20. Februar 2015

Möchtest du einen sicheren Computer?

Seit es Computer gibt, träumt jeder Anwender von "dem sicheren Computer". Doch gibt es eigentlich so ein Computer, der absolut sicher vor jeglichen Angriffen ist?

Die klare Antwort lautet: Nein! Aber es gibt sehr gute Ansätze, wie du ein kleines, privates „Fort Knox“ aufsetzt und damit noch in Jahrzehnten problemlos arbeiten kannst ohne das System komplett neu aufsetzen zu müssen.

Wie aus einer Idee, ein Konzept wurde

Mit Computern verfällt es sich ähnlich wie mit uns Menschen. Wenn man den ganzen lieben langen Tag in einer sterilen Umgebung sitzt und sich keine weiteren Personen auf 200 Meter nähern darf, wird man nicht so schnell krank. Jedenfalls nicht durch Bakterien oder Viren, die außerhalb kommen.

Was bedeutet das jetzt konkret für uns?

Wenn ein Computer in irgendeiner Art und Weise in Kontakt mit der Außenwelt steht - sei es mit dem Internet oder dem USB-Stick von einem Freund – ist er potenziell gefährdet. Da kann man sich auch nichts schön reden.

Die einzige logische Schlussfolgerung daraus ist, man stöpselt einfach das Kabel aus und geht mit seinem eigenen Rechner nie mehr ins Internet. Das CD/DVD Laufwerk baut man auch gleich mit aus und über die USB Schnittstellen wird ein Panzertape drüber geklebt.

Bevor man dies tut, sollte man allerdings weiterlesen 😃

Du kannst über Hacker lachen, wenn du diesen Plan befolgst

Um eine hohe Sicherheit zu erreichen, muss das Basisbetriebssystem bereits ein hohen Grad an Sicherheit aufweisen.

Windows scheidet da in meinen Augen aus, da die meisten Viren etc. für (oder gegen) Windows geschrieben wurden. Kein Wunder, die meisten Privatanwender verwenden ja auch Windows.

Mac OS ist da bereits eine bessere Alternative. Aber auch hierfür gibt es massenhaft Viren und man benötigt ein Mac. Und den hat man nicht mal eben zur Hand, oder?

Die beste Alternative ist hierfür (du ahnst es schon) ein Linux System. Hier ist es eigentlich schon fast Geschmackssache was man verwendet. Ich persönlich favorisiere für diesen Einsatz ein debian System.

Warum? Weil jede stable Version von debian als „solid Rock“ bezeichnet wird. Das heißt es läuft, und läuft, und läuft....

Wenn du nicht auf deine Windows Programme verzichten kannst oder willst, kommt das eigentliche System zum Einsatz.

Möchtest du ohne risikolos sensible Programme benutzen?

Manche Software möchte einfach nicht auf einem Linux System laufen und es gibt sowohl keine Linux Version als auch kein Alternativprogramm, welches die Aufgaben mindestens genauso gut erledigt.

Hierfür richtest du dir eine „Virtuelle Maschine“ - eine sogenannte VM – innerhalb deiner Linux Umgebung an. Diese VM verwendet ein Windows als „Gastbetriebssystem“. Streng genommen, benötigst du allerdings für diese Installation eine eigene Windows Lizenz, da es als eigenständiger PC angesehen wird.

Auf diesem System werden dann Programme installiert, die man für den täglichen Gebrauch benötigt und keine Internetverbindung brauchen.

Dieses System hat kein Internetzugriff. Wenn ein Programm doch mal unbedingt den Zugang benötigt, dann wird es für die Datenübermittlung auf eine andere Virtuelle Maschine installiert.

Möchtest du ohne Angst im Netz surfen?

Um im Internet zu surfen, erstellst du dir eine zweite Virtuelle Maschine.

Ich brauch ja nicht zu erwähnen, dass man nur noch mit der Virtuellen Maschine ins Internet geht. Sicherheitshalber wird der gesamte Internetverkehr auf dem Hostsystem deaktiviert. Lediglich Updates dürfen noch installiert werden 😃

Auf diesem System installierst du ein Browser (z.B. Firefox), ein Email Client (z.B. Thunderbird), ein Instant Messanger (z.B. Trillian) etc. pp. Oder was du auch immer benötigst. Bei Email Client ist zu beachten, dass man das IMAP(s) Protokoll und nicht das POP3(s) verwendet. Benutzt man das POP3 Protokoll, so werden die Emails nach dem Abholen vom Server gelöscht. Bei IMAP nicht.

