen Finanzinstitute ihr Netzwerk vor Browserangriffen?

Holger Maczkowsky ·
Leicht geöffnete Stahltresor-Tür in modernem Bankinterieur mit Laptop auf poliertem Marmor im Vordergrund.

Finanzinstitute schützen ihr Netzwerk vor Browserangriffen am wirksamsten durch eine physische Trennung der Browser-Ausführungsumgebung vom internen Netzwerk. Technologien wie Remote-Controlled Browser Systems (ReCoBS) verhindern, dass Schadcode aus dem Internet überhaupt den Arbeitsplatzrechner oder das interne Netz erreicht. Ergänzt durch Zertifizierungen, Risikoanalysen und klare Einführungsprozesse entsteht eine Netzwerksicherheit, die auch anspruchsvollen regulatorischen Anforderungen standhält.

Ungepatchte Browser sind das größte Einfallstor, das Finanzinstitute unterschätzen

Viele Finanzinstitute investieren erheblich in Firewalls und Verschlüsselung, lassen aber den Webbrowser als aktiven Angriffspunkt außer Acht. Dabei genügt ein einziger ungepatchter Browser oder ein manipuliertes Webskript, um Schadcode direkt auf dem Arbeitsplatzrechner auszuführen und von dort ins interne Netz vorzudringen. Der konkrete Schaden reicht von Datenverlust über Betriebsunterbrechungen bis hin zu regulatorischen Strafen. Der entscheidende Schritt ist, den Browser nicht nur zu aktualisieren, sondern seine Ausführungsumgebung strukturell vom internen Netzwerk zu isolieren.

Fehlende Zertifizierungen kosten Finanzinstitute das Vertrauen von Aufsichtsbehörden

Ohne anerkannte Sicherheitszertifizierungen geraten Finanzinstitute bei Prüfungen durch Aufsichtsbehörden schnell unter Druck. Regulatorische Anforderungen wie DORA, BAIT oder ISO 27001 verlangen nachweisbare Sicherheitsmaßnahmen, und fehlende Nachweise können Bußgelder, Betriebseinschränkungen oder den Verlust von Lizenzen nach sich ziehen. Wer die Netzwerksicherheit auf zertifizierte Lösungen stützt und Audits regelmäßig durchführt, schafft die Dokumentationsgrundlage, die Aufsichtsbehörden erwarten und die intern für klare Verantwortlichkeiten sorgt.

Was sind Browserangriffe und warum bedrohen sie Finanzinstitute?

Browserangriffe sind Cyberangriffe, die Sicherheitslücken in Webbrowsern oder auf Webseiten ausnutzen, um Schadcode auf dem Rechner des Nutzers auszuführen. Finanzinstitute sind besonders gefährdet, weil ihre Mitarbeitenden täglich auf externe Webseiten, Online-Banking-Portale und Cloud-Dienste zugreifen und dabei sensible Daten verarbeiten.

Zu den häufigsten Angriffsformen zählen Drive-by-Downloads, bei denen allein das Aufrufen einer manipulierten Webseite ausreicht, um Schadsoftware zu installieren. Hinzu kommen Cross-Site-Scripting (XSS), bei dem eingeschleuster Code im Browser des Opfers ausgeführt wird, sowie Browser-Exploits, die ungepatchte Schwachstellen in der Browser-Engine direkt angreifen.

Für Finanzinstitute bedeutet ein erfolgreicher Browserangriff mehr als nur einen technischen Vorfall. Er kann zur Kompromittierung von Kundendaten, zu Transaktionsmanipulationen oder zum vollständigen Ausfall kritischer Systeme führen. Die Kombination aus hohem Datenwert und strengen Compliance-Anforderungen macht den Finanzsektor zu einem bevorzugten Ziel.

Wie gelangen Angreifer über den Browser ins interne Netzwerk?

Angreifer nutzen den Browser als Brücke zwischen dem öffentlichen Internet und dem internen Netzwerk. Sobald Schadcode im Browser ausgeführt wird, kann er sich auf den Arbeitsplatzrechner ausbreiten und von dort Verbindungen zu internen Systemen aufbauen, auf die der Rechner regulär Zugriff hat.

Der typische Ablauf beginnt mit einem scheinbar harmlosen Klick: eine manipulierte E-Mail, ein kompromittierter Werbebanner oder eine gefälschte Webseite. Der Browser lädt Inhalte aus dem Internet und führt sie lokal aus. Enthalten diese Inhalte Schadcode, hat der Angreifer ab diesem Moment eine aktive Verbindung zum Arbeitsplatzrechner.

