Wie unterscheiden sich sichere und unsichere Internetanbindungen für Büroarbeitsplätze technisch?

Holger Maczkowsky ·
Zwei Ethernet-Kabel am Server-Rack: eines sicher verlegt, eines lose hängend mit leuchtendem Amber-Warnsignal am Port.

Sichere und unsichere Internetanbindungen für Büroarbeitsplätze unterscheiden sich technisch vor allem darin, ob der Browser und seine Ausführungsumgebung physisch vom internen Netzwerk getrennt sind oder nicht. Bei einer direkten Verbindung läuft der Browser auf dem Arbeitsplatzrechner selbst, was Schadsoftware aus dem Internet einen direkten Weg ins Unternehmensnetzwerk eröffnet. Die folgenden Abschnitte erklären die wichtigsten technischen Unterschiede, relevante Sicherheitsstandards und wann welche Lösung sinnvoll ist.

Welche technischen Schwachstellen entstehen bei einer direkten Internetverbindung am Arbeitsplatz?

Bei einer direkten Internetverbindung am Arbeitsplatz läuft der Webbrowser unmittelbar auf dem Endgerät des Nutzers. Jede aufgerufene Webseite kann damit potenziell Schadcode in die lokale Ausführungsumgebung einschleusen, der anschließend Zugriff auf das interne Netzwerk, Dateifreigaben und andere Unternehmensressourcen erhält. Dieses Angriffsszenario ist einer der häufigsten Einstiegspunkte für Cyberangriffe in Unternehmen.

Konkret entstehen bei einer direkten Anbindung folgende Schwachstellen:

  • Browser-Exploits: Sicherheitslücken in gängigen Browsern werden aktiv ausgenutzt, um Schadsoftware auf dem Arbeitsplatzrechner zu installieren.
  • Drive-by-Downloads: Schadcode wird beim bloßen Aufrufen einer manipulierten Webseite heruntergeladen, ohne dass der Nutzer etwas anklickt.
  • Phishing und manipulierte Inhalte: Webseiten können gezielt so gestaltet sein, dass sie Anmeldedaten abgreifen oder Nutzer zur Installation von Schadsoftware verleiten.
  • Laterale Bewegung: Hat ein Angreifer erst den Arbeitsplatzrechner kompromittiert, kann er sich von dort aus im internen Netzwerk ausbreiten.

Das Problem liegt also nicht nur im Browser selbst, sondern in der fehlenden Trennung zwischen der Ausführungsumgebung des Browsers und dem Rest der IT-Infrastruktur. Solange Browser und internes Netzwerk auf demselben System laufen, bleibt diese Angriffsfläche grundsätzlich offen, unabhängig davon, wie aktuell die Software gehalten wird.

Wie funktioniert die Netzwerktrennung bei sicheren Internetanbindungen?

Sichere Internetanbindungen für Arbeitsplätze basieren auf dem Prinzip der strikten Netzwerktrennung: Der Webbrowser wird nicht auf dem Endgerät des Nutzers ausgeführt, sondern auf einem separaten, dedizierten Server. Der Arbeitsplatzrechner erhält nur eine visuelle Darstellung des Browser-Inhalts, nie aber die eigentlichen Daten aus dem Internet. Damit ist das interne Netzwerk physisch vom Internet abgeschirmt.

Technisch funktioniert das so: Der Nutzer bedient den Browser wie gewohnt, doch die eigentliche Verarbeitung findet auf einem isolierten Server statt. Selbst wenn eine aufgerufene Webseite Schadcode enthält, bleibt dieser auf dem Server eingeschlossen und kann das Endgerät oder das interne Netz nicht erreichen. Nach jeder Sitzung wird die Serverumgebung in einen sauberen Ausgangszustand zurückgesetzt, sodass keine persistente Infektion möglich ist.

