Sicherheit integriert
Behörden-Desktop ERPOSS4

BetriebssystemCloudKomponentenOpen SourceServerSoftwareWorkspace

Der vom Bundesamt für Sicherheit in der Informationstechnik vorgestellte Behörden-Desktop ERPOSS4
zeichnet sich durch differenzierte, leicht handhabbare Security-Features aus. Ob der Linux-Client
auch für Unternehmen mit hohen Sicherheitsansprüchen geeignet ist, haben wir für Sie getestet.

Behörden-Desktop

Sicherheit integriert

Auch der öffentliche Dienst hat das Interesse an Open-Source-Software entdeckt. Davon zeugen nicht zuletzt entsprechende Migrationsprojekte, zum Beispiel in München oder Wien. Die Gründe für das zunehmende Gefallen der Behörden an Open Source sind vielfältig. Zum Teil sind finanzielle Aspekte ausschlaggebend, fallen doch bei freier Software keine zusätzlichen Lizenzgebühren an. Zum anderen ist vielen Verwaltungs-Chefs die Vormachtstellung von Microsoft suspekt. Grundsätzlich ist ein Behörden-Desktop kaum anders aufgebaut als ein Unternehmens- Client. Er benötigt in etwa die gleiche Software-Ausstattung wie ein Firmen- Desktop. Im behördlichen Umfeld wird allerdings mit sensiblen, persönlichen Daten gearbeitet, die eines besonderen Schutzes bedürfen. Und den bringen die meisten Distributionen nicht mit.


Linux-Desktop vom BSI

Sicherheit integriert

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat bereits auf dem Linuxtag 2006 in Wiesbaden mit ERPOSS4 (Erprobung Open Source Software) einen sicheren Desktop vorgestellt, der an Behördenbedürfnisse angepasst ist (www.bsi.bund.de/produkte/erposs/). Entwickelt wurde der Linux-Client auf Basis von Debian Sarge 3.1 zusammen mit der Credativ GmbH aus Jülich, einem herstellerunabhängigen Beratungsunternehmen. Ziel des Projektes war es, festzustellen, ob ein behördlicher Arbeitsplatz komplett mit freier Software ausgerüstet werden und dabei den strengen Richtlinien der Behörden an die Datensicherheit genügen kann. Entsprechend bilden vor allem Sicherheitsfeatures die Highlights dieser Distribution. Neben einigen durchaus gängigen Schutzvorrichtungen ? beispielsweise Personal Firewall, Virenschutz, Spamfilter und Verschlüsselung von E-Mails ? bietet ERPOSS4 die Besonderheit, dass ganze Partitionen verschlüsselt werden. Das lässt das System auf den ersten Blick besonders für Notebooks und damit für den Außendienst-Mitarbeiter geeignet erscheinen.

ERPOSS-Installation
Die Hardware-Voraussetzungen für das zugrunde liegende Debian Linux sind prinzipiell nicht besonders hoch. Die ERPOSS4- Distribution ist jedoch mit einem vollständigen KDE-Desktop ausgestattet. Dieser benötigt etwas mehr Prozessorleistung, so dass Pentium-4-Systeme und 512 MByte Arbeitsspeicher zu empfehlen sind. Die Installation belegt ungefähr 5 GByte auf der Festplatte, wenn Sie die Partitionen /boot und /swap großzügig dimensionieren. Eine Beschleunigung der Grafikausgabe ist implementiert, so dass eine dedizierte Grafikkarte die Arbeit amRechner durchaus beschleunigen kann. Das Einrichten des ERPOSS4-Desktop verläuft Debian-typisch textbasiert. Das Installationsprogramm bietet eine bei Knoppix entliehene Hardware-Erkennung, die in unseren Testfällen ordentlich funktionierte. Etwas Verwirrung stiftet das Formatierungstool cfdisk. Benutzer anderer Distributionen, die grafische Partitionierungs-Tools gewohnt sind, stolpern zunächst über die Einrichtung der Swap-Partition. Dieser muss nämlich separat ein anderer Typ zugewiesen werden ? unmittelbar danach wird die Swap- Partition verschlüsselt. Die Installationsanleitung bringt wenig Licht ins Dunkel, dafür weiß die integrierte Hilfe von cfdisk Rat.


