Qubes OS: Eine Einführung in das sichere Betriebssystem

7 Min. Lesedauer
Von VR
QubesOS_Logo_Einfuehrung

"Wenn Sie Ihre Security ernst nehmen, dann ist Qubes OS das beste verfügbare Betriebssystem", meint Edward Snowden, der das System nach eigenen Angaben täglich einsetzt.
"Qubes" OS (von "cube", also Würfel), ist ein Betriebssystem, das speziell für die Sicherheit und den Schutz der Privatsphäre entwickelt wurde.
Im Jahr 2010 wurde erstmals von der Entwicklerin Joanna Rutkowska vorgestellt und ist seitdem zu einem der bekanntesten Betriebssysteme für Datenschutz und Sicherheit geworden.

Dieser Artikel bietet einen Überblick über die wesentlichen Eigenschaften von Qubes OS, gibt Empfehlungen, für wen es geeignet ist und zeigt, wie es genutzt werden kann.

Sicherheitsfunktionen von Qubes OS

Qubes OS bietet eine Reihe von Sicherheitsfunktionen, die es zu einem der sichersten Betriebssysteme auf dem Markt machen. Hier sind einige der wichtigsten Sicherheitsfunktionen von Qubes OS:

  1. Virtualisierung: Qubes OS verwendet die Virtualisierungstechnologie Xen, um Anwendungen und Daten in isolierten virtuellen Maschinen (VMs) auszuführen. Jede VM ist eine abgeschottete Umgebung, die von anderen VMs und dem Host-Betriebssystem getrennt ist. Wenn eine VM kompromittiert wird, hat dies keinen Einfluss auf andere VMs oder das Host-System.

  2. Farbcode: Jede VM in Qubes OS ist farbcodiert, um Benutzern einen schnellen Überblick über die Vertrauenswürdigkeit der VMs zu geben. VMs können in rot bis schwarz eingestuft werden, wobei rot die niedrigste Stufe der Vertrauenswürdigkeit darstellt und schwarz die höchste Stufe.

  3. AppVMs: Eine AppVM ist eine spezielle Art von VM, die nur für eine bestimmte Anwendung oder eine Gruppe von Anwendungen bestimmt ist. Benutzer können mehrere AppVMs erstellen, um Anwendungen zu trennen und die Sicherheit zu verbessern. Wenn eine AppVM kompromittiert wird, hat dies keine Auswirkungen auf andere AppVMs oder das Host-System.

  4. Whonix-Integration: Qubes OS integriert Whonix, ein Betriebssystem, das auf Anonymität und Sicherheit im Internet spezialisiert ist. Whonix verwendet Tor, um die IP-Adresse des Benutzers zu verschleiern und bietet zusätzliche Schutzfunktionen wie Firewall und Verschlüsselung.

  5. Verschlüsselung: Qubes OS bietet eine integrierte Verschlüsselungsfunktion, um Daten zu schützen. Benutzer können Festplatten, virtuelle Maschinen und Netzwerke verschlüsseln, um ihre Daten zu schützen.

  6. Sicherheitsupdates: Qubes OS bietet automatische Sicherheitsupdates, um sicherzustellen, dass das System immer auf dem neuesten Stand ist und gegen die neuesten Bedrohungen geschützt ist. Damit ist einfach das System aktuell zu halten.

Wer sollte Qubes OS verwenden?

Qubes OS ist eine ideale Wahl für Benutzer, die höchste Sicherheits- und Datenschutzanforderungen haben. Es ist auch eine gute Option für Entwickler, die separate Qubes für verschiedene Projekte erstellen möchten. Insbesondere eignet es sich für Personen, die sensible Daten auf ihrem Computer speichern oder über das Internet übertragen.
qubes-trust-level-architecture-1

Wie wird Qubes OS verwendet?

Qubes OS ist kein typisches Betriebssystem und erfordert daher eine steile Lernkurve, um es zu verwenden.