Diese Architektur wird als Remote-Controlled Browser System, kurz ReCoBS, bezeichnet. Sie ist besonders wirksam, weil sie nicht auf der Erkennung von Bedrohungen basiert, sondern auf deren vollständiger struktureller Ausgrenzung. Statt Angriffe nachträglich zu erkennen und zu blockieren, verhindert die Trennung, dass sie überhaupt das schützenswerte Netz erreichen können.

Was ist der Unterschied zwischen einem Proxy, einer Firewall und einem ReCoBS?

Proxy, Firewall und ReCoBS sind drei verschiedene Ansätze zur sicheren Internetanbindung, die sich fundamental in ihrer Schutzwirkung unterscheiden. Eine Firewall kontrolliert den Netzwerkverkehr anhand von Regeln, ein Proxy vermittelt und filtert Anfragen, aber beide lassen den Browser weiterhin auf dem Endgerät laufen. Ein ReCoBS hingegen verlagert den Browser vollständig auf einen separaten Server und unterbricht damit die direkte Verbindung zwischen Internet und Arbeitsplatzrechner.

Firewall: Schutz auf Netzwerkebene

Eine Firewall analysiert den ein- und ausgehenden Netzwerkverkehr und blockiert unerwünschte Verbindungen auf Basis vordefinierter Regeln. Sie schützt das Netzwerk vor unautorisierten Zugriffen von außen, kann jedoch nicht verhindern, dass Schadcode über erlaubte Verbindungen, etwa über HTTPS auf Port 443, in das System gelangt. Gegen browser-basierte Angriffe bietet eine Firewall allein keinen ausreichenden Schutz.

Proxy: Filterung auf Inhaltsebene

Ein Proxy-Server vermittelt Anfragen zwischen dem Arbeitsplatzrechner und dem Internet und kann dabei Inhalte filtern, URLs sperren oder den Datenverkehr protokollieren. Einige Proxy-Lösungen führen auch eine SSL-Inspektion durch. Dennoch bleibt der Browser auf dem Endgerät aktiv, was bedeutet, dass gefährliche Inhalte, die den Filter passieren, direkt auf dem Arbeitsplatzrechner ausgeführt werden können.

ReCoBS: Isolation auf Systemebene

Ein Remote-Controlled Browser System verlagert die gesamte Browser-Ausführung auf einen dedizierten Server. Das Endgerät empfängt ausschließlich eine Bildschirmdarstellung. Kein Internetinhalt wird jemals direkt auf dem Arbeitsplatzrechner verarbeitet. Dieser Ansatz schützt strukturell, nicht nur reaktiv, und ist damit der einzige der drei Ansätze, der Browser-Exploits grundsätzlich ausschließt.

Welche Sicherheitsstandards und Zertifizierungen sind für Internetanbindungen in Behörden relevant?

Für Behörden und öffentliche Einrichtungen sind bei der sicheren Internetanbindung am Arbeitsplatz vor allem die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) maßgeblich. Besonders relevant sind die BSI-Grundschutz-Kompendien sowie die Common Criteria (CC), ein international anerkannter Standard zur Evaluierung der Sicherheitseigenschaften von IT-Produkten.

Common Criteria definiert sogenannte Evaluierungsstufen (EAL, Evaluation Assurance Level) von EAL1 bis EAL7. Je höher die Stufe, desto umfangreicher und strenger ist die Prüfung. Für sicherheitskritische Anwendungen in Behörden ist in der Regel mindestens EAL3+ gefordert, was eine methodisch getestete und dokumentierte Sicherheitsarchitektur voraussetzt.

Darüber hinaus spielen folgende Standards eine Rolle:

  • ISO 27001: Internationaler Standard für Informationssicherheits-Managementsysteme, der auch Anforderungen an den sicheren Internet-Zugang im Unternehmen umfasst.
  • BSI IT-Grundschutz: Methodisches Rahmenwerk des BSI mit konkreten Maßnahmenempfehlungen, unter anderem für sichere Internetzugänge in Behörden.
  • KRITIS-Anforderungen: Betreiber kritischer Infrastrukturen unterliegen besonderen gesetzlichen Pflichten zur Absicherung ihrer IT-Systeme, einschließlich der Internetanbindung.

