So pauschal halte ich diese Aussage für Unsinn. Meine Mutter, Lehrerin, nutzt einen (relativ großen Dell-)Laptop ausschließlich zuhause. Denn Laptops sind heutzutage für die Standardanforderungen bestens ausgerüstet (→ man braucht keinen Desktop mehr) und man ist um einiges komfortabler unterwegs, wenn man den Rechner doch mal woanders (kann auch einfach nur ein anderes Zimmer sein) braucht.
2 „Gefällt mir“
Kommt drauf an. Beispielsweise sind Bluetooth Schwachstellen nahezu irrelevant, wenn man die Schnittstelle nicht nutzt und deaktiviert. Sind physische Zugriffe notwendig, um eine Schwachstelle in der Firmware auszunutzen, fällt das potentielle Risiko geringer aus, als wenn die Schwachstelle ohne physischen Zugriff auskommt.
Letztendlich fließen noch viele weitere Punkte hinein. Das sicherste Gerät der Welt nützt nichts, wenn es bezüglich Datenschutz eine Bruchlandung ist oder die Hardwareanforderungen nicht erfüllt werden (schlechter/kleiner Monitor, fehlende/zu wenig Anschlüsse, kein Ziffernblock, verlöteter RAM, schwache CPU, …) oder das Gerät liegt außerhalb des Budgets oder oder oder. In meinem persönlichem Anforderungsprofil sind Firmware-Updates relativ weit hinten, da ich ein Gerät nur zuhause verwende und das andere lediglich zwischen Büro und Homeoffice pendelt. Da mit beiden gearbeitet wird, liegt der Fokus auf produktives arbeiten. Hält man das Betriebssystem und die Anwendungen aktuell, schließt man schon einen großen Teil der Angriffsfläche - für mich ausreichend. Das nächste Gerät wird vermutlich ein Framework oder ein Tuxedo-ARM. Ersteres hatte ich schon mal in der Hand. Verarbeitung war gut und die Modularität gefällt mir. Tuxedo-ARM ist weniger wegen der Akkulaufzeit interessant, sondern mehr durch das Verhältnis Leistung/Wärmeabgabe, so dass ich den Lüfter seltener höre als mit meinen aktuellen Geräten. Die Firmware hat keinen nennenswerten Einfluss.
@timbuktu Nicht Firmware, sondern Framework 
3 „Gefällt mir“
Das mag eure Erfahrung sein (die auch vollkommen legitim sein kann, Chromebooks mit ChromeOS eignen sich nicht für jeden Use Case). Aber Statista zeigt dass ChromeOS mehr verbreitet ist als Ubuntu und Fedora zusammen.
Von daher würde ich dieser Ausage widersprechen:
Das mag sein, aber sie behandeln Firmware-Updates nicht richtig. Aus Security Sicht (welches ein Hauptteil dieses Forums ist) sind sie nicht zu empfehlen.
Man kauft sich ein Chromebook unter anderem um einen günstigen Office Computer (z.B. für Studenten) zu haben und/oder von der Sicherheit von ChromeOS auf Chromebooks zu profitieren.
Laptops sind mobile Workstations und werden auch als solche eingesetzt. Das aber jeder sie auch so einsetzt habe ich nicht geschrieben. Es ist jedoch meines Erachtens schon so, dass Laptops physischer Manipulation öfters ausgesetzt sein könnten als stationäre Systeme wie Towers.
Und der beste Datenschutz bringt einem nichts, wenn das Gerät/System keinen Schutz vor Third Party Zugriffe gewährleisten kann.
you can’t have privacy without security
Mal abgesehen davon, dass die sichersten Desktop Geräte (wie z.B. Chromebooks mit ChromeOS) auch einigermaßen datenschutzfreundlich betrieben werden können (u.a. wie @karlovyvary schon erwähnte, für ChromeOS einen Burner Account zu verwenden).
Hardware hat häufig Sicherheitslücken, die durch Firmware-Updates behoben werden.
Hier sind einige der in den letzten Jahren entdeckten Sicherheitslücken, deren Behebung Firmware-Updates erfordert:
- BlueBorne
- KRACK
- FragAttacks
- SSID Confusion
- Thunderstrike and Thunderstrike 2
- Thunderclap
- ROCA
- Intel Management Engine flaws
- iLOBleed
- LogoFAIL
- Project Memoria
Diese liegen aber in den meisten Fällen nicht im Fokus dieses Forums. Ich konsultiere das Kuketz-Forum nicht um mich z.B. für billige und effiziente Gaming Hardware, sondern um Datenschutz und IT-Sicherheit zu informieren. Ob die hier geäußerten Empfehlungen für einen selbst durchfürbar sind, liegt im Verantwortungsbereich des jeweiligen selbst.
