Wir können uns alle einig sein, dass Konnektivität einer der kritischsten Aspekte des Computings ist.
Es geht nicht nur darum, online zu sein und Daten auszutauschen. Auch die verschiedenen Apps auf unseren Computern vernetzen sich untereinander, oft auf eine Art und Weise, die wir nicht zwangsläufig wahrnehmen.
Ihr Email-Client verbindet sich mit Ihrem Betriebssystem, um Sie zu benachrichtigen, wenn Sie eine neue Nachricht erhalten. Und Ihr Webbrowser verbindet sich über die Zwischenablage mit Ihrem Textverarbeitungsprogramm, um es Ihnen zu ermöglichen, Texte zu kopieren und einzufügen.
Aber diese Konnektivität, so praktisch sie auch ist, kann auch ein Einfallstor für Gefahren sein.
Eine Website könnte zum Beispiel ein Hintergrundskript ausführen, das über Ihren Browser hinausgeht und Ihr System mit Malware infiziert. Oder eine E-Mail kann schädlichen Code enthalten, der ausgeführt wird, wenn Sie die Nachricht öffnen und einem Hacker Zugang zu Ihren Dateien ermöglichen.
Bei herkömmlichen Betriebssystemen werden diese Risiken durch den Einsatz von zusätzlicher Software wie Firewalls und Antivirenprogrammen kontrolliert. Doch diese sind ressourcenintensiv, manchmal teuer und gegen bestimmte Arten von Angriffen unwirksam.
Qubes OS geht das Problem mit einem ganz anderen Ansatz an: einem völlig anderen Betriebssystem, das den Schwerpunkt auf “Sicherheit durch Isolation” setzt.
Aber was bedeutet das sowohl in Theorie als auch in der Praxis?
Lassen Sie uns ein wenig mehr über dieses faszinierende Betriebssystem lernen und sehen, was Qubes so einzigartig macht.
Was ist Qubes OS?
Qubes basiert auf Fedora, einer beliebten Linux-Distribution. Es ist ein auf Sicherheit ausgerichtetes Betriebssystem, das von Technik-Journalisten wie Micah Lee bis hin zu Edward Snowden empfohlen wird.
Qubes wurde 2012 als Projekt des in Polen ansässigen Invisible Things Lab ins Leben gerufen. Die Erfinderin Joanna Rutkowska wollte ein Betriebssystem entwerfen, das hohe Sicherheit mit Benutzerfreundlichkeit verbindet.
Ihre Lösung war Sicherheit durch Isolation. Durch das Isolieren von Programmen voneinander und das Begrenzen ihrer Berechtigungen könnten die meisten Angriffe verhindert werden.
Aber das Konfigurieren dieser sogenannten Virtualisierungsumgebungen kann kompliziert und zeitaufwendig sein. Daher wurde Qubes OS so konzipiert, dass es die Virtualisierung von Beginn an in das System integriert.
Um Qubes zu installieren und zu nutzen, benötigen Sie keine speziellen Kenntnisse oder Techniken. Und obwohl es eine gewisse Einarbeitungszeit erfordert, wenn man an Windows oder macOS gewöhnt ist, ist es intuitiver als man vielleicht erwartet.
Was macht Qubes OS anders?
Qubes basiert auf Linux und bietet in vielerlei Hinsicht eine ähnliche Benutzererfahrung. Doch unter der Haube könnte es nicht anders sein – alles von der Kernarchitektur bis zur Desktop-Umgebung ist einzigartig für Qubes.
Regiere über deine eigenen Domänen
In einem traditionellen Betriebssystem laufen Ihre Programme nebeneinander im selben Raum. Sie verwenden die gleichen Ressourcen und können miteinander interagieren – sie sind getrennt, aber nicht isoliert.
Aber in Qubes ändert sich das alles. Sie teilen Ihren Hauptdesktop in verschiedene Bereiche oder Qubes auf.
Jedes Qube ist von allen anderen Qubes isoliert – Programme, die in einem Qube laufen, können nicht mit einem anderen interagieren. Das liegt daran, dass jedes Qube tatsächlich eine separate virtuelle Maschine ist, die nahtlos neben den anderen läuft.
Sie können die Berechtigungen und den Hardwarezugriff jedes Qube anpassen. Wenn Sie eine App herunterladen, aber nicht sicher sind, ob sie vertrauenswürdig ist, können Sie sie in einem neuen Qube ohne Netzwerkzugriff öffnen, um zu verhindern, dass sie das Internet nutzt.
