Der tägliche Internetzugang am Arbeitsplatz ist für die meisten Unternehmen und Behörden unverzichtbar. Gleichzeitig öffnet genau dieser Zugang Tür und Tor für Cyberangriffe, die das interne Netzwerk gefährden können. Wer Datenschutz und IT-Sicherheit ernst nimmt, muss verstehen, wie moderne Schutzkonzepte funktionieren und welche Lösungen sich in der Praxis bewährt haben.
In diesem Artikel beantworten wir die wichtigsten Fragen rund um den sicheren Internetzugang am Arbeitsplatz. Von den grundlegenden Risiken über technische Schutzkonzepte bis hin zu Zertifizierungen erhalten Sie hier einen strukturierten Überblick, der Ihnen hilft, die richtige Entscheidung für Ihre Organisation zu treffen.
Warum sind interne Netzwerke beim Internetzugang gefährdet?
Interne Netzwerke sind beim Internetzugang gefährdet, weil der Webbrowser auf dem Arbeitsplatzrechner direkt mit externen Inhalten interagiert. Schädlicher Code, manipulierte Webseiten oder infizierte Downloads können dabei Sicherheitslücken im Browser ausnutzen und sich von dort aus im internen Netzwerk ausbreiten.
Webbrowser gehören zu den komplexesten Softwareanwendungen überhaupt. Sie verarbeiten täglich unzählige Inhalte aus dem Internet, darunter Skripte, Plug-ins und eingebettete Medien. Jede dieser Komponenten kann potenzielle Schwachstellen enthalten, die Angreifer gezielt ausnutzen. Sobald ein Angriff über den Browser erfolgreich ist, hat der Angreifer häufig direkten Zugang zum internen Netzwerk des Unternehmens.
Besonders problematisch ist, dass viele Angriffe für den Nutzer unsichtbar ablaufen. Drive-by-Downloads, Cross-Site-Scripting oder manipulierte Werbeanzeigen erfordern keine aktive Interaktion des Benutzers. Das bedeutet: Selbst vorsichtige und gut geschulte Mitarbeitende können Opfer solcher Angriffe werden, wenn kein struktureller Schutz vorhanden ist.
Was ist eine Netzwerktrennung und wie funktioniert sie?
Eine Netzwerktrennung ist ein Sicherheitskonzept, bei dem das interne Unternehmensnetzwerk physisch oder logisch vom Internet isoliert wird. Dadurch wird verhindert, dass Bedrohungen aus dem Internet direkt auf interne Systeme, Daten oder Infrastrukturen zugreifen können.
Im Kern geht es darum, eine klare Grenze zwischen der vertrauenswürdigen internen Umgebung und dem nicht vertrauenswürdigen Internet zu ziehen. Klassische Ansätze wie Firewalls oder Proxy-Server schaffen eine logische Trennung, lassen jedoch den Browser selbst weiterhin auf dem Arbeitsplatzrechner laufen. Das bedeutet, dass Schadcode, der den Browser befällt, nach wie vor Zugang zur internen Umgebung haben kann.
Moderne Netzwerktrennungskonzepte gehen weiter: Sie verlagern die Ausführung des Browsers vollständig auf einen separaten Server, der außerhalb des internen Netzwerks betrieben wird. Der Arbeitsplatzrechner empfängt dabei nur noch eine visuelle Darstellung der Browseraktivität, jedoch keinen tatsächlichen Datenverkehr aus dem Internet. Schädliche Inhalte bleiben damit auf dem externen Server eingeschlossen und können das interne Netzwerk nicht erreichen.
Wie schützt ein Remote-Controlled Browser System das Netzwerk?
Ein Remote-Controlled Browser System (ReCoBS) schützt das Netzwerk, indem es den Webbrowser vollständig vom Arbeitsplatzrechner trennt. Der Browser läuft auf einem dedizierten Server, und der Nutzer sieht lediglich eine übertragene Bildschirmansicht. Schadsoftware, die den Browser befällt, bleibt auf dem Server isoliert und gelangt nie ins interne Netzwerk.
