Guten Morgen,
die Frage passt grad ganz gut, denn ich konnte meine Notizen mal aufräumen und zusammenfassen:
Zu Komplex?
Nein, nur fordernd
Zu weit vom üblichen Anwender weg?
„üblicher Anwender“ sehe ich nicht als Zielgruppe hier im Forum bzw. aus welcher Perspektive ist „üblicher Anwender“ gemeint? Bei „Über uns“ steht: „Eine Plattform für Menschen, die sich kritisch mit den Themen IT-Sicherheit und Datenschutz(recht) befassen möchten“.
Hat wer schon Erfahrung damit gemacht? Auf welcher Hardware?
Ja, ich nutze Qubes seit über 16 Monaten. Und ich bin umfänglich zufrieden und genieße regelmäßig die Entscheidung.
Hardware ist ein NitroPC aus → https://shop.nitrokey.com/de_DE/shop/product/nitropc-132 und ich bereue ebenfalls nicht die Entscheidung, den gekauft zu haben. Das läuft nämlich unter dem Aspekt Arbeitsteilung und darüber hinaus konnte ich mir konkret anschauen, wie das Nitrokey-Unternehmen Vertrauen herstellt bei der Frage des Transportes → „Versiegeltes Gehäuse:
Um das Manipulieren Ihres NitroPCs zu erschweren, werden die Gehäuseschrauben individuell versiegelt. Wir senden Ihnen Fotos der Versiegelungen, mit denen Sie erkennen können, ob das Gehäuse während des Transports oder zu einem späteren Zeitpunkt unberechtigt geöffnet wurde.“ Haben sie sehr gut gelöst.
Keine große Hardware Auswahl mit aktueller Ware scheint auch ab zu schrecken.
Nein. Was kommt zu erst bei der Entscheidung? Die Hardware-Auswahl hat Gründe, um das Konzept von Qubes in Gänze umzusetzen. Wenn ich also bestmögliche IT-Sicherheit haben will, ist die Hardware-Auswahl zweitrangig, sondern hat sich den Anforderungen zu unterwerfen und sie zu erfüllen.
Was mich interessieren würde, wie bekomme ich eine Windows VM da rein? Wird dafür eine Lizenz benötigt?
Komische Frage. Das MS-Windows Betriebssystem benötigt eine Lizenz, ja klar.
Ein Qube kann als folgender Type eingerichtet werden:
- AppVM (User-Home Verzeichnis beständig (persistent) und Root-Verzeichnis flüchtig
- TemplateVM (Home Verzeichnis als Template, Root-Verzeichnis beständig)
- StandaloneVM (vollständig beständig)
- DisposableVM (vollständig flüchtig)
Ein MS-Windows kommt in eine StandaloneVM und wird mit dem virt mod HVM eingebunden.
Das Konzept wie ich das bis jetzt verstanden habe, ist irgendwie genial, man kann für jede Rubrik eine eigene VM aufmachen und weitere erstellen um Dinge zu testen, dabei greift das System auf verschiedene OS zurück, wie debian, fedora, windows oder whonix.
Das ist stark gekürzt. Der ursächliche Arbeitsauftrag für Qubes ist vielmehr, auf einem Gerät das zugrundeliegende Betriebssystem so massiv zu reduzieren, dass die Einbruchsmöglichkeiten dort extrem eingeschränkt sind. So sind auch Grafik und Netzwerk in Qubes organisiert.
Dann gibt es Templates mit einem Betriebssystem (TemplateVM).
Eine Anwendungs-Qube (AppVM) wird dann verknüpft mit einer TemplateVM, einer NetVM, Default DispVM und beim Starten der AppVM wird das Betriebssystem für diese Sitzung geladen sowie wenn noch nicht geschehen die NetVM und daran hängenden VMs gestartet (Kette von Qubes). Nur im User-Home-Verzeichnis können Dateien dauerhaft liegen. Nach Herunterfahren der Qube oder Neustarten verlieren sich alle Veränderungen außerhalb des User-Home-Verzeichnisses.
