Qubes OS

So schaffen Sie mehr Sicherheit für Betriebssysteme

Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Joanna Rutkowska, Gründerin und CEO des polnischen IT-Security-Unternehmens Invisible Things Lab hat ein Betriebssystem-Konzept für mehr Sicherheit am Desktop vorgestellt. Dazu setzt "Qubes OS" darauf, einzelne Anwendungen voneinander isoliert in virtuellen Maschinen laufen zu lassen. Das Open-Source-Projekt basiert auf Linux und der Virtualisierungslösung Xen.
Joanna Rutkowska, Gründerin des polnischen IT-Security-Unternehmens Invisible Things Lab, hat ein Betriebssystem-Konzept für mehr Sicherheit am Desktop vorgestellt.
Joanna Rutkowska, Gründerin des polnischen IT-Security-Unternehmens Invisible Things Lab, hat ein Betriebssystem-Konzept für mehr Sicherheit am Desktop vorgestellt.
Foto: Ronald Wiltscheck

Joanna Rutkowska, Gründerin und CEO des polnischen IT-Security-Unternehmens Invisible Things Lab, hat ein Betriebssystem-Konzept für mehr Sicherheit am Desktop vorgestellt. Dazu setzt Qubes OS darauf, einzelne Anwendungen voneinander isoliert in virtuellen Maschinen laufen zu lassen. Das Open-Source-Projekt basiert auf Linux und der Virtualisierungslösung Xen.

"Diese Idee einer stärkeren Isolierung ist sicherlich begrüßenswert", meint Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky. Deswegen würden ähnliche Methoden bereits in AV-Produkten genutzt. Während Rutkowska Qubes OS nach eigenen Angaben bereits im Alltag nutzt, sieht der Kaspersky-Experte darin eher ein Forschungsprojekt, das Impulse für große Betriebssystem-Namen liefern könnte.

Getrennte Sicherheit

Bei Qubes OS werden Anwendungen in unabhängigen virtuellen Maschinen (VMs) ausgeführt. Bestimmte Systemkomponenten wie Netzwerk oder Storage werden ebenfalls auf diese Art isoliert und mit möglichst begrenzten Systemzugriffsrechten ausgestattet. Ein spezielles User-Interface präsentiert dabei die in VMs isolierten Anwendungen wie ein normales Desktop-System. Im Hintergrund verspricht der Ansatz aber, dass durch die strikte Trennung Sicherheitsprobleme mit einem Programm nicht auf das Gesamtsystem übergreifen können.

Diese Idee ist nicht völlig neu. " Ein Lowtech-Ansatz wäre, einfach verschiedene Computer für verschiedene Anwendungszwecke bereitzuhalten - etwa ein Computer zum Surfen und eine Maschine ohne Internetanschluss zum Verfassen und Betrachten geschäftskritischer Dokumente", erklärt Kalkuhl. Auch gab es bereits die Möglichkeit, mittels Virtualisierung mehrere getrennte Betriebssysteme auf einem PC auszuführen. Kaspersky wiederum bietet mit seinen aktuellen AV-Produkten die Möglichkeit, einzelne Anwendungen wie den Browser isoliert zu starten.

Zur Startseite