Was ist unter Hochsicherheits-IT zu verstehen? Immer mehr Kunden fragen an, wie sie ihre Rechner, ihre Systeme, ihre IT sicherer gestalten können. „Die Einschläge kommen immer näher“.
Als erstes frage ich immer: „Darf ich bitte die letzten Backups sehen?“.
Erfahrungsgemäß gehen einige Stunden oder Tage dann ins Land. Fast immer ist es die wichtigste Aufgabe, gerade bei neuen Kunden, erst einmal Backups anzufertigen und anzulegen. Es gibt Ausnahmen, z.B. einer konkreten Gefährdung. Ein Kurzüberblick über die aktuelle Lage kommt somit eigentlich als allererstes, verbunden mit einer Einschätzung der konkreten Bedrohungen.
Dann geht es ins Detail.
Ein „Hochsicherheits-Rechner“ ist in meinen Augen nicht absolut zu realisieren, jedenfalls dann nicht, wenn er vernetzt sein soll. Das muß man den Kunden in meinen Augen auch so deutlich sagen. Viele haben hier in meinen Augen komplett unrealistische Vorstellungen, die aus der Werbung und großen Konzernen gespeist wurden. Realistischerweise kann wohl jeder Rechner, so er irgendwie vernetzt ist, aus der Ferne angegriffen und ggf. übernommen werden.
Dann bleibt immer noch die Frage nach dem Betriebssystem. Wenn der Kunde sagt, es muß um jeden Preis „Microsoft Windows“ sein, dann ist ein Abraten sinnlos nach meiner Erfahrung. Die Herausforderung liegt darin, diesen Willen des Kunden bestmöglich umzusetzen.
Dieser Eintrag wird über die Jahre noch ergänzt, dies ist nur eine erste Version.
Für einen Hochsicherheitsrechner schlage ich vor:
- Devuan Linux, von optischen geprüften Datenträgern installiert
- kein IPv6
- kein „TOR“
- keine oder abgeschaltete oder bekannterweise nicht funktionsfähige „Management Unit“, von wem auch immer, Intel, HP, Mainboard-Hersteller
- nicht die allerneueste Linux-Distribution, eine ältere aber noch mit Sicherheitspatches unterstützte Version
- regelmäßiges Backup, das ohne Nutzer-Zutun läuft, z.B. „rsync“ mit Generationen. Der Datenträger wird physisch abgekoppelt und von Zeit zu Zeit gewechselt
- kein WLAN, kein Bluetooth, keine Funktastatur, keine Funkmaus
- direkte eingehende und ausführliche Schulung des Kunden.