Home-IT-Security Part 2: Was Sie tun können, um Ihren Heim-PC sicher zu machen

(Last Updated On: 17. Juli 2016)

Im ersten Post der Serie habe ich Ihnen gezeigt, was sie grundsätzlich tun können, um ein einfach installiertes Heim-PC-System abzusichern. Nun folgt die Version für Fortgeschrittene, die Ihr System noch weiter absichern wollen.

Beim letzten mal haben wir uns lediglich damit befasst, wie wir ein einzelnes System maximal absichern können. Dabei gibt es jedoch grundsätzlich das Problem, dass es nie so etwas wie eine „maximale Sicherheit“ geben kann. Wenn es trotz aller Absicherungsmaßnahmen passiert, dass ihr System mit Malware infiziert wird, hat diese Schadsoftware Zugriff auf ihre privaten Daten, die auf diesem System abgelegt sind.

Zunächst einmal gilt es abzustecken, woher die meisten Angriffe auf einem PC kommen. Die meiste Schadsoftware handeln Sie sich ein bei:

  • „dunklen/schwarzen“ Aktivitäten, wie etwa das Surfen auf Erotikseiten, Szeneseiten und Ähnlcihes
  • „grauen/typischen“ Freizeitaktivitäten, etwa das Browsen / Surfen im Internet, das Checken von E-Mails und Öffnen von Anhängen, beim Ausführen von Downloads auf dem Web, beim Ausführen von Programmen mit Sicherheitslücken – beispielsweise den PDF-Reader, die Blu-Ray-player-software auf dem PC o. Ä.

hingegen haben diese Aktivitäten nichts zu tun mit den Aktivitäten, bei denen diese Schädlinge dann letztendlich schaden zufügen, nämlich „weiße“ Aktivitäten wie

  • beim Online-Banking und Online-Shoppen: Ihre Login-Daten werden ggf. von einem Trojaner abgefangen und sie werden beraubt oder es erfolgen Bestellungen auf Ihren Namen
  • beim Ausführen von Office-Tätigkeiten (Schreiben von Bewerbungen, Steuererklärung, Sortieren von Fotoalben usw.): Es werden informationen über Sie gesammelt, die gegen Sie verwendet oder an Dritte verkauft werden, oder Ihnen wird auf Basis dieser informationen Ihre identität gestohlen, so dass  in Ihrem Namen Geschäfte abgeschlossen werden. Oder Ihre Daten werden gegen Ihren Willen kopiert oder mitunter sogar gelöscht.
  • beim Verwalten von Servern im Internet, Ihrer persönlichen website oder beim Verwalten Ihres Network Attached Storages, Ihres Raspberry PIs oder anderen Geräten im Netzwerk, auf denen Serverdienste laufen. Die Login-Daten könnten geklaut werden und die kontrolle über den Server oder dessen Daten könnten Ihnen geraubt werden.
  • allgemein beim Zugriff auf andere Rechner über das Netzwerk mit beispielsweise SSH, TeamViewer, VNC o. Ä. Auch hier kann ihnen der Zugriff oder die Daten darauf abhanden kommen.

Systemtrennung

Sie merken bereits, dass Sie sich viel Ärger ersparen können, wenn Sie diese beiden Tätigkeiten trennen. Dabei ist jedoch nicht gemeint, dass Sie sich jetzt zwei veschiedene PCs anschaffen sollen.

Mein Vorschlag An Sie ist, dass Sie sich ein System aus einem physikalischen Betriebssystem und zwei virtuellen Maschinen machen. Lassne Sie mich das kurz erklären.

  • Sie installieren ein Betriebssystem Ihrer Wahl ganz normal auf IHrem Rechner. Wenn Sie ein Gamer / Zocker sind, ein Mediengestalter oder Webdesigner sind, gerne Medien wie DVDs, Musik oder Ebooks am PC konsumieren, dann installieren Sie ein Windows, ansonsten installieren Sie ein Linux-Betriebssystem.
  • Auf diesem installierten Betriebssystem installieren Sie nun eine Virtualisierungssoftware wie etwa den VMWare player oder Sun virtualBox und erstellen damit zwei virtuelle maschinen. Auf diese virtuellen Maschinen installieren Sie
    • ein Linux-Betriebssystem, wenn Sie zuvor ein Windows-Betriebssystem installiert haben, oder
    • ein Windows-Betriebssystem, wenn sie zuvor ein Linux-Betriebssystem installiert haben.