Und dann werden farbliche Räume geschaffen mit Anwendungs-Qubes, die Vertrauensstufen abbilden und man sollte diese auch so einhalten: „Alle Fenster werden in einer einheitlichen Desktop-Umgebung mit fälschungssicheren farbigen Fensterrändern angezeigt, so dass die verschiedenen Sicherheitsstufen leicht erkennbar sind.“
Das ist ein wesentlicher Anker im Konzept von Qubes neben Virtualisierung und Isolierung.
Die farbliche Gestaltung hilft im Gehirn, die eigene Arbeit mit einem Computer zu organisieren und bestimmte Tätigkeiten diesen farblichen Räumen zuzuordnen. So ist Schwarz-Grau die höchste Vertrauenstufe (dom0 = Betriebssystem, vault für z.B. Keepass) und geht dann über grün zu gelb nach rot. Rot wird ja auch als Warnfarbe überwiegend empfunden, ist hier also der am wenigsten zu vertrauende Raum.
Qubes bietet mir also eine Struktur, meine Tätigkeiten am und mit dem Computer sinnvoll aufzubauen. Auf strukturiertes Arbeiten muss man sich als als „üblicher Anwender“ einlassen, ansonsten braucht man kein Qubes 
Das ist alles sehr schön beschrieben in https://www.qubes-os.org/intro/ und dort auch grafisch dargestellt.
Ich hab auch schon kritische Meinungen gelesen das es nicht unbedingt Anwenderfreundlich ist und man viel in der Konsole machen muss, was mich jetzt nicht so stört, wenn es gute Anleitungen gibt und man nicht alles selbst lösen muss.
Ebenfalls eine komische Sicht: irgendwer hat „kritische Meinungen“ und was bitte ist „anwenderfreundlich“? Rede doch bitte vielmehr von dir und nur von dir, was du willst mit dem Computer vor dir. Dann können wir zusammen hier uns austauschen.
Ich betrachte qubes als sehr anwenderfreundlich. Denn ich bin vom Typ her jemand, der strukturiert arbeitet und entsprechende Umgebungen benötigt. Was für ein Typ bist du?
Höchstmögliche Sicherheit kann nicht von der Stange kommen und 08/15 für alle geht auch nicht. Wenn also jemand höchstmögliche IT-Sicherheit haben will, ist Qube anwenderfreundlich und läuft rund.
Mit der Konsole auf dom0 habe ich bisher nur einmal gearbeitet. Und wenige Male in den Templates, um dort Software nachzuinstallieren, Drucker einzurichten und ähnlichem. Ansonsten habe ich mit der Konsole nichts zu tun. Daher ja der Hinweis zu vor, was willst du machen?
Qubes erfordert eine Einlassung auf das Konzept der farblichen Räume, Virtualisierung und Isolierung. Einlassung bedeutet in „Gruppen“ zu denken und die eigene individuelle Vorgehensweise zu prüfen und zu verstehen, um dann mit Qube die Praxis zu entwickeln. Dafür habe ich geschaut, wie ich meine Tätigkeiten bündeln kann, wo ich welche Daten benötige und welches Schutzniveau wo angemessen ist. Dafür bieten die Entwickler:innen technisch eine sehr durchdachte Installation von Software; und ja, ich kann sogar MS-Windows installieren in einer VM.
Man kann auch die Dateiablage auf diesem Computer vollständig durchführen. Das untergräbt aber eher die Grundidee und man ist besser bedient, wenn dafür eine andere physische Maschine genutzt wird, z.B. NAS. Somit sind auch die Backups der Qubes viel kleiner.
Wie teile ich mir meine Räume auf und wie habe ich mich eingerichtet?
- Ich habe die Namen der Qubes zu Beginn mit Sortierbuchstaben versehen, also für die bestehende vault ist das nun AA-vault (grau). Dann habe ich CC-work (blau) und FF-personal (gelb) und HH-untrusted (rot).
- Der Farbbereich blau enthält neben CC-Work noch CC-work-backup und beide haben keinen bzw. stark eingeschränkten Internet-Zugriff. In CC-work-backup wird das Qubes-Backup durchgeführt und sind die Logindaten für die NAS fest eingebunden. In CC-work ist u.a. ein Firefox-Profil, welches mit einem gefakten Proxy auf 127.0.0.1:666 arbeitet, also ins leere läuft und bei „Kein Proxy für“ sind etwa 20 Domains hinterlegt sind, denen ich vertraue, z.B. die eigene Nextcloud-Installation (mit der ich gerade diese Text vorbereitend schreibe).
