ich suche nach einem datensparsamen und sicherem Setup fürs Online-Banking.
Bevorzugt ein Linux-Live-System dass quasi persistent ist und keine Manipulation zulässt.
Problem ist hierbei, dass viele Linux-Live-System auf Chromium als Browser setzen und mit Google verbandelt sind.
Einige Live-Systeme haben scheinbar auch google als DNS „hardcoded“.
Habt ihr Empfehlungen oder Vorschläge für ein Linux dass sich hierzu eignet?
Bzw. wie sieht euer Online-Banking Setup aus?
Ansonsten wäre Virtualisierung eine Möglichkeit, wo der Host keinerlei Aktivitäten hat; alles läuft in jeweils einer Virtualbox z.B.
Alternativ einen altes Notebook, welches nur OnlineBanking, Elster etc. „kann“.
Hinsichtlich Browser arbeite ich immer mit Firefox, welches kurz bereinigt ist je Profil. Profil für Online-Banking ist dann mit gefakten Proxy-Einstellungen und es werden dort nur die Domains der Bank erlaubt. Datenabfluss gleich null
Der Vorteil ist, es kann nicht manipuliert werden.
Der Nachteil ist, es kann nicht manipuliert werden.
Wenn das Live-System Firefox mitbringt, kannst du nicht jedesmal eine user.js einspielen, um den Browser zu kontrollieren. Und du wirst auch nicht jedesmal einen anderen Browser installieren wollen.
Ich mache online Banking unter Debian (fest installiert), im eigenen Banking-Firefox-Profil. FF läuft unter firejail.
Qubes OS als Live System wird nicht mehr supportet.
Bei der Nutzung eines Produktivsystems und firejail hat man eben die Gefahr, dass ein Keylogger oder ähnliche Malware drauf ist.
Ein Empfehlung eines Live-Systems wäre mir daher lieber, da hier diese Gefahr umgangen wird.
Tails ist in Sachen Sicherheit und Privatsphäre natürlich gut gerüstet, fraglich ist vermutlich eher die Seite der Nutzbarkeit. Wenn du aber (falls du das für deine Zwecke brauchst) eine Persistent Storage einrichtest und über den Unsafe Browser gehst, könnte es klappen. Wäre zumindest mal auszuprobieren.
Alternativ wäre auch zu überlegen, es stattdessen auf einem Mobilgerät zu machen. Hängt natürlich davon ab, was du hast, aber es ist nicht unwahrscheinlich, dass du es damit sicherer hinbekämst, als auf dem Desktop (Qubes OS mal ausgenommen).*
Am Ende kommt es alles auf dein Threat Model an, das ja auch nicht ganz alltäglich zu sein scheint. Welche Art von Bedrohungen/Threat Actors hast du zu erwarten? Sind spezielle Angriffsszenarien relevant? Wie hoch ist das Risiko jeweils? Wie würdest du deinen Bedarf an Privacy/Security/Anonymity gewichten?
*In dem Fall solltest du aber auf keinen Fall einen Gecko-basierten Browser (wie Firefox) benutzen, da diese ein erheblich größeres Attack Surface bieten und das Sandboxing sowie die Prozessisolation innerhalb und außerhalb des Browsers schwächen. Auf dem Desktop ist Chromium da zwar auch besser, aber bei Mobilgeräten ist das Problem nochmal deutlich größer.
Muss es zwingen browserbasiert sein? Ansonsten wäre z. B. moneyplex eine brauchbare Wahl. Nutze ich seit Jahren absolut stressfrei unter Linux. Geht auch ohne Probleme mit RSA-Karten.
Wie wäre es mit einem Live Linux mit Persistenz (z.B. mit Ventoy) auf einem USB-Stick mit Schreibschutz? Bis auf die Persistenz war das ja auch Mike’s Empfehlung, aber es dürfte ja nichts gegen Persistenz sprechen, wenn man eh Schreibschutz hat? In dem persistenten System könnte die entsprechenden Einstellungen für Firefox gespeichert werden und dann Schreibschutz aktivieren.
Porteus ist in der Tat ganz gut, allerdings nutze ich deren „Cloud“ Variante, da ich hier auch Dateien temporär speichern und auf meine Nextcloud schieben kann. Die normale Variante ist empfehlenswert, wenn man Kontoauszüge oder ähnliche Dokumente nur drucken möchte.
Da ich allerdings nur Überweisungen vom Rechner aus tätige und die Dokumente lese, frage ich mich, wie viel Aufwand wirklich sinnvoll ist für meinen Anwendungsfall. Bislang hatte ich immer ein eigenes gehärtetes LibreWolf Profil (Flatpak-Version) und glaube eigentlich immer noch, dass das recht sicher ist auf meinem OpenSuse. Auf meinem Zweitrechner habe ich noch QubesOS, was natürlich das eigentlich perfekte System für ein eigenes Banking-Profil ist, aber wenn man eben mal spontan schnell was überweisen oder schauen will, dauert mir das Hochfahren des Rechners und des Banking-Qube zu lange. Und auf dem Smartphone habe ich keine Lust, überhaupt Banking zu machen, allein die Eingabe von Daten/Überweisungen nervt mich da doch sehr.
Ich frage mich also ob LibreWolf als Flatpak-Version (auf der ich ausschließlich die Online-Banking Seite öffnen kann, habe alles andere über AdGuardHome gesperrt), nicht ebenso sicher ist wie Porteus (bei mir in einer VM, nicht als Live-USB)…