Qubes OS: Mehr Sicherheit für Unternehmen, Freiberufler, Anwälte, Menschenrechtsaktivisten und Journalisten

In einer Zeit, in der Datenschutz und digitale Sicherheit immer wichtiger werden, ist es entscheidend, ein Desktop-Betriebssystem zu wählen, welches diese Anforderungen erfüllt. Eine der innovativsten und sicherheitsorientierten Lösungen ist Qubes OS. Dieser Artikel erläutert ausführlich, was das hochsicherheits-Desktop-Betriebssystem Qubes OS ist, wie es funktioniert und wie es insbesondere für Unternehmen welche von Industrie-Spionage bedroht sind, Regierungsbeamte und Diplomaten, Wissenschaftler und Forscher, Menschenrechtsaktivisten und – Anwälte, Whistleblower usw. einen erheblichen Sicherheitsgewinn bietet.

Was ist Qubes OS und wie funktioniert es?

Qubes OS ist ein quelloffenes (Open Source) Betriebssystem, welches eine besonders hohe Sicherheit durch Isolation der einzelnen Desktop-Anwendungen erreicht. Es wurde entwickelt, um eine sichere und dennoch benutzerfreundliche Computing-Umgebung zu schaffen, indem es Anwendungen und Arbeitsbereiche in isolierten virtuellen Maschinen (VMs) betreibt. VMs werden zum Beispiel von Cloud-Providern genutzt, um deren Kunden Cloud Instanzen (welche einfach nur virtuelle Maschinen sind) zur Verfügung zu stellen. Auch hier soll Kunde A nicht auf die VM von Kunde B zugreifen können. Nach diesem Prinzip funktioniert Qubes OS – die Isolation der einzelnen Desktop-Anwendungen wie Firfeox, E-Mail Client usw. verhindert, dass eine kompromittierte Anwendung auf andere Anwendungen oder deren Daten zugreifen und Schaden anrichten kann.

Qubes OS im Vergleich zu anderen sicherheitsfokussierten Betriebssystemen

Qubes OS

Das Kernprinzip von Qubes OS ist „Sicherheit durch Isolation“. Jedes Programm und jede Aktivität wird in einer eigenen VM ausgeführt, die als „Qube“ bezeichnet wird. Diese Qubes sind vollständig voneinander getrennt, sodass ein Angriff auf eine Qube nicht auf andere Qubes übergreifen kann. Dies unterscheidet sich grundlegend von traditionellen Betriebssystemen, bei denen Anwendungen normalerweise auf demselben Kernel laufen und somit das gesamte System gefährden können, wenn eine Schwachstelle ausgenutzt wird.

OpenBSD

OpenBSD ist ein weiteres sicherheitsorientiertes Betriebssystem, das sich auf Code-Korrektheit, standardmäßige Sicherheitsfunktionen und eine minimale Angriffsfläche konzentriert. Während OpenBSD viele Sicherheitsfunktionen wie strenge Speicherschutzmechanismen und Kryptografie bietet, basiert es nicht auf dem Konzept der Isolation durch Virtualisierung. OpenBSD erhöht die Sicherheit durch eine saubere und überprüfbare Codebasis und standardmäßig aktivierte Sicherheitsfeatures, jedoch bleibt die Interaktion zwischen Anwendungen weniger isoliert als bei Qubes OS.

Purism (PureOS)

PureOS ist das Betriebssystem, das auf den Geräten von Purism läuft, einer Firma, die sich auf Datenschutz und Freiheit konzentriert. PureOS basiert auf Debian und enthält viele Datenschutz- und Sicherheitsfunktionen, wie standardmäßige Verschlüsselung und die Verwendung freier Software. Im Gegensatz zu Qubes OS basiert PureOS jedoch nicht auf der vollständigen Isolation durch Virtualisierung, sondern eher auf einer traditionellen Sicherheitsarchitektur, die durch Best Practices und starke Konfigurationsoptionen ergänzt wird.

Siehe auch:  Maßnahmen in der IT für mehr Digitalisierung

Welche Hardware wird benötigt?

Um Qubes OS effektiv nutzen zu können, sind bestimmte Hardwareanforderungen zu berücksichtigen. Da jede VM quasi ein eigenes Windows oder Linux Betriebssystem betreibt, brauchen Sie für Qubes OS (wesentlich) mehr Ressourcen als für eine normale Windows oder Linux Installation.

