ProSoft: Sicheres Surfen mit TightGate-Pro

Die Nutzung des Internets gehört inzwischen zum festen Bestandteil des Arbeitslebens. Problem ist aber, dass Cyberkriminelle Webbrowser nutzen, um gefährliche Schadsoftware auf Arbeitsplatzrechner zu schleusen. Sicheres Surfen ist unter diesen Umständen nicht mehr wirklich möglich. Der Anbieter ProSoft präsentiert nun TightGate-Pro der Firma m-privacy GmbH als eine neue Form der Internet-Sicherheit für sicheres Surfen im Internet.

Bei TightGate-Pro wird der Browser auf hochgradig gehärteten Servern außerhalb des internen Netzwerks ausgeführt. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmdarstellung des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Ich hatte die Woche eine Information des Anbieters bekommen, bin aber auch über folgenden Tweet auf dem Thema gestoßen. Da viele Administratoren hier mitlesen, möchte ich die Information, die mir der Hersteller als Pressemitteilung bereitgestellt hat, zumindest kurz erwähnen.

"TightGate-Pro ermöglicht die vollfunktionale Nutzung des Internets bei gleichzeitiger Abschottung des internen Netzes vor den damit verbundenen Gefahren", berichtet Robert Korherr, Geschäftsführer der ProSoft GmbH. TightGate-Pro der m-privacy GmbH ist ein Remote-Controlled Browser System (ReCoBS), wörtlich übersetzt „ferngesteuerter Webbrowser". Dieser trennt die Ausführungsumgebung des Webbrowsers physisch vom Arbeitsplatzrechner. Das System schirmt so das interne Netzwerk vom Internet ab und verhindert zuverlässig und präventiv Angriffe, die Sicherheitslücken in Internetbrowsern ausnutzen.

Bildschirmausgabe als Videodatenstrom

Dies bedeutet, dass der Webbrowser nicht mehr auf dem Arbeitsplatzrechner ausgeführt wird. Stattdessen übernimmt der dedizierte, in der DMZ (Demilitarisierte Zone) aufgestellte, TightGate-Server die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmausgabe des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll.

Die Anzeige der Bildschirmausgabe sowie die Soundausgabe erfolgen auf dem Monitor bzw. Lautsprecher des Arbeitsplatzcomputers. Zugleich kann der virtuelle Browser vom Arbeitsplatz aus per Maus und Tastatur ferngesteuert werden. Bezüglich des „Look & Feel" besteht praktisch kein Unterschied zum lokalen Browser. Ein Paketfilter zwischen TightGate-Pro und den Computer-Arbeitsplätzen sorgt dafür, dass tatsächlich nur der Bilddatenstrom von TightGate-Pro zu den Klienten gelangen kann, nicht jedoch andere Netzwerkzugriffe.

Physische Trennung schafft präventive Sicherheit

Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos. „Damit ist TightGate-Pro jeder anderen Lösung auf der Basis einer lokalen Virtualisierung oder Sandbox in Puncto Sicherheit weit überlegen. Nur die physische Trennung der Ausführungsumgebung des Webbrowsers schafft eine präventive Sicherheit, die moderne Infrastrukturen angesichts des steigenden Angriffsdrucks im Internet benötigen", so der Geschäftsführer.

Klientenprogramme für Steuerung und Dateiaustausch

TightGate-Pro besteht aus dem dedizierten ReCoBS-Server und den Klientenprogrammen TightGate-Viewer, TightGate-Schleuse und MagicURL (Linkweiche). Der TightGate-Pro-Server stellt dabei die Ausführungsumgebung für den Browser dar, während die Klientenprogramme für die Anzeige, die Steuerung und den Dateiaustausch verantwortlich sind. Wichtig dabei ist, dass der Viewer dem Stand der Technik entspricht und keine Angriffsvektoren offenlässt. Anstelle mächtiger Übertragungsprotokolle wie RDP, ICA, HDX oder dem lokalen X-Server setzt TightGate-Pro auf ein funktionsspezifisches Protokoll, sodass kein Schadcode zum Klienten übertragen werden kann.

TightGate-Pro ist BSI-zertifiziert nach Common Criteria EAL3+ und DSGVO-konform. Das Tool wird bereits seit 15 Jahren in Behörden, Finanzinstituten, Industriebetrieben und Kritischen Infrastrukturen erfolgreich eingesetzt. TightGate-Pro von m-privacy ist ab sofort für Reseller und Partner bei ProSoft zu beziehen.