1 „Gefällt mir“
Und ein Gerät mit perfekten Datenschutz und höchsten Sicherheitsmaßnahmen bringt nichts, wenn die Anforderungen schlichtweg nicht passen (wichtige Anwendungen werden nicht unterstützt, Neuanschaffung außerhalb des Budget bzw. derzeit nicht möglich oder nicht gewünscht, Closed-Source, …). Was man dann braucht ist ein Kompromiss. Diesen Kompromiss wird jeder etwas anders auslegen. Ein „Richtig“ oder ein „Falsch“ gibt es nicht. Empfehlungen sollten immer den konkreten Anwendungsfall berücksichtigen.
Sollte man allerdings dennoch berücksichtigen, denn andernfalls würde ein Wiki völlig ausreichen.
3 „Gefällt mir“
Wieso der ständige vergleich mit Ubuntu oder Fedora? Auf den anderen/normalen Geräten die (aus deiner Sicht) aus Sicherheitsgründen nicht empfohlen werden sollten, kann man nativ alles mögliche Installieren. Zum Beispiel Windows oder Windows + [beliebige Linux Distribution]. Eigentlich haben sich über 80% gegen ChromeOS entschieden.
Jaja, das hab ich schon verstanden. Aber jetzt beantworte bitte meine Fragen:
- Dann installiert man diese Debian-VM um eine größere Softwareunterstützung zu haben?
- Nutzt du ein Chromebook?
Und hier eine kleine Ergänzung:
- BlueBorne: Angreifer muss in Bluetooth-Reichweite sein
- KRACK: Angreifer muss in WiFi-Reichweite sein
- FragAttacks: Angreifer muss in WiFi-Reichweite sein
- SSID Confusion: Angreifer muss in WiFi-Reichweite sein
- Thunderstrike and Thunderstrike 2: Angreifer muss physischem Zugriff auf Thunderbold Schnittstelle haben
- Thunderclap: Angreifer muss physischen Zugriff auf Thunderbold Schnittstelle haben
- ROCA: Angreifer muss physischen Zugriff auf Smartcard/Token haben
- Intel Management Engine flaws: Angreifer muss im gleichen Netzwerk sein
- iLOBleed: Angreifer benötigt Netzwerkzugang zu den iLO-Schnittstellen
- LogoFAIL: Angreifer benötigt lokal Adminrechte
- Project Memoria: Angreifer muss im gleichen Netzwerk sein
5 „Gefällt mir“
Jein. Für „Normalnutzer“ ist aus Sicherheitsgründen die Verwendung von Webapps und von Android-Apps empfohlen. Die Linux-VM kann aktiviert werden, um z.B. Android Studio oder Signal Desktop zu installieren, oder im Prinzip jede weitere beliebige Linux-Software, wenn man weiß, was man tut. Allerdings besteht innerhalb der Linux-VM kein weiteres Sandboxing (wie bei Linux-Desktops leider üblich), sodass man dort Sicherheitsdefizite hat, wenn man zu viel Software in derselben VM am laufen hat. Die Linux-VM ist eher als Spielwiese intendiert, um (sauber isoliert vom restlichen ChromeOS) arbiträren Code laufen lassen zu können. Mit dem Multi-Container-Feature ist es aber möglich, ähnlich wie bei Qubes mehrere VMs parallel zu nutzen und sicherheitsrelevante Apps wie Signal Desktop in einer eigenen VM zu betreiben. Hierfür sollte aber natürlich ein bisschen RAM übrig sein.
Mit anderen Worten: Man holt sich ein Chromebook wegen den besseren Firmwareupdates. Um die mangelhafte Softwareunterstützung auszugleichen setzt man dann Debian-VM(s) ein. Fehlt hier nicht irgendwie der Aufschrei „Debian ist total unsicher!!11!“ ? 
Du hast dich glaube ich für jede weitere Diskussion disqualifiziert.
Interessant… Vielleicht verstehe ich die Prioritäten auch falsch. Also erst Firmware, dann OS?