Bei der Installation kann es gelegentlich zu kleineren Problemen kommen, wenn die Hardware nicht richtig unterstützt wird. Qubes OS hat eine Community-verwaltete Hardware Compatibility List, in welcher Sie einsehen können, ob Ihre Workstation oder Ihr Laptop unterstützt wird. Des weiteren gibt es Qubes OS zertifizierte Hardware, zum Beispiel von dem niederländischen Hersteller für hochsicherheits-Laptops NovaCustom. Vor dem Release einer neuen Qubes OS Version wird diese auf kompatibilität mit zertifizierter Hardware getestet und optimiert. Des weiteren bietet NovaCustom Hardware diverse zusätzliche Sicherheits-Features, wie das Open Source BIOS Coreboot, keine Kamera und Mikrofon ab Werk und manipulationssichere Verpackung, sodass Sie sicher gehen können, dass Ihr Paket nicht unterwegs geöffnet und die Hardware manipuliert wurde.

Die folgenden Hardware-Ressourcen sind für den reibungslosen Betrieb von Qubes OS zu empfehlen:

  • CPU: Ein schneller und moderner 64-Bit Intel oder AMD Prozessor mit VT-x und VT-d Unterstützung. Qubes OS setzt auf Hardware-Virtualisierung, daher ist es wichtig, dass die CPU dies unterstützt. Alle modernen gängigen CPUs unterstützen dies.
  • RAM: Mindestens 16 GB, besser 32 GB oder 64 GB für eine reibungslose Nutzung, insbesondere wenn viele Anwendungen (in eigenen VMs) betrieben werden sollen.
  • SSD: Eine schnelle und moderne SSD ist empfehlenswert.
  • Grafik: Intel GPU wird bevorzugt, da sie am besten unterstützt wird. AMD und Nvidia GPUs können problematisch sein und erfordern möglicherweise zusätzliche Konfiguration. Qubes OS ist nicht unbedingt dazu geeigent, Computerspiele zu spielen oder Photoshop / Gimp zu betreiben, sondern eher für Office- oder Programmier-Anwendungen ausgelegt. Man kann manche leistungsstarke Grafikkarten effektiv nutzen, dies erfordert aber einiges an komplexer Konfiguration und ist momentan seitens Qubes OS work in progress.

Download und Installation

  1. Download: Die neueste Version von Qubes OS kann von der offiziellen Webseite qubes-os.org heruntergeladen werden.
  2. USB-Stick vorbereiten: Ein Tool wie Etcher oder dd kann verwendet werden, um das heruntergeladene ISO-Image auf einen USB-Stick zu schreiben. Folgen Sie dazu einfach der offiziellen Installationsanleitung.
  3. Installation: Booten Sie von dem USB-Stick und folgen Sie den Installationsanweisungen. Der Installationsprozess ist detailliert dokumentiert und bietet Anweisungen für verschiedene Szenarien. Es ist für Neuzugänger empfehlenswert, überall die Standardeinstellungen beizubehalten.
Siehe auch:  Cybersicherheit: Schlüsselfaktoren zum Schutz Ihrer Daten

Wo man Hilfe findet

Das Qubes OS Forum ist eine großartige Ressource für Unterstützung durch die Community und hat auch einen eigenen Bereich in deutscher Sprache. Auch gibt es einen IRC Channel und einen Matrix Chatroom. Auf der GitHub-Seite von Qubes OS finden Sie den Quellcode und können Bugs melden oder nach Lösungen suchen.

Für Firmen mit besonders hohen Sicherheitsanforderungen empfiehlt es sich, eine Consulting-Firma für IT-Security hinzuzuziehen um Fehler bei der Konfiguration von Qubes OS zu vermeiden, welche die Sicherheit des Betriebssystems möglicherweise kompromittieren können. Für Hilfe bei der Evaluierung, Installation, Konfiguration und Wartung von Qubes OS empfiehlt sich das Unternehmen Blunix GmbH aus Berlin, welches auf Linux-Support und Qubes OS Consulting spezialisiert ist.

Erste Schritte in Qubes OS

Direkt nach der Installation werden Sie von der grafischen Oberfläche XFCE begrüßt, welche für jedermann einfach zu handhaben ist. Klicken Sie zuerst auf den Netzewrk-Button um eine Verbindung mit dem Internet herzustellen und öffnen Sie danach aus der Start-Leiste heraus zum Beispiel Firefox um im Internet zu surfen.

Qubes OS kommt mit einer Reihe von vorinstallierten VMs:

  • work: Für arbeitsbezogene Anwendungen und Dokumente.
  • personal: Für private Anwendungen und persönliche Daten.
  • vault: Hat keine Internet-Anbindung und ist für die Speicherung von privaten Daten wie Passwörtern usw. gedacht

Diese VMs sind generell eher dafür gedacht, Qubes OS kennen zu lernen. In ihnen sind mehrere Programme installiert. Wenn man Qubes OS produktiv benutzt, erstellt man gängigerweise, bzw. je nach verfügbaren Hardware-Ressourcen, eine eigene VM pro Anwendung, zum Beispiel eine VM für Firefox, für den E-Mail Client, zur Speicherung von Passwörtern usw.

