R&S®Browser in the Box: schichten, virtualisieren und diversifizieren für sicheres Surfen

Clemens Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity, war maßgeblich an der Entwicklung einer Software beteiligt, die den eigenen Browser über eine virtuelle Maschine komplett von der Umgebung abkapselt, ohne dass die Kommunikation eingeschränkt wird. Im Interview erklärt er die Funktionsweisen und Sicherheitsvorteile des R&S®Browser in the Box und warum der Sicherheitsbrowser auch bei der Umstellung von Windows 7 auf Windows 10 effektiver als andere vor Malware und Viren schützt.

Clemens Schulz, Director of Desktop Security at Rohde & Schwarz Cybersecurity

"Wir haben zwei grundsätzliche Konzepte, um die Sicherheit zu forcieren: Erstens die Internet-Intranet-Trennung. Zweitens: Wir führen auf dem Rechner selbst Isolationen durch."

Clemens Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity

R&S®Browser in the Box gilt in der IT-Branche als der sicherste Browser der Welt. Wodurch ist dieser inoffizielle WM-Titel gerechtfertigt?

Der R&S®Browser in the Box basiert nicht - wie herkömmliche Produkte - auf nur einer Sicherheitsschicht. Wir haben zwei grundsätzliche Konzepte, um die Sicherheit zu forcieren: Erstens die Internet-Intranet-Trennung. Das bieten weltweit nur wir in der Qualität. Zweitens: Wir führen auf dem Rechner selbst Isolationen durch. Und auch da bieten wir nicht nur eine Isolationsschicht: Wir haben erstens eine Vollvirtualisierung. Zweitens bieten wir eine sogenannte Betriebssystem-Diversität: In unserem virtualisierten System, in dem also unser Browser läuft, arbeiten wir mit Linux. Und daneben haben wir ein Windows-Host-System. Der Windows-Benutzer-Account, unter dem der Browser läuft, ist extrem eingeschränkt. Auch der darf nur machen, was zur Ausführung von R&S®Browser in the Box nötig ist. Ein Angreifer müsste also mit den unterschiedlichen Betriebssystemen klarkommen - ein extrem schwieriges Szenario.

Warum arbeiten Sie mit einem Open Source System?

Bei Linux gibt es viel mehr Techniken, das System zu härten. Es gibt da zwei Vorgehensweisen, die wir beide anwenden und die so bei anderen nicht zu finden sind. Wir reduzieren die Summe der potenziellen Angriffsvektoren, also der Angriffsmöglichkeiten. Wir definieren die Dinge, die dieser Browser einzig und allein ausführen darf. Es ist nur die Software eingebaut, die wir wirklich brauchen. Da kann also nicht über einen Seitenkanal ein Angriff ausgeführt werden.

Den Diensten, die wir explizit brauchen, haben wir wiederum ein AppArmor Whitelisting-Profil auferlegt. AppArmor, übersetzt Application-Armor, also „Rüstung“, ist eine von mehreren Techniken im Linux-Kernel. Wir haben uns für AppArmor entschieden, weil es sehr ausgereift ist. Es gab in den letzten zehn Jahren genau eine Sicherheitslücke – und selbst die hätte man bei R&S®Browser in the Box nicht ausnutzen können.

Viele Behörden stellen gerade auf Windows 10 um. Was ist aus Sicherheitsperspektive zu bedenken?

Behörden, die jetzt von Windows 7 auf Windows 10 migrieren, haben folgendes Problem: Der Windows 7-Support wird zum Jahreswechsel eingestellt. Viele Behörden werden Mühe haben, die Migration bis dahin abgeschlossen zu haben. Sie müssten ab Januar 2020 einen Extended-Support-Vertrag abschließen. Sonst würden sie für ihre Win 7-Systeme in der Übergangszeit keine Sicherheitsupdates mehr erhalten. Das eigene System wäre offen wie ein Scheunentor. Da käme plötzlich jeder rein. Dieser Vertrag kostet nun allerdings viel Geld. Man zahlt also Geld dafür, dass eine veraltete Software, die man eigentlich loswerden will, sicher bleibt.

Also besser gleich den R&S®Browser in the Box installieren?

Klar, wenn man den R&S®Browser in the Box installiert, ist Win 7 aus dem Internet nicht mehr angreifbar, und so kann man als Behörde in aller Ruhe auf Win 10 migrieren. Und das Schöne ist: Nach der Migration kann man die erworbenen R&S®Browser in the Box-Lizenzen einfach weiternutzen, um das Windows 10-System und das Netzwerk abzusichern, da wir auch einen Mischbetrieb zwischen Win 7 und Win 10 fahren können. Win 10 ist dann gegen Angriffe aus dem Internet abgesichert und man hat obendrein den Riesenvorteil des proaktiven Telemetrieschutzes.