Diese Umgebung ist Prima dafür geeignet um neue Software herunterzuladen und vorab zu testen. Wenn man die Software für sicher erklärt (d.h. das keine versteckte Software mit installiert, oder im schlimmsten Fall sogar Viren) kann diese dann auf sein eigentlichen Rechner kopiert werden.

Diese Virtuelle Maschine hat vollen Internetzugriff und kann sich auch sonst frei bewegen. Das heißt, volle Administrator-Rechte. Ein Antivirus Programm ist von Vorteil, jedoch nicht zwingend erforderlich. Eine kostenlose Variante wie z.B. die von Avira oder Avast sind da vollkommen ausreichend.

Bevor du eine Datei auf deinen sicheren PC kopierst, solltest du diese auf jeden Fall noch einmal auf potenzielle Schädlinge untersuchen. Hierzu verwemdest du das kostenlose online Tool Virustotal.

Ein Email Anhang mit dem Namen „mahnung-mobilfunk-rechnung.pdf.exe“ von „mobilfunkbetreiber@ganz-boeser-bub.ws“ kann gefahrlos geöffnet werden.

Wie ich lästige Viren innerhalb von nur 2 Minuten beseitige

Mal angenommen die (o.g.) Mahnung vom (s)einem Mobilfunkanbieter war doch ein Virus. Ist mein komplettes System jetzt verseucht?

Nein!

Das einzige, was verseucht ist, ist die VM. Ein Virus muss erst einmal in der Lage sein zu erkennen das er in einer VM gefangen wurde. Die meisten Viren sind darauf einfach nicht vorbereitet.

Mal angenommen, es gibt wirklich so ein schlauen Virus und er merkt "Mist, ich bin in einer VM! Dringe ich mich mal in das Wirtsystem ein und infiziere alle anderen VMs". Dann ist spätestens auf der Linux Ebene (also dem Hostsystem), Schluss!

Ein Programm kann sich unter Linux nicht eigenständig ausführen. Hierfür benötigt das Programm erst einmal explizit Rechte zum ausführen. Die kann nur der root/admin erteilen.

Wenn du auch nur den kleinsten Verdacht hast dich infiziert zu haben (oder es ist gerade Mittwoch) wird der Rechner mal eben zurückgesetzt und man hast du ein frisches System.

Im Normalfall dauert es ca. 2 Stunden bis ein System komplett einsatzbereit ist. Windows Installation, Updates, Service Packs, Updates, Updates für Updates, Installation diverser Standardtools, Konfiguration, etc. pp. Bei einer VM dauert es ca. 2 Minuten (wenn überhaupt).

Die einzige Restriktion ist jedoch die Kommunikation mit dem Netzwerk und deinem Hostssystem. Diese darf natürlich nicht bestehen.

Ist das System neu?

Nein!

Jedes Antivirus-Programm verwendet dieses Prinzip. Eine potenziell gefährliche Software wird in „Quarantäne“ gesteckt und die ausführung in einer virtuellen Umgebung erzwungen.

Möchtest du sicher deine Überweisen tätigen?

Denkbar wäre auch eine eigene Installation fürs Homebanking. Diese ist ausschließlich für das Homebanking zuständig und darf daher auch für nicht anderes verwendet werden. Als Gastbetriebssystem kann ebenfalls ein Linux System zum Einsatz kommen. Zum Beispiel "Bankix".

Diese Konfiguration kann man ruhig nach jeder Sitzung zurückzusetzen.

Wenn man eine virtuelle Maschine für Homebanking benutzt, dann darf diese auch nur auf solche Webseiten zugreifen. Ist man bei der Sparkasse? Dann wird dieser Maschine die Ausführung von Sparkasse.de erlaubt und der komplette Rest des Internets verboten. Schließlich benötigt man nicht Bild.de wenn man seine Rechnung bezahlen möchte, dafür hast du schließlich die Maschine zum surfen.