Durch das Verwalten Ihrer Qubes können Sie dort zusätzliche Sicherheit genießen, wo Sie sie am meisten benötigen. Und Sie können weniger sichere Aufgaben in einem isolierten Qube ausführen, wo sie nichts anderes beeinträchtigen können.
Es gibt zum Beispiel drei Standard-Qubes: Arbeit, privat und nicht vertrauenswürdig.
Ihr Arbeits-Qube könnte ein Browserfenster enthalten, das Sie ausschließlich für Geschäftswebsites und Ihre Arbeitsdokumente nutzen. Mit anderen Worten, Dinge, von denen Sie mit Sicherheit wissen, dass sie sicher sind — und darüber hinaus überaus wichtig und vertraulich.
Wenn Sie jedoch mit der Arbeit fertig sind, können Sie Ihren Browser in Ihrem nicht vertrauenswürdigen Qube öffnen und im Internet surfen. Sollten Sie eine schädliche Datei herunterladen oder eine zwielichtige Website besuchen, bleibt jeglicher Schaden auf den Qube beschränkt.
Das bedeutet, dass Sie Ihre wichtigsten Apps und Dateien sicher aufbewahren können, indem Sie sie in eigenen Qubes isolieren.
Und Sie können andere Qubes für riskantere Zwecke nutzen, ohne Angst haben zu müssen, dass Ihr gesamtes System gefährdet wird.
Das Beste von allem ist, dass alle Ihre Qubes die gleiche Desktop-Umgebung teilen. Alle Ihre Fenster erscheinen nebeneinander, genau wie in einem traditionellen Betriebssystem.
Jeder Qube hat seine eigene Farbe und alle Fenster innerhalb des Qube zeigen diese Farbe als Rahmen. Dies ermöglicht es Ihnen, Ihren Produktivitätsfluss aufrechtzuerhalten und gleichzeitig leicht zwischen Ihren Qubes zu unterscheiden.
Beständige und temporäre Qubes
Qubes können beständig oder temporär sein. Beständige Qubes speichern Dinge wie Webhistorien und Lesezeichen, während temporäre Qubes samt ihrem Inhalt für immer verschwinden, sobald sie geschlossen werden.
Zum Beispiel könnten Sie Qubes so konfigurieren, dass alle E-Mail-Anhänge in eigenen temporären Qubes geöffnet werden.
Auf diese Weise kann ein schädlicher Anhang keinen Schaden anrichten, da er vollständig isoliert ist. Und er wird für immer verschwinden, sobald Sie den Qube schließen.
Zur zusätzlichen Sicherheit könnten Sie auch einen temporären Qube für das Online-Banking nutzen. Keine andere Software, einschließlich Malware, kann Ihre Bankingsitzung beeinflussen, und es wird keine Spuren davon geben, sobald Sie fertig sind.
Und für die stärkste Sicherheit könnten Sie jedes Programm in einem eigenen temporären Qube ausführen. Dies würde jegliche Interaktion zwischen Apps verhindern und die gesamte Historie Ihrer digitalen Aktivitäten automatisch löschen.
Hardware-Isolation
Mit Qubes können Programme und Fenster in verschiedene Domains unterteilt werden.
Im Hintergrund wird auch die Hardware in Qubes unterteilt.
Ihr Netzwerkadapter und USB-Controller zählen zu den anfälligsten Hardwarekomponenten Ihres Computers. Über den Netzwerkadapter können allerlei schädliche Daten durchfließen, und USB-Geräte können mit Malware beladen sein.
Aufgrund dessen isoliert Qubes diese Hardwarekomponenten in eigenen Qubes. Dies ermöglicht es dem Betriebssystem, sie sicher zu verwalten und anderen Programmen nur bei Bedarf Zugriff darauf zu gewähren.
Andere Hardware, wie die Tastatur und Maus sowie der Desktop-Fenstermanager, sind ebenfalls auf ihre eigene Qube, Dom0, beschränkt. Diese administrative Qube ist besonders gesichert, hat keinen Netzwerkzugang und reguliert den Zugriff auf ihre Funktionen streng.
Bare-Metal-Installation
Im Gegensatz zu typischer VM-Software, die auf einem bereits vorhandenen Betriebssystem installiert werden muss, wird Qubes direkt auf Ihre Festplatte installiert. Dies ist als Bare-Metal-Installation bekannt.
