Für die große Mehrheit der Webanwendungen ist es kein Problem, im Browser zu laufen — die Anwendung ist öffentlich, die Daten sind nicht sensibel, und es ist unbedenklich, dass der Benutzer von einem beliebigen Gerät aus zugreift. Für die kleinere Anwendungsklasse, die privilegierte Daten, regulierte Inhalte, interne Verwaltungspanels oder Drittanbieterzugriff verwaltet, ist dieses Modell das Problem selbst. Der HTML-Code der Anwendung, das JavaScript, das sie ausführt, die Cookies, die die Sitzung öffnen, und die API-Antworten, die die Daten transportieren — alles landet auf einem Gerät, das die Organisation nicht vollständig kontrollieren kann. Eine kompromittierte Browser-Erweiterung, eine Schadsoftware, die die Tastatur abhört, ein Trojaner, der den Bildschirm aufzeichnet, oder jemand, der diese Maschine nicht benutzen sollte — jeder davon kann die vor ihm liegende Anwendung direkt erreichen.
Auf der Geräteseite ergriffene Maßnahmen — auf Benutzercomputern installierte Sicherheitsrichtlinien, unternehmensweite Mobile-Device-Management-Lösungen (MDM) oder VPN-Konfigurationen, die nur den Geschäftsverkehr in das Unternehmensnetzwerk leiten — verringern dieses Risiko, beseitigen es aber nicht vollständig. Denn alle ändern nicht dieselbe grundlegende Tatsache: Die Anwendung läuft weiterhin auf der Maschine des Benutzers, und der gesamte Inhalt der Anwendung wird an diese Maschine ausgeliefert. So streng das Gerät auch verwaltet wird, das, was abfließen kann, steht weiterhin dort.
Remote Browser Isolation schließt diesen Weg auf Architekturebene. Die geschützte Anwendung läuft nicht auf dem Gerät des Benutzers, sondern in einer vollständig isolierten Sitzung auf der TR7-Plattform. Der Benutzer öffnet einen Standard-Browser-Tab und sieht nur das Bild der laufenden Anwendung. Klick- und Tastatureingaben fließen zurück in die isolierte Sitzung. Der eigentliche Inhalt der Anwendung — jeder DOM-Knoten, jedes Skript, jedes Cookie, jede API-Antwort — bleibt innerhalb der Plattform, deren Sicherheitsgrenze die Organisation bereits gezogen hat.
Jede davon ist für sich allein wichtig. Zusammen betrachtet beschreiben sie, wie eine Remote Browser Isolation aussieht, die in dieselbe Plattform eingebettet ist, die die Anwendung bereits ausliefert und schützt.
Die geschützte Anwendung läuft in einer vollständig isolierten Sitzung in der TR7-Engine. An den Browser des Benutzers wird nur das gerenderte Bildschirmbild übertragen; der HTML-Code, das JavaScript und die Cookies der Anwendung werden dem Benutzer nie gesendet. Klick- und Tastatureingaben fließen zurück in die isolierte Sitzung und werden auf der echten Anwendung ausgeführt. Das Gerät des Benutzers dient nicht als Ausführungsumgebung, sondern nur als Anzeigebildschirm.
Der Benutzer öffnet einen beliebigen modernen Browser (Chrome, Firefox, Safari, Edge) und verbindet sich mit der über TR7 geöffneten Adresse. Es ist kein lokaler Client, keine Browser-Erweiterung, kein Agent und kein VPN-Tunnel erforderlich. Dieselbe Methode funktioniert auf unternehmensverwalteten Laptops, dem eigenen Telefon des Mitarbeiters, den persönlichen Maschinen externer Auftragnehmer und auf gemeinsam genutzten Computern auf dieselbe Weise. Alles, was benötigt wird, ist ein aktueller Browser.
Jede isolierte Sitzung ist auf die vom Operator erlaubten Domains beschränkt. Navigationsanfragen, seiteninterne Linkklicks, Single-Page-Application-Weiterleitungen und Versuche, neue Tabs zu öffnen — alle werden vor der Ausführung gegen die Allowlist geprüft. Der Benutzer wird nicht mitten in der Sitzung auf eine unzusammenhängende Website gezogen; eine injizierte Weiterleitung kann die Sitzung nicht an einen Ort lenken, an dem sie nicht sein sollte.
Jede isolierte Sitzung zeichnet kontinuierlich auf: ein Video des gerenderten Bildschirms, durch bedeutsame Ereignisse (Klick, Navigation, Formularübermittlung) ausgelöste intelligente Screenshots, wortbasierte Tastaturerfassung, Zwischenablageoperationen einschließlich ihres Inhalts, Mausposition und URL-Änderungen. Untersuchungsbereiter Nachweis ohne ein separates Aufzeichnungsprodukt.
Remote Browser Isolation läuft innerhalb derselben TR7-Engine, die Ihre Anwendungen ausliefert, mit WAAP schützt und Benutzer über das Zugriffsgateway authentifiziert. Ein einziges vService-Modell, eine einzige Operatorkonsole, ein einziger Audit-Trail, ein einziges Bandbreitenmodell. Kein separates Produkt, das lizenziert und integriert werden muss.