Tipp: Wenn Sie eine virtuelle Linux-Maschine machen, eignet sich Kali Linux perfekt als System. Wenn Sie beim Anlegen der virtuellen Maschine gefragt werden, welches Linux Sie auf der virtuellen Maschine installieren wollen, stellen Sie Debian ein.

sie haben nun drei Betriebssysteme auf Ihrem PC, entweder

  • ein Windows-Betriebssystem normal und zwei virtuelle Linux Betriebssysteme, oder
  • ein Linux-Betriebssystem normal und zwei virtuelle windows-Betriebssysteme

Auf dem normalen Betriebssystem führen Sie zunächst die Schritte durch, die ich im ersten Beitrag zum härten eines PCs empfohlen habe.

Danach installieren Sie auf dem normalen Betriebssystem folgende Software

  • Software zum Anschauen und Aufzeichnen von Medien
    • Ebooks und PDFs (etwa foxit PDF Reader)
    • DVDs und BluRays (etwa PowerDVD)
    • Abspielgeräte für Musik- und Videodateien (etwa VLC MediaPlayer)
  • Software zum Spielen
    • Treiber für Ihre Gaming-Hardware (etwa für ein Gaming-Headset/Gamer Tastatur usw.)
    • Gaming-Clients wie Origin, Steam usw.
    • Voice-Chatprogramme wie TeamSpeak, Ventrilo, Skype
    • die Spiele selbst
    • Zusatztools zum Zocken (etwa HLSW, Tuning-Programme, usw.)
  • Programme zur Mediengestaltung
    • etwa Adobe Creative Suite, Cubase, Sonstiges
    • Treiber für Aufzeichnungssoftware, etwa für den HD PVR 2, für eine Soundkarte

Auf diesem Betriebssystem installieren sie nicht

  • Treiber für Ihre Webcam, Ihr Smartphone, Ihren Scanner, Ihren Drucker etc. wie beispielsweise iTunes oder Samsung Kies
  • E-Mail-Programme wie Thunderbird oder Outlook
  • Office-Programme wie OpenOffice / Microsoft Office

Stattdessen erklären Sie jetzt eine Ihrer virtuellen Betriebssyteme als System für Ihre „weißen Tätigkeiten“. Auf diesem virtuellen Betriebssystem installieren Sie nun

  • Ihr E-Mail-programm
  • Ihr Office-programm
  • Ihr Steuerprogramm
  • eventuell Software zum online-Banking (also evtl. auch einen Webbrowser Ihrer Wahl)
  • Software zum online-Shoppen (evtl. Webbrowser, Auto-Biet-Softwrae für Ebay usw.)
  • Instant Messenger wie Skype, ICQ usw.
  • Programme, die Sie für die arbeit brauchen (außer die oben gennanten wie etwa Mediengestaltung usw.)
    • wenn Sie Programmierer sind, beispielsweise auch Ihre Entwicklungsumgebung.
    • wenn Sie informatiker sind, Programme zum Administrieren und Verwalten von Geräten / servern und Rechnern
  • Treiber für Ihre Webcam, Ihren Scanner, Ihr Smartphone, Ihren Scanner, Ihren Drucker usw.
  • Programme für das Bearbeiten und den Austausch von Dateien also
    • Scannersoftware / Treiber für Massenspeichermedien, Smartphones usw.
    • FTP- und NFS-Clients
    • Backupsoftware usw.

 

In dieser virtuellen Maschinen führen Sie nun sämtliche tätigkeiten aus, die mit diesen Programmen verbunden sind – also beispielsweise Datensicherung, Büroarbeiten, Steuererklärung, Online-.Banking usw..und auf dem normalen Betriebssystem die Tätigketien, die damit wiederum verbunden sind, also Zocken, Medienkonsum, Mediengestaltung, Medienaufnahme usw.