Da VM-Software wie VirtualBox auf einem Betriebssystem läuft, ist die VM effektiv auch kompromittiert, wenn das Betriebssystem kompromittiert ist.
Qubes hat jedoch kein zugrundeliegendes Betriebssystem – die Virtualisierung ist das Betriebssystem.
Das bedeutet, dass ein Angreifer, um auf das System zuzugreifen, Qubes selbst kompromittieren müsste. Und da Qubes so konzipiert ist, dass es hochsicher ist, ist das eine weitaus schwierigere Aufgabe als beispielsweise die Ausnutzung einer Windows-Schwachstelle (von denen es Tausende gibt).
Kann mein Computer Qubes OS ausführen?
Qubes ist ein vielseitiges Betriebssystem, das auf vielen verschiedenen Computern laufen kann. Eine umfangreiche Liste kompatibler Hardware ist auf der Qubes-Website verfügbar.
Die komplexe, einzigartige Architektur von Qubes kann jedoch manchmal Probleme mit bestimmter Hardware verursachen. Nvidia GPUs beispielsweise erfordern oft eine Fehlersuche, um mit Qubes zu arbeiten.
Generell benötigen Sie mindestens 4GB RAM und 32GB Festplattenspeicher zur Installation von Qubes. Virtuelle Maschinen sind ziemlich ressourcenintensiv, daher könnte bei der Nutzung vieler Qubes mehr RAM erforderlich sein.
Sowohl Intel- als auch AMD-CPUs werden unterstützt, allerdings müssen Sie sicherstellen, dass Ihre CPU Intel VT-x oder AMD-V unterstützt. Diese Virtualisierungstechnologien sind nicht auf allen CPUs enthalten – im Zweifel sollten Sie die Liste der kompatiblen Hardware überprüfen.
Kann ich ein VPN mit Qubes OS nutzen?
Ja, Sie können tatsächlich ein VPN mit Qubes nutzen – und Sie sollten dies auch tun. Qubes kann zwar viele Arten von Malware-Attacken abwehren, aber es kann Ihren Internetverkehr nicht schützen, sobald dieser Ihren Computer verlässt.
Dafür benötigen Sie ein VPN. Ein VPN tut für den Internetverkehr das, was Qubes für Ihr System tut: Es schließt es ab und schützt es so sicher wie möglich.
Es wird Ihren Datenverkehr verschlüsseln, sodass Ihr ISP oder andere Schnüffler ihn nicht lesen können. Und es ermöglicht Ihnen, ihn zu dem Ort Ihrer Wahl zu tunneln, wodurch Ihre IP-Adresse verborgen und Ihre Nachverfolgbarkeit reduziert wird.
Die Installation eines VPN auf Qubes unterscheidet sich jedoch stark von der Installation auf einem traditionellen Betriebssystem.
Die Kompartimentierung von Qubes verhindert, dass typische VPN-Clients ordnungsgemäß funktionieren. Da Qubes nicht miteinander interagieren können, könnte Ihr VPN-Client nicht alle Ihre Qubes schützen.
Eine Einrichtungsanleitung für Ihr VPN finden Sie im Qubes-Wiki, das die VPN-Konfiguration mittels NetworkManager beschreibt. Es gibt auch eine Methode zur Konfiguration über die Befehlszeile, die technischer ist, aber die Nutzung von VPN-Kill-Schaltern und anderen erweiterten Funktionen ermöglicht.
Wenn Sie ein VPN für Qubes wählen, stellen Sie sicher, dass der Anbieter OpenVPN-Konfigurationsdateien anbietet. Sie benötigen sie, um Ihr VPN auf Qubes einzurichten; die Apps, die vom VPN bereitgestellt werden, funktionieren nicht.
Mullvad ist eine hervorragende Option, die keine Nutzungsdaten protokolliert und nachweislich mit Qubes funktioniert. Es gibt sogar eine offizielle Mullvad-Konfigurationsanleitung für Qubes.
Wir empfehlen auch ExpressVPN, das ebenfalls eine Qubes-Installationsanleitung anbietet. ExpressVPN ist bekannt für seine große Serverauswahl und unglaublich schnelle Geschwindigkeiten.
Zusammenfassung: Wie ein Büro in Kabinen unterteilt, teilt Qubes OS Ihren Desktop in sichere Qubes auf. Isolieren Sie Ihre Apps abhängig von Ihren Sicherheitsbedürfnissen und ruhen Sie sich aus, im Wissen, dass Sie gegen viele Arten von Malware-Angriffen geschützt sind.