Warum ist Telemetrieschutz wichtig?

Die SiSyPHuS-Studie des BSI hat gezeigt, dass ein Win 10-System, genauso wie Office 365 übrigens, ständig verschlüsselt Telemetrie-Daten an den Hersteller sendet. Eine Behörde kann in diese Vorgänge nicht reingucken, sie muss Microsoft vertrauen, dass die Metadaten, die verschickt werden, tatsächlich nur die Metadaten sind und nicht etwa Dokumente, in denen vertrauliches geistiges Eigentum steckt. Die Metadaten könnten auch Rückschlüsse auf vielleicht sensiblen Inhalt der Daten ermöglichen.

Hat das BSI da nicht vorgebaut?

Das BSI hat eine Liste mit Serveradressen und Ports herausgegeben, die von der Firewall geblockt werden sollten. Wenn man das tut, kann diese eine Version tatsächlich keine Telemetriedaten mehr abziehen. Aus Sicht der Cybersicherheit ist das aber unschön. Es ist nämlich kein proaktiver Schutz, wie ihn Rohde & Schwarz Cybersecurity anbietet.

Warum braucht es einen proaktiven Schutz?

Eine Firewall oder herkömmliche Antiviren-Software funktioniert nur für die eine Adresse und den einen Port, für den sie geschrieben wurde. Das Problem ist aber: Was blockiert wird, findet der Anbieter schnell raus. Mit dem nächsten Update baut die Firma dann einfach einen anderen Server ein. Man rennt also ständig hinterher und baut neue Blockierungen ein. Und Microsoft wird einem immer einen Schritt voraus sein. Dieses typisch reaktive Vorgehen kennen wir in der IT seit Jahrzehnten. Man muss klar sagen: Es ist gescheitert.

Die Großen in der Branche sagen das auch selbst. Der CEO von Symantec hat einmal sinngemäß verkündet: Antiviren-Scanner sind tot. Damit meinte er natürlich die klassischen AV-Lösungen, nicht die eigenen neuartigeren. Aber auch die sind alles andere als proaktiv.

Kern-Feature des R&S®Browser in the Box ist ein VPN-Tunnel. Wie funktioniert der?

Die VPN-Technologie basierend auf unseren R&S®Trusted VPN Gateways trennt Internet und Intranet nicht nur auf Rechnerebene. Wir haben auch eine absolute Isolation auf Netzwerkebene. An jedem Mitarbeiter-Rechner startet ein solcher VPN-Tunnel in der R&S®Browser in the Box-Software. Der Datenverkehr läuft also von Ende zu Ende verschlüsselt, kein Router dieser Welt könnte da mitlesen. Technisch gesehen passiert Folgendes: Die interne Firewall blockiert alles außer dem Zugang zum VPN-Gegenpunkt. Die R&S®Browser in the Box-Software wählt sich dann raus ins Internet.

Die Internetweiche stellt ein, wo welche Links zu öffnen sind. Interne Links werden in internen Browsern geöffnet, die das Internet nicht erreichen, aber sehr wohl das Intranet. Andere Links werden in R&S®Browser in the Box geöffnet, wo man das Internet erreicht, aber nicht interne Server. Alles andere wird in den R&S®Browser in the Box umgeleitet. Durch das Feature „Docs in the Box“ können auch E-Mail-Anhänge, die potenziell Viren enthalten, im Vorschaufenster einer virtualisierten Umgebung betrachtet werden. So ist der einzelne Mitarbeiter einer teils kniffligen Verantwortung enthoben, er kann sicher surfen.

Zurück zu R&S®Browser in the Box

Verwandte Themen

Rohde & Schwarz Cybersecurity

Mehr Informationen

Desktop-Sicherheit

Mehr Informationen

Netzwerksicherheit

Mehr Informationen

Mobile Sicherheit

Mehr Informationen

Informationen anfordern

Haben Sie Fragen oder benötigen Sie weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Ich möchte Informationen von Rohde & Schwarz erhalten per

Marketing-Einverständniserklärung

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Ihre Anfrage wurde erfolgreich versendet. Wir nehmen in Kürze Kontakt mit Ihnen auf.
An error is occurred, please try it again later.