Alle folgenden Fähigkeiten kommen als Teil derselben TR7-Plattform. Konfigurieren Sie sie pro Anwendung, ohne Code zu schreiben.
Jede Benutzersitzung läuft in ihrer eigenen, vollständig isolierten Umgebung auf der Plattform. Sitzungen teilen keinen Speicher, keine Cookies, keinen Browser-Zustand. Wenn der Benutzer die Verbindung trennt, wird die Sitzung vollständig abgebaut — zwischen Sitzungen bleibt nichts bestehen.
Die gerenderte Anwendung erreicht den Benutzer über einen beliebigen modernen Browser als Echtzeit-Bildstream. Der Endpunkt erhält ein Bild; er erhält weder das HTML, das das Bild erzeugt, noch das JavaScript, das die Interaktion verwaltet, noch die Cookies, die den Authentifizierungsstatus halten.
Definieren Sie genau, welche Domains die isolierte Sitzung erreichen darf. Anfangsnavigation, seiteninterne Linkklicks, serverseitige Weiterleitungen und Single-Page-Application-Routenänderungen — alle werden gegen die Allowlist geprüft. Anwendungen, die moderne clientseitige Weiterleitung verwenden, werden korrekt behandelt — nicht nur die erste Anfrage.
Versuche, neue Tabs zu öffnen, Popup-Fenster und das Browser-Kontextmenü werden innerhalb der isolierten Sitzung blockiert. Der Benutzer kann nicht von der kontrollierten Oberfläche in eine beliebige Navigationsumgebung entkommen. Wenn in bestimmten Anwendungsfällen eine Ausnahme erforderlich ist, kann sie pro Anwendung konfiguriert werden.
Screenshots werden durch das ausgelöst, was der Benutzer tatsächlich tut — Klick, Navigation, Formularübermittlung, Kopiervorgang. Paare aus Vor- und Nach-Navigation erfassen die Geschichte "was wurde angeklickt → was wurde geöffnet". Die Mausposition wird im Screenshot markiert. Seiten werden nicht in halb gerendertem Zustand erfasst, sondern nachdem sie das Laden beendet haben.
Tastenanschläge werden nicht als rohe Tastencodes, sondern als lesbare Wortereignisse aufgezeichnet. Automatische Wiederholungen werden gefiltert. Backspace wird inline markiert. Kopieren-, Ausschneiden- und Einfügen-Vorgänge werden mit ihrem tatsächlichen Inhalt protokolliert. Sicherheitsanalysten lesen ein verwertbares Transkript dessen, was der Benutzer geschrieben hat, statt eines Low-Level-Ereignisstroms.
Jeder Kopieren-, Ausschneiden- und Einfügen-Vorgang innerhalb der isolierten Sitzung wird mit seinem Inhalt erfasst. Operatoren können sehen, welche Daten während der Sitzung genau durch die Zwischenablage gelaufen sind — einschließlich in Formularfelder eingefügter Werte und aus der Anwendung kopierten Texts.
Die vollständige gerenderte Ausgabe der Sitzung wird während der gesamten Dauer der Verbindung des Benutzers als Video aufgezeichnet. Nützlich für nachträgliche Überprüfung, Streitbeilegung, Schulung, Audit und behördliche Vorlagen — geben Sie genau wieder, was der Benutzer gesehen und getan hat.
Die Anti-OCR-Verarbeitung, das forensische Wasserzeichen und die Textverschlüsselung von TR7 arbeiten auf dem Bildstream der isolierten Sitzung. Sobald die Anwendungsoberfläche auf der Plattformseite liegt, werden diese Anzeigeschutzfunktionen möglich — sie formen die Pixel selbst, bevor sie den Benutzer erreichen.
Operatoren können jede aktive Sitzung von der Verwaltungskonsole aus in Echtzeit beobachten, Schutzeinstellungen sofort ändern (Wasserzeichentext, Anti-OCR-Intensität, Allowlist-Einträge) und die Wirkung sofort sehen. Die Sitzung wird nicht neu gestartet, die Verbindung des Benutzers wird nicht getrennt.
Ein konfigurierbares Leerlauf-Timeout beendet verlassene Sitzungen automatisch — gibt Plattformressourcen frei und verhindert, dass ein entsperrter Bildschirm unbegrenzt aktiv bleibt. Die Sitzung wird ordnungsgemäß geschlossen und sendet eine Benachrichtigung an den Koordinator, sodass der Slot des Benutzers wiederverwendet werden kann.
Die meisten Aufzeichnungsprodukte machen eine Sache gut — Video, Screenshot oder Tastaturprotokoll. TR7 zeichnet alle drei gemeinsam auf und gestaltet jede so, dass ein Sicherheitsteam später tatsächlich davon profitieren kann.
