Luftmauer

Wechselfestplatten zur Begrenzung von Schadsoftware und Bedienfehlern


 

Abb. 1: PC-Ausbau mit Wechselfestplatten und externem DVD-Laufwerk

Bei uns in der Familie hat sich eine feste Zuordnung von Wechselmedien zu einzelnen Anwendern/Benutzerkonten und Anwendungen, sehr gut bewährt. Wechselsysteme bieten sich besonders für das mit Schadsoftware anfällige Windows an. Schleicht sich z. B. über einen Minecraft-Mod doch Schadsoftware auf die Games-Festplatte ein, dann muss ich mir um mein Banking-System, auf einem anderen und ausgehängten Datenträger, keine Sorgen machen. Ein vorher gesichertes Image-Backup spiele ich dann wieder auf den angegriffenen Datenträger auf. (Als erzieherische Maßnahme lasse ich mir damit immer etwas Zeit. Es betrifft ja nicht mein Arbeitsmedium, mit dem ich sofort weiter arbeiten kann und muss;-).

Es muss nicht jeder Anwender einen eigenen PC besitzen, um Benutzerkonten und Anwendungen über Hardware sauber zu trennen. Eine Aufteilung auf Wechselfestplatten ist die kostengünstigere Variante. Dann kann ein gut ausgestatteter PC von mehreren Anwendern nacheinander genutzt werden, ohne die Gefahr, dass Unwissen, Fehlbedienung oder Lernresistenz Einzelner (bspw. eine E-Mail mit Schadsoftware wird aktiviert), auch die Benutzerkonten, Anwendungen und Betriebssysteme von anderen Nutzern in Mitleidenschaft zieht.

Für ein sicheres Arbeiten am PC sind für mich die zusätzlichen, aber einmaligen Kosten für Wechselschächte und Speichermedien gerechtfertigt.

Es sind dann nur noch die hochspezialisierten Angriffe über Firmware und BadBIOS, wenn kein HW-WP-BIOS vorliegt;-) möglich, die ich als sehr selten betrachte und die mit Virenscannern ohnehin nicht verhindert und aufgespürt werden können. Angriffe auf die Firmware der Speichermedien oder das Nutzen von nicht verwendeten Sektoren als versteckte Datenablage (Keylogger, Bildschirmfoto) werden auf Anwender und Anwendung begrenzt, da ja nun immer die ganze Festplatte mit ausgetauscht wird. 

Zur Urlaubszeit bietet es sich an, die Wechselplatten für Systemsoftware- und Daten in einem Bankschließfach zu deponieren.  Ein umständlicher Ausbau ist dann nicht erforderlich, um die Datenträger vor unerwünschten Zugriff zu schützen.


Die Hardware

Beim Kauf der Wechselschächte (z.B. Delock 4719 5.25″ Wechselrahmen für 1 x 3.5″ SATA HDD  sollte darauf geachtet werden, dass die 3,5" Festplatten (SSD-Kontainer) nicht umständlich in einen Behälter für das Wechselsystem eingebaut werden müssen, sondern wie hier gezeigt, mit wenigen Handgriffen (Türe) eingesetzt oder entnommen werden können. Für SSD-Festplatten gibt es extra Kontainer (bspw. Delock Wechselrahmen 47224), die auf eine Modulgröße von 3,5" erweitern. Es gibt auch Wechselschächte nur für 2,5", wenn nur  die kleinen SSDs verwendet werden. Bisher hatte ich keine Ausfälle wegen zu häufiger Belastung der SATA-Stecker.


Die Software

Wechselfestplatten sind für mich zudem einfacher zu erstellen. Es muss keine Festplatte mit Multi-Betriebssystem und einem Grub-Bootloader konfiguriert und gewartet werden. Hatte die Multiboot-Festplatte ein Hardware-Problem, musste ich alle Betriebssysteme/ISO-Abbilder wieder neu aufspielen.

Sind genug Wechselschächte vorhanden, können die Datenträger auch im PC verbleiben. Dann sind vor dem Starten des Computers, mit einem Handgriff, die Arbeitsmedien ein- bzw. ausgehängt.

Virtuelle Maschinen (VM) hatte ich auch ausprobiert, aber die Variante mit Wechselfestplatten fand ich für mich sicherer (s. Sicherheit von Hypervisoren) und praktischer. VMs entsprechen nicht meinem Ziel „Halte es Einfach“. Nicht nur Computerlaien möchten gezielt nur ihre Anwendungen starten und nicht noch eine weitere Software-Systemebene verwalten.

 

Alternativen

Sind nur wenige Betriebssysteme zu aktivieren, bietet sich ein fester Einbau der Systemfestplatten und der Einsatz eines SATA-HDD Power-Switch-Selectors bzw. Festplattenumschalters an.

Zum Thema Wechselsysteme und Bootswitches kann ich den Artikel und die Selbstbauanleitung unter Bootswitch sehr empfehlen. Besonders, die im Vergleich zwischen SW-Bootmanager vs. Festplatten-Umschalter genannten Vorteile eines Hardware-Umschalters (bzw. Wechselrahmens), bestätigt auch meine Erfahrung.

 Wird nur noch selten eine Silberscheibe benötigt, kann auch ein externes USB-DVD Laufwerk verwendet werden, um den Platz für einen weiteren Wechselrahmen freizugeben (s. o. Abb. 1). (<Paranoia> Eine angreifbare Firmware im System weniger. </Paranoia>). Es bestimmen letztendlich der Anwendungsfall und das Sicherheitsbedürfnis die Schmerzgrenzen für Kosten und Aufwand. (Um Rückfragen vorzubeugen: „Nein, ich nehme noch keine Medikamente gegen meine Paranoia.“ ;-)



*(Unter dem BegriffWechselfestplatten“ fasse ich im gesamten Text entweder Festplatten in Wechselschächten oder zuschaltbare SATA-DOMs mit WP zusammen. Externe Datenträger (USB-HDs) sind natürlich auch möglich, aber technisch meistens langsamer und oft teurer als DOM-SSDs. )

 

 

Quellen:

 BootSwitch - Damit der Systemwechsel sauber und diskret abläuft