Des weiteren gibt es folgende System-VMs:

  • sys-net: In dieser VM ist die Netzwerk- oder Wlan-Karte angebunden
  • sys-firewall: Diese VM „sitzt hinter“ sys-net und enthält Firewall-Regeln, zum Beispiel um einer E-Mail Client VM lediglich Zugriff auf gmail.com zu erlauben und sämtlichen anderen Netzwerkverkehr zu blockieren.

Standardmäßig sind alle VMs (wie personal und work) an die sys-firewall VM angeschlossen. Manche VMs, wie z.B. vault, sind an keine Netzwerk-VM angeschlossen, haben damit gar keinen Zugriff auf das Internet und können somit auch nicht gehackt werden.

Qubes OS bietet einige grafischen Werkzeuge, welche die Verwaltung erleichtern:

  • Qubes Manager: Ein zentrales Tool, das Ihnen ermöglicht, alle Ihre Qubes zu verwalten. Hier können Sie Qubes starten, stoppen, erstellen und löschen sowie deren Einstellungen anpassen.
  • Update Manager: Bietet die Möglichkeit, einfach und automatisch Software-Updates in den einzelnen VMs zu installieren.
  • Qubes Device Manager: Mit diesem Tool können Benutzer USB-Geräte und andere Hardware verwalten und bestimmten VMs zuweisen. Dies ist besonders wichtig, um sicherzustellen, dass potenziell unsichere Geräte isoliert bleiben.
Siehe auch:  Was ist eine qualifizierte elektronische Signatur » Eine Einführung

Wie das Qubes OS Sicherheitsmodell funktioniert

In Qubes OS gibt es vier verschiedene Arten von VMs:

  • TemplateVMs sind „klassische VMs“ und enthalten das Linux- oder Windows Betriebssystem selbst, sowie alle installierten Anwendungen. In TemplateVMs wird Software installiert, aber niemals ausgeführt. TemplateVMs werden auch nicht einfach ans Internet angeschlossen, lediglich um Software zu installieren. Hierzu nutzt Qubes OS für Debian und Fedora Linux VMs einen apt proxy. Ein direkter Zugriff, zum Beispiel über einen Browser, ist hier (standardmäßig) noch nicht möglich.
  • Beim start einer AppVM erstellt Qubes OS einen Snapshot einer TemplateVM und nutzt diesen, um das Betriebssystem zu laden. Beim herunterfahren der AppVM wird dieser Snapshot wieder verworfen. Lediglich Daten, welche unterhalb des /home Verzeichnisses abgelegt werden, werden persistent gespeichert. Wird malware außerhalb des /home Verzeichnisses im Betriebssystem der VM installiert, wird diese beim herunterfahren einfach gelöscht. AppVMs sind für die tägliche Nutzung konzipiert – hier nutzen Sie zum Beispiel einen Browser, um Websiten zu besuchen, welchen Sie vertrauen, wie z.B. Ihre Bank. Die vorinstallierten VMs work und private sind AppVMs.
  • Beim start einer DisposableVM erstellt Qubes OS einen Snapshot einer TemplateVM für das Betriebssystem sowie einen Snapshot des /home Verzeichnisses einer AppVM. In DisposableVMs werden gar keine Daten persistent gespeichert – sobald Sie die VM schliesen, werden alle gespeicherten Daten, samt eventuell installierter Malware, verworfen.
  • StandaloneVMs sind ganz einfach klassische VMs. Alle Änderungen und gespeicherten Dateien werden permanent gespeichert, egal ob im /home Verzeichnis oder nicht. Sie funktionieren genau so wie die VMs, welche Sie bereits kennen.

Fazit und Zusammenfassung

Mit Qubes OS machen Sie einen wichtigen Schritt in Richtung einer sichereren digitalen Zukunft. Es bietet eine robuste und innovative Lösung für die Sicherheit am Desktop, indem es Anwendungen und Aktivitäten in isolierten virtuellen Maschinen ausführt. Dies macht es besonders wertvoll für Personen und Organisationen, die ein hohes Maß an Sicherheit benötigen, wie Firmen mit besonders hohen IT-Security Anforderungen, Regierungsbeamte, Wissenschaftler, Gesundheitsdienstleister, Finanzanalysten, Software-Entwickler usw.

Durch die Isolation jeder Anwendung und Arbeitsumgebung minimiert Qubes OS das Risiko von Angriffen und erhöht die Sicherheit und Datenschutz erheblich. Obwohl die Hardwareanforderungen und der Installationsprozess möglicherweise eine gewisse technische Expertise erfordern, sind die langfristigen Vorteile in Bezug auf Sicherheit und Datenschutz erheblich.

Um mehr über Qubes OS zu erfahren und Unterstützung zu erhalten, besuchen Sie die offizielle Webseite, das Forum oder ziehen Sie eine Firma für professionelles Qubes OS Consulting hinzu.

Teilen Sie Diesen Artikel