Für jede Zugriffsart einen separaten Client zu installieren, ist nicht nachhaltig. Eine Software fürs VPN, ein anderer Client für VDI, ein separates Tool für RDP, ein Terminal für SSH, eine kubeconfig für Kubernetes, geteilte Passworttabellen für Altsysteme… Dieses Modell trägt nicht den modernen Sicherheitsbedarf, sondern die Gewohnheiten der Vergangenheit weiter.
Mit der Zeit wird jedes Notebook zu einem kleinen Zugriffschaos. Agents häufen sich an, Updates geraten ins Stocken, Support-Teams ringen mit Installationsproblemen, privilegierte Passwörter rücken auf die Benutzergeräte. Das Unternehmen glaubt, Zugriff zu gewähren; tatsächlich verteilt es die Kontrolle.
Zudem kann nicht jedes Gerät diese Last tragen. Chromebook, Kiosk, Mobilgerät oder Auftragnehmer-Rechner können die nötigen Clients oft nicht ausführen. Damit der Betrieb nicht stoppt, werden Ausnahmen geöffnet, und provisorische Lösungen werden dauerhaft.
Der schwächste Punkt dieser Architektur ist das Audit. Sitzungsaufzeichnung, Bildschirm-Wasserzeichen, Clipboard-DLP, Dateitransferkontrolle und In-Session-Risikobewertung sind kein natürlicher Bestandteil des Zugriffs. Sie werden mit nachträglich hinzugefügten Produkten zusammengeflickt.
Remote-Zugriff darf nicht die Summe separater Tools sein. Er sollte eine Identität, ein Portal, eine Audit-Ebene und einen sicheren Zugriffsweg haben.
Fünf Protokolle werden über einen einzigen HTTPS-Endpunkt in den Browser gerendert; die Audit- und Policy-Ebene des Unternehmens ist direkt in das Gateway eingebettet.
RDP, VNC, SSH, Kubernetes exec und Telnet werden im vorhandenen Browser des Benutzers in einen HTML5-Canvas und ein Terminal gerendert. Chromebook, eingeschränkte Workstation, Mobilgerät, Auftragnehmer-Notebook — jedes Gerät mit einem modernen Browser wird zu einer voll funktionsfähigen Workstation.
Das Gateway terminiert alle fünf Protokolle hinter einem einzigen TLS-geschützten WebSocket-Endpunkt. Firewall-Regeln reduzieren sich auf eine Zeile, die Angriffsfläche auf Netzwerkebene sinkt auf einen Port, und Remote-Teams jagen keine UDP-, Port-3389- oder Split-Tunnel-Ausnahmen mehr.
Die Credentials des Zielsystems werden in einem Vault gehalten und im Moment des Sitzungsstarts injiziert. Der Benutzer meldet sich mit seiner eigenen Identität und MFA am Portal an; das Gateway ruft das privilegierte Credential beim Start ab und übergibt es direkt an die Protokoll-Engine. Rotation, Außerbetriebnahme und sitzungsbasierte Passwortverwaltung werden automatisch.
Jede Sitzung kann als Standard-MP4 aufgezeichnet werden, jedes Einzelbild wird mit der Identität des Operators als Wasserzeichen versehen und kontinuierlich gegen die Policy bewertet. Tastenanschläge und Clipboard-Ereignisse werden mit Regex-basierter Maskierung für Passwort- und PII-Muster protokolliert. Das Gateway, das die Sitzung rendert, ist auch Eigentümer des Audit-Trails.
Fünf Protokolle plus die Unternehmensebene, die wir darauf aufgebaut haben.
Network Level Authentication, TLS-geschützte Sitzung, Laufwerksumleitung, Audio- und Clipboard-Unterstützung, dynamische Auflösung und Druckerumleitung sind vollständig integriert. Die RemoteApp-Funktion veröffentlicht eine einzelne Windows-Anwendung (einen ERP-Client, AutoCAD, eine alte Buchhaltungssoftware) als Fenster im Browser des Benutzers — kein vollständiger Desktop, keine Taskleisten-Exposition, Nebenanwendungen bleiben unsichtbar. Legacy-Modernisierung ohne VDI-Last.