Verschlüsselte Partitionen

Sicherheit integriert

Anschließend erstellt das Installationsprogramm die anderen Partitionen und weist die Mountpunkte zu. Im nächsten Schritt werden diese formatiert. Sie können hierbei das EXT2- oder EXT3-Filesystem nutzen, beide jeweils mit und ohne Verschlüsselung. Wenn Sie, wie hier im Test, verschlüsselte Partitionen einsetzen möchten, empfiehlt es sich grundsätzlich, folgendes Schema einzuhalten. Als Erstes ist eine unverschlüsselte /boot-Partition notwendig, damit das System überhaupt starten kann. Zweitens benötigen Sie die obligatorische Swapund Root-Partition ? beide verschlüsselt. Damit Sie wichtige Daten im Falle des Kennwort-Verlustes wiederherstellen können, brauchen Sie eine vierte Partition ? /home. Daten auf /home können Sie dann mit Hilfe eines Master-Passwortes wiederherstellen, im Gegensatz zu Daten auf swap oder /. Das Master-Passwort wird bei der Installation erzeugt. Sie können es auf einem USB-Stick speichern oder per SSH auf einen anderen Rechner transferieren. Die restlichen Schritte der Installation entsprechen weitgehend anderen Systemen. Zunächst werden sämtliche Pakete installiert, was etwa eine halbe Stunde dauert. Danach legt ERPOSS4 Benutzer und deren Kennwörter an und meldet die Grafikauflösung. Jetzt können Sie noch zusätzliche Installationsquellen angeben sowie die Konfiguration der Netzwerkkarten vornehmen. Im Anschluss daran ist das System betriebsbereit.


Software-Überblick

Sicherheit integriert

Zum Lieferumfang von ERPOSS4 gehört OpenOffice. Allerdings in Version 1.13 und noch nicht als 2er-Release. Anwender müssen damit auf das neue OpenDocument-Format verzichten. Außerdem fehlen die verbesserte Oberfläche und die erweiterten Imund Export-Möglichkeiten zu Microsoft Office. Auch das Erstellen von imGeschäftsbereich häufig benötigten Serienbriefen gestaltet sich mit der aktuellen Version 2.0 deutlich einfacher. ERPOSS4 punktet aber damit, dass das Office-Paket komplett lokalisiert ist und zusätzliche Wörterbücher für die deutsche Sprache bereits installiert sind. Als Kommunikationswerkzeug steht Kontact bereit. Der PIM (Personal Information Manager) verfügt über eine E-Mail-Komponente, Kalender, Notiz- und Aufgabenbereich sowie eine Kontaktverwaltung. Außerdem fungiert er als Groupware-Client für den Kolab Groupware-Server. Weiterhin besitzt der PIM verschiedene Assistenten zur Integration von Spamfilter sowie Antiviren-Engine und nutzt weit reichende Technologien zum Verschlüsseln und Signieren von E-Mails (Stichwort: Projekt Ägypten). Auf die Sicherheitsfeatures von Kontact und Gesamtsystem gehen wir in einem gesonderten Abschnitt genauer ein. Für das Surfen im Web finden Sie in der Kontrollleiste Mozilla Firefox in der Version 1.0.4. Die Kontrollleiste beherbergt im Übrigen auch die anderen beiden Standard- Anwendungen ? Kontact und Open- OfficeWriter. Sie stehen so im Büroalltag zum schnellen Zugriff bereit.