Für Behörden, die mit besonders schutzbedürftigen Daten arbeiten, empfiehlt das BSI den Einsatz von Lösungen, die nach Common Criteria zertifiziert sind. Eine solche Zertifizierung belegt, dass die Sicherheitseigenschaften eines Produkts unabhängig geprüft und bestätigt wurden.

Wann reicht eine Standardlösung – und wann ist eine zertifizierte Isolationslösung notwendig?

Eine Standardlösung aus Firewall und aktuellem Browser reicht aus, wenn das Risikoprofil eines Unternehmens niedrig ist, keine besonders sensiblen Daten verarbeitet werden und ein erfolgreicher Angriff keine existenzbedrohenden Folgen hätte. Sobald jedoch kritische Infrastrukturen, vertrauliche Behördendaten, Finanzinformationen oder personenbezogene Daten im Spiel sind, ist eine zertifizierte Isolationslösung die angemessene Wahl.

Konkret sollten Organisationen eine zertifizierte Lösung in Betracht ziehen, wenn:

  • der Internetzugang am Arbeitsplatz unverzichtbar ist, das interne Netz aber zuverlässig geschützt werden muss,
  • regulatorische Anforderungen, etwa aus dem IT-Sicherheitsgesetz oder dem BSI-Grundschutz, eine nachweisbare Schutzwirkung verlangen,
  • das Unternehmen zu den Betreibern kritischer Infrastrukturen zählt,
  • ein Sicherheitsvorfall zu erheblichen Haftungsrisiken, Reputationsschäden oder Betriebsunterbrechungen führen würde.

Für kleine Unternehmen ohne besondere Schutzanforderungen kann eine Kombination aus aktueller Software, regelmäßigen IT-Sicherheitsschulungen und einer gut konfigurierten Firewall zunächst ausreichen. Der entscheidende Maßstab ist immer das tatsächliche Risiko: Wer mit sensiblen Daten arbeitet oder Ziel gezielter Angriffe sein könnte, sollte nicht auf reaktive Schutzmaßnahmen setzen, sondern auf strukturelle Isolation.

Wie m-privacy GmbH Ihre Internetanbindung zuverlässig absichert

Wir bei m-privacy GmbH haben uns auf genau diese Herausforderung spezialisiert: die sichere Internetanbindung für Büroarbeitsplätze in Behörden, Finanzinstituten, Industriebetrieben und kritischen Infrastrukturen. Unser Kernprodukt TightGate-Pro ist eine nach Common Criteria EAL3+ zertifizierte ReCoBS-Lösung, die den Webbrowser physisch vom Arbeitsplatzrechner trennt und so Browser-basierte Angriffe strukturell ausschließt. Im März 2026 wurde TightGate-Pro erfolgreich nach CC v3.1 Revision 5 durch das BSI rezertifiziert.

Unser Angebot umfasst konkret:

  • TightGate-Pro: Zertifizierte Isolationslösung für sichere Internetanbindungen, geeignet für Behörden und Unternehmen mit hohem Schutzbedarf
  • Security Audits nach ISO 27001: Systematische Analyse Ihrer bestehenden IT-Sicherheitsarchitektur mit konkreten Handlungsempfehlungen
  • Risikoanalysen und Informationsschutzberatung: Methodische Bewertung Ihres individuellen Risikoprofils als Grundlage für fundierte Sicherheitsentscheidungen
  • Schulungen zu IT-Sicherheit und Datenschutz: Praxisnahe Weiterbildung für Ihre Mitarbeitenden zu sicherem Umgang mit Internetanwendungen
  • Externer Datenschutzbeauftragter: Kompetente Unterstützung bei der Einhaltung datenschutzrechtlicher Anforderungen

Möchten Sie wissen, welche Lösung zu Ihrem Schutzbedarf passt? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch. Wir helfen Ihnen, die richtige Entscheidung für eine sichere und zertifizierte Internetanbindung an Ihren Arbeitsplätzen zu treffen.