Klar braucht es in den meisten Fällen Kompromisse. Das wollte ich auch mit meinem Kommentar nicht anzweifeln. Die Leute vergessen nur oftmals, dass Datenschutz auch Sicherheit benötigt.
Weil das zwei beliebte Linux Distros im privaten Bereich sind und diese in der Statistik extra aufgeführt wurden. Es ging mir nur darum zu zeigen, dass Chromebooks (mit ChromeOS) eben nicht nur für die wenigsten in Frage kommen, sondern diese durchaus eine „breite“ Nutzermasse haben.
Kann man machen. Manchmal ist dies aber auch nicht notwendig, wenn die Webapps oder Android Apps ausreichend sind.
Nein, vielleicht hole ich mir eins, vielleicht wird es auch ein MS Surface Business Laptop der 7. Gen.
Beides ist für ein sicheres System wichtig. Man braucht eine vernüftige Grundlage (Hardware und Firmware), um auf diese aufzubauen. Es bringt nicht viel, ein sicheres OS laufen zu lassen, wenn wichtige Hardware und Firmware Security Features fehlen (zumal solche OSe von diesen Features Gebrauch machen) oder Firmware Schwachstellen nicht gepatched werden.
Allerdings ist es ebeno sinnlos, diese vernüftige Grundlage zu besitzen, wenn dann irgendein schwachsinniges Betriebsystem verwendet wird.
Vernüftiger Firmware Support ist für ein sicheres Gerät wichtig, existieren bekannte Schwachstellen für die es bereits einen Fix gibt, diese aber nicht (rechtzeitig) eingespielt werden, kann das Gerät nicht als Sicher betrachtet werden.
Nicht unbedingt. Sicherheit ist kein fester Zustand wie true oder false sondern letztendlich immer nur eine Wahrscheinlichkeit, wie realistisch ein bestimmtes Szenario ist.
In der Industrie gibt es (aus eigener Erfahrung) viele Situationen, in denen alte und teilweise noch nie gepatchte Systeme produktiv verwendet werden. Das Risiko lässt sich auch durch technische und/oder organisatorische Maßnahmen soweit reduzieren, dass eine Manipulation sehr unwahrscheinlich ist. Ein durchschnittlicher Nutzer, der die Bluetooth-Schnittstelle nicht benutzt und deaktiviert, wird sich weit weniger „sorgen machen“ müssen als jemand der ein Bluetooth-Headset verwendet und sich damit stehts an belebten Orten aufhält.
Diese Risiken muss man individuell bewerten, was dazu führt, dass bspw. Whistleblower, Oppositionelle (je nach Land) oder bestimmte Angestellte (Wirtschaftsspionage) grundsätzlich einem höheren Risiko ausgesetzt sind als ein durchschnittlicher Nutzer. Allerdings ist es auch mit aktuellen Systemen immer nur eine Frage der Zeit. Je mehr Zeit (und Geld) ein Angreifer investieren kann, umso höher ist die Wahrscheinlichkeit, dass der Angreifer erfolgreich sein wird.
Um die von @skalavagr genannten Vorwürfe bzgl der Sicherheit von Framework etwas zu ergänzen -
Es gibt einen guten Artikel von ArsTechnica, der die Probleme zusammenfasst:
[…] Framework has struggled with the other side of computing longevity and sustainability: providing up-to-date software.
Driver bundles remain un-updated for years after their initial release. BIOS updates go through long and confusing beta processes, keeping users from getting feature improvements, bug fixes, and security updates. In its community support forums, Framework employees, including founder and CEO Nirav Patel, have acknowledged these issues and promised fixes but have remained inconsistent and vague about actual timelines.
Da der Artikel in der Community ziemlich hochgekocht ist, gibt es auch ein offizielles Statement des Unternehmens:
We recognize that we have fallen short of where we need to be on software updates, and we are making the needed investments to resolve this.
[…]
we’ve resolved both infrastructure and process issues that now make it faster for us to iterate on BIOS and driver updates on each platform. Obviously, our words here are not enough. We need to and commit to demonstrating this by actually improving both our iteration speed on software updates and our communication processes around them.
[…]
Ob solche Versprechen einem ausreichen, muss jeder für sich entscheiden. Ich persönlich hoffe wirklich, dass sie es schaffen, ihre Probleme zu fixen.
3 „Gefällt mir“