Große Auswahl ? viel Ballast

Sicherheit integriert

Eine große Anzahl von Programmen finden Sie wie üblich über das KMenü. So enthält das Menü Internet insgesamt 23 Einträge. Neben Firefox sind dies zum Beispiel noch die Mozilla-Suite, mehrere News-Reader und Nachrichten-Ticker sowie diverse andere Hilfs- und Konfigurationsprogramme. Ähnlich sieht es im Bereich Grafik aus. Aus 18 Einträgen kann der Anwender hier wählen, wobei Kooka und KSnapshot gleich zweimal auftauchen. Die sinnvollen und häufig benötigten Programme Kooka, KSnapshot, The GIMP und digiKam werden durch diverse Dateibetrachter, aber auch durch mehrere Bildbetrachter begleitet. Das Multimedia- Menü macht hier ebenfalls keine Ausnahme. Mehrere Multimedia-Wiedergabe- Programme gibt es hier, darunter auch k3b zum Brennen von CDs und DVDs. Weitere nützliche Programme runden die umfangreiche Software-Ausstattung ab. Da finden sich unter anderem Archivierungsprogramme, Windows-Freigabe-Browser, Dienstprogramme für den Abgleich von PDAs sowie mehrere Editoren. So schön die angebotene Programmvielfalt auch sein mag ? für einen Unternehmens- oder eben Behörden-Desktop erwartetman eigentlich etwas anderes. Eine sinnvolle Auswahl notwendiger und nützlicher Programme ist hier normalerweise gefragt, damit der User nicht lange nach dem geeigneten Programm suchen muss. Ubuntu und kommerzielle Desktop-Systeme machen das vor. Eventuelle zusätzliche Programme ließen sich, wenn gewünscht, leicht unter Weitere Programme bereithalten. Besonders d
er Multimedia- und Grafik-Bereich enthält zu viel Ballast. Und warum eine Spiele-Abteilung auf Arbeitsplatz-Rechnern auftaucht, bleibt ein Geheimnis der Entwickler.


Hochsicherheits-Features

Sicherheit integriert

ERPOSS4 ist standardmäßig mit reichlich Sicherheitsfunktionen ausgestattet. Das unterscheidet das System deutlich von anderen Distributionen, bei denen solche Features nachgerüstet oder zumindest separat gestartet und konfiguriert werden müssen. Das beginnt bereits bei den verschlüsselten Festplatten- Partitionen. Während der Installation des Systems können Sie beliebig viele Partitionen anlegen. Jede Einzelne lässt sich dabei mit einem eigenen Passwort verschlüsseln. Beim Starten des Systems werden Sie entsprechend nach dem jeweiligen Passwort der Partition gefragt und müssen dies zweimal eingeben, damit die Partition korrekt im System angemeldet wird.

Firewall an Bord
Zum Schutz vor Angriffen aus dem Netzwerk ist bei ERPOSS4 eine eigene Personal Firewall integriert. Mancher kritische Zeitgenosse wird nun anmerken, dass ein sicherheitssensitives System ohnehin hinter eine Firewall gehört. Doch soll erstens diese Personal Firewall den Notebook-User unterwegs schützen und zweitens Gefahren von innerhalb des eigenen Netzwerkes abwehren. Als Anwender haben Sie lediglich die Möglichkeit, die Firewall zu starten oder zu stoppen. Das init-Script iptables öffnet dann automatisch die BSI-Firewall-Regeln, die lediglich folgende Verbindungen zulassen: Verbindungen von außen über SSH, ISMP von außen, Verbindungen vom lokalen System ins Netzwerk und Verbindungen, die zu bestehenden Verbindungen gehören. Alle anderen Connects sind automatisch gesperrt.


Virenscanner

Sicherheit integriert

Auf einen Virenschutz sollten Sie generell nicht verzichten, auch wenn Linux-Rechner für eine Ansteckung eher unverdächtig sind. Jeder Anwender kann mit Hilfe von Antiviren-Software jedoch auch die Verbreitung von Windows-Viren eindämmen. Entsprechende Software ist auf ERPOSS4 ebenfalls integriert. Zum Einsatz kommt hier das einzig wirkliche freie Projekt clamav. Auch an clamav gibt es nicht viel zu konfigurieren. Auf dem Desktop finden Sie passende Scripts verlinkt: Mit Virenscanner Einstellungen können Sie einen Proxy konfigurieren. Das Script Virenscanner Update versorgt den Virenscanner mit neuen Virenbeschreibungen. Hier ist jedoch Vorsicht geboten: Die eigentliche Scan-Software wird hiermit nicht aktualisiert. Dies geschiehtmit dem Script Sicherheits Update, das ebenfalls auf dem Desktop zu finden ist. Für das Verschlüsseln und Signieren austauschbarer Daten und vor allem des Mail- Verkehrs nutzt ERPOSS4 die Tools des Ägypten- Projektes (www.gnupg.org/aegypten/index.de.html). KMail ist dazu vorkonfiguriert und der Anwender muss lediglich einen gültigen Schlüssel erzeugen und kann nun seine Mails signieren und verschlüsseln.