Und die übrige virtuelle maschine deklarieren Sie jetzt für Freizeit-Tätigkeiten. Auf dieser installierne sie also

  • Webbrowser zum Surfen auf beliebigen Websites.
  • Software zum Dwonloaden von Dateien (FTP-Clients, Browser, Download-Manager wie beispielsweise JDownloader usw.)
  • E-Mail-Programm (erklärung wieter unten)
  • Instant messenger (Erklärung siehe unten)

Die Themen Instant Messaging, Soziale Netzwerke, Passwort Management und E-Mails checken weiter aufteilen.

Sie haben nun auch auf ihrer virtuellen Maschine für „dunkle“ Aktivitäten ebenfalls ein E-Mail-programm und einen Instant Messenger installiert. Sie werden sich vielleicht fragen, was denn da nun los ist? Sollten wir diese programme nicht ausschließlcih für usnere „weißen“ Aktivitäten verwenden?

Grundsätzlich ja, aber Sie wissen ja beispieslweise, dass Sie ein E-Mail-programm beispielsweise auch brauchen, um die Anmeldung in einem Forum brauchen, und dass Sie eventuell auch mal per Instant Messenger mit Personen chatten wollen, die sie nicht persönlihc, sondern nur aus dem Internet kennen. Diesen Personen vertraen sie aber eben nicht in dem Maße, wie ihren privaten Personen.

Sinn des ganzen ist nun, dass Sie Ihre E-Mail und instant-messaging Aktivitäten noch einmal auftrennen. in der virutellen Maschine für ihre „weißen“ Aktivitäten pflegen Sie im E-Mail-Programm diejenigen E-Mail-Adressen, die Sei für „weiße“ Tätigkeiten nutzen – also online-Shopping, Online-Banking, für die arbeit usw.

Im E-Mail-programm ihrer „dreckigen/dunklen“ virtuellen maschine pflegen Sie alle E-Mail-Adressen für den kontakt in Foren usw.

und das selbe machen Sie noch mit Instant Messenger Konten – hierbei sollten Sie nämlich auch ein Konto für „saubere Kontakte“ haben und ein Konto für „Internet-kontakte“.

Als letztes sollten Sei die virtuellen msachinen so einrichten, dass diese in Ihrem lokalen Netzwerk eine extra IP-Adresse bekommen. Also hat Ihr normales Betriebssystem eine andere Ip-Adresse als die beiden virtuellen maschinen. Das hat den Effekt, dass Sie auf Ihrem DSL-Router dann Portweiterleitungen für die verschiedenen Betriebssysteme einrichten können.

Nun führen sie zum Abschluss auf den beiden virtuellen maschinen ebenfalls, wie bereits zuvor schon im normalen Betriebssystem, die im ersten Teil dieser Artieklserie geschilderten Maßnahmen zur härtung aus.

sie haben natürlich teilweise für alle drei Aktivitäten Passwörter.  Wenn Sie sich an die Empfehlungen im ersten Thread halten, dann ntuzen sie einen Passwortmanager wie Keepass, um diese Passwörter zu sammeln. Eventuell macht es Sinn, diese Passwörter zu trennen und in jedem der drei System schwarz, grau und weiß verschiedene Passwort-Datenbanken mit darauf installierten Passwortmanagern zu öffnen.

Was bringt Ihnen jetzt dieses System / wie funktioniert es?

Es funktioniert folgendermaßen: Die riskantesten Tätigkeiten, in denen Sie sich einen Virus einfangen können, haben Sie auf eine virutelle maschine ausgelagert. Wenn in dieser virtuellen Maschine etwas schief geht, weil Sie beispielsweise Ziel eines Hackerangriffes werden, dann sind die meisten Schadsoftwarelösungen nicht intelligent genug, dass sie erkennen, dass Sie sich in einer virtuellen Maschine befinden, und können also nicht auf die Daten auf Ihrem normalen Betriebssystem oder auf Ihrer weißen virutellen maschine zugreifen.

Ist dann ein Virus doch so intelligent, dass er erkennt, dass er sich auf einer normalen virtuellen Maschien befindet, dann ist dieser Virus meistens nur für das Betriebssytem der virtuellen Maschine geeignet und nicht für das normale Betriebssystem – oder umgekehrt. Dann wird er entweder in der virtuellen Maschine nicht ausgeführt, oder wird zwar ausgeführt – kann jedoch nichts auf dem normaen Betriebssystem anrichten.

