Qubes OS: Dieses Workstation-Betriebssystem schützt Unternehmen vor Industrie-Spionage
Die aktuelle geopolitische Lage erfordert ein Umdenken in Sachen IT-Sicherheit für viele Unternehmen. Die NIS-2 Direktive verschärft die Anforderungen an Sicherheit für viele Firmen drastisch. Durch immer stärker werdende AI-Modelle wird es immer einfacher, kritische Sicherheitslücken in Unternehmen zu finden und Hacking-Angriffe vollständig zu automatisieren. Das Hochsicherheits-Betriebssystem Qubes OS schafft Abhilfe. Es bietet den bestmöglichen Schutz vor Hacking-Angriffen und ist dabei komfortabel und ohne Einschränkungen nutzbar. Das als Open Source Projekt frei verfügbare Betriebssystem wurde von IT-Sicherheitsforschern speziell für Firmen und Individuen wie zum Beispiel Journalisten, Menschenrechts-Aktivisten oder -Anwälte mit besonders hohen Sicherheitsanforderungen entwickelt. Das Sicherheitsmodell von Qubes OS Qubes OS Sicherheitsmodell basiert auf der Isolierung einzelner Anwendungen voneinander. Die Grundidee ist hierbei, dass die Übernahme eines Programms, wie z.B. des Browsers, durch Angreifer mit hoher krimineller Energie oder staatliche Akteure nicht dazu führt, dass andere Programme, wie z.B. der E-Mail-Client, automatisch ebenfalls kompromittiert sind. In gängigen Betriebssystemen wie Windows, OSX oder gängigen Linux-Distributionen werden alle Programme unter einem einzelnen Nutzer betrieben. Da z.B. Firefox mit den Berechtigungen des normalen Nutzers, mit welchem Sie sich beim Start des Betriebssystems anmelden, betrieben wird, kann dieser in der Praxis auch auf alle Dateien zugreifen, welche nicht zum Betrieb von Firefox benötigt werden. Verwenden Sie einen lokalen E-Mail-Client, hat Firefox also standardmäßig auch Zugriff auf die dort gespeicherten E-Mails. Qubes OS isoliert einzelne, bzw. je nach Setup Gruppen von Anwendungen voneinander, indem jede Anwendung in einer eigenen virtuellen Maschine (VM) betrieben wird. Diese Herangehensweise wird auch von großen IaaS- und Cloud-Providern eingesetzt – hier werden auf einem physischen Server mehrere VMs betrieben, welche an unterschiedliche Kunden vermietet werden. Durch die Sicherheitsmechanismen von XEN kann die VM von Kunde A aber nicht auf die Daten in der VM von Kunde B zugreifen. Qubes geht jedoch einige Schritte weiter und nutzt zum Betrieb von Software, wie zum Beispiel des Browsers Firefox, lediglich Snapshots von sogenannten Template VMs. Wenn Sie Firefox starten, erstellt Qubes in wenigen Millisekunden eine Kopie einer VM. In dieser Kopie wird Firefox dann gestartet. Nach dem Herunterfahren der Firefox VM wird die Kopie wieder verworfen. Sollte der Nutzer während der Nutzung von Firefox Schadsoftware installiert haben, wird diese lediglich im Betriebssystem der temporären VM installiert. Sobald Sie Firefox schließen, wird diese VM samt der Schadsoftware gelöscht. Sie können VMs auch so einrichten, dass gar keine Daten permanent gespeichert werden (disposable VMs) – dies ist zum Beispiel für Browser hilfreich, welche Sie nur zum Surfen im Internet verwenden. Selbstverständlich können Sie in Qubes OS auch Daten herunterladen und permanent speichern. Hierfür werden lediglich bestimmte Verzeichnisse, wie z.B. das Home-Verzeichnis innerhalb der VM, permanent gespeichert. Alle anderen Dateien werden beim Herunterfahren der VM, gemeinsam mit dort eventuell installierter Malware, verworfen. Qubes OS bietet eine Vielzahl weiterer Mechanismen, um die Verwaltung dieses Sicherheitsmodells für den Anwender so benutzerfreundlich wie möglich zu gestalten. Es existieren zahlreiche grafische Anwendungen, welche die Verwaltung der einzelnen VMs erleichtern, sowie gängige Schritte, wie zum Beispiel Copy-Paste zwischen VMs, zum Beispiel einen Link von E-Mail zur Browser VM, oder das Kopieren von Dateien, zum Beispiel eine Datei von der E-Mail-Client-VM