Bastion Host

Was ist ein Bastion Host?

Ein Bastion Host (auch „Jump Host“ genannt) ist ein speziell abgesicherter Server, der als Zugangs-Gateway zu einem internen Netzwerk dient. Er ist so konzipiert, dass er exponiert, aber kontrolliert erreichbar ist – typischerweise aus dem Internet.

Technischer Aufbau & Funktionen

Bastion Hosts sind meist in der DMZ (Demilitarized Zone) positioniert und verfügen nur über die notwendigste Software, um:

• SSH- oder RDP-Zugänge abzusichern

• Logging & Auditing zu ermöglichen

• als Proxy oder Gateway zu fungieren

Absicherung erfolgt durch:

• strenge Firewall-Regeln

• regelmäßig gepatchte Minimal-Systeme

• Multi-Faktor-Authentifizierung

• automatisches Session-Logging

Sie sind häufig Teil eines Zero-Trust-Netzwerkdesigns.

Relevanz für Unternehmen

Ein Bastion Host ist besonders wichtig in Umgebungen mit:

• Remote-Administratoren

• Cloud-Infrastrukturen (AWS, Azure)

• KRITIS-Betrieb oder isolierten Netzwerkzonen

Er dient als zentrale Kontrolleinheit für privilegierten Zugriff – mit klar nachvollziehbaren Auditspuren.

Standards & Compliance-Bezug

• ISO 27001 A.9.4.4 – Zugriff auf privilegierte Systeme

• NIS-2 – erfordert segmentierte, nachvollziehbare Zugriffspfade

• BSI-IT-Grundschutz SYS.1.3 – fordert minimierte Angriffspunkte an Netzwerkschnittstellen

Verwandte Begriffe

• Jump Server

• SSH Gateway

• DMZ

• Remote Access

• Zero Trust

Beispiel aus der Praxis

Bei einem Incident wurde festgestellt, dass ein externer Dienstleister ohne Bastion Host direkt per RDP ins interne Netzwerk durfte.
Der Zugriff war weder dokumentiert noch protokolliert – ein klarer Verstoß gegen Zugriffsrichtlinien.