Das Prinzip ist so wirkungsvoll, weil es nicht auf das Erkennen von Bedrohungen setzt, sondern auf deren strukturelle Ausgrenzung. Selbst wenn eine Webseite aktiven Schadcode enthält, kann dieser den Arbeitsplatzrechner nicht erreichen, da zwischen Browser und Endgerät keine direkte Datenverbindung besteht. Nur die visuelle Ausgabe wird übertragen, keine ausführbaren Inhalte.
Zusätzlich bietet ein ReCoBS die Möglichkeit, den Serverzustand nach jeder Sitzung zurückzusetzen. Etwaige Veränderungen durch Schadsoftware werden damit automatisch rückgängig gemacht. Für Unternehmen bedeutet das: Der Schutz ist nicht abhängig von regelmäßigen Updates oder der Reaktionsgeschwindigkeit auf neue Bedrohungen, sondern ist strukturell in der Architektur verankert.
Was ist der Unterschied zwischen ReCoBS und herkömmlichen Sicherheitslösungen?
Der entscheidende Unterschied liegt im Ansatz: Herkömmliche Lösungen wie Antivirensoftware oder Firewalls versuchen, bekannte Bedrohungen zu erkennen und zu blockieren. Ein ReCoBS verhindert dagegen strukturell, dass Bedrohungen überhaupt das interne Netzwerk erreichen können, unabhängig davon, ob sie bekannt sind oder nicht.
Herkömmliche Sicherheitslösungen
Klassische Sicherheitswerkzeuge arbeiten reaktiv oder regelbasiert. Sie vergleichen eingehende Daten mit bekannten Bedrohungsmustern und blockieren verdächtige Inhalte. Das funktioniert gut für bekannte Angriffsmuster, stößt aber bei Zero-Day-Exploits oder neu entwickelter Schadsoftware an seine Grenzen. Der Browser läuft weiterhin auf dem Arbeitsplatzrechner und bleibt damit ein potenzieller Einfallspunkt.
Remote-Controlled Browser System als präventiver Ansatz
Ein ReCoBS setzt nicht auf Erkennung, sondern auf Isolation. Da der Browser physisch vom Arbeitsplatzrechner getrennt ist, spielt es keine Rolle, ob eine Bedrohung bekannt ist oder nicht. Schadsoftware kann schlicht nicht dorthin gelangen, wo sie Schaden anrichten würde. Dieser präventive Ansatz macht ReCoBS besonders geeignet für Umgebungen mit hohen Sicherheitsanforderungen und sensiblen Daten.
- Antivirensoftware: Erkennt bekannte Schadsoftware, bietet jedoch keinen Schutz vor unbekannten Bedrohungen
- Firewall: Kontrolliert den Netzwerkverkehr, schützt aber nicht vor Angriffen über erlaubte Verbindungen
- Proxy-Server: Filtert Inhalte, lässt den Browser jedoch weiterhin auf dem Endgerät laufen
- ReCoBS: Trennt Browser und Arbeitsplatz vollständig, verhindert Angriffe strukturell und präventiv
Für welche Unternehmen und Behörden ist diese Lösung geeignet?
Ein Remote-Controlled Browser System eignet sich besonders für Organisationen, die einerseits auf Internetzugang angewiesen sind, andererseits aber besonders schützenswerte Daten oder Infrastrukturen betreiben. Dazu zählen Behörden, Finanzinstitute, Industriebetriebe und Betreiber kritischer Infrastrukturen.
In Behörden werden häufig vertrauliche Bürger- und Verwaltungsdaten verarbeitet, die besonderen gesetzlichen Datenschutzanforderungen unterliegen. Ein Sicherheitsvorfall kann hier nicht nur finanzielle, sondern auch erhebliche rechtliche und politische Konsequenzen haben. Finanzinstitute sind aufgrund ihrer wirtschaftlichen Bedeutung und der sensiblen Kundendaten ein bevorzugtes Angriffsziel und müssen entsprechend hohe Schutzstandards einhalten.
