TightGate-Pro

BSI-zertifiziert nach EAL3+.

Der sichere Webbrowser für Behörden, Unternehmen und Industrie

TightGate-Pro ist ein  ReCoB-System. ReCoBS steht für Remote-Controlled Browser System, wörtlich übersetzt „Ferngesteuerter Webbrowser“. TightGate-Pro trennt die Ausführungsumgebung des Webbrowsers physisch vom Arbeitsplatzrechner. Das System trägt dazu bei, das interne Netzwerk vom Internet abzuschirmen. TightGate-Pro dient so dem Schutz vor Angriffen aus dem Internet, die Sicherheitslücken in verbreiteten Internetbrowsern ausnutzen. TightGate-Pro ist das am weitesten verbreitete dedizierte ReCoBS, denn es vermeidet die typischen Nachteile der mit ähnlichen Argumenten beworbenen Produkte der Mitbewerber. TightGate-Pro wird unter anderem verwendet bei Behörden, Verwaltungseinrichtungen, Finanzinstituten und Industriebetrieben – kurzum: Überall dort, wo Internetzugang am Arbeitsplatz unabdingbar ist, interne Infrastrukturen jedoch bestmöglich gesichert werden müssen. TightGate-Pro ist BSI-zertifiziert nach EAL3+.

TightGate-Pro

Funktionsweise

Bei unserem Remote-Controlled Browser System TightGate-Pro wird der Webbrowser nicht mehr auf dem Arbeitsplatzrechner ausgeführt. Stattdessen übernimmt ein dedizierter, außerhalb des internen Netzwerks untergebrachter Serverrechner die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmdarstellung des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Umgekehrt werden Maus- und Tastatursignale zu TightGate-Pro übertragen und fernsteuern den Browser so vom Arbeitsplatz aus. Ein Paketfilter zwischen TightGate-Pro und den Computer-Arbeitsplätzen sorgt dafür, dass tatsächlich nur der Bilddatenstrom von TightGate-Pro zu den Klienten gelangen kann, nicht jedoch andere Netzwerkzugriffe.

Durch das eigenständige, stark gehärtete Betriebssystem zur Ausführung des Browsers ist TightGate-Pro jeder anderen Lösung auf der Basis einer Virtualisierung oder Sandbox weit überlegen.

TightGate-Pro ist in der DMZ untergebracht und führt den Webbrowser aus. Das interne Netzwerk kann vollständig von unbekannten Gegenstellen im Internet abgeschottet werden. Verbindungen zu vertrauenswürdigen Gegenstellen sind wie bisher möglich. (Zum Vergrößern bitte anklicken.)
TightGate-Pro

Komponenten von TightGate-Pro

Das TightGate-Pro-System besteht immer aus drei Komponenten: dem eigentlichen TightGate-Pro Server, den Klientenprogrammen TightGate-Viewer beziehungsweise TightGate-Schleuse und einem Netzwerk. Der TightGate-Pro Server wird außerhalb des internen Produktivnetzwerks untergebracht, beispielsweise in einer Demilitarisierten Zone (DMZ). Die Klientenrechner sind meist die Arbeitsplatzcomputer der Mitarbeiterinnen und Mitarbeiter. Der Browser wird auf dem vorgeschalteten TightGate-Pro Server ausgeführt, was den Arbeitsplatz für Angreifer über den Browser unerreichbar macht. Der Benutzer sieht nur die Bildschirmausgabe seines Browsers, hat aber den Eindruck einer lokal installierten Applikation.

Sicher für's Netzwerk

TightGate-Pro der m-privacy GmbH ist ein dediziertes ReCoBS. Dediziert deshalb, weil es auf einem eigenständigen Serverrechner läuft, also nicht in einer virtuellen Maschine oder einer Sandbox. Unter Sicherheitsaspekten ist das eine wichtige Eigenschaft, denn nur die physische Trennung der Ausführungsumgebung des Webbrowsers schafft die Sicherheit, die moderne Infrastrukturen angesichts des steigenden Angriffsdrucks im Internet benötigen.

Voll Funktional

TightGate-Pro funktioniert wie ein lokal installierter Browser, man muss sich nicht umgewöhnen.  Auch Multimediainhalte wie Videos, Java Applets oder Flash-Animationen sind gefahrlos nutzbar. Up- und Downloads lassen sich bequem über die Dateischleuse realisieren. Über die Zwischenablage können Textinhalte gefahrlos mit dem lokalen Netzwerk ausgetauscht werden. Das Drucken von Webseiten oder anderen Dokumenten funktioniert genauso wie das Ausdrucken von lokalen Dateien.

Hoher Eigenschutz

TightGate-Pro verfügt über einen starken Eigenschutz, kann also nicht durch Angreifer aus dem Internet manipuliert oder außer Betrieb gesetzt werden. Das System ist in wesentlichen Teilen eine Eigenentwicklung der m-privacy GmbH und wurde speziell zu Schutz- und Sicherheitszwecken konzipiert. Gegenüber Behelfslösungen auf der Basis konventioneller Terminalserver-Architekturen ist das  Schutzniveau mit TightGate-Pro deutlich höher.