Qubes OS hat aufgrund seiner Virtualisierungsarchitektur anspruchsvolle Hardwareanforderungen. Ein Prozessor mit mehreren Virtualisierungsfunktionen ist erforderlich und es wird empfohlen, mindestens 16 Gigabyte RAM oder mehr zu haben. Hier gibt es weitere Details sowie eine von der Community empfohlene Liste mit unterstützter Hardware.
https://www.qubes-os.org/doc/system-requirements/
https://www.qubes-os.org/hcl/

Sobald Qubes OS mithilfe des bekannten Fedora-Installers Anaconda installiert wurde, wird der Benutzer von einem Xfce-Desktop begrüßt und bemerkt zunächst nichts von der ungewöhnlichen Virtualisierungsarchitektur dahinter. Erst wenn Anwendungen gestartet werden, wird deutlich, dass sie im Menü nach Qubes gruppiert sind. Bei der ersten Verwendung eines Qubes dauert es länger, da der Qube selbst erst gestartet werden muss.

  1. Der zentrale Anlaufpunkt ist der Qube-Manager, der im App-Menü unter "Qubes Tools" zu finden ist. Hier werden alle vorhandenen Qubes aufgelistet und es ist möglich, Qubes zu erstellen, zu löschen, zu konfigurieren und zu starten. Wie bei Qubes OS üblich, gibt es auch alternative Optionen, um diese Aufgaben über die Befehlszeile auszuführen, zum Beispiel qvm-clone, qvm-create oder qvm-remove.
    r4.0-qubes-manager-1

  2. Im Qube-Manager wird auch der Netzwerkzugriff der Qubes angezeigt. Programme haben nur dann Internetzugriff, wenn der Qube, in dem sie ausgeführt werden, eine sogenannte NetVM hat (auch bekannt als "Net-Qube"). Standardmäßig ist das der Service-Qube "sys-firewall", der die Firewall enthält und seinerseits den Service-Qube "sys-net" als NetVM verwendet. Es ist auch möglich, zusätzliche sys-vpn-Qubes zu erstellen und diese verschiedenen Qubes zuzuweisen, um eine sichere Verbindung zu einem VPN-Server herzustellen.
    Foto3-1

  3. Qubes OS behandelt Mikrofone, Kameras und USB-Geräte ähnlich wie bei Netzwerkzugriffen: Ein Service-Qube kümmert sich um diese Geräte und normale Qubes haben standardmäßig keinen Zugriff darauf. Über ein Icon im System-Tray können jedoch einzelne Geräte an beliebige Qubes weitergegeben werden.
    r4.0-taskbar-1
    r4.1-widgets-1

  4. Qubes OS bezeichnet die Container, in denen Programme ausgeführt werden, als App-Qubes. Jeder App-Qube hat ein Template, von dem er abgeleitet wird. Im Qube-Manager kann man sehen, welches Template ein App-Qube verwendet. Änderungen an einem Template wirken sich auf alle davon abgeleiteten Würfel aus. Neue Software wird im Template über ein Terminal installiert und danach müssen die darauf aufbauenden App-Qubes neu gestartet werden. Um das frisch installierte Programm im App-Menü des Systems aufrufen zu können, muss man es noch in den Einstellungen der gewünschten App-Qubes auswählen. Es ist ratsam, auch einen Blick auf den "Applications"-Reiter in den Einstellungen zu werfen, da dort viele vorinstallierte Programme aufgeführt sind, die nicht im App-Menü aufgeführt werden.
    Foto4-1

  5. Für den Umgang mit unsicheren Dateien wie verdächtigen E-Mail-Anhängen gibt es einen empfehlenswerteren Ansatz: "Disposables" - Qubes.
    Ein Disposable ist eine temporäre und spezialisierte Qube, die nur für eine bestimmte Anwendung wie einen Viewer, Editor oder Webbrowser erstellt wird und sich selbst zerstört, wenn sie geschlossen wird. Dies ist besonders nützlich, wenn man mit nicht vertrauenswürdigen Dateien arbeitet, da Änderungen an der Datei automatisch an die ursprüngliche VM zurückgegeben werden. Disposables können einfach aus dem Startmenü oder Terminalfenster von dom0 oder aus der Anwendung qubes gestartet werden und sind im Qubes VM Manager unter ihrem Namen zu finden.
    Auf diese Weise vermeidet Qubes OS effektiv einen Haupt-Angriffsvektor für Cyberattacken.
    disposablevm-example-1