Wenn dann doch ein Virus einmal so intelligent ist, dass er sich erst in der virtuellen Maschine ausführt und dann eine lauffähige Version für das andere, normale Betriebssystem herunterlädt – und diese dann auf dem normalen Betriebssystem ausführt – müsste er jetzt immer noch erkennen, dass es eine weitere virtuelle Maschine gibt, afu der sie Ihre „weißen“ und somit wichtigen Tätigkeiten durchführen. Er müsste also, um beispielsweise Daten aus Ihrem online-Banking auszulesen, über drei Systeme hinweg funktionieren und an den Sicherheitsmaßnahmen aller drei Systeme vorbei kommen.

Und das wiederum funktioniert nur, wenn beide virtuelle Maschinen gleichzeitig auch an sind und laufen. Deswegen sollten Sie, wenn Sie ganz paranoid sind, es einfach nur partrout vermeiden, beide virtuelle Maschinen aprallel zu betreiben – sondern immer nur die, die Sie gerade brauchen.

Und wenn sie einmal besonders ressourcenintensive Tätigkeiten wie Mediengestaltung, Medienkonsum oder Zocken ausführen möchten, dann machen Sie die beidne virtuellen Maschinen einfach aus und machen nur das.

Datentrennung

Nun wäre es natürlich noch gut, wenn Sie zusätzlich zu Ihren Systemen auch noch Ihre Daten trennen würden. Vermutlich haben Sie eine externe Festplatte, auf der sie sowohl „weiße“ Daten – wie beispielsweise Kontoauszüge, bewerbungen, Post- und Schriftverkehr, Gehaltsabrechnungen und Rechnungen ablegen – als auch „graue“ Daten wie beispielsweise Filmdateien, Musikdateien – und eventuell acuh „schwarze“ Dateien wie beispielsweise Downloads aus dem Internet.

Das problem ist nun beispielsweise, wenn sie diese externe Festplatte sowohl an Ihr normales Betriebssystem – als auch an ihre virutelle Maschine für schwarze Aktivitäten anbieten, dass eine Schadsoftware, die auf der schwarzen virtuellen Maschine ausgeführt wird, dann trotzdem die „weißen“ Daten auf dieser externen Festplatte klauen oder löschen kann.

Deswegen ist es nowtendig, dass Sie zusätzlich zu den Systemen – auch die zugehörigen Daten zu diesen Aktivitäten trennen.

Ich stelle Ihnen im folgenden drei Szenarien vor, wie Sie diese Trennung hinbekommen. Ich fange dabei mit der unpassenderen an.

Die einfachste, aber unsicherste Variante ist folgende:

  • Sie behalten weiße, graue und schwarze Daten allesamt auf einer einzigen FEstplatte und einer einzigen Partition.
  • Jedoch schützen Sie nun die weißen Daten, indem Sie
    • sämtliche Rechte für diese Dateien entziehen, außer die Leserechte (also kein Schreiben, Löschen, Umbenennen usw. möglich)
    • die Dateien zusätzlich verschlüsseln.
    • die Dateien, wenn Sie sie lesen oder bearbeiten wollen, von dieser festplatte in die Festplatte ihres virtuellen „weißen“ Betriebssystems kopieren, dort entschlüsseln und dann lokal auf ihrer weißen virutellen Maschien bearbeiten. die bearbeitete Version verschlüsseln sie dann erneut auf dieser virtuellen Maschine und ersetzen die alte Version mit der neuen.

Eine mittelgute lösung ist

  • Sie behalten alle Daten auf einer einzigen festplatte, definieren jedoch minimum zwei verschiedene Partitionen
    • auf einer Partition liegen schwarze und graue Daten
    • auf einer anderen Partition liegen die weißen Dateien
      • die weiße aprtition binden Sie in die weiße virtuelle amschien ein, die schwarzgraue Partition in die schwarze virtuelle maschine
      • die weißen Daten könnten Sie wie bei der oberen Variante verschlüsseln und sichern, da beide partitionen auf der selben Festplatte leigen. Eventuell könnte also ein Schädling auf der schwarzen virtuellen Maschine einen dump der gesamten festplatte erzeugen und so an dei Daten auf der weißen Partition kommen – was allerdings sehr unwahrscheinlich ist.