Von dort aus nutzen Angreifer laterale Bewegung: Sie scannen das interne Netz, eskalieren Berechtigungen und greifen auf Dateiserver, Datenbanken oder Verwaltungssysteme zu. Besonders gefährlich ist, dass dieser Prozess vollständig im Hintergrund abläuft, ohne dass der Nutzer etwas bemerkt. Für die Netzwerksicherheit bedeutet das: Jeder Browser-Arbeitsplatz mit Internetzugang ist potenziell ein Einstiegspunkt.

Was ist ein Remote-Controlled Browser System (ReCoBS)?

Ein Remote-Controlled Browser System (ReCoBS) ist eine Sicherheitsarchitektur, bei der der Webbrowser nicht auf dem Arbeitsplatzrechner des Nutzers ausgeführt wird, sondern auf einem isolierten Server. Der Nutzer sieht nur eine Bildschirmübertragung der Browser-Oberfläche, während der eigentliche Browser-Prozess und alle Internetinhalte physisch vom internen Netzwerk getrennt bleiben.

Das Grundprinzip ist einfach: Was nicht auf dem Arbeitsplatzrechner ausgeführt wird, kann ihn auch nicht infizieren. Schadcode, der auf einer Webseite eingebettet ist, wird auf dem Server ausgeführt und endet dort. Zum internen Netz gelangt er nicht, weil zwischen dem Server und dem internen Netz keine direkte Verbindung besteht.

ReCoBS-Lösungen eignen sich besonders für Umgebungen, in denen der Internetzugang betrieblich notwendig ist, das interne Netzwerk aber konsequent geschützt werden muss. Genau diese Kombination ist in Finanzinstituten, Behörden und bei Betreibern kritischer Infrastrukturen der Regelfall.

Wie unterscheidet sich ReCoBS von herkömmlichen Sicherheitslösungen?

ReCoBS unterscheidet sich von herkömmlichen Sicherheitslösungen durch den Ansatz der physischen Isolation statt der Erkennung und Abwehr. Antivirensoftware, Firewalls und Content-Filter versuchen, Bedrohungen zu identifizieren und zu blockieren. ReCoBS verhindert dagegen strukturell, dass Bedrohungen den Arbeitsplatzrechner überhaupt erreichen.

Reaktiv vs. präventiv

Antivirenprogramme und Intrusion-Detection-Systeme reagieren auf bekannte Bedrohungsmuster. Sie sind abhängig von aktuellen Signaturen und können neue, unbekannte Angriffsmethoden zunächst übersehen. ReCoBS hingegen wirkt unabhängig davon, ob eine Bedrohung bekannt ist oder nicht. Da der Browser vollständig isoliert ausgeführt wird, spielt es keine Rolle, ob Schadcode neu oder bekannt ist.

Netzwerksicherheit durch Architektur

Herkömmliche Lösungen setzen auf den Schutz eines gemeinsamen Netzwerks. ReCoBS zieht die Grenze früher: Das interne Netz und das Internet sind von Anfang an getrennt. Diese architektonische Trennung ist robuster als regelbasierte Filter, weil sie keine Ausnahmen kennt und keine Konfigurationsfehler zulässt, die einen Angriff durchlassen könnten.

Welche Sicherheitsstandards und Zertifizierungen sind für Finanzinstitute relevant?

Für Finanzinstitute sind vor allem die BAIT (Bankaufsichtliche Anforderungen an die IT), ISO 27001, die DORA-Verordnung der EU sowie Zertifizierungen nach Common Criteria (CC) relevant. Diese Rahmenwerke definieren Mindestanforderungen an Informationssicherheit, Risikomanagement und den Nachweis technischer Schutzmaßnahmen.

Die BAIT der BaFin legt konkrete Anforderungen an IT-Systeme, Berechtigungsmanagement und Informationsrisikomanagement in Banken fest. ISO 27001 bietet einen international anerkannten Rahmen für Informationssicherheits-Managementsysteme und ist oft Voraussetzung für Geschäftsbeziehungen mit größeren Partnern oder öffentlichen Auftraggebern.