Screenshots werden bei bedeutsamen Benutzeraktionen aufgenommen: Klick, Navigation, Formularübermittlung, Kopier- oder Einfügevorgang, kritische Verwaltungsaktion. Periodische Screenshots erzeugen meist leere Frames; ereignisgesteuerte Screenshots erzeugen Frames, die immer zeigen, warum sie aufgenommen wurden. Das Ergebnis ist ein viel kürzerer, viel signalstärkerer Erfassungssatz.
Wenn der Benutzer auf etwas klickt, das eine Navigation auslöst, werden zwei Screenshots erfasst: einer mit der Seite im Moment des Klicks, einer nachdem das Ziel vollständig geladen wurde. Das Paar erzählt die Geschichte "was wurde angeklickt → was wurde geöffnet". Untersuchende müssen nicht erraten, welcher Klick welche Seite erzeugt hat.
Jeder Screenshot enthält einen sichtbaren Marker (roter Kreis), der zeigt, wo die Maus im Moment der Erfassung war. Das genaue Element, das der Benutzer angeklickt oder über das er gefahren ist, wird auf einen Blick sichtbar — es ist nicht nötig, separate Mausprotokolle gegen den Zeitstempel des Screenshots zu korrelieren.
Der Screenshot wird aufgenommen, nachdem die Seite das Laden beendet hat — nachdem ausstehende Netzwerkanfragen abgeschlossen sind und der Browser sich beruhigt hat. Operatoren sehen die Seite so, wie der Benutzer sie tatsächlich gesehen hat, nicht als halb gerenderten Zwischen-Frame.
Tasten werden bei Leerzeichen, Enter, Tab und kurzen Timeouts gepuffert und ausgegeben — sodass das Protokoll als Wörter und Befehle gelesen wird, nicht als Strom einzelner Tastenanschläge. Automatische Wiederholungen werden gefiltert. Backspace erscheint als Inline-Markierung. Zwischenablageoperationen protokollieren den tatsächlichen Inhalt. Das Transkript liest sich wie eine verwertbare Aufzeichnung.
Die gesamte Sitzung wird parallel zu den intelligenten Screenshots als Video aufgezeichnet. Das Video liefert zeitlichen Kontext — was vor und nach den Momenten geschah, die den Screenshot ausgelöst haben. Zusammen decken sie sowohl die wichtigen Momente als auch die kontinuierliche Aufzeichnung ab.
Industrielle Steuerungsoberflächen, die von einer Unternehmensarbeitsstation, geschweige denn von einem persönlichen Gerät, niemals direkt erreichbar sein dürfen. Operatoren greifen über den Browser auf die SCADA-Konsole zu; die Anwendung selbst bleibt auf der TR7-Plattform, fern vom Endpunkt des Benutzers.
Cloud-Verwaltungskonsolen, Datenbankverwaltungstools, CI/CD-Panels, interne Steuerungsebenen — hochwertige Ziele, bei denen ein einziger kompromittierter Administrator-Endpunkt Angreifern Produktionszugriff bieten könnte. Die Isolation setzt die Konsole nicht auf den Laptop des Administrators, sondern auf die Plattform.
Rechtsdokumente, Finanzberichte, M&A-Datenräume, Vorstandsmaterialien, behördliche Vorlagen — alles, was die Organisation zeigt, aber nicht nach außen lassen möchte. Die isolierte Sitzung schließt, kombiniert mit Anti-OCR und Wasserzeichen, sowohl den Dokument-Download-Weg als auch den Screenshot-Weg.
Externe Mitarbeiter, denen für einen bestimmten Zeitraum mit eingeschränkter Berechtigung Zugriff gewährt wird. Sie erreichen die Anwendung von einem beliebigen Browser aus, sehen nur die Bereiche, die ihre Rolle erfordert, und wenn ihre Arbeit beendet ist, bleibt eine vollständig aufgezeichnete Sitzung zurück. Es ist nicht nötig, einen unternehmenseigenen Laptop auszugeben; auch kein VPN-Client, der auf der Maschine des Auftragnehmers installiert und verwaltet werden muss.
Mitarbeiter, die sich von persönlichen Laptops, Mobiltelefonen oder dem Heimcomputer aus verbinden. Die Organisation verwaltet diese Geräte nicht, weiß nicht, was darauf installiert ist, und sollte Anwendungsinhalte nicht an diese Geräte ausliefern. Die Isolation verwandelt solche Geräte wieder in einen sicher akzeptablen Zugriffsweg.
Klinikpersonal muss Patientenakten, Laborergebnisse und Bildgebung auf dem Bildschirm lesen — oft von gemeinsam genutzten Arbeitsstationen und mobilen Geräten aus. Der geschützte Viewer läuft auf der Plattform; nichts, was die anzuzeigenden PHI lecken könnte, erreicht das Gerät des Benutzers.
Sehen Sie TR7 Remote Browser Isolation in einer Live-Demo. Wir zeigen dieselbe Webanwendung, während sie in einer vollständig isolierten Sitzung auf der Plattform läuft, den Bildstream, während er den Browser erreicht, und die Sitzungsaufzeichnung, die der Operator in Echtzeit sieht — gemeinsam.