Qubes OS: Eine Einf├╝hrung in das sichere Betriebssystem

7 Min. Lesedauer
Von VR
QubesOS_Logo_Einfuehrung

"Wenn Sie Ihre Security ernst nehmen, dann ist Qubes OS das beste verf├╝gbare Betriebssystem", meint Edward Snowden, der das System nach eigenen Angaben t├Ąglich einsetzt.
"Qubes" OS (von "cube", also W├╝rfel), ist ein Betriebssystem, das speziell f├╝r die Sicherheit und den Schutz der Privatsph├Ąre entwickelt wurde.
Im Jahr 2010 wurde erstmals von der Entwicklerin Joanna Rutkowska vorgestellt und ist seitdem zu einem der bekanntesten Betriebssysteme f├╝r Datenschutz und Sicherheit geworden.

Dieser Artikel bietet einen ├ťberblick ├╝ber die wesentlichen Eigenschaften von Qubes OS, gibt Empfehlungen, f├╝r wen es geeignet ist und zeigt, wie es genutzt werden kann.

Sicherheitsfunktionen von Qubes OS

Qubes OS bietet eine Reihe von Sicherheitsfunktionen, die es zu einem der sichersten Betriebssysteme auf dem Markt machen. Hier sind einige der wichtigsten Sicherheitsfunktionen von Qubes OS:

  1. Virtualisierung: Qubes OS verwendet die Virtualisierungstechnologie Xen, um Anwendungen und Daten in isolierten virtuellen Maschinen (VMs) auszuf├╝hren. Jede VM ist eine abgeschottete Umgebung, die von anderen VMs und dem Host-Betriebssystem getrennt ist. Wenn eine VM kompromittiert wird, hat dies keinen Einfluss auf andere VMs oder das Host-System.

  2. Farbcode: Jede VM in Qubes OS ist farbcodiert, um Benutzern einen schnellen ├ťberblick ├╝ber die Vertrauensw├╝rdigkeit der VMs zu geben. VMs k├Ânnen in rot bis schwarz eingestuft werden, wobei rot die niedrigste Stufe der Vertrauensw├╝rdigkeit darstellt und schwarz die h├Âchste Stufe.

  3. AppVMs: Eine AppVM ist eine spezielle Art von VM, die nur f├╝r eine bestimmte Anwendung oder eine Gruppe von Anwendungen bestimmt ist. Benutzer k├Ânnen mehrere AppVMs erstellen, um Anwendungen zu trennen und die Sicherheit zu verbessern. Wenn eine AppVM kompromittiert wird, hat dies keine Auswirkungen auf andere AppVMs oder das Host-System.

  4. Whonix-Integration: Qubes OS integriert Whonix, ein Betriebssystem, das auf Anonymit├Ąt und Sicherheit im Internet spezialisiert ist. Whonix verwendet Tor, um die IP-Adresse des Benutzers zu verschleiern und bietet zus├Ątzliche Schutzfunktionen wie Firewall und Verschl├╝sselung.

  5. Verschl├╝sselung: Qubes OS bietet eine integrierte Verschl├╝sselungsfunktion, um Daten zu sch├╝tzen. Benutzer k├Ânnen Festplatten, virtuelle Maschinen und Netzwerke verschl├╝sseln, um ihre Daten zu sch├╝tzen.

  6. Sicherheitsupdates: Qubes OS bietet automatische Sicherheitsupdates, um sicherzustellen, dass das System immer auf dem neuesten Stand ist und gegen die neuesten Bedrohungen gesch├╝tzt ist. Damit ist einfach das System aktuell zu halten.

Wer sollte Qubes OS verwenden?

Qubes OS ist eine ideale Wahl f├╝r Benutzer, die h├Âchste Sicherheits- und Datenschutzanforderungen haben. Es ist auch eine gute Option f├╝r Entwickler, die separate Qubes f├╝r verschiedene Projekte erstellen m├Âchten. Insbesondere eignet es sich f├╝r Personen, die sensible Daten auf ihrem Computer speichern oder ├╝ber das Internet ├╝bertragen.
qubes-trust-level-architecture-1

Wie wird Qubes OS verwendet?

Qubes OS ist kein typisches Betriebssystem und erfordert daher eine steile Lernkurve, um es zu verwenden.