Auch Industriebetriebe, die auf vernetzte Produktionsanlagen oder proprietäres Know-how angewiesen sind, profitieren erheblich von einer strukturellen Netzwerktrennung. Und überall dort, wo Ausfälle oder Datenverluste unmittelbare gesellschaftliche Auswirkungen hätten, wie etwa in der Energieversorgung oder im Gesundheitswesen, ist ein präventiver Schutzansatz unverzichtbar. Kurz gesagt: Jede Organisation, bei der Internetzugang und hohe Sicherheitsanforderungen gleichzeitig bestehen, ist ein geeigneter Kandidat für eine ReCoBS-Lösung.
Welche Zertifizierungen bestätigen die Sicherheit solcher Lösungen?
Die wichtigste internationale Zertifizierung für IT-Sicherheitsprodukte ist Common Criteria (CC). Sie bewertet Sicherheitslösungen nach einem standardisierten Verfahren und vergibt Evaluierungsstufen (EAL), die den Grad der geprüften Vertrauenswürdigkeit widerspiegeln. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Zertifizierungsstelle.
Die Evaluierungsstufen reichen von EAL1 (grundlegende Prüfung) bis EAL7 (formell verifizierter Entwurf). Eine Zertifizierung auf Stufe EAL3 oder höher gilt als Nachweis, dass ein Produkt methodisch entwickelt, getestet und überprüft wurde. Für sicherheitskritische Umgebungen, insbesondere in Behörden und der öffentlichen Verwaltung, ist eine BSI-Zertifizierung häufig eine Voraussetzung für den Einsatz.
Neben Common Criteria spielt auch die ISO 27001 eine wichtige Rolle. Diese Norm definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und wird häufig als Grundlage für Security-Audits in Unternehmen und Behörden herangezogen. Organisationen, die auf zertifizierte Lösungen setzen, können gegenüber Aufsichtsbehörden, Partnern und Kunden nachweisen, dass ihre IT-Sicherheitsmaßnahmen unabhängig geprüft und bestätigt wurden.
Wie m-privacy GmbH Ihnen beim Schutz interner Netzwerke hilft
Wir bei der m-privacy GmbH haben uns seit 2002 auf genau diese Herausforderung spezialisiert: den sicheren Internetzugang in Unternehmen und Behörden zu ermöglichen, ohne dabei die interne Infrastruktur zu gefährden. Unser Kernprodukt TightGate-Pro setzt das ReCoBS-Prinzip konsequent um und wurde im März 2026 erfolgreich nach Common Criteria (CC v3.1 Revision 5) mit der Evaluierungsstufe EAL3+ durch das BSI rezertifiziert.
Mit TightGate-Pro und unserem umfassenden Beratungsangebot unterstützen wir Sie auf mehreren Ebenen:
- TightGate-Pro: Physische Trennung von Browser und Arbeitsplatz nach dem ReCoBS-Prinzip, BSI-zertifiziert und einsatzbereit für Behörden, Finanzinstitute und kritische Infrastrukturen
- Security-Audits nach ISO 27001: Wir analysieren Ihre bestehende IT-Sicherheitsarchitektur und identifizieren konkrete Schwachstellen
- Risikoanalysen und Informationsschutzberatung: Methodische Bewertung Ihrer Sicherheitslage und individuelle Handlungsempfehlungen
- Schulungen zu IT-Sicherheit und Datenschutz: Wir sensibilisieren Ihre Mitarbeitenden für datenschutzkonforme Verhaltensweisen im Arbeitsalltag
- Externer Datenschutzbeauftragter: Als Alternative zur internen Stabsstelle übernehmen wir diese Funktion für Ihre Organisation
Ob Sie sich zunächst einen Überblick über Ihre Sicherheitslage verschaffen oder eine konkrete Lösung implementieren möchten: Wir begleiten Sie von der Analyse bis zur Umsetzung. Kontaktieren Sie uns und erfahren Sie, wie TightGate-Pro und unsere Beratungsleistungen Ihre interne Infrastruktur zuverlässig schützen können.