Viele öffentliche Einrichtungen in Österreich verwenden seit jeher Windows als ihre End-User Umgebung. Aufgrund von Pfadabhängigkeit sind sie äußerst eingeschränkt, wenn es darum geht von diesem Standard abzuweichen. Die Konsequenz ist, dass das OpenSecurity Projekt die Bereitstellung der Software auf Microsoft Windows Clients unterstützen muss (spezifisch ist unsere Referenzarchitektur MS Windows 7 64-bit).

Es ist klar, dass diese Lösung was den Sicherheitsaspekt anbelangt suboptimal ist. Tatsächlich wurden die Mängel von Windows in diesem Zusammenhang bereits analysiert. In Anbetracht der Tatsache, dass Windows weit verbreitet ist, wird diese Lösung im öffentlichen Sektor jedoch potenziell größeren Erfolg haben. Obwohl die resultierende Implementierung von Sicherheit durch Isolation nicht absolute Sicherheit gewährleisten kann, wird sie dennoch erheblich höhere Sicherheit bieten, die darüber hinaus mit institutionellen IT Rollouts und Management Prozessen kompatibel ist.

In den folgenden Monaten werden unsere Services in einem limitierten Produktionsumfeld zweier Bedarfsträger aus der öffentlichen Verwaltung installiert werden. Diese User werden direkt über den OpenSecurity Dienst Feedback übermitteln können, und sie werden an einem Evaluation Workshop und einer Onlinebefragung teilnehmen. Dieses Feedback wird es uns ermöglichen den Service was Stabilität und Usability angeht weiterzuentwickeln.

Bildquelle: Wikipedia Lizenz: CC-BY-SA

Eine performante Internetanbindung und die Kommunikation mittels E-Mail sind im täglichen Geschäftsalltag nicht mehr wegzudenken. Die Vermeidung von ungewollter Weitergabe klassifizierter Informationen über diese Kommunikationswege ist ein großes Anliegen.

Durch die Verwendung von externen Datenträgern und mobilen Endgeräten (Laptops, Smartphones, etc.) besteht bei Verlust oder Diebstahl die Möglichkeit, dass klassifizierte Informationen ungewollt in Umlauf gebracht werden. Dieses Risiko ist nur durch Mechanismen der Data Loss Prevention (DLP) und durch Verschlüsselung von klassifizierten Informationen zu reduzieren.

Neben DLP ist bei der Nutzung von Internet und E-Mail die Implementierung effizienter Mechanismen zum Schutz vor Schadsoftware ein wesentlicher Bestandteil der Sicherheit von IKT-Systemen und Informationen.

Das FüUZ möchte am Forschungsprojekt OpenSecurity mitwirken, da im Infrastrukturbereich DLP und Schutzmaßnahmen gegen Schadsoftware eine bedeutende Rolle einnehmen und die entwickelten Sicherheitslösungen teilweise oder zur Gänze in zukünftigen IKT-Systemen implementiert werden könnten.

Die bisherige Arbeit resultierte in einem Set von miteinander interagierenden und isolierten Kernkomponenten zur Orchestrierung von dedizierten Virtual Machines. Die OpenSecurity Komponenten, die in diesem Prozess entwickelt wurden, basieren auf klar definierten offenen Interfaces: RESTful API, CIFS und SSH. Diese Protokolle trennen sauber die unterschiedlichen Komponenten des OpenSecurity Lösungsraumes, was ein Upgrade oder gar einen kompletten Austausch derselben Komponenten ermöglicht ohne das Konzept und Nutzen des gesamten Systems zu beeinträchtigen.

Die zentrale Komponente des OpenSecurity Designs ist der OpenSecurity Management Daemon, welcher Virtual Machines für den einmaligen Gebrauch startet und stoppt. Diese Maschinen fußen auf Templates, welche von der eigens von Debian 7.2 abgeleiteten OpenSecurity Linux Distribution erstellt werden. Andere Komponenten sind für User-Interaktion, Gerätetreiber-Overlays und Einbettung des Zugangs von und zu den Virtual Machines im Bezug zur aktuellen Benutzer-Session zuständig.

Das Team präsentierte im Dezember ein live Proof of Concept, das zum einen demonstrierte wie  unabhängige Virtual Box Machines USB Massenspeichermedien Aktionen wie Virenscan und/oder Verschlüsselung handhaben. Zum anderen demonstrierte es die feste Integration einer in einer Virtual Machine ausgeführten Internet Browsing Applikation, die jedoch nativ in einer Windows 7 User Session angezeigt wird.

Die derzeitige Implementierungsarbeit zielt darauf ab das System stabil, leistungsfähig und flexibel zu machen. Die Softwarekomponenten, die in diesem Kontext geschrieben wurden, sind zwar eher klein und die Interfaces alle weitgehend bekannt. Dennoch ergibt sich aufgrund der Tatsache, dass Mitteilungen oft Betriebssystemgrenzen überschreiten und sich dies auf niedrigster Ebene auf Systemfunktionalitäten auswirkt, eine hohe Komplexität. Sowohl diese Situation als auch die speziellen Charakteristiken und Divergenzen im Verhalten von teilweise Closed-Source Betriebssystemen – selbst dann wenn die angesprochenen Methoden und Funktionen auf einen allgemeinen Standard zurückzuführen sind – machen dies zu einem anspruchsvollen und aufwendigen Vorhaben.

Schlussendlich müssen auch Anforderungen an die Installierung umgesetzt werden. Sowohl einfache Einzeluser Ein-Klick Download Setup Dateien als auch ein von einem zentralen IT-Department auszuführendes Komplettrollout auf bis zu tausenden Maschinen müssen unterstützt werden. Da die OpenSecurity Integrierung auch auf einer Reihe gut entwickelter Open Source Software Dritter basiert, ist Version Management eine weitere komplexe Aufgabe, die demnächst angegangen werden wird.

OpenSecurity soll den Verlust und (un-)gewollten Missbrauch von sensiblen, bürgerbezogenen Daten bei öffentlichen Einrichtungen verhindern. Ziel dieser Forschung ist die Sicherheit und Verfügbarkeit der Daten zu erhöhen, sowie den Aufwand für Deployment Management und Instandhaltung zu reduzieren. Hierzu wird die Machbarkeit und mögliche Umsetzung eines zentralen Security-Layers auf Basis unserer Erfahrung mit Intensive Computing, Anti-Virus und Verschlüsselung geprüft. Dieser Layer kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, etc.) stattfindet. OpenSecurity wird unter eine Lizenz gestellt, welche die öffentliche Verifikation und die individuelle Anpassung an heterogene IKT-Systemlandschaften  ermöglicht.

OpenSecurity ist ein zwei-Jahres Projekt, das bis Oktober 2014 laufen und vom Österreichischen FFG KIRAS Security Programm gefördert wird. Die primären Bedarfsträger im Projekt sind das Österreichische Bundesministerium für Landesverteidigung (BMLVS) und das IKT Linz. Die Bedarfsträger haben für das Projekt Use Cases und Voraussetzungen bereitgestellt und werden die Projektergebnisse testen und validieren. Das AIT Austrian Institute of Technology GmbH ist der primäre Forschungspartner, der die industriellen Partner X-NET Services GmbH und IKARUS unterstützt. Unter der technischen Koordination von X-NET setzt das Team die technische Implementierung von OpenSecurity Lösungen um. Das Linzer Institut für Qualitative Analysen (LIquA) rundet das Konsortium durch seinen Beitrag einer Analyse der Auswirkung von OpenSecurity im Kontext von Mitarbeiterdatenschutz und Privatsphäre ab.