Konzepte für sicheres Surfen
Systemvirtualisierung
Die weitaus meisten Bedrohungen für die IT-Systeme und Daten einer Organisation stammen aus dem Internet und finden über den Browser den Weg auf anfällige Rechner. Um Webbrowser in Unternehmen und Behörden wirksam abzusichern, gibt es eine Reihe von Konzepten für sicheres Surfen.
Die unsicherste Lösung ist ein direkt auf dem Arbeitsplatzsystem installierter Webbrowser. Organisationen mit hohem oder sehr hohem Schutzbedarf sollten daher keinen nur lokal abgesicherten Browser nutzen, sondern Lösungen, die den Webbrowser von der Arbeitsumgebung isolieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt dafür in seinem Mindeststandard für Webbrowser insbesondere virtualisierte Systeme oder Remote-Controlled-Browser-Umgebungen. In diesem Beitrag stellen wir das Schutzkonzept der Betriebssystemvirtualisierung (oder kurz: Systemvirtualisierung) vor.
Was ist Systemvirtualisierung?
Bei der Virtualisierung werden IT-Ressourcen wie Hardware, Betriebssysteme oder Netzwerke mittels Software abstrahiert und als virtuelle Konfigurationen flexibel zur Nutzung bereitgestellt. Zum Beispiel können physisch vorhandene Ressourcen zusammengefasst, aufgeteilt und dupliziert oder nicht real vorhandene Ressourcen nachgebildet (emuliert) werden.
Bei der sogenannten Betriebssystem- oder Systemvirtualisierung können auf einem realen Rechnersystem (Wirtssystem) diverse sogenannte virtuelle Maschinen (VMs) laufen, die jeweils eine komplette Gastrechner-Hardware simulieren und die Installation von passenden Gastbetriebssystemen erlauben. Die trennende Abstraktionsschicht zwischen Wirtssystem und virtueller Maschine wird als Hypervisor (oder Virtual Machine Monitor) bezeichnet. Der Hypervisor kann entweder direkt auf der Hardware aufsetzen, bringt also sein eigenes Betriebssystem mit oder läuft direkt im Kernel (Typ 1), oder als eigene Anwendung auf dem Wirtsbetriebssystem (Typ 2) laufen. Beide Typen nutzen die Virtualisierungsfunktionen moderner Prozessoren.
Wie Systemvirtualisierung den Browser schützen soll
Ähnlich wie bei der Anwendungs- oder Mikrovirtualisierung kann die Systemvirtualisierung genutzt werden, um dem Browser eine virtuelle Umgebung bereitzustellen und ihn so vom Arbeitsplatzrechner (dem Wirtssystem) zu isolieren. Anders als bei der Mikrovirtualisierung enthält diese Umgebung als virtuelle Maschine alle Ressourcen eines kompletten Computers, inklusive Hardwareressourcen und Gastbetriebssystem. Dateien aus dem Netz und Konfigurationsdateien landen in einem definierten Austauschverzeichnis im Hostsystem; darüber hinaus wird nur das Netzwerk gemeinsam genutzt.
Ein Beispiel der Technologie ist die virtuelle Surfumgebung R&S®Browser in the Box (früher BitBox) von Rohde & Schwarz Cybersecurity. R&S®Browser in the Box ist eine virtuelle Surfumgebung mit Webbrowser (Firefox oder Chrome), die ein reduziertes, gehärtetes Debian Linux als Gastbetriebssystem nutzt. Die Lösung verwendet die Java-Runtime; die Virtualisierung wird mit einer proprietären (und inkompatiblen) Version von Oracle VM VirtualBox realisiert, kann aber auch Hyper-V von Microsoft nutzen. BitBox wurde 2011 von der Firma Sirrix AG entwickelt, die 2015 von Rohde & Schwarz übernommen wurde.
Bewertung
Bei der Systemvirtualisierung ist der Browser bei vergleichbarer Benutzerfreundlichkeit sehr viel stärker vom System des Nutzers isoliert als bei der Mikrovirtualisierung. Zudem bietet Linux als Gastsystem zusätzliche Sicherheit. Der Schutz des Arbeitsplatzrechners vor erfolgreichen Angriffen und persistenter Kompromittierung ist damit höher als bei der Anwendungsvirtualisierung oder bei der Absicherung eines lokal installierten Browsers mit Bordmitteln.
Problematisch ist allerdings, dass die virtuelle Maschine mit dem potenziell unsicheren Browser direkt im zu schützenden System selbst ausgeführt wird – ein grundsätzliches Problem jeder lokalen Virtualisierung. Denn dadurch steht letztlich nur die Virtualisierungsschicht zwischen dem System des Nutzers und einer Bedrohung. Virtualisierung ist damit anfällig für vielfältige Angriffe auf Systemebenen unterhalb der Virtualisierung, etwa Prozessorarchitektur, Grafikspeicher oder Netzwerkstack. Jede Virtualisierungsumgebung nutzt CPU-Funktionen und ist deshalb auch anfällig für Angriffsmethoden wie Spectre oder Meltdown, die Sicherheitslücken des Prozessors ausnutzen. Wird der Schutz der Virtualisierung erst einmal ausgehebelt, kann der Angreifer den Arbeitsrechner ins Visier nehmen.
Eine weitere gravierende Schwachstelle dieses Ansatzes ist das Austauschverzeichnis, das ein potenzielles Einfallstor für Angriffe darstellt. Nutzer könnten hier unwissentlich Dateien mit Schadcode ablegen oder Angreifer automatisiert die Daten dieses Verzeichnisses abfließen lassen.
Bei BitBox kommt hinzu, dass Sicherheitslücken der Java-Runtime nicht sofort geschlossen werden können, sondern nur mit einer neuen BitBox-Version. Das BSI merkt zudem an, dass bei der Systemvirtualisierung häufig leistungsfähigere IT-Systeme erforderlich und die Aktualisierung und Verteilung der Browsersysteme aufwendiger sind als bei Mikrovirtualisierung, direkter Browser-Installation und auch Terminalserver– und ReCoBS-Lösungen.
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de