Luftmauer

Wechselsysteme zur Eingrenzung von Schadsoftware und Bedienfehlern


 

Abb. 1: PC-Ausbau mit Wechselfestplatten und externem DVD-Laufwerk

Bei uns in der Familie hat sich eine feste Zuordnung von Wechselmedien, zu einzelnen Anwendern/Benutzerkonten und deren Anwendungen, sehr gut bewährt. Wechselsysteme bieten sich besonders für das von Schadsoftware anfällige Windows an. Schleicht sich beispielsweise über einen Minecraft-Mod doch Schadsoftware auf die Games-Festplatte ein, dann muss ich mir um mein Banking-System, auf einem anderen und ausgehängten Datenträger, keine Sorgen machen. Ein vorher gesichertes Image-Backup spiele ich dann wieder auf den angegriffenen Datenträger auf. (Als erzieherische Maßnahme lasse ich mir bei den anderen Anwendern damit immer etwas Zeit. Es betrifft ja nicht mein Arbeitsmedium, mit dem ich sofort weiter arbeiten kann und muss;-).

Es muss nicht jeder Anwender einen eigenen PC besitzen, um Benutzerkonten und unterschiedliche Anwendungen (Banking, Games, Surfen) über Hardware sauber voneinander zu trennen. Eine Aufteilung auf Wechselfestplatten ist demgegenüber eine stressfreiere, kostengünstigere und platzsparende Variante. Es kann ein gut ausgerüsteter PC von mehreren Anwendern nacheinander genutzt werden. Es besteht nicht die Gefahr, dass Wissenslücken, eine Fehleinschätzung (eine E-Mail mit Schadsoftware wird aktiviert) oder die Lernresistenz Einzelner, die Anwendungen und Betriebssysteme der anderen Nutzer in Mitleidenschaft zieht.

Ein umständlicher Ausbau der Festplatten ist nicht erforderlich. Gegenüber einem PC, können die kleineren Datenträger nun viel besser vor einem physischem Zugriff geschützt werden. Zur Urlaubszeit bietet es sich an, die Wechselplatten in einem Bankschließfach zu deponieren.

Für ein sicheres Arbeiten am PC sind für mich die zusätzlichen, aber einmaligen Kosten für Wechselschächte und Speichermedien gerechtfertigt.

Es sind dann nur noch die hochspezialisierten Angriffe über Firmware und BadBIOS, wenn kein HW-WP-BIOS vorliegt;-) möglich, die ich als sehr selten betrachte und die mit Virenscannern ohnehin nicht verhindert und aufgespürt werden können. Angriffe auf die Firmware der Speichermedien selbst oder das Nutzen von nicht verwendeten Sektoren (s. a. Hidden sectors (DCO) ), als versteckte Datenablage für Keylogger und Bildschirmfoto, werden auf Anwender und Anwendung begrenzt, da ja nun immer der ganze Datenträger mit ausgetauscht wird. 


Die Hardware

Beim Kauf der Wechselschächte (z. B. Delock 4719 5.25″ Wechselrahmen für 1 x 3.5″ SATA HDD  sollte darauf geachtet werden, dass die 3,5" Festplatten (SSD-Kontainer) nicht umständlich in einen Behälter für das Wechselsystem eingebaut werden müssen, sondern wie hier gezeigt, mit wenigen Handgriffen (Türe) eingesetzt oder entnommen werden können. Für SSD-Festplatten gibt es extra Kontainer (bspw. Delock Wechselrahmen 47224), die auf eine Modulgröße von 3,5" erweitern. Es gibt auch Wechselschächte nur für 2,5", wenn nur die kleinen SSDs verwendet werden. Allerdings wird hier der SATA-Steckverbinder am Speichermedium selbst mit jedem Wechsel belastet. Der Steckverbinder an der teuren SSD wird mit dem 3,5"-Kontainer geschont. Bisher hatte ich keine Ausfälle der Wechselsysteme wegen zu vieler Steckzyklen der SATA-Verbindungen.


Die Software

Wechselfestplatten sind für mich zudem einfacher zu erstellen. Es muss keine Festplatte mit Multi-Betriebssystem und einem Grub-Bootloader konfiguriert und gewartet werden. Hatte die Multiboot-Festplatte ein Hardware-Problem, musste ich alle Betriebssysteme/ISO-Abbilder wieder neu aufspielen.

Sind genug Wechselschächte vorhanden, können die Datenträger auch im PC verbleiben. Dann sind vor dem Starten des Computers, mit einem Handgriff, die Arbeitsmedien ein- bzw. ausgehängt.

Virtuelle Maschinen (VM) hatte ich auch ausprobiert, aber die Variante mit Wechselfestplatten fand ich für mich sicherer (s. Sicherheit von Hypervisoren, Meltdown und Spectre) und praktischer. VMs entsprechen nicht meinem Ziel „Halte es Einfach“. Nicht nur Computerlaien möchten gezielt nur ihre Anwendungen starten und nicht noch eine weitere Software-Systemebene verwalten.

 

Alternativen

Sind nur wenige Betriebssysteme zu aktivieren, bietet sich ein fester Einbau der Systemfestplatten und der Einsatz eines SATA-HDD Power-Switch-Selectors bzw. Festplattenumschalters an.

Zum Thema Wechselsysteme und Bootswitches kann ich den Artikel und die Selbstbauanleitung unter Bootswitch sehr empfehlen. Besonders, die im Vergleich zwischen SW-Bootmanager vs. Festplatten-Umschalter genannten Vorteile eines Hardware-Umschalters (bzw. Wechselrahmens), bestätigt auch meine Erfahrung.

Wird nur noch selten eine Silberscheibe benötigt, kann auch ein externes USB-DVD Laufwerk verwendet werden, um den Platz für einen weiteren Wechselrahmen freizugeben (s. o. Abb. 1). (<Paranoia> Eine angreifbare Firmware im System weniger. </Paranoia>). Es bestimmen letztendlich der Anwendungsfall und das Sicherheitsbedürfnis die Schmerzgrenzen für Kosten und Aufwand. (Um Rückfragen vorzubeugen: „Nein, ich nehme noch keine Medikamente gegen meine Paranoia.“ ;-)



*(Unter dem BegriffWechselfestplatten“ fasse ich im gesamten Text entweder Festplatten in Wechselschächten oder zuschaltbare SATA-DOMs mit WP zusammen. Externe Datenträger (USB-HDs) sind natürlich auch möglich, aber technisch meistens langsamer und oft teurer als DOM-SSDs. )

 

 

Quellen:

 BootSwitch - Damit der Systemwechsel sauber und diskret abläuft