- Der Farbbereich gelb hat mehrere Qubes für verschiedene Identitäten. In den Qubes wird mit dem Internet eine Verbindung hergestellt, also z.B. E-Mail und Web. In den Qubes wird mit verschiedenen Firefox-Profilen gearbeitet.
- Der Farbbereich Rot wird für Internet (Web) genutzt und enthält gar keine persönlichen Daten von mir. Recherche im Web findet häufig hier zu erst statt, z.B. wenn ich etwas kaufen will und vorher mir den Markt anschaue. In einem Firefox-Profil gibt es eine Fake-Identität, also mit einem seit ein paar Jahren bestehende Mailaccount bei GMX mit falsche Identität, aber etabliert. Andere Firefox-Profile werden regelmäßig weggeschmissen und neu angefangen.
- Der Farbereich grün bleibt der sys-firewall vorbehalten und ich habe hier eine sys-vpn extra eingerichtet, wo auch die VPN-Logindaten fest hinterlegt sind.
Arbeiten mit Templates und Betriebssystem
Das bereitgestellte Template mit debian 11 habe ich als erstes geklont! Und nur in geklonten Templates führe ich Änderungen durch, z.B. Installation weiterer Software, Drucker-Einrichtung usw.; damit entkoppele ich die ausgelieferten von meinen individualisierten.
Da Qubes auf Templates basieren, kann ich den Umfang der Software genau steuern, was eine Qube erhält. So gibt es einen Template-Klone mit Python für eine entsprechende Entwicklungsumgebung, einen anderen mit Java. Clone-1 mit meiner üblichen Software dient den meisten Qubes als Grundlage. Clone-2 dient für einen speziellen anderen Arbeitsvorgang.
Der Farbbereich grün nimmt fedora als Betriebssystem. Die anderen basieren auf debian 11, da ich mich damit sehr gut auskenne.
MS-Windows spielt hier für mich keine Rolle. Das läuft auf einem physischen Notebook. Von Qube aus greife ich bei Bedarf per RDP darauf hin zu.
Handling von Daten (Zwischenspeicher / Clipboard)
Der Zwischenspeicher (STRG+C) ist stark reglementiert und reduziert dadurch Datendiebstahl. Um von einer Qube zu einer anderen Qube Text zu kopieren mit STRG+C, muss zusätzlich nochmal SHIFT+STRG+C gedrückt werden. Im anderen Qube muss dann SHIFT+STRG+V gedrückt werden und danach dann STRG+V. Das ist aufwendiger, unterbindet aber im schlechteren Falle eben einen Datenabfluss. Nach Anwendung von SHIFT+STRG+V wird der Text in der Qube im Zwischenspeicher gelagert und aus der globalen Zwischenablage entfernt.
Handling von Daten (Dateien)
Die Dateiablage sollte möglichst auf einer anderen Maschine liegen, da dort dann der „unendliche“ Speicher liegt. Die Qubes können dadurch in ihrer Größe reglementiert werden auf z.B. maximal 10 GB (wenn E-Mail lokal gecachet oder gespeichert wird) oder nur 2 GB. Wenn also z.B. durch Downloads das Limit erreicht wird, muss man halt aufräumen. Ich habe nun auf meiner NAS extra spezielle Freigaben für Qubes der Farbe gelb und rot eingerichtet. Damit steuere ich den Zugriff aus einer Qube zu meiner NAS und grenze das also ein.
Die Qube-Maschine ist nur eine Zwischenstation für die meisten Dateien.
Von der Überlegung höchstmögliche IT-Sicherheit ist ein regelmäßiges Löschverfahren ja ebenfalls notwendig. Etwa einmal im Monat räume ich in den Qubes und in den NAS-Freigaben auf. Ggf. übernehme ich Daten auf der NAS in den blauen Bereich.
Handling von Dateien zwischen Qubes
Qube hat einen Mechanismus entwickelt, womit ich per rechter Maustaste im File-Manager eine Datei von einer Qube zu einer anderen kopieren oder verschieben kann. In der Ziel-Qube wird dann ein Eingangsorder eingerichtet mit dem Namen der Quell-Qube.
