Windows 10 und TightGate-Pro

Internet ohne Datenleck

Noch ein gutes halbes Jahr, dann endet der Support für Windows 7

Spätestens zu diesem Zeitpunkt sollten auch die Infrastrukturen in Behörden flächendeckend umgestellt sein. Nach dem 14. Januar 2020 wird es Sicherheitsupdates für das betagte Betriebssystem nur noch gegen hohe Gebühren geben. Die Alternative heißt Windows 10 und hat weltweit bereits über eine halbe Milliarde Nutzer. Der Pferdefuß: Im Vergleich zu den Vorgängerversionen ist Windows 10 bis heute das mit Abstand mitteilsamste Betriebssystem des Softwaregiganten aus Redmond.

Die exzessive Datensammlung durch Microsoft ist im behördlichen Umfeld nicht akzeptabel. Vieles wird direkt in die USA übertragen und steht dort vermeintlich auch Geheimdiensten zur Verfügung. Abschalten kann man die Telemetrie-Funktionen selbst in den Enterprise-Versionen des Betriebssystems nur unvollständig. Dennoch lassen sich die Phone-Home-Aktivitäten von Windows-Servern und Arbeitsplatzrechnern zuverlässig unterbinden. Das gelingt am einfachsten durch eine komplette Abschottung der betreffenden Netzwerke über eine Firewall. Der dennoch notwendige Internetzugang wird am sichersten über ein sogenanntes Remote-Controlled Browser System (ReCoBS) wie TightGate-Pro realisiert.

TightGate protection concept

Der ideale, also sichere Webbrowser hat zwar Internetzugang, soll aber auf interne Daten und Ressourcen nicht zugreifen. Er darf folglich nicht im internen Netz ausgeführt werden, muss jedoch zugleich vom Arbeitsplatz aus steuerbar und sichtbar sein. Diese auf den ersten Blick widersprüchlichen Anforderungen vereint das TightGate protection concept. Es wird mit der Klient-Server-Lösung TightGate-Pro sicherheitstechnisch einwandfrei und aus Anwendersicht komfortabel umgesetzt.

Das TightGate-Schutzkonzept implementiert eine benutzerfreundliche Zwei-Browser-Lösung. Das Internet steht über TightGate-Pro risikofrei zur Verfügung (externer Browser). Ein Intranet oder notwendige Fachanwendungen sind über einen lokal installierten Browser weiterhin zugänglich (interner Browser).

TightGate-Pro besteht aus zwei physisch getrennten Systemen: einem besonders gehärteten Server und den Klienten, die auf den Arbeitsplatzcomputern installiert sind. Der Server befindet sich außerhalb des internen Netzwerkes in der Demilitarisierten Zone (DMZ). Dort kommuniziert er mit dem Internet, führt den Webbrowser aus und liefert nur dessen Bildschirmausgabe verschlüsselt über ein funktionsspezifisches Protokoll ins interne Netzwerk. Dort wird sie von einem Klientenrechner am Arbeitsplatz dekodiert und dargestellt. Umgekehrt ist eine Fernsteuerung des Browsers vom Arbeitsplatz aus möglich. Eine solche Anordnung heißt Remote-Controlled Browser System (ReCoBS). So kann das Internet im internen Netzwerk vollfunktional genutzt werden, ohne dass eine direkte Verbindung besteht. Angriffen aus dem Internet wird ebenso wirkungsvoll vorgebeugt wie ungewolltem Datenabfluss. Windows 10 kann in so geschützten Infrastrukturen keinerlei Telemetriedaten mehr aussenden.

Keine Einschränkungen für Intranet und Fachanwendungen

Der nur für das Intranet vorgesehene, lokale (interne) Browser kann einen beliebigen (auch älteren) Softwareversionsstand aufweisen oder potenziell gefahrenträchtige Erweiterungen (z. B. Active-X) verwenden. Da er nicht über Internetzugang verfügt, ist eine Gefährdung des internen Netzwerks ausgeschlossen. Unternehmensspezifische Fachanwendungen über vertrauenswürdige Gegenstellen können anhand einer Whitelist in der Internet-Firewall freigeschaltet und mit dem internen Browser dargestellt werden.

The decisive security plus: Das interne Netzwerk kann über geeignete Firewall-Regeln vollständig gegenüber dem Internet abgeschottet werden. Es ist damit für Angreifer aus dem Internet prinzipiell unerreichbar. In der Gegenrichtung wird ungewollter Datenabfluss (u. a. Telemetriedaten von Microsoft Windows) zuverlässig unterbunden. Das Schutzniveau des internen Netzwerks bleibt jederzeit maximal.

Flexible Einsatzmöglichkeiten von TightGate-Pro

TightGate-Pro skaliert problemlos auch für große Infrastrukturen. Für interne Zwecke bietet sich eine Zwei-Browser-Lösung an: Der lokale Browser für Fachanwendungen oder das Intranet und das ReCoBS zum Zugriff auf das Internet. Ein ReCoBS ist der Goldstandard zur Nutzung des Internets in behördlichen Infrastrukturen und ideal bei Verwendung von Betriebssystemen mit schwer kontrollierbarer Datenübertragung zum Hersteller. Nutzerseitig ist TightGate-Pro dabei mit wenig Umgewöhnung verbunden, was zusammen mit dem Sicherheitszugewinn die steigende Verbreitung bei Behörden und Unternehmen erklärt.