Mit der Gerätesuchmaschine Shodan sind Maschinen und sogar Industrieanlagen im Internet der Dinge zu finden. Häufig sind solche IT-Infrastrukturen recht laienhaft geschützt und können mehr als einfach gehackt werden. Hinzu kommt, dass einige ältere Geräte wie beispielsweise Industriesteuerungen hochgradig unsichere Altbetriebssysteme wie Windows XP einsetzen. Doch auch moderne Endanwender-Betriebssysteme wie Mac OS, Windows 10 oder einige Linux-Distributionen sind nicht sicher genug. Bedingt durch die enorme Heterogenität der Anwendungsbereiche gibt es viele Möglichkeiten, die Systeme zu knacken. Eine Alternative sind gehärtete Betriebssysteme, die besser vor Angriffen von außen geschützt sind.

Gehärtete Betriebssysteme

Das Prinzip dieser Betriebssysteme ist dabei Sicherheit durch Reduktion. Auf ihnen wird ausschließlich die Software eingesetzt, die tatsächlich für den Systembetrieb im jeweiligen Anwendungsfall notwendig ist. Darüber hinaus werden weitere Maßnahmen ergriffen, um das Eindringen in das System zu erschweren - etwa das Schließen aller nicht nötigen Ports, das Löschen überflüssiger Benutzerkonten sowie eine möglichst restriktive Vergabe von Rechten und Systemrichtlinien. Als dritte Maßnahme werden für Datenspeicherung und -übertragung Verschlüsselungsroutinen genutzt.

Ein großer Teil der gehärteten Betriebssysteme basiert auf Linux-Distributionen, die nach dem oben beschriebenen Muster entschlackt und konfiguriert werden. Zudem ist in den letzten Jahren ein Bedarf an schlanken, aber trotzdem sicheren Betriebssystem für Mobilgeräte und für das Internet der Dinge entstanden. Inzwischen gibt es aber wenigstens ein speziell gehärtetes und sicheres Betriebssystem für diesen Zweck, dass noch neue Kaspersky OS.

Fedora

https://getfedora.org/

Das Open-Source-Projekt Fedora und seine kommerzielle Variante „Red Hat Enterprise Linux“ sind mit einem besonderen Blick auf Sicherheit entwickelt worden. So unterstützt der Kernel der Distribution die Sicherheitserweiterung SELinux, die eine besonders strenge Kontrolle und Steuerung von Zugriffsrechten erlaubt.

Im Unterschied zu anderen Distributionen sind nach der Installation zunächst einmal alle Server stummgeschaltet. Sie müssen explizit durch Anpassungen der Regeln für SELinux und die Firewall aktiviert werden. Hierdurch werden häufig vorkommende Nachlässigkeiten bei der Konfiguration des Systems verhindert.

Abgesehen von diesen Absicherungsmaßnahmen wird die Distribution in drei Varianten ausgeliefert: „Workstation“ für die einfache Nutzung auf Desktoprechnern, „Server“ für den Einsatz im Business-Umfeld und „Atomic“ als Minimalsystem gibt. Die letzte Variante eignet sich für den Einsatz als schlankes Basissystem für die Anwendungs-Virtualisierung.

Da Red Hat an der Entwicklung von Fedora mitarbeitet und bei allen Varianten auf hohe Benutzerfreundlichkeit Wert legt, eignet sich das System auch für Privatanwender. Trotzdem sollten Computer-Laien Fedora sicherheitshalber von einem erfahrenen Linux-Anwender installieren lassen oder den Computer bei einem Fachhändler kaufen und das System dort vorinstallieren zu lassen.

Qubes OS

https://www.qubes-os.org/

Das Linux-basierte Open-Source-Betriebssystem Qubes OS verwirklicht ein spezielles Sicherheitskonzept: Anwendungen laufen in dem System in isolierten virtuellen Containern, die nur lesend auf das Grundsystem zugreifen können. Dabei können die Container für bestimmte Anwendungsfälle auch so konfiguriert werden, dass Änderungen am Dateisystem nicht gesichert werden. Zudem ist es nicht als Mehrbenutzersystem konzipiert, da jeder zusätzliche Benutzer eine potentielle Sicherheitslücke ist. Es ist zwar grundsätzlich für den professionellen Einsatz gedacht, eignet sich aber auch für technisch versierte Privatanwender, die alle Risiken vermeiden wollen.

Subgraph OS

https://subgraph.com/sgos/

Die abgesicherte Linux-Variante basiert auf Debian GNU/Linux und nutzt einen gehärteten Kernel sowie die Isolation der Anwendungen in Sandboxes. Das System wickelt alle Internetverbindungen über das Tor-Netzwerk ab, besitzt spezielle, abgesicherte Clients für Messaging und E-Mail und bietet eine vollständige Verschlüsselung der Festplatte. Dieses System ist zudem mit Blick auf eine möglichst hohe Benutzerfreundlichkeit gestaltet, sodass es sich auch an Privatanwender richtet. Ein Hinweis: Das System existiert bisher nur als Testversion und sollte weder auf Produktivsystemen noch von technisch unerfahrenen Anwendern eingesetzt werden.

Copperhead OS

https://copperhead.co/android/

Das Open-Source-Betriebssystem ist ein gehärtetes Android, das vom Android-Open-Source-Project (AOSP) abgeleistet ist. Gegenüber einem normalen Android besitzt es zusätzliche Sicherungsfunktionen wie etwa eine Trennung der Passwörter für Sperren und Verschlüsseln der Geräte, eine verbesserte Firewall, erhöhte Netzwerksicherheit, sowie einen modifizierten und an SELinux orientierten Kernel.

Als reines Open-Source-OS fehlen sämtliche Google-Services und -Apps sowie andere, nicht freie Anwendungen. Zurzeit unterstützt Copperhead OS nur einige Geräte der Nexus-Serie (5X, 6P, 9). Eine Unterstützung anderer Geräte außerhalb der Nexus-Reihe ist nicht geplant. Da das System nur auf „gerooteten“ Android-Smartphones installiert werden kann, eignet es sich eher für technisch versierte und experimentierfreudige Nutzer.

Kaspersky OS

https://www.kaspersky.com/

Ein neuer Mitspieler im Markt der gehärteten Betriebssysteme ist der Sicherheitsanbieter Kaspersky Labs. Das Betriebssystem „Kaspersky OS“ nutzt eine Mikrokernel-Architektur und soll die Basis für sichere Embedded Devices sowie Geräte im Internet der Dinge werden. Ein erstes Gerät mit dem neuen System ist ein Layer-3-Switch für Netzwerke mit hohen Sicherheitsanforderungen. Weitere Geräte, aber auch weitere Details Betriebssystem wird es wohl erst in Kürze geben. Doch nach allem, was bisher bekannt ist, ist es ein typisches Industrie Betriebssystem, das ausschließlich von Geräteherstellern eingesetzt werden kann.

Bildquelle: Thinkstock