Man kann natürlich auch die Qube-Maschine für die Dateiablage nutzen. Ich trenne das aber, da z.B. ein Ausfall der Qube-Maschine ja einen entsprechenden Ersatz benötigt, um dann wieder auf die Dateien zugreifen zu können. Da Qube in Gänze nicht auf jeder Hardware läuft, ist hier ein Engpass. Ein Notfallkonzept sollte man eh in der Tasche haben und das bitte vorher für sich prüfen, wie im Falle X ein Zugriff auf die Daten schnellstmöglich gewährleistet ist.
Fazit
Der Artikel bei heise.de war ein Auslöser für meine Entscheidung: https://www.heise.de/select/ct/2021/17/2116614355458022562 und dort sind auch weitere technische Erläuterungen. Konkret war es dann ein Defekt meines acht Jahre alten Computers, der zum Kauf des NitroPCs führte.
Die Leute von Qube haben und machen sich umfängliche Gedanken, wie das Grundproblem Vertrauen in die vor einen stehende Maschine geschaffen werden kann und lösen das mit Qube. Darüber hinaus machen sie sich auch Gedanken, wie man dem Projekt vertrauen kann. Das läuft bei ihnen unter der Bezeichnung Kanarienvogel seit 2015 und sie beziehen sich hier auf eine Technik aus dem Bergbau: „Wenn die Methangaskonzentration im Bergwerk ein gefährliches Niveau erreicht, stirbt der Kanarienvogel und signalisiert den Bergleuten, dass sie evakuiert werden sollten.“. Sie veröffentlichen also regelmäßig eine Sicherheitsmitteilung, die per Standard aus mehrere Aussagen besteht und somit signalisiert, dass alles in Ordnung ist oder eben vielleicht auch nicht: „Sollten die Kanarienvögel jedoch plötzlich ausbleiben, einer oder mehrere Unterzeichner sich weigern, sie zu unterzeichnen, oder sollten sich die enthaltenen Erklärungen ohne plausible Erklärung erheblich ändern, dann kann dies ein Hinweis darauf sein, dass etwas schief gelaufen ist.“ Siehe https://www.qubes-os.org/security/canary/
Wie immer sollte man bei zentralen Anwendungen sich also in der Sicherheits-Mailingliste eintragen oder den entsprechenden RSS-Feed abonieren, um die Sicherheitsmeldungen wie Canary u.ä. zeitnah mitzubekommen.
Qubes ist eine Entscheidung, die ich definitiv nicht bereue sondern mich glücklicher gemacht hat. Qubes gibt mir wieder mehr Vertrauen in die IT und zeigt praktisch, dass diese Anforderung erfüllbar ist im Bereich Arbeitsplatzcomputer. Daneben steht die Entscheidung für GrapheneOs für Mobile Computer (Telefonie) und die Entscheidung, bei Textverarbeitung auf Markdown zu setzen.
Ich empfehle in meiner Arbeit und Beratungstätigkeit allen „üblichen Anwender:innen“ im Anforderungsbereich „bestmögliche IT-Sicherheit“ das Betriebssystem Qubes.
Qubes ist für mich nicht komplex sondern fordernd
Am Tagesende hilft das alles: der Einstieg erfordert Zeit, um das Konzept zu verstehen und führt zu einer Planung der eigenen Tätigkeiten. Diese Investition lohnt sich m.E.
Stichworte sind also:
- Notfallkonzept
- Isolierung
- Virtualisierung
- Schutzniveau
- Vertrauen
- Einbruchsstellen
- Arbeitsorganisation
- Ordnung
- Struktur
- Löschverfahren
- IT-Sicherheit
Zurücklehnen und genießen, nach getaner Arbeit 
Nachdem ich den Puri.sm Service kontaktiert hatte und feststellen musste, dass es keine Ersatzteile gibt, im Forum gelesen habe, dass es einigen Usern genauso ergangen ist, habe ich mir Epoxy gekauft, angemischt, und die Trümmer wieder verklebt und es hält anscheinend. Das Halterung des zweite Scharniers muss ich auch noch prophylaktisch ausgießen.