Reverse Proxy
Server, der vor Backend-Servern steht und Client-Anfragen an diese weiterleitet — als zentraler Punkt für TLS-Terminierung, Lastverteilung, Caching und Sicherheitsfilterung.
Ein Reverse Proxy ist ein Server, der vor einem oder mehreren Backend-Servern positioniert ist und eingehende Client-Anfragen entgegennimmt, um sie an die passenden Backend-Systeme weiterzuleiten. Aus Sicht des Clients ist der Reverse Proxy der eigentliche Server — die dahinterliegende Infrastruktur bleibt verborgen. Genau diese Eigenschaft macht ihn zu einem zentralen Baustein moderner Webarchitekturen: Er bündelt Anfragen an einem einzigen Punkt und ermöglicht dort TLS-Terminierung, Lastverteilung, Caching und Sicherheitsfilterung, ohne dass jeder Backend-Server diese Aufgaben selbst übernehmen muss.
Reverse Proxy und Forward Proxy im Vergleich
Beide Proxy-Arten vermitteln zwischen Client und Server, agieren aber aus entgegengesetzten Richtungen. Ein Forward Proxy steht auf der Client-Seite und leitet Anfragen interner Nutzer ins Internet weiter — etwa zur Filterung oder Anonymisierung des ausgehenden Verkehrs. Ein Reverse Proxy steht dagegen auf der Server-Seite und nimmt Anfragen aus dem Internet für die eigene Infrastruktur entgegen.
| Merkmal | Forward Proxy | Reverse Proxy |
|---|---|---|
| Position | Client-seitig | Server-seitig |
| Vertritt | den Client gegenüber dem Server | den Server gegenüber dem Client |
| Typischer Zweck | Ausgangsfilterung, Anonymisierung, Caching für Nutzer | TLS-Terminierung, Lastverteilung, Backend-Schutz |
| Wem bekannt | dem Client (explizit konfiguriert) | dem Client unbekannt (transparent) |
Kernfunktionen
In der Praxis übernimmt ein Reverse Proxy mehrere Aufgaben gleichzeitig. Bei der TLS-Terminierung beendet er die verschlüsselte Verbindung zentral, sodass Zertifikate und Cipher-Suites nur an einer Stelle gepflegt werden müssen statt auf jedem Backend. Beim Request Routing leitet er Anfragen anhand von Pfad, Host-Header oder anderen Kriterien an unterschiedliche Dienste weiter — die Grundlage für Microservice-Architekturen. Über Caching kann er statische oder häufig angefragte Inhalte zwischenspeichern und so die Backend-Last reduzieren.
Eng verwandt ist die Lastverteilung: Ein Reverse Proxy verteilt eingehende Anfragen auf mehrere gleichartige Backend-Server. Die Grenze zum Load Balancer ist dabei fließend — ein Reverse Proxy ist in vielen Setups zugleich der Load Balancer, und ein vorgelagertes CDN wirkt seinerseits als verteilter Reverse Proxy. Die Begriffe beschreiben weniger getrennte Produkte als unterschiedliche Funktionsschwerpunkte derselben Komponente.
Sicherheitsfunktion
Aus Sicherheitssicht ist der entscheidende Vorteil, dass der Reverse Proxy einen einzigen kontrollierten Eintrittspunkt (Chokepoint) bildet. An dieser Stelle lässt sich eine Web Application Firewall ansetzen, die HTTP-Anfragen prüft, bevor sie ein Backend erreichen. Die zentrale TLS-Terminierung erleichtert ein konsistentes Zertifikatsmanagement, und durch das Verbergen der Origin-Server wird die Angriffsoberfläche reduziert: Interne IP-Adressen, Server-Versionen und Topologie bleiben unsichtbar. Header-Sanitisierung — das Entfernen oder Normalisieren riskanter HTTP-Header — und die Integration mit IDS/IPS ergänzen den Schutz. Verbreitete Implementierungen sind nginx, haproxy und traefik; auch Cloud-Dienste und Application-Layer-Firewalls bringen Reverse-Proxy-Funktionen mit.
Risiken bei Fehlkonfiguration
Ein Reverse Proxy verschiebt Sicherheitsverantwortung an einen exponierten Punkt — und wird bei Fehlkonfiguration selbst zum Risiko. Wir finden in Assessments regelmäßig Server-Side Request Forgery (SSRF), bei der ein Angreifer den Proxy dazu bringt, interne Ziele anzufragen, die von außen eigentlich nicht erreichbar sind. HTTP Request Smuggling nutzt Unterschiede aus, wie Proxy und Backend mehrdeutige Anfragen interpretieren, und kann so Sicherheitskontrollen umgehen. Hinzu kommen versehentlich exponierte Admin-Pfade oder Status-Endpunkte sowie zu großzügige Weiterleitungsregeln, die mehr Backend-Funktionalität freigeben als beabsichtigt. Sorgfältige Pfad- und Header-Validierung sowie ein konsistentes Parsing zwischen Proxy und Backend sind deshalb essenziell.
Relevanz für KMUs
Für mittelständische Unternehmen ist ein Reverse Proxy oft die wirtschaftlichste Möglichkeit, mehrere Webdienste hinter einer gemeinsamen, gehärteten Eintrittsstelle zu bündeln. Statt jeden Server einzeln mit Zertifikaten, Filterregeln und Veröffentlichungslogik auszustatten, lässt sich dies zentral umsetzen — ein klarer Gewinn an Übersichtlichkeit und Wartbarkeit. Entscheidend ist, dass der Proxy selbst gehärtet wird: aktuelle Software, restriktive Weiterleitungsregeln, deaktivierte oder geschützte Admin-Oberflächen und eine vorgeschaltete WAF. Richtig konfiguriert ist der Reverse Proxy ein wirksamer Baustein eines mehrschichtigen Schutzkonzepts; nachlässig betrieben wird er zum zentralen Single Point of Failure und zur Eintrittspforte.