IGEL Blog
IGEL BSI IT-grundschutzkonform einsetzen
Mathias Huber ist Linux-Experte und bei IGEL in Augsburg als Product Security Manager dafür verantwortlich, dass IGEL OS, das Betriebssystem von IGEL, seinen Anwendern höchste IT-Sicherheit bietet. Im Interview geht Mathias insbesondere darauf ein, was IGEL für den IT-Grundschutz-konformen Betrieb bietet und wie das technisch umgesetzt wird. Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik gibt Richtlinien vor, mit den IT-Umgebungen abgesichert werden können, die für Bundesbehörden bindend sind und an denen sich viele andere Behörden, Unternehmen und Organisationen orientieren.
F: Was bietet IGEL insbesondere Behörden, um den IT-grundschutzkonformen Betrieb zu ermöglichen?
A: Die Frage ist einfach zu beantworten: Was wir gewährleisten ist, dass sich IGEL OS ab der Version 11.03 mit der Universal Management Suite, UMS, in Version 6.03.100 oder neuer gemäßden technischen Richtlinien des IT-Grundschutzhandbuchs einrichten lässt.
F: Das heißt alleine die Nutzung des IGEL OS oder der IGEL Universal Desktop Endgeräte reicht noch nicht, um konform mit den IT-Grundschutzrichtlinien zu sein?
A: Richtig. Nur, wer unsere Anleitung zum IT-Grundschutz konformen Betrieb anwendet, entspricht den BSI-Richtlinien. Genauer heißt das, dass die gesamte IT-Organisation, einschließlich der IT-Sicherheit der Endgeräte unter IGEL OS, danach ausgerichtet sein müssen. Mit unserer Anleitung machen wir es aber Kunden, vor allem Behörden, Partnern und Systemhäusern, deutlich einfacher, IGEL OS basierte Endgeräte entsprechend einzurichten und zu betreiben. Die Anleitung ist hier in der IGEL Knowledge Base zu finden.
F: Warum ist die Sicherheit an den Endgeräten so wichtig?
A: Endgeräte stellen in allen IT-Umgebungen das größte Risiko für die IT-Sicherheit dar. Über sie geschehen die meisten unerlaubten Zugriffe und über sie dringen Hacker, beispielsweise über Trojaner, in IT-Systeme ein. Es geht darum, dass die Integrität des Tele-Arbeitsplatzes erhalten bleibt, das Endgerät also nicht manipuliert ist. Wer eine Virtual-Desktop-Infrastruktur betreibt, auf Desktop-as-a-Service setzt oder in Cloud Workspaces arbeitet, ist generell schon mal auf der sichereren Seite, denn auf dem Endgerät sind keine vertraulichen Daten gespeichert, die direkt und unverschlüsselt abgegriffen werden könnten. IGEL OS ist zudem ein Read-Only-Betriebssystem, das keine Speicherung von Daten lokal zulässt – Trojaner haben also auf dem Endgerät keine Chance.
F: Welchen Schutz vor Manipulationen des Endgerätes bietet IGEL denn konkret?
A: Wir sprechen von der Chain-of-Trust, das bedeutet, der durchgängigen Integritätsprüfung des Systems vom Boot-Vorgang bis zum einsatzbereiten Endgerät. Wenn eine Sicherheitswarnung erfolgt, weiß der Anwender, dass sein Endgerät manipuliert wurde und der Zugriff auf das Unternehmensnetz verwehrt wird. Mit dem neuesten UD3 von IGEL und dem integriertemSicherheitschip des AMD Ryzen Prozessors wird diese Chain-of-Trust sogar nochmal verlängert. Der Sicherheitschip auf Hardware-Ebene überprüft, ob das UEFI geändert wurde, die Manipulation also eventuell schon mit dem Boot-Vorgang begonnen hat.
F: Die UMS spielt ja bei der Verwaltung der IGEL OS basierten Endgeräte eine entscheidende Rolle. Welche Rolle spielt sie bei der IT-Sicherheit?
A: Die UMS erfüllt zahlreiche Funktionen, die auch für den IT-Grundschutz-konformen Betrieb notwendig sind. Sie dokumentiert nachvollziehbare Logfiles und sie bietet eine gesicherte Fernwartung mittels Transportverschlüsselung nach TLS V 1.2. Dazu gehört auch, dass das SecureShadowing, also das Aufschalten auf ein Endgerät, über eine verschlüsselte Verbindung geschieht, und entsprechend protokolliert wird.
F: Sicherer geht es kaum. Können Administratoren noch etwas tun, um die Sicherheit zu steigern? Hast du Tipps?
A: Man kann immer noch etwas tun, um die Wahrscheinlichkeit eines erfolgreichen Angriffs weiter zu minimieren. Ich empfehle zum Beispiel bei der Konfiguration der Endgeräte zu überlegen, welche Funktionen die Benutzer wirklich benötigen. Viele davon lassen sich einfach ausschalten, es können unter anderem Partitionen, die nicht gebraucht werden, einfach abgewählt werden. Die eingeschränkte Benutzerumgebung verringert das Risiko von Attacken weiter.
F: Damit ist man mit IGEL ganz auf der sicheren Seite?
A: Es gibt noch mehr Gründe, die aus Sicht der IT-Sicherheit für IGEL sprechen: Wir pflegen unser Betriebssystem drei Jahre aktiv und bieten darüber hinaus noch drei Jahre Bug- und Security-Fixes für das IGEL OS an. Damit kann eine Betriebssystemversion über sechs Jahre hinweg sicher betrieben werden. Umgekehrt können Organisationen dank der zentralen Verwaltung mit der UMS alle Endgeräte schnell und problemlos auf die jeweils aktuellste Betriebssystemversion heben, das verlängert den Start des Geräts höchstens um zwei Minuten. Und sollte beim Update mal etwas schiefgehen, wird das Gerät gleich auf die vorherige Version zurückgestellt, so dass Anwender auf jeden Fall arbeitsfähig bleiben.
F: Kannst du uns die wichtigsten Punkte aus deiner Sicht nochmal zusammenfassen:
A: Was für IGEL in punkto Sicherheit spricht:
- Zentrale Administration und Fernwartung der Endgeräte im Firmennetz oder Internetmit der UMS
- Ergänzung um individuell einzurichtende Maßnahmen wie Bildschirmsperren, Zwei-Faktor-Authentifizierung oder Zertifikate für Endgeräte
- Manipulationsschutz des Endgeräts durch Chain-of-Trust von der Prozessor-Ebene (mit UD3) bzw. vom Boot-Vorgang bis zum Start des Endgeräts
- Einschränkung der Benutzerumgebung auf wirklich benötigte Funktionen
- Systempflege der OS-Versionen für sechs Jahre pro Generation
F: Stichwort Work-from-Home, Sicherheit im Home–Office?
A: Alle genannten Sicherheitsvorteile, einschließlich der IT-Grundschutzkonformität, gelten für IGEL OS-basierte Endgeräte im Home–Office genauso. Unternehmen mit VDI oder DaaS waren deshalb beim schnellen Umzug ins Home–Office in Folge der Pandemie klar im Vorteil. Über das IGEL Cloud Gateway lässt sich jedes IGEL OS Endgerät auch außerhalb der Behörde oder Firmasicher zentral verwalten, so dass auch hier die Integrität und Aktualität der Geräte gewährleistet ist. Das gilt auch, wenn beispielsweise der UD Pocket, das IGEL Betriebssystem auf dem USB-Stick, auf Privatrechnern eingesetzt wird.