Konzepte für sicheres Surfen
Surfen via Terminalserver
Cyber-Angriffe auf sensible Daten und Systeme werden immer ausgefeilter. In unserem Überblick über Konzepte für sicheres Surfen haben wir erklärt, dass Schutzmaßnahmen für Webbrowser, die auf dem gleichen Computer-System implementiert sind wie dieser, prinzipiell anfälliger für Kompromittierung sind als eine räumliche Isolierung des Surfsystems vom Arbeitssystem. Das gilt auch für lokale Virtualisierungslösungen (Anwendungs- oder Mikrovirtualisierung; Systemvirtualisierung), deren softwarebasierte Isolierung nie vollständig sein kann: Sichere und unsichere Prozesse nutzen dabei weiterhin gemeinsame Ressourcen des Hostsystems, beispielsweise Verzeichnisse zum Datenaustausch oder die Virtualisierungsfunktionen des Prozessors. Letzteres macht sie auch anfällig für Angriffe auf Systemebenen unterhalb der Virtualisierung, die etwa auf Schwachstellen der Prozessorarchitektur zielen (Stichwort Spectre und Meltdown).
Wie das Surfen via Terminalserver das Netzwerk schützen soll
Anders als bei lokalen Virtualisierungslösungen laufen bei einer Terminalserver-Installation die vom Benutzer benötigten Anwendungen auf einem externen Server. Benutzereingaben werden vom Client-System an den Server übermittelt und Grafikausgaben komprimiert und verschlüsselt vom Server zum Client zurückübertragen.
Bei der Terminalserver-Installation läuft der Browser entkoppelt vom Client-System auf einem separaten Rechner. Insbesondere wird die Ausführung aktiver Inhalte von ihrer Darstellung sauber getrennt. Damit ist der einzelne Arbeitsplatzrechner vor Angriffen und persistenten Bedrohungen noch besser abgeschirmt als bei der Systemvirtualisierung, der wirksamsten lokalen Absicherungsmethode. Zudem ist der Wartungsaufwand für Aktualisierung und Konfiguration geringer, weil sie nur einmalig am zentralen Server stattfindet und dort Automatisierungsfunktionen des Betriebssystems verfügbar sind.
Klassischer Terminalserver ebenfalls nicht sicher
Allerdings: Klassische Terminalserver-Lösungen oder Remote-Desktop-Dienste sind ebenfalls im Hinblick auf Ressourceneffizienz und Standardisierung, nicht aber für eine sichere Internetnutzung entwickelt worden. Es erfordert daher hohen Aufwand und spezielles Know-how, um einen klassischen Terminalserver einigermaßen sicher zu konfigurieren, ohne die Benutzerfreundlichkeit zu stark einzuschränken. Terminalserver laufen in Unternehmen und Behörden meist auf Windows Server, bieten zahlreiche Kommunikationsschnittstellen und nutzen für die Datenübertragung mächtige Protokolle wie RDP von Microsoft oder HDX (ICA) von Citrix. Damit können Arbeitsplatzrechner Geräte und Speicher-Volumes direkt am Terminalserver anbinden, was die Angriffsfläche erheblich vergrößert. Ein erfolgreicher Angriff würde wiederum wegen der zentralen Stellung des Terminalservers alle Nutzer des Dienstes gefährden – gerade RDP gilt Sicherheitsexperten als großes Sicherheitsrisiko.
Sicherer Terminalserver: ReCoBS
Als die beste Option für sicheres Surfen empfiehlt das BSI deshalb den Webzugang über einen dedizierten (nur für die Internetnutzung verwendeten), speziell gesicherten Terminalserver, der sich außerhalb des gesicherten internen Netzwerks befindet (etwa einer demilitarisierten Zone, kurz DMZ) und nicht auf sensible Daten zugreifen kann. Dieser Ansatz, den das BSI als „Remote-Controlled Browser System“ (ReCoBS) bezeichnet, wurde von der m-privacy GmbH zu einem professionellen Produkt weiterentwickelt, das ReCoBS TightGate-Pro.
Ein ReCoBS ermöglicht laut BSI im Vergleich zu anderen Ansätzen sowohl eine bequeme als auch sichere Nutzung aktiver Inhalte. Insbesondere ist die von ReCoBS gebotene Sicherheit bei uneingeschränkter Funktionalität höher und der damit verbundene Realisierungs- bzw. Wartungsaufwand geringer als bei lokalen Virtualisierungslösungen auf jedem Arbeitsplatzrechner. Trotzdem lässt sich das System flexibel an individuelle Anforderungen anpassen.
Insbesondere sind die Arbeitsplatzrechner vor Angriffen und persistenten Bedrohungen deutlich besser geschützt als bei Sandboxing im Browser, Anwendungsvirtualisierung, Systemvirtualisierung oder auch klassischen Terminalservern. Auch Angriffe auf unteren Systemebenen laufen bei einem ReCoBS ins Leere, da vom ReCoBS-Server aus keine sensiblen Daten erreichbar sind.
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de