«Man kann keinem PC vertrauen.» Dieser Überzeugung ist Michael Baentsch vom IBM-Forschungslabor in Rüschlikon bei Zürich. Der Grund liegt laut dem Wissenschaftler in der grossen Komplexität der Systeme. Selbst Smartphones seien mittlerweile zu komplex, um garantieren zu können, dass das, was man auf dem Bildschirm sieht, wirklich auch dem entspricht, was das System macht. Die Folge: «Wir müssen die kryptografischen Fähigkeiten sowie den Daten-Input und -Output ausserhalb des PCs stattfinden lassen.»

Diese Sicherheit durch Auslagerung auf ein möglichst kleines, überschaubares und damit beherrschbares System verfolgen die IBM-Forscher schon seit einiger Zeit. So haben sie bereits 2009 mit dem Ztic (Zone Trusted Information Channel) eine Lösung für die Absicherung des Onlinebanking gezeigt, die nach diesem Konzept funktioniert.
Nun doppeln die Wissenschaftler mit dem IBM Secure Enterprise Desktop nach: Mithilfe eines USB-Sticks kann ein Benutzer ein virtuelles Abbild seines Firmenrechners über eine Internetverbindung auf einen PC oder Laptop laden und damit online und offline arbeiten, ohne dass vorab Software installiert werden muss. Somit kann auch ein wildfremder Rechner, etwa in einer Hotel-Lobby, verwendet werden, um sicher in der Unternehmensumgebung zu arbeiten.
Oder der Lieblings-Notebook des Angestellten: «Mit der Secure-Enterprise-Desktop-Lösung kann dem heutigen Arbeitsbedürfnis nach geräteunabhängigem Zugriff auf Inhalte und Programme nachgekommen und gleichzeitig den stetig steigenden Sicherheitsanforderungen an die Unternehmens-IT Rechnung getragen werden», erklärt Paolo Scotton, Projektleiter am Zürcher IBM-Labor.

Lesen Sie auf der nächsten Seite: Die Funktionsweise des Secure Enterprise Desktop

So funktioniert Secure Enterprise Desktop
Das Verfahren von IBM verwendet eine selbstentwickelte Streaming-Technik für das Betriebssystem. Damit lassen sich zunächst die wichtigsten OS-Elemente laden, sodass der Benutzer schon mit dem System arbeiten kann, während im Hintergrund weitere Inhalte nachgeladen werden.

Laut IBM werden keine Anwendungsdaten auf dem Stick gespeichert. So sei der Verlust des Sticks bedenkenlos. Auch die auf dem Gast-PC zwischengespeicherten Informationen würden verschlüsselt und seien so ebenfalls nicht von Dritten zugänglich, versprechen die IBM-Forscher.
Und so sieht eine Sitzung aus: Der Anwender steckt seinen personalisierten USB-Stick in den zu nutzenden PC und startet diesen. Sodann übernimmt ein spezialisierter Hypervisor die Kontrolle. Dank diesem lassen sich verschiedene Betriebssysteme auf dem Gast-PC ausführen. Der Hypervisor stellt eine laut Entwickler sichere Verbindung zu einem Server des Unternehmens her, validiert die Zugangsberechtigung des Mitarbeiters und lädt dann ein «Kontrollbetriebssystem» herunter. Sobald dieses installiert ist, kann das Betriebssystem, derzeit werden Windows und Linux unterstützt, aus der Unternehmens-Cloud aktiviert werden. Dieses ist mit den Sicherheitsmechanismen für das Firmennetz ausgestattet, sodass Malware auf dem Gast-PC oder auf dem privaten Teil des Mitarbeiterrechners, falls das BYOD-Prinzip (Bring Your Own Device) gelebt wird, Firmenangaben zufolge unwirksam ist.

Bei der regelmässigen Nutzung eines privaten Rechners lassen sich auch Teile des Firmen-OS verschlüsselt auf der Festplatte lagern, sodass diese Teile nicht jedes Mal über die Internetverbindung geladen werden müssen. Dies soll den Startprozess beschleunigen helfen.
Laut den Entwicklern ist auch ein Offline-Betrieb möglich. Dabei lädt das System alle benötigten Daten auf den Zielrechner und speichert sie dort - wiederum verschlüsselt - ab. geht der User wieder online, werden die geänderten Daten synchronisiert.
Der IBM Secure Enterprise Desktop wird auf der diesjährigen Cebit demonstriert. Über Preis und Verfügbarkeit liegen noch keine Angaben vor.