OpenSecurity gibt zu bedenken, dass nicht alle personenbezogenen Daten sowie deren Vernetzung frei zugänglich sein dürfen – der Schutz von sensiblen Daten, die Rückschlüsse auf Personen und deren Vorlieben, Charakteristika etc. zulassen, muss gewährleistet sein.

Sowohl die Ergebnisse einer im Rahmen von OpenSecurity erfolgten Fragebogenerhebung als auch die Interviews, die mit IT-ExpertInnen vom Magistrat der Stadt Linz und dem Bundesministerium für Inneres durchgeführt wurden, geben deutliche Hinweise darauf, dass Sicherheitsaspekte bei der IT-Infrastruktur im öffentlichen Bereich in den letzten Jahren zunehmend an Bedeutung gewonnen haben. Es ist anzunehmen, dass sich die Situation bei anderen öffentlichen Behörden und Einrichtungen in Österreich ähnlich darstellt – sofern diese eine bestimmte Größe aufweisen. Neben den Einrichtungen des Bundes (z. B. Ministerien, Organe der Gerichtsbarkeit) und der Länder (z. B. Landesregierungen, Landesverwaltungsgerichte, Landespolizeidirektionen) kommen damit auch die Bezirksverwaltungsbehörden und die Magistrate der größeren Städte als potenzielle InteressentInnen für OpenSecurity in Frage. Des Weiteren kann OpenSecurity in öffentlichen Einrichtungen wie Universitäten, Museen oder Bibliotheken eingesetzt werden. OpenSecurity kann ebenso den Bedürfnissen von größeren NGOs/NPOs oder privatwirtschaftlichen Unternehmen angepasst werden.

Die Software-Lösung hat durchaus Potenzial einer Ausdehnung auf zumindest den deutschsprachigen Markt. Um OpenSecurity international am Markt einführen zu können, ist eine Weiterführung auf EU-Ebene geplant. Ein einheitlicher EU-Standard für den öffentlichen Bereich sowie für Ämter und Behörden soll erreicht werden.

Mit dem Open Source basierten Ansatz von OpenSecurity sind einige Besonderheiten verbunden, die auf die Entfaltung des Potenzials entsprechende Auswirkungen haben.

• Marktsituation: OpenSecurity reiht sich als vielversprechende Alternative zu anderen derzeit am Markt verfügbaren IT-Sicherheitslösungen ein, z.B. Safe-Browsing-Lösungen wie Bitbox (Sirrix), SurfCanister (Quick Heal Technologies), oder Sandboxie (Sandboxie Holdings).
• Implementierung: OpenSecurity ermöglicht eine unaufdringliche Integration in bestehende Infrastrukturen. Bei gleichzeitigem Betrieb kann eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle in großem Maßstab durchgeführt werden. Der administrative Aufwand für eine Migration bzw. eine erstmalige Installation der Open Source Lösung ist nicht aufwändiger als der Umstieg auf ein vergleichbares proprietäres Produkt.
• Ökonomische Vorteile: Die Software selbst ist unter Open Source gestellt und steht auf der Webseite zum freien Download bereit. Einsparungen für den öffentlichen Bereich können sich hier vor allem bei den Lizenzierungskosten und den Weiterentwicklungskosten ergeben. Da sich OpenSecurity in bestehende IT-Strukturen betriebssystemunabhängig integrieren und der bestehenden Usability und dem gewohnten Workflow anpassen lässt, sind keine hohen Kosten für Schulungsaufwand zu erwarten.

Die Funktionen Secure USB und Secure Web Browsing wurden in die bestehenden Windows-Oberfläche und Arbeitsabläufe für den User integriert. So finden Datenimport und -export über den Windows-Explorer statt. Der Secure Browser erscheint als Windows-Fenster und hält auch Lesezeichen des Benutzers bereit. Bei beiden Mechanismen kommt der Benutzer nicht mit der SecureVirtualMachine in Berührung. Bei Bedarf wird der Benutzer von OpenSecurity mit Hilfe von Tray-Meldungen und Dialogen durch die notwendigen Schritte geführt.

OpenSecurity wurde beim Bedarfsträger IKT Linz unter normalen Bürobedingungen getestet. Zusätzliche Anforderungen der bestehenden IT-Infrastruktur konnten modular und flexibel umgesetzt werden.