Funktioniert mit TightVNC, RealVNC, UltraVNC, x11vnc und allen RFB-kompatiblen Servern. Es gibt mehrere Authentifizierungsschemata (Passwort, ARD, VeNCrypt mit TLS), bidirektionales Clipboard, Cursor-Render-Modi und Farbtiefeneinstellung für geringe Bandbreite. Mac- und Linux-Desktops mit integrierter Bildschirmfreigabe werden zu erstklassigen Portalzielen.
Vollständig xterm-kompatibles Terminal; wird mit Schlüssel-, Agent-, Passwort- und Zertifikat-Authentifizierung aufgebaut. SFTP läuft über dieselbe SSH-Verbindung — ein integriertes Datei-Panel ermöglicht es dem Benutzer, Dateien per Drag-and-Drop hochzuladen oder auszuwählen und herunterzuladen, ohne den Browser zu verlassen. Locale-Einstellungen und Tastaturlayouts werden natürlich verarbeitet, der Sitzungstext ist wie jede Webseite durchsuchbar und kopierbar.
Operatoren erhalten über den exec-Endpunkt der Kubernetes-API eine interaktive Shell in jedem Pod im Umfang von Namespace und Container. Es gibt kein zu installierendes kubectl, keine zu verteilende kubeconfig-Datei, kein auf das Notebook geleaktes Service-Account. RBAC wird einmal im Portal eingerichtet, das Audit findet im Gateway statt, und SREs greifen aus jedem beliebigen Browser auf das Cluster zu.
Einige Assets erwarten noch immer Telnet — Cisco IOS aus der Zeit vor SSH, OT/SCADA-HMIs, Mainframe-Gateways. Das Portal behandelt sie mit derselben Render-, Audit- und Wasserzeichenebene, die für die anderen Protokolle gilt. Telnet wird policy-basiert optional aktiviert; der Operator sieht beim Start eines Klartextprotokolls eine klare Warnung.
Die privilegierten Credentials des Zielsystems verbleiben im Plattform-Vault und befinden sich niemals auf dem Gerät des Benutzers. Wird eine Sitzung gestartet, ruft das Gateway das Credential aus dem Vault ab und übergibt es an die Protokoll-Engine; der Benutzer öffnet die Sitzung, ohne das Passwort zu sehen oder einzugeben. Die Rotation läuft nach dem vom Operator festgelegten Zeitplan — falls das Asset es erfordert, sogar nach jeder Sitzung.
Die Aufzeichnung wird asset-, benutzergruppen- oder sitzungsbasiert konfiguriert — Administratoren entscheiden, wo sie verpflichtend (Systeme im Compliance-Umfang, Drittanbieter-Auftragnehmer) und wo sie optional ist. Die Ausgabe wird als Standard-H.264-MP4 mit Retention-Kontrollen in den lokalen Speicher des Gateways geschrieben. Aufzeichnungen sind nach Benutzer, Asset und Zeitstempel durchsuchbar; Prüfer können jede Sitzung direkt im Browser erneut abspielen.
Jedes gerenderte Einzelbild trägt ein Wasserzeichen, das Komponenten aus dem Live-Kontext der Sitzung (Operator-Identität, Quell-IP, Asset-Name, Zeitstempel) bezieht. Die Vorlage wird vom Administrator definiert. Das Wasserzeichen wird serverseitig in den Stream eingearbeitet; clientseitige Werbeblocker oder DOM-Manipulation können es nicht entfernen. Es schreckt vom Abfotografieren des Bildschirms ab, macht geleakte Screenshots nachvollziehbar und erinnert daran, dass jede Aktion beobachtet wird.
Die Audit- und Policy-Ebene, die clientlosen Zugriff in eine privilegierte Zugriffskontrolle auf Unternehmensniveau verwandelt.
Jede aktive Sitzung wird kontinuierlich gegen die beim Start angewendete Conditional-Access-Policy neu bewertet. Wenn die IP des Operators das Land wechselt, der Endpunkt-Vertrauens-Score sinkt, das Gerät den verwalteten Posture-Zustand verlässt oder das Verhalten anomal wird, kann das Gateway die Sitzung beenden, zusätzliche MFA verlangen, die Sitzung in den Nur-Lese-Modus versetzen oder das Sicherheitsteam alarmieren — ohne auf die nächste Anmeldung zu warten.