Datenaustausch in Qubes OS

Normalerweise möchte man beim Arbeiten Daten zwischen verschiedenen Programmen austauschen, z.B. ein Passwort aus einem sicheren "vault"-Qube in einen Browser im "untrusted"-Qube einfügen oder ein per E-Mail empfangenes PDF mit einem PDF-Viewer in einem anderen Qube öffnen. Qubes OS ermöglicht diesen Datenaustausch, ohne dabei die grundlegende Sicherheit zu gefährden.

Zum Copy-&-Pasten zwischen verschiedenen Qubes innerhalb des Betriebssystems wird die Inter-Qube-Zwischenablage genutzt. Hierbei gibt es vier Schritte, die durchgeführt werden müssen:

  1. Zunächst wird der Inhalt, der kopiert werden soll, wie gewohnt in die Zwischenablage des Quell-Qubes kopiert (z.B. mit Strg+C).
  2. Anschließend wird der Inhalt mit Strg+Umschalt+C in die Inter-Qube-Zwischenablage kopiert.
  3. Nun wird die Zielanwendung im Ziel-Qube geöffnet, und der Inhalt aus der Inter-Qube-Zwischenablage mit Strg+Umschalt+V in die Zwischenablage des Ziel-Qubes eingefügt.
  4. Zum Schluss kann der Inhalt wie gewohnt mit Strg+V in die Zielanwendung eingefügt werden.

Auch wenn dieser Vorgang auf den ersten Blick kompliziert erscheinen mag, ist er in der Praxis einfach und schnell zu handhaben, sobald man sich daran gewöhnt hat. Durch die Inter-Qube-Zwischenablage hat man dabei stets volle Kontrolle darüber, welche Qubes Zugriff auf den kopierten Inhalt haben.

Auch der Austausch von Dateien ist über das Kontextmenü des Dateimanagers möglich.
Das Kontextmenü des Dateimanagers bietet Optionen wie "Copy To Other AppVM …". Im erscheinenden Fenster wählt man den Ziel-Würfel; dort taucht die Datei anschließend im Nutzerverzeichnis unter QubesIncoming/<Quell-Würfel>/ auf.

Foto7-1





Fazit

Qubes OS ist eine einzigartige und leistungsstarke Virtualisierungslösung, die auf Sicherheit und Privatsphäre ausgerichtet ist. Es bietet eine innovative Architektur, die es Benutzern ermöglicht, Anwendungen und Daten in isolierten virtuellen Maschinen auszuführen, um das Risiko von Sicherheitsverletzungen zu minimieren.

Die Verwendung von Qubes OS erfordert jedoch eine gewisse Lernkurve, da es sich nicht um ein typisches Betriebssystem handelt. Es ist am besten für fortgeschrittene Benutzer geeignet, die ein Höchstmaß an Sicherheit und Privatsphäre wünschen und bereit sind, sich mit den Feinheiten des Systems vertraut zu machen.

Die Community unterstützt beispielsweise die Verwendung von Whonix, einer anderen Linux-Distribution, um Netzwerkverkehr über das anonymisierende Tor-Netzwerk zu leiten. Darüber hinaus können Standalone-Qubes auch mit Microsoft Windows konfiguriert werden.

Weitere Links:
https://www.qubes-os.org/intro/
https://www.qubes-os.org/doc/getting-started/
BSI - Benutzerdefinierter Baustein Clients unter Qubes OS
Qubes OS - Übersetzung aus der Original-Dokumentation
https://fg-secmgt.gi.de/fileadmin/FG/SECMGT/2022/Mitteilungen/Qubes_OS.pdf
Qube Apps: a Flatpak-based app store for each qube
https://micahflee.com/2021/11/introducing-qube-apps/







Hat dir der Artikel gefallen?

⚡ Lightning Beer: [email protected]
vr1857

₿ Onchain Beer: https://coinos.io/vr1857

PayNym Beer: https://paynym.is/+yellowcherry7d6