Die beste Lösung ist

  • Sie behalten graue und schwarze Daten auf der einen und weiße Daten auf einer anderen Festplatte
  • Sie binden die schwarzgraue Festplatte in die schwarze virtuelle Maschine ein und die weiße Festplatte nur auf der weißen virtuellen maschine
    • Sie müssen die Daten auf der weißen Festplatte nun nicht mehr unbedingt verschlüsseln, da ein Schädling auf der schwarzen virtuellen Maschine nur auf die Festplatte mit den schwarzgrauen Daten zugreifen kann.

 Erweiterte techniken

Im folgenden beschreibe ich Techniken, mit denen Sie die virutelle Msachine für Ihre weißen Tätigkeiten besonders sicher machen können. Diese Maßnhamen habe ich nicht im ersten Teil dieser Reihe geschildert, weil sie für Ihre alltäglichen Arbeiten in der Grauzone schlicht und einfach Overkill wären.

Deaktivieren Sie den Browser-Cache

Wenn Benutzer auf sensiblen Websiten surfen – beispielsweise im online-Banking, in der Dropbox-Weboberfläche usw., dann denken diese Nutzer oft, Sie seien komplett sicher, weil die Verbindung ja per HTTPS verschlüssel tund der Zugang zud en Webdaten Passwortgeschützt ist.

Die gute Nachricht ist: Sie haben zum großen Teil Recht. diese Webanwendungen sind oft von den Entwicklern darauf optimiert worden, dass sensible Daten, die über die verschlüsselte HTTPS-Verbindung übertragen werden – nicht unverschlüsselt auf Ihrer Festplatte landen.

Anders hingegen sieht es beispielsweise bei Webforen aus. Wenn Sei in ein Webforum, von dem sie denken, es sei aufgrund von vorhandener HTTPs-Verschlüsselung und passwortgesichertem Zugang sicher, dort beispielsweise Ihre private Adresse, Telefonnummer, oder sogar Kontodaten reinzuschreiben, liegen sie falsch. Denn diese webforen sind oft so programmiert, dass komplette Forumbeiträge unverschlüsselt im Browser-Cache gespeichert werden.

Grundsätzlich kann man argumentieren, dass ja das Surfen in einem Webforum entweder zur Grau- oder Schwarzzone gehört und daher in der virtuellen Maschine für weiße Tätigkeiten nichts zu suchen hat. Das ist auch richtig so. Grundsätzlich schadet es aber nicht, besonders vorsichtig zu sein, falls Sie doch einmal in der weißen VM eine Tätigkeit in einer webanwendung nachvollziehen müsse, die nicht darauf optimiert ist, keine sensiblen Daten im Browser-Cache zu speichern.

Deswegen empfehle ich Ihnen, den Browser-Cache für die „weiße“ virtuelle Maschine zu deaktivieren. Diese maßnahme wäre für den Browser-cache Ihrer Grauzone Overkill, weil Sie sich womöglich über verlängerte Ladezeiten beim Surfen auf Alltagswebsiten ärgern würden. Beim Surfen im Online-Banking beispeilsweise oder bei der Onlnie-Abgabe Ihrer Steuererklärung dürfte der effekt jedoch nichta uffallen.

Firefox

in der about:config setzen Sie den Wert des Parameters browser.cache.disk.enable auf false.

Chrome

Im Google Chrome hängen Sie an die Verknüpfung, über die Sie den browser tagtäglich abrufen, an:

--disk-cache-dir=/dev/null --disk-cache-size=1

Als zusätzlichen Schutz können Sie sich für den Chrome das Addon HTTP Switchboard installieren, welches Sie so konfigurieren könne,n dass in regelmäßigen Zeitabständen der Browser-cache automatisch gelöscht wird.

 

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

1 Antwort

  1. 5. Mai 2015

    […] Sie mit virtuellen Maschinen arbeiten, beispielsweise weil Sie sich die Tipps aus meinem Post Home-IT-Security Part 2 zu Herzen genommen haben, müssen Sie immer im Hinterkopf behalten – dass andere […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.