Wie ich trotz einer Virtualisierung, moderne Software verwende

Virtuelle Maschinen sind im Verhältnis langsam. Einige Windows Programme haben sehr hohe Systemanforderungen. In einer virtuellen Umgebung ist es entweder nicht möglich oder macht kein Spaß mit solcher Software zu arbeiten.

Beispiele hierfür sind hier Photoshop oder diverse, aktuelle Spiele.

Möchtest du nicht darauf verzichten, installierst du dir noch parallel zum Linux, ein Windows und kannst dann Photoshop und deine ganzen Lieblingsspiele verwenden.

Vor der Installation wird der Netzwerkstecker gezogen. Direkt nach der Installation die Netzwerkadapter in den Einstellungen deaktiviert. Service Packs, aktuelle Updates etc. kannst du dir von Microsoft als normalen Download herunterladen. Hierfür verwendest du deine„Internet VM“.

Mit dieser Installation greift man das erstgenannte Beispiel auf: Ein PC ist nicht mit der Außenwelt verbunden.

Wenn ein Spiel doch mal ins Internet möchte, z.B. ein MMORPG, und du nicht darauf verzichten willst, dann erlaubst du auch nur diesem Spiel den Internetzugang und auch nur für den bestimmten Port, den das Spiel benötigt.

Allerdings Rate ich eher von Multi-Player Spielen generell ab. Nicht nur im Rahmen der Computersicherheit, sondern auch wegen deiner eigenen Sicherheit. Multi Player Spiele haben sehr oft den gewissen Suchtfaktor. Ist man einmal süchtig, kommt man nur sehr schwer davon weg.

Mehr zum Thema

Eugen Richter beschreibt in seinem Blog weitere Einsatzmöglichkeiten für den Privaten Gebrauch und stellt einige Lösung für die Virtualisierung vor.
http://suite101.de/article/virtualisierung-fuer-privatanwender-a45512

Tobias Scholze benutzt beruflich Virtuelle Systeme und hat die Möglichkeiten für den Privaten Heimgebrauch erkannt. Zuhause "spielt" er sehr viel mit Betriebssystemen und setzt auf Virtualisierung:
https://dbudwm.wordpress.com/2011/11/20/warum-ich-virtualisierung-liebe/

René von internettricks.de stellt ein ähnliches Prinzip vor, wie ich es bereits oben beschrieben habe. Allerdings ist ihm das etwas zu extrem wodurch er es auch "Paranoidum" nennt und stellt eine andere Alternative für sichere Computer vor, bei der man jedoch immer auf der Hut sein muss.
http://internettricks.de/1-sicherheitskonzept-pc-richtig-schuetzen/

Fazit

Es gibt zwar nicht den sicheren PC aber einige Konzepte, wie man sein PC dahingehend absichert, dass der Angreifer keine Chance hat, die Daten zu zerstören und/oder den eigentlichen PC zu infizieren. Nebenbei sparst du dich ein paar Euros im Jahr für diverse Produkte wie ein Antivirus Programm, kostenpflichtige Firewall Programme, Backup Lösungen, Office, etc. pp.

Was auch erspart bleibt, ist der ganze Ärger, wenn der PC doch einmal neu aufgesetzt werden muss, weil er entweder zugemüllt oder verseucht ist.

Diese Vorgehensweise ist natürlich der Idealfall. Wenn du es nicht so restrektiv sehen möchtest, kannst es auch etwas anders angehen. Deine Virtuellen Maschinen laufen direkt innerhalb von Windows. Dann brauchst du nicht jedes mal wenn du mal eben Photoshop verwenden möchtest, den PC neu zu starten.

Generell gilt zu sagen: Je mehr Sicherheit man möchte, desto mehr Beeinträchtigungen hat man. Den Mittelweg musst du aber für dich selbst heraus finden. Den eins ist sicher: Die größte Sicherheitslücke sitzt ein halben Meter vor dem Monitor und nicht irgendwo da draußen.

Wenn dir das gefallen hat, wirst du diese Artikel lieben!

Die neuesten Artikel, die du gelesen haben musst!

teilen

Noch mehr privux?

Verpasse keine spannende Beiträge & Tutorials mehr!

Jetzt kostenlosen Newsletter abonieren!

Jetzt newsletter abonieren