DORA, der Digital Operational Resilience Act der EU, tritt ab 2025 vollständig in Kraft und verpflichtet Finanzinstitute zu nachweisbarer digitaler Betriebsstabilität, einschließlich klarer Anforderungen an das IKT-Risikomanagement und die Vorfallsmeldung. Common-Criteria-Zertifizierungen, vergeben durch das BSI, bestätigen, dass eine Sicherheitslösung unabhängig geprüft und auf einem definierten Vertrauensniveau eingestuft wurde. Für Sicherheitslösungen, die in regulierten Umgebungen eingesetzt werden, ist eine solche Zertifizierung ein starkes Qualitätsmerkmal.

Wie führen Finanzinstitute eine browserbasierte Sicherheitslösung ein?

Die Einführung einer browserbasierten Sicherheitslösung wie ReCoBS folgt einem strukturierten Prozess: Bedarfsanalyse, Systemauswahl, Integration in die bestehende IT-Infrastruktur, Pilotbetrieb und abschließender Rollout mit Schulungen. Eine sorgfältige Planung verhindert Betriebsunterbrechungen und stellt sicher, dass die Lösung regulatorische Anforderungen erfüllt.

  1. Bedarfsanalyse: Welche Arbeitsplätze benötigen Internetzugang? Welche Daten und Systeme sind besonders schützenswert? Eine Risikoanalyse schafft die Grundlage für alle weiteren Entscheidungen.
  2. Systemauswahl: Die gewählte Lösung sollte zu den bestehenden Systemen passen, skalierbar sein und anerkannte Zertifizierungen vorweisen. Für regulierte Umgebungen ist eine BSI-Zertifizierung ein wichtiges Auswahlkriterium.
  3. Integration: ReCoBS-Lösungen werden in der Regel als Client-Server-Architektur in die bestehende Netzwerkinfrastruktur eingebunden. Die Anbindung an Active Directory, bestehende Authentifizierungssysteme und Logging-Lösungen ist dabei zu berücksichtigen.
  4. Pilotbetrieb: Ein kontrollierter Testbetrieb mit einer definierten Nutzergruppe deckt Kompatibilitätsprobleme auf und gibt Rückmeldung zur Benutzerfreundlichkeit.
  5. Rollout und Schulung: Mitarbeitende müssen verstehen, wie die neue Lösung funktioniert und warum der Internetzugang nun über einen separaten Server läuft. Transparente Kommunikation reduziert Widerstände.

Ein häufig unterschätzter Schritt ist die Dokumentation: Für Audits und regulatorische Prüfungen müssen Finanzinstitute nachweisen können, welche Schutzmaßnahmen sie wann und warum eingeführt haben. Eine saubere Einführungsdokumentation ist daher kein bürokratischer Mehraufwand, sondern ein echter Sicherheitsvorteil.

Wie wir von der m-privacy GmbH Finanzinstitute bei der Netzwerksicherheit unterstützen

Wir bei der m-privacy GmbH entwickeln und implementieren seit 2002 Sicherheitslösungen für Umgebungen, in denen Netzwerksicherheit keine Kompromisse kennt. Unser Kernprodukt TightGate-Pro ist eine ReCoBS-Lösung, die den Browser physisch vom Arbeitsplatzrechner und vom internen Netz trennt. Im März 2026 wurde TightGate-Pro erfolgreich nach Common Criteria (CC v3.1 Revision 5) mit der Evaluierungsstufe EAL3+ durch das BSI rezertifiziert – ein unabhängiger Nachweis der technischen Qualität und Verlässlichkeit.

Was wir konkret für Finanzinstitute leisten:

  • TightGate-Pro: Physische Browserisolation als zertifizierte ReCoBS-Lösung für Arbeitsplätze mit Internetzugang
  • Security Audits nach ISO 27001: Systematische Prüfung Ihrer IT-Sicherheitsmaßnahmen mit konkreten Handlungsempfehlungen
  • Methodische Risikoanalysen: Strukturierte Bewertung Ihrer spezifischen Bedrohungslage und Schwachstellen
  • Schulungen zu IT-Sicherheit und Datenschutz: Aufbau interner Kompetenz bei Ihren Mitarbeitenden
  • Externer Datenschutzbeauftragter: Flexible Alternative zur internen Stabsstelle

Wenn Sie wissen möchten, wie TightGate-Pro in Ihre bestehende Infrastruktur passt oder welche Schritte für Ihr Institut sinnvoll sind, sprechen Sie uns an. Kontaktieren Sie uns für ein unverbindliches Erstgespräch, in dem wir gemeinsam Ihren konkreten Bedarf besprechen.