Qubes OS hat aufgrund seiner Virtualisierungsarchitektur anspruchsvolle Hardwareanforderungen. Ein Prozessor mit mehreren Virtualisierungsfunktionen ist erforderlich und es wird empfohlen, mindestens 16 Gigabyte RAM oder mehr zu haben. Hier gibt es weitere Details sowie eine von der Community empfohlene Liste mit unterst├╝tzter Hardware.
https://www.qubes-os.org/doc/system-requirements/
https://www.qubes-os.org/hcl/

Sobald Qubes OS mithilfe des bekannten Fedora-Installers Anaconda installiert wurde, wird der Benutzer von einem Xfce-Desktop begr├╝├čt und bemerkt zun├Ąchst nichts von der ungew├Âhnlichen Virtualisierungsarchitektur dahinter. Erst wenn Anwendungen gestartet werden, wird deutlich, dass sie im Men├╝ nach Qubes gruppiert sind. Bei der ersten Verwendung eines Qubes dauert es l├Ąnger, da der Qube selbst erst gestartet werden muss.

  1. Der zentrale Anlaufpunkt ist der Qube-Manager, der im App-Men├╝ unter "Qubes Tools" zu finden ist. Hier werden alle vorhandenen Qubes aufgelistet und es ist m├Âglich, Qubes zu erstellen, zu l├Âschen, zu konfigurieren und zu starten. Wie bei Qubes OS ├╝blich, gibt es auch alternative Optionen, um diese Aufgaben ├╝ber die Befehlszeile auszuf├╝hren, zum Beispiel qvm-clone, qvm-create oder qvm-remove.
    r4.0-qubes-manager-1

  2. Im Qube-Manager wird auch der Netzwerkzugriff der Qubes angezeigt. Programme haben nur dann Internetzugriff, wenn der Qube, in dem sie ausgef├╝hrt werden, eine sogenannte NetVM hat (auch bekannt als "Net-Qube"). Standardm├Ą├čig ist das der Service-Qube "sys-firewall", der die Firewall enth├Ąlt und seinerseits den Service-Qube "sys-net" als NetVM verwendet. Es ist auch m├Âglich, zus├Ątzliche sys-vpn-Qubes zu erstellen und diese verschiedenen Qubes zuzuweisen, um eine sichere Verbindung zu einem VPN-Server herzustellen.
    Foto3-1

  3. Qubes OS behandelt Mikrofone, Kameras und USB-Ger├Ąte ├Ąhnlich wie bei Netzwerkzugriffen: Ein Service-Qube k├╝mmert sich um diese Ger├Ąte und normale Qubes haben standardm├Ą├čig keinen Zugriff darauf. ├ťber ein Icon im System-Tray k├Ânnen jedoch einzelne Ger├Ąte an beliebige Qubes weitergegeben werden.
    r4.0-taskbar-1
    r4.1-widgets-1

  4. Qubes OS bezeichnet die Container, in denen Programme ausgef├╝hrt werden, als App-Qubes. Jeder App-Qube hat ein Template, von dem er abgeleitet wird. Im Qube-Manager kann man sehen, welches Template ein App-Qube verwendet. ├änderungen an einem Template wirken sich auf alle davon abgeleiteten W├╝rfel aus. Neue Software wird im Template ├╝ber ein Terminal installiert und danach m├╝ssen die darauf aufbauenden App-Qubes neu gestartet werden. Um das frisch installierte Programm im App-Men├╝ des Systems aufrufen zu k├Ânnen, muss man es noch in den Einstellungen der gew├╝nschten App-Qubes ausw├Ąhlen. Es ist ratsam, auch einen Blick auf den "Applications"-Reiter in den Einstellungen zu werfen, da dort viele vorinstallierte Programme aufgef├╝hrt sind, die nicht im App-Men├╝ aufgef├╝hrt werden.
    Foto4-1

  5. F├╝r den Umgang mit unsicheren Dateien wie verd├Ąchtigen E-Mail-Anh├Ąngen gibt es einen empfehlenswerteren Ansatz: "Disposables" - Qubes.
    Ein Disposable ist eine tempor├Ąre und spezialisierte Qube, die nur f├╝r eine bestimmte Anwendung wie einen Viewer, Editor oder Webbrowser erstellt wird und sich selbst zerst├Ârt, wenn sie geschlossen wird. Dies ist besonders n├╝tzlich, wenn man mit nicht vertrauensw├╝rdigen Dateien arbeitet, da ├änderungen an der Datei automatisch an die urspr├╝ngliche VM zur├╝ckgegeben werden. Disposables k├Ânnen einfach aus dem Startmen├╝ oder Terminalfenster von dom0 oder aus der Anwendung qubes gestartet werden und sind im Qubes VM Manager unter ihrem Namen zu finden.
    Auf diese Weise vermeidet Qubes OS effektiv einen Haupt-Angriffsvektor f├╝r Cyberattacken.
    disposablevm-example-1

