Konzepte für sicheres Surfen
Anwendungs- oder Mikrovirtualisierung
Auf der Seite Sicherheit im Internet: Konzepte für sicheres Surfen stellen wir eine Reihe von Konzepten vor, wie Unternehmen und Behörden die Webbrowser ihrer Mitarbeiter absichern können. Wie dort erklärt, bieten direkt auf einem Arbeitsplatzrechner installierte Webbrowser angesichts wachsender und immer ausgefeilterer Bedrohungen durch Malware und Hacker keinen ausreichenden Schutz für unternehmenskritische Daten und Systeme.
Deshalb empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Mindeststandard“ für Webbrowser in Bundesbehörden) Organisationen mit hohem oder sehr hohem Schutzbedarf, erweiterte Lösungen einzusetzen, die vom Arbeitsplatzsystem per Virtualisierung isoliert oder räumlich getrennt sind. In diesem Beitrag beschäftigen wir uns mit dem Schutzkonzept der Mikro- bzw. Anwendungsvirtualisierung. (Ein weiteres Virtualisierungskonzept stellen wir mit dem Konzept „Systemvirtualisierung“ vor.)
Was ist Anwendungs- oder Mikrovirtualisierung?
Unter Virtualisierung versteht man die Abstraktion, Nachbildung und Konfiguration von IT-Ressourcen (z. B. Hardware, Betriebssystem- oder Netzwerkfunktionen) durch eine trennende Softwareschicht (den sogenannten Hypervisor, häufig unterstützt durch spezielle Hardwarefunktionen. Dies ermöglicht umfangreiche Kontrollmöglichkeiten bei der Bereitstellung der Ressourcen eines Wirtssystems (Hosts), welche die Virtualisierungsfunktionen ausführt. Beispielsweise können sogenannte virtuelle Maschinen (VMs) die Hardware eines kompletten Rechnersystems simulieren, auf dem jeweils ein eigenes Betriebssystem als Gastsystem installiert werden kann. Es können aber auch nur einzelne Prozesse oder Anwendungen von der Ausführungsumgebung des Wirtssystems isoliert werden.
Diese Anwendungsvirtualisierung kann auf verschiedene Weise realisiert werden. Diesen ist gemeinsam, dass die Anwendung eine eigene, virtuelle Laufzeitumgebung mit den von ihr benötigten Ressourcen erhält. Sie wird in einer vom Betriebssystem isolierten Sandbox ausgeführt, die Zugriffe auf Dateisystem, Konfiguration und Dienste abfängt und auf deren virtuelle Pendants umleitet – aus Sicht der Anwendung völlig transparent. Anwendung und Laufzeitumgebung bilden ein portables Paket, das z. B. in einer einzelnen Datei gespeichert (z. B. VMware ThinApp) oder von einem Terminalserver gestreamt werden kann (Citrix Virtual Apps, Microsoft App-V).
Die Mikrovirtualisierung ist eine besondere Form der Anwendungsvirtualisierung, entwickelt von dem kalifornischen Unternehmen Bromium, das 2019 von HP übernommen wurde. Dabei nutzt ein spezieller Hypervisor (genannt Microvisor) die x86-Virtualisierungsfunktionen moderner CPUs, um potenziell kritische Prozesse in sogenannten Mikro-VMs vom Rest des Betriebssystems zu isolieren.
Wie Mikrovirtualisierung den Browser schützen soll
Virtualisierungstechniken wurden ursprünglich nicht für Absicherungszwecke entwickelt, sondern dienen vor allem dazu, Ressourcen effizienter zu nutzen. Dennoch wird die Anwendungsvirtualisierung auch für den Schutz von Browseranwendungen eingesetzt, zum Beispiel in Gestalt der Mikrovirtualisierung bei HP Wolf Security (vormals Bromium). Bei potenziell kritischen Aufgaben wie Surfen oder E-Mail wird hier dynamisch („on the fly“ beim Aufruf) eine vorkonfigurierte Mikro-VM erzeugt, in der potenzielle Gefahren eingeschlossen bleiben sollen. Härtungsmaßnahmen sollen verhindern, dass Schadcode oder Angriffsaktivitäten aus der virtuellen Maschine heraus den Hostrechner infizieren. Mit der Beendigung der Mikro-VM endet also auch die Bedrohung; ein Neustart stellt den definierten Ausgangszustand wieder her.
Bewertung der Maßnahme „Anwendungs- oder Mikrovirtualisierung“
Die Mikrovirtualisierung schränkt die Benutzbarkeit des Browsers kaum ein: Der Anwender bekommt von der Virtualisierung seiner Anwendung im Regelfall nichts mit, solange er nur die vorgesehenen Funktionen benötigt. Gleichzeitig wird der Arbeitsplatzrechner durch die Isolierung der Browserprozesse sowohl vor einer Kompromittierung als auch vor einer Persistenz von Angriffen besser geschützt, als es mit direkt installierten Browsern möglich ist. Allerdings können neue Funktionalitäten prinzipbedingt nur mit Hilfe des Herstellers realisiert werden. Die Verwaltung verschiedener Konfigurationen ist ebenfalls sehr viel aufwendiger, und bei jeder Aktualisierung des Browsers oder seiner Erweiterungen muss die virtuelle Umgebung inkl. Konfiguration neu erzeugt werden. Dieser hohe administrative Aufwand ist nicht nur lästig, sondern auch gefährlich: Schwindet die Akzeptanz, suchen Anwender oder überlastete Admins nach Alternativen, die das bestehende Sicherheitskonzept unterlaufen.
Vor allem aber gibt es potenzielle Lücken in der Verteidigung. Denn die Sicherheit von Anwendungsvirtualisierung steht und fällt in der Praxis mit der Sicherheit des verwendeten Hypervisors und der Verwaltung des sensiblen VM-Regelwerks. In Hypervisoren, auch im von HP Wolf Security genutzten Hyper-V von Windows, werden immer wieder zum Teil kritische Sicherheitslücken gefunden, über die das Hostsystem infiltriert werden kann. Zudem nutzt HP Wolf Security auch für die VM-Verwaltung Windows-Funktionen und eine SQL-Datenbank von Microsoft, also ebenfalls potenziell unsichere Komponenten.
Lokale Lösung grundsätzlich unsicher
Grundsätzlich ist aus Security-Sicht bei jeder (lokalen) Virtualisierung problematisch, dass sich Schutzsystem und zu schützendes System auf dem gleichen Rechner befinden. Die letztlich softwarebasierte virtuelle Umgebung ist die einzige Barriere zwischen Angreifer und Arbeitsplatz und leichter zu überwinden als eine hardwarebasierte Isolation. Zum Beispiel nutzt jede virtuelle Umgebung entsprechende Virtualisierungsfunktionen des Prozessors, und ihre Schutzwirkung wird damit auch durch dessen Schwachstellen beeinträchtigt (Stichwort Spectre und Meltdown). Bei der Anwendungsvirtualisierung kommt hinzu, dass je nach Konfigurationdiverse Ressourcen des Hostsystems gemeinsam genutzt werden. Durch Lücken in der Sandbox oder eine Fehlkonfiguration kann ein Angreifer auch hier direkt das System des Nutzers kompromittieren.
Deshalb sind Lösungen für die Anwendungsvirtualisierung, aber auch die umfassendere Systemvirtualisierung in ihrer Schutzwirkung räumlich vom Arbeitsplatzsystem isolierten Browser-Umgebungen unterlegen, insbesondere auf Sicherheit optimierten Remote-Controlled-Browser-Systemen (ReCoBS).
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de