Sichere E-Mail mit KMail

Sicherheit integriert

KMail macht es dem Anwender recht einfach, für hohe Sicherheit zu sorgen. Sowohl der Spam- als auch der Antiviren-Assistent suchen das jeweilige System nach geeigneten Programmen ab und integrieren sie in den Mail-Workflow.Weder benötigen Sie besondere Kenntnisse der Linux-Struktur, nochmüssen Sie zusätzliche Software installieren. Als Spamfilter-Engine kommt dabei das freie SpamAssassin zum Einsatz. Für das Verschlüsseln und Signieren von E-Mails gibt es ein ganzes Arsenal an sichtbaren und im Hintergrund arbeitenden Programmen. Unter Extras/Zertifikatsverwaltung öffnet sich zum Beispiel das Modul Kleopatra zur Verwaltung der Zertifikate auf X.509-Basis. Einige öffentlich-rechtliche Zertifikatsstellen sind hier bereits eingetragen. Kleopatra enthält eine Funktion zum Erstellen eines Schlüsselpaares, welches dann per Mail an eine Zertifizierungsinstanz gesendet wird, um dort bestätigt zu werden. Möchten Sie Schlüssel auch außerhalb von KMail oder Kontact verwenden, können Sie diese mit KGpg verwalten und erzeugen. Einzelne Dateien, Ordner oder Wechselmedien lassen sich dann ebenfalls für sicheren Datentransport verschlüsseln. Außerdem können Sie mit KGpg einen »Reißwolf« auf dem Desktop anlegen. Ziehen Sie eine Datei auf das Reißwolf-Symbol, wird sie nicht einfach gelöscht, sondern der entsprechende Festplattenbereich wird mehrfach überschrieben. So ist eineWiederherstellung auch mit Spezial-Tool nicht mehr möglich.


Fazit und Ausblick

Sicherheit integriert

Bei der Vielzahl vorhandener und teilweise stark spezialisierter Distributionen stellt sich stets die Frage, ob denn ein neues System dringend notwendig ist und ob es die gestellten Anforderungen erfüllen kann. ERPOSS4 ist vom Prinzip her zwar für den Einsatz in Behörden entwickelt worden, doch sind die Sicherheitsaspekte auch in Unternehmen interessant, die täglich mit kritischen Daten umgehen. ERPOSS4 erfüllt im hohen Maß den Anspruch an eine sichere Desktop-Umgebung. Sicherheitsfeatures wie verschlüsselte Laufwerke und eine Firewall sind vorkonfiguriert und auf Knopfdruck einsatzbereit. KMail weist von Haus aus per Integrations-Assistent Unterstützung für Spam- und Virenfilter auf. Diese sind ebenfalls installiert und lassen sich so umgehend einbinden. Verschlüsselung und Zertifizierung sind entsprechend dem Ägypten-Projekt ebenfalls komplett integriert und konfiguriert. Es sind nur die passenden Schlüssel zu importieren oder zu erzeugen. Ein sicherer Datenverkehr ist so rasch möglich. Was beim Einsatz als Unternehmens- Desktop etwas stört, ist die Fülle an Programmen, da teilweise mehrere Applikationen für denselben Aufgabenbereich genutzt werden können. Dies ist im Sinne der Arbeitseffizienz normalerweise zu vermeiden. Insgesamt ist ERPOSS4 gut für Betriebe mit hohen Sicherheitsstandards geeignet. Gerade die einfache Handhabung der Sicherheitsfeatures macht das System deutlich sicherer. Allein über die vorhandene Software- Auswahl und -Fülle lässt sich streiten. Ein technischer Support für die Installation und den Betrieb des Behörden-Desktops ERPOSS4 wird seitens des BSI übrigens nicht angeboten. Für technische Fragen steht den Anwendern aber die Credativ GmbH zur Verfügung, deren Experten für freie Software unter der E-Mail-Adresse erposs@credativ.de erreichbar sind.