Ich habe es ja bereits in meinem Artikel vom 20.11.2008 "Divide et impera" geschrieben das Teilen nicht unbedingt die schlechteste Lösung ist. Auch wenn es sich nicht um einen Mantel handelt 😉 Beschreiben möchte ich nun zwei verschiedene Ansätze die jeweils Vor- bzw. Nachteile haben:
- Arbeitsrechner mit separater Surfumgebung
- Surfrechner mit separater Arbeitsumgebung
zu 1:
Als Arbeitsplatzrechner verwendet man einen normal aufgesetzten Rechner je nach belieben. Der Unterschied zu einer Standardinstallation muss aber sein das die Programme Browser, Chat- und Mailclient etc. in einer anderen Umgebung laufen. Hier ließen sich dann beispielsweise angepasste live-CDs einsetzen von denen man bootet. Oder man verwendet eine Schutzschicht zwischen dem Programm mit Internetkontakt und dem eigenen Rechner. Denkbar sind hier zum einen virtuelle Maschinen die einen kompletten Rechner im Rechner enthalten. Für den Fall das der Surfrechner angegriffen wurde löscht man einfach die aktuelle Maschine und kopiert sich eine neue. Gegebenenfalls macht man das auch einfach turnusgemäß um auf der sicheren Seite zu sein. Dies ist eine komfortable Version da man einen kompletten Rechner als Surfumgebung zur Verfügung hat. Hier könnten dann auch Mail- und Chat-Client genutzt werden.
Eine Alternative hierzu wäre zum Beispiel ein abgesicherter Browser wie ihn beispielsweise HP in Zusammenarbeit mit Symantec entwickelt hat. Hier zu finden. Bezüglich eines Downloads bin ich noch auf der Suche bzw. danach am Testen. Auf jeden Fall geht HP den gleichen weg wie ich ihn beschrieben habe. Nur das sie durch eine Übernahme zugriff auf die Technologie der Firma Altiris haben und in der Lage waren dem Browser eine "mini-VM" unterzuschieben die den Kontakt vom Browser auf das Hostsystem regelt.
zu 2:
Als Surfrechner verwendet man einfach einen
normal aufgesetzen PC mit einem Betriebssystem nach gusto. Bei mir ist
das, man kann es sich denken, ein Ubuntu-Desktop. Um jetzt zu trennen
zwischen gefährdeten Daten die auf dem Rechner mit Netzwerkverbindung
liegen und zu schützenden Dateien gibt es folgende Lösung: Ubuntu Privacy Remix.
Dies ist ein ISO-file den man sich auf eine CD brennen kann und von dem
aus man dann einen kompletten Bürorechner startet. Mit der vorhandenen
Hardware Rechner, Monitor und Eingabewerkzeuge. Aber ohne eine
Verbindung in irgendein Netz. LAN, W-LAN, Bluetooth etc. sind im Kernel
nicht mehr enthalten und können so auch nicht genutzt werden. Nicht um
mails zu versenden und, das ist die Idee dahinter, um nicht angreifbar
zu sein. Abgeschaltet ist auch der Zugriff auf interne Festplatten wie
es bei einer normalen live-CD der Fall wäre. Dafür ist das Verschlüsselungsprogramm Trucrypt standardmäßig mit dabei.
Die Benutzung gestaltet sich natürlich nicht ganz so einfach wie "Rechner an und loslegen". Der neue Arbeitsablauf ist dann "CD rein, Rechner davon booten, externes Laufwerk anschließen und mit Trucrypt in das System einbinden". Dafür gibt es dann für "böse" Software keine Möglichkeit mehr auf den Rechner zu gelangen. Vorausgesetzt man benutzt den Stick oder die Festplatte nur zum Speichern der Dokumente die man mit der Privacy-CD bearbeitet hat. Mit jedem Aufweichen dieser "natürlichen" Grenze, zum Beispiel dem Benutzen des Sticks auch am Surfrechner, werden die Daten ungeschützter und manipulierbar.