Tipp - Surface (Windows RT)

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: Surface

Das Surface von Microsoft gehört zur Tablet-Geräteklasse. Microsoft versuchte damit noch unter der Balmer-Ära mit dem Motto "Device und Service", den Erfolg der Firma Apple zu kopieren, die ihr Angebot aus Gerät (iPhone, iPad, iPod) und Software (iOS und iCloud) koppelte. Zwischenzeitlich wird bei Microsoft wieder auf eine reine Softwarestrategie, insbesondere in der Mobiler IT und in Clouds sowie mit dem Flaggschiff Office365, gesetzt.

Da das Surface, wie alle gängigen Tablets, auf ARM-Prozessoren basiert, musste ein besonderes Windows Betriebssystem (Windows RT) entwickelt werden. Normale Windows-Programme sind hier deshalb nicht einsetzbar.

Das Surface ist ca. 700 Gramm leicht und hat trotz Windows RT ein, mit Ausnahme einiger exotischer Kleinigkeiten, vollwertiges MS Office. Für die Verbindung zur Außenwelt steht eine USB-Schnittstelle und WLAN bereit. Eine Tastatur ist leicht anschließbar (Kosten ca. 80 Euro).

Grundlegende Sicherheitseigenschaften

Sicherheitstechnisch ist das Surface eine Symbiose aus gewohntem Windows-PC mit Smartphone-Sicherheitseigenschaften. Natürlich sind die drei grundlegenden Sicherheitsfunktionalitäten eines jeden Windows-Betriebssystems (Windows-Firewall, Update-Service, Virenschutz mittels Defender) an Bord. Bei den drei wichtigsten Smartphone-Sicherheitsmerkmalen fehlt (neben dem vorhandenen Passwortschutz und der Laufwerks-Verschlüsselung) nur das Fernlöschen (Remote-wipe). Lediglich im Firmenumfeld kann ein Exchange-Serverbefehl für das begrenzte Fernlöschen von Mails, Kontakten und Kalendereinträgen mit Hilfe von ActiveSync an das entsprechende Gerät gesendet werden. Allerdings ist das Surface auch eigentlich zu groß für das normale "Vergessen".


Lokale Verschlüsselung

Bitlocker-verschlüsseltes C:-Laufwerk

Die Laufwerks-Verschlüsselung wird über die Bitlocker-basierte Geräteverschlüsselung mit dem Trusted Platform Module (TMP-Chip) installiert und erfolgt beim Update auf die Version 8.1 von Windows RT standardmäßig.

Allerdings fehlt die Unterstützung für das Encrypting File System (EFS). Auch ist eine verschlüsselte Speicherung und nachfolgende verschlüsselte Übertragung schwierig zu realisieren. Das in sonstigen Fällen als Standard-Werkzeug verwendbare Programm TrueCrypt ist für Windows RT nicht verfügbar und wird auf Grund der Beendigung der Softwareweiterentwicklung auch zukünftig nicht nutzbar sein. Auch verschlüsselnde USB-Sticks funktionieren auf Grund der ARM-Eigenheiten von Windows RT nicht. Möglich ist allerdings eine (umständliche) Word- oder PDF-Passwortverschlüsselung innerhalb von MS Office. Auch kann bei einer Cloud-Nutzung eine Verschlüsselung zusätzlich realisiert werden, was dann aber andere Sicherheitsprobleme aufwirft (s.u.).


Cloudnutzung

Natürlich kann man das Surface auch nur lokal betreiben, doch schon allein für die Update-Unterstützung ist man auf das Internet angewiesen. Hier versucht Windows RT gleich, dem Nutzer ein Microsoft-Konto "aufzudrängeln", für neue Apps ist die sogenannte "Live ID" unerlässlich.

Bild: Voreinstellung OneDrive

In diesen Geräteklassen ist eine Cloud-Nutzung sogar sinnvoll, um beispielsweise Einstellungen und Profile online zu speichern und nicht auf die unbequeme Synchronisation per zusätzlichem PC angewiesen zu sein. Allerdings sollte man keine vertraulichen Dokumente in der Cloud speichern (bzw. ohne zuvor zu verschlüsseln, z.B. die Dateiablage in der Cloud per 7zip und Passwortweitergabe per Telefon/verschlüsselten Messenger oder komplett mit dem Programm BoxCryptor); dies sollte im Smartphone- und Tablet-Bereich jedoch noch die Ausnahme bleiben. In den Nutzungsbedingungen amerikanischer Cloud-Anbieter wird nämlich eine mögliche Kooperation mit Regierungsbehörden ermöglicht. Auch räumen sich Microsoft und Apple selbst zusätzlich die Möglichkeiten ein, Dateien zu sperren und zu löschen, beispielsweise wenn Urheberrechtsverletzungen vorliegen. In einem Fall reichte Microsoft über die US-Polizei sogar einen Verdacht zu kinderpornographischem Material an das BKA weiter. Deshalb ist ein hohes Vertrauen in den Cloud- oder Verschlüsselungs-Anbieter notwendig und die Hoffnung, dass sich die Geheimdienste nicht zwischenzeitlich einen Seitenkanal geschaffen haben.

Bild: Einstellungen Zwei-Faktoren-Authentifikation

Ab Windows 8 wird auch die PC- und Laptop-Klasse standardmäßig mit einer Cloud-Anbindung versorgt. Windows 8.1 speichert neben den Einstellungen auch Fotos, Songs, Videos & Co. automatisch auf OneDrive. Bei neuen Dokumenten ist OneDrive außerdem im Speicher-Dialog voreingestellt. Zumindest das automatische Speichern der Dokumente auf OneDrive sollte deaktiviert werden. Bei eigenen Fotos, Videos etc. ist diese Maßnahme ebenfalls zu empfehlen.

Vorteilhaft ist bei einer OnDrive-Cloudnutzung die Möglichkeit der Zwei-Faktoren-Authentifikation, die dann auch genutzt werden sollte; und sei es nur, um einem privaten "Fappening" (Hackerangriff auf private Fotos von Prominenten 2014) zu entgehen. Praktisch dabei ist die Verwendung eines sicheren Smartphones (analog der Empfehlung zur Passwortverwaltung per Smartphone mit der App Microsoft Authentifikator).


Löschen

Bild: Shredder 8

Da ein Fernlöschungsverfahren fehlt, sollten nicht mehr benötigte vertrauliche Dateien auch sicher gelöscht werden. Dies gilt insbesondere auch für die ggf. temporär unverschlüsselte Übertragung vertraulicher Dateien per USB-Stick vom Surface auf einen PC und umgekehrt. Die App Shredder 8 für Windows 8 und Windows RT löscht Dateien sehr zuverlässig nach auswählbaren Algorithmen.


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 25. Oktober 2017 um 14:26 Uhr von Oliver Wege geändert.

Anzeigen