Secure USB

Die derzeit vorliegende OpenSecurity Version ermöglicht im Bereich Secure USB das Importieren von Daten von unverschlüsselten und verschlüsselten USB-Sticks. Die importierten Daten werden vor dem Zugriff durch OpenSecurity automatisch (und zentral, wenn so konfiguriert) auf Viren oder Malware gescannt. Bei einem Fund wird der Zugriff verweigert. Eventuell vorhandene Viren/Rootkits, die sich beim Zugriff selbst aktivieren, können – sofern sie überhaupt auf einem Linux-System lauffähig sind – nur die benutzte SecureVirtualMachine und nicht den Arbeitsrechner des Benutzers befallen.

Beim ebenfalls möglichen Datenexport auf einen USB-Stick wird der Benutzer aufgefordert, diesen zuerst als verschlüsselten Stick zu initialisieren. Ein Export auf unverschlüsselte USB-Sticks und ein nachfolgender Datenverlust sind daher durch den Einsatz von OpenSecurity nicht mehr möglich.

Zusätzlich können alle exportierten Daten auf einem zentralen Logging- bzw. Monitoring Server aufgezeichnet werden. Dadurch kann der Weg nachvollzogen werden, den verloren gegangene Daten genommen haben.

Secure Web Browsing

Beim Secure Web Browsing kann der Benutzer über ein Desktop- bzw. ein Tray-Icon einen „sicheren“ Browser starten. In OpenSecurity Version 1.0 kommt hierbei der freie Browser Chromium zum Einsatz. Er wird innerhalb einer SecurityVirtualMachine ausgeführt, integriert sich allerdings graphisch in die Windows-Oberfläche und erscheint als normales Browser-Fenster in der gewohnten Desktop-Umgebung.

Auch hier führt ein Befall durch Viren bzw. Malware wieder nur zum Befall der SecurityVirtualMachine und nicht zur Kontaminierung des Arbeitsrechners des Benutzers. Auch ein Datenaustausch kann während einer Browsersitzung nur über ähnliche Mechanismen und Sicherheitsmaßnahmen wie beim USB Import/Export erfolgen.

Eine performante Internetanbindung und die Kommunikation mittels E-Mail sind im täglichen Geschäftsalltag nicht mehr wegzudenken. Die Vermeidung von ungewollter Weitergabe klassifizierter Informationen über diese Kommunikationswege ist ein großes Anliegen.

Durch die Verwendung von externen Datenträgern und mobilen Endgeräten (Laptops, Smartphones, etc.) besteht bei Verlust oder Diebstahl die Möglichkeit, dass klassifizierte Informationen ungewollt in Umlauf gebracht werden. Dieses Risiko ist nur durch Mechanismen der Data Loss Prevention (DLP) und durch Verschlüsselung von klassifizierten Informationen zu reduzieren.

Neben DLP ist bei der Nutzung von Internet und E-Mail die Implementierung effizienter Mechanismen zum Schutz vor Schadsoftware ein wesentlicher Bestandteil der Sicherheit von IKT-Systemen und Informationen.

Das FüUZ möchte am Forschungsprojekt OpenSecurity mitwirken, da im Infrastrukturbereich DLP und Schutzmaßnahmen gegen Schadsoftware eine bedeutende Rolle einnehmen und die entwickelten Sicherheitslösungen teilweise oder zur Gänze in zukünftigen IKT-Systemen implementiert werden könnten.

Bild 1: Sicheres Internet-Browsen

Bild 2: Sicheres Abrufen von Dateien auf externen Speichermedien

Sollte ein Virus nicht von der Anti-Viren-Software entdeckt werden, ist die Schadsoftware dennoch innerhalb OpenSecuritys isolierten Virtual Machines eingeschlossen. Aufgrund der kurzen Lifecycles dieser orchestrierten Wegwerf-Virtual Machines wird jede Schadsoftware rasch vernichtet. Diese Maßnahmen sind insbesondere für öffentliche Institutionen, die private Bürgerdaten verwalten, wichtig und können den NutzerInnen dieser Einrichtungen die Möglichkeit bieten sicher mit Ressourcen aus unsicheren Netzwerken umzugehen. OpenSecurity ist eine Open Source Lösung, welche bei gleichzeitigem Betrieb eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle in großem Maßstab ermöglicht, da jede beliebige Applikation in genormten Subsystemen überführt und somit Betriebssystem unabhängig – aber gesichert – zur Ausführung kommen kann.

Link zur D.A.CH. Security Konferenz