zur Dokumenten-Verwaltungs-VM, erleichtern. Diese Tools garantieren, dass Qubes OS auch von nicht technisch versierten Anwendern, wie z.B. Anwaltskanzleien, Journalisten, Sekretärinnen usw. verwendet werden kann. Sichere Hardware für ein sicheres Betriebssystem Für ein auf hohe Sicherheit ausgelegtes Betriebssystem eignet sich am besten eine auf hohe Sicherheit ausgelegte Workstation. Die Hersteller gängiger sowie auf Unternehmen ausgerichteter Hardware wie Laptops und Workstations sind generell eher an Umsatz als an Sicherheit interessiert. Zahlreiche Schwachstellen in BIOS / UEFI Implementierungen, sowie die nicht ohne weiteres deinstallierbare Intel-Management-Engine (IME) oder AMDs Pendant Platform Security Processor (PSP) können es Angreifern mit besonders hoher krimineller Energie sowie staatlichen Akteuren erleichtern, permanent Trojaner und Spyware auf Ihren Computern zu installieren, selbst wenn Sie das alte Betriebssystem komplett entfernen und neu installieren. Qubes OS schafft durch die Zusammenarbeit mit verifizierten Hardware-Herstellern Abhilfe. Ein Beispiel hierfür ist die niederländische Firma NovaCustom B.V., welche sich auf die Herstellung von Hochsicherheits-Laptops spezialisiert hat. Durch die enge Zusammenarbeit mit dem Qubes-OS-Entwickler-Team werden neue Versionen von Qubes OS vor dem Release speziell für die einwandfreie Funktionalität mit NovaCustom Laptops getestet. NovaCustom bietet zahlreiche Sicherheitsfeatures – so verwenden die dort hergestellten Laptops nicht das BIOS von Intel, sondern Coreboot, ein für hohe Sicherheit entwickeltes BIOS-Pendant, welches als Open Source Produkt frei verfügbar ist und durch unabhängige Sicherheitsfirmen sowie durch die Open Source Community geauditet wurde und wird. Des Weiteren bietet NovaCustom zahlreiche physische Sicherheits-Features, wie z.B. die Entfernung von Mikrofon und Kamera ab Werk, den Versand der Laptops aus den Niederlanden in Verpackungen, welche zeigen, ob sie bereits einmal geöffnet wurde, WIFI-Karten mit Open Source Firmware und Privacy-Screens, welche die Nutzung des Bildschirms nur aus einem direkten Blickwinkel auf den Bildschirm zulassen. All diese Maßnahmen tragen dazu bei, die Angriffsvektoren Ihrer IT-Infrastruktur zu minimieren. Anwendungsbeispiel: So funktioniert eine Qubes OS Workstation in der Praxis Wenn Sie Ihre Qubes OS Workstation starten, müssen Sie zuerst das Festplatten-Entschlüsselungs-Passwort eingeben. Qubes OS verwendet hierfür LUKS, die Standard-Festplatten-Verschlüsselungs-Software der meisten Linux-Distributionen. Direkt nach dem Hochfahren des Betriebssystems startet Qubes OS automatisch diverse Netzwerk-VMs. Qubes OS hat eine eigene VM, an welche die Netzwerkkarte angehängt ist. Hier richten Sie den Zugriff auf das Kabel- oder kabellose Wifi-Netzwerk ein. Diese VM heißt sys-net. Hinter sys-net läuft eine VM sys-firewall, in welcher Sie Firewallregeln für alle folgenden VMs einrichten können. Hier können Sie z.B. einrichten, dass Ihre E-Mail VM nur auf die IMAP und SMTP Ports von gmail.com zugreifen kann. Hinter sys-firewall können Sie wahlweise noch eine sys-net-vpn VM einrichten, welche den Netzwerk-Verkehr aller folgender VMs durch ein VPN leitet. Hinter sys-net-vpn, oder respektiv sys-firewall, schalten Sie dann alle Anwendungs-VMs wie Firefox oder Ihren E-Mail-Client. Sobald alle Netzwerk-VMs gestartet sind, ist es gängig, sämtliche aktuell verfügbaren Sicherheits-Updates zu installieren. Hierfür stellt Qubes OS ein einfach zu bedienendes grafisches Tool bereit. Nachdem Sie den ersten Kaffee gekocht haben, sind alle Updates installiert und Sie können Ihren Arbeitstag starten. Sie können nun alle Programme, bzw. VMs starten, welche Sie für Ihre tägliche Arbeit benötigen, wie zum […]
Quelle: ZDNet.de – Qubes OS: Dieses Workstation-Betriebssystem schützt Unternehmen vor Industrie-Spionage