Datenaustausch in Qubes OS

Normalerweise m├Âchte man beim Arbeiten Daten zwischen verschiedenen Programmen austauschen, z.B. ein Passwort aus einem sicheren "vault"-Qube in einen Browser im "untrusted"-Qube einf├╝gen oder ein per E-Mail empfangenes PDF mit einem PDF-Viewer in einem anderen Qube ├Âffnen. Qubes OS erm├Âglicht diesen Datenaustausch, ohne dabei die grundlegende Sicherheit zu gef├Ąhrden.

Zum Copy-&-Pasten zwischen verschiedenen Qubes innerhalb des Betriebssystems wird die Inter-Qube-Zwischenablage genutzt. Hierbei gibt es vier Schritte, die durchgef├╝hrt werden m├╝ssen:

  1. Zun├Ąchst wird der Inhalt, der kopiert werden soll, wie gewohnt in die Zwischenablage des Quell-Qubes kopiert (z.B. mit Strg+C).
  2. Anschlie├čend wird der Inhalt mit Strg+Umschalt+C in die Inter-Qube-Zwischenablage kopiert.
  3. Nun wird die Zielanwendung im Ziel-Qube ge├Âffnet, und der Inhalt aus der Inter-Qube-Zwischenablage mit Strg+Umschalt+V in die Zwischenablage des Ziel-Qubes eingef├╝gt.
  4. Zum Schluss kann der Inhalt wie gewohnt mit Strg+V in die Zielanwendung eingef├╝gt werden.

Auch wenn dieser Vorgang auf den ersten Blick kompliziert erscheinen mag, ist er in der Praxis einfach und schnell zu handhaben, sobald man sich daran gew├Âhnt hat. Durch die Inter-Qube-Zwischenablage hat man dabei stets volle Kontrolle dar├╝ber, welche Qubes Zugriff auf den kopierten Inhalt haben.

Auch der Austausch von Dateien ist ├╝ber das Kontextmen├╝ des Dateimanagers m├Âglich.
Das Kontextmen├╝ des Dateimanagers bietet Optionen wie "Copy To Other AppVM ÔÇŽ". Im erscheinenden Fenster w├Ąhlt man den Ziel-W├╝rfel; dort taucht die Datei anschlie├čend im Nutzerverzeichnis unter QubesIncoming/<Quell-W├╝rfel>/ auf.

Foto7-1





Fazit

Qubes OS ist eine einzigartige und leistungsstarke Virtualisierungsl├Âsung, die auf Sicherheit und Privatsph├Ąre ausgerichtet ist. Es bietet eine innovative Architektur, die es Benutzern erm├Âglicht, Anwendungen und Daten in isolierten virtuellen Maschinen auszuf├╝hren, um das Risiko von Sicherheitsverletzungen zu minimieren.

Die Verwendung von Qubes OS erfordert jedoch eine gewisse Lernkurve, da es sich nicht um ein typisches Betriebssystem handelt. Es ist am besten f├╝r fortgeschrittene Benutzer geeignet, die ein H├Âchstma├č an Sicherheit und Privatsph├Ąre w├╝nschen und bereit sind, sich mit den Feinheiten des Systems vertraut zu machen.

Die Community unterst├╝tzt beispielsweise die Verwendung von Whonix, einer anderen Linux-Distribution, um Netzwerkverkehr ├╝ber das anonymisierende Tor-Netzwerk zu leiten. Dar├╝ber hinaus k├Ânnen Standalone-Qubes auch mit Microsoft Windows konfiguriert werden.

Weitere Links:
https://www.qubes-os.org/intro/
https://www.qubes-os.org/doc/getting-started/
BSI - Benutzerdefinierter Baustein Clients unter Qubes OS
Qubes OS - ├ťbersetzung aus der Original-Dokumentation
https://fg-secmgt.gi.de/fileadmin/FG/SECMGT/2022/Mitteilungen/Qubes_OS.pdf
Qube Apps: a Flatpak-based app store for each qube
https://micahflee.com/2021/11/introducing-qube-apps/







Hat dir der Artikel gefallen?

ÔÜí Lightning Beer: [email protected]
vr1857

Ôé┐ Onchain Beer: https://coinos.io/vr1857

PayNym Beer: https://paynym.is/+yellowcherry7d6

├ähnliche Beitr├Ąge