Jeder Tastenanschlag, jedes Clipboard-Ereignis und jeder Dateitransfer wird mit dem Kontext von Sitzung, Asset und Zeitstempel protokolliert. Sensible Muster — Passwort-Komplexitätsheuristiken, Kreditkartennummern, nationale Personenkennzeichen und benutzerdefinierte Regexes — werden automatisch maskiert, bevor sie ins Log gelangen. Der Audit-Trail bleibt lückenlos, ohne selbst zu einer zweiten Leckquelle zu werden.
Clipboard-Inhalt, der zwischen dem Browser des Benutzers und dem Remote-Asset fließt, wird gegen die Policy geprüft. Administratoren erlauben bei regulierten Assets nur das Hineinkopieren, deaktivieren das Clipboard vollständig oder maskieren passende Muster inline — sie redigieren beispielsweise Kreditkartennummern im nach außen eingefügten Text, ohne den Rest des Textes zu beschädigen.
Upload und Download sind getrennte Berechtigungen, konfiguriert pro Asset und Rolle. Größenlimits, eine Liste erlaubter MIME-Typen, Virenscan über die WAAP-Inspektions-Engine der Plattform und ein Audit-Eintrag pro Transfer — sie verwandeln den normalerweise unsichtbaren Exportkanal in einen kontrollierten, beobachtbaren Kanal.
Hochsensible Assets können vom Endpoint Trust Manager (ETM) der Plattform einen Mindest-Vertrauens-Score verlangen, damit der Start-Button aktiv werden kann. Ein Auftragnehmer-Notebook ohne Festplattenverschlüsselung, ein privates Gerät mit fehlenden Patches oder eine als schadhaft markierte Workstation erreicht für diese Assets gar nicht erst die Startseite — ohne dass der Operator sich separate Regeln merken muss.
Autorisierte Operatoren können einer laufenden Sitzung als zweiter Betrachter beitreten — zur stillen Beobachtung oder zur interaktiven Anleitung. Junior-Administratoren erhalten eine Schulung über die Schulter, Sicherheitsteams untersuchen verdächtige Aktivität in Echtzeit, und Incident-Response-Teams greifen live auf den Bildschirm zu, nicht erst später aus der Aufzeichnung.
Systeme im Umfang von PCI-DSS, HIPAA, GDPR und ISO 27001 erfordern, dass jede privilegierte Sitzung aufgezeichnet, mit Wasserzeichen versehen und einem benannten Operator zuordenbar ist. Das Portal macht dies für die Assets, die dem Prüfer wichtig sind, zum Standard; bei den übrigen Assets hält es sich zurück.
Auftragnehmer erhalten umfangsbegrenzten und zeitlich befristeten Zugriff auf bestimmte Assets — niemals auf das Netzwerk, niemals auf ein geteiltes Admin-Passwort, niemals auf ein langlebiges VPN-Konto. Jede Sitzung wird aufgezeichnet, mit der Identität des Auftragnehmers als Wasserzeichen versehen und erscheint zur Live-Prüfung in der Support-Warteschlange.
SREs erreichen jeden Pod in jedem Cluster aus jedem beliebigen Browser — ohne kubectl-Installation, kubeconfig-Verteilung oder cluster-spezifische Service-Account-Tokens, die auf Notebooks zirkulieren. RBAC, Audit und Policy leben im Portal; sie verteilen sich nicht auf Kommandozeilen-Tools.
Ein alter Windows-ERP-Client wird per RDP RemoteApp veröffentlicht; ein Cisco-Gerät aus der Zeit vor SSH wird mit verpflichtender Aufzeichnung über Telnet geöffnet; ein HMI im segmentierten OT-Netzwerk wird nur über das auditierte Portal erreichbar. Alte Assets laufen weiter, während sich der Zugriff um sie herum modernisiert.
Zugriff auf RDP, VNC, SSH, Kubernetes und Legacy-Systeme über den Browser — Aufzeichnung, Wasserzeichen, Vault und Policy integriert. Wir führen Sie durch eine Live-Installation auf Ihren eigenen Assets.