Die Sicherheitsarchitekturen nationaler Betriebssysteme: Eine Betrachtung
Autor: DerSchneider
Einleitung
In der digitalen Ära ist das Betriebssystem das fundamentale Bindeglied zwischen Mensch, Anwendung und Hardware. Es verwaltet Ressourcen, koordiniert Abläufe und – insbesondere – schützt die darauf verarbeiteten Daten. Doch während die großen westlichen Systeme wie Microsoft Windows oder Apple macOS den globalen Markt dominieren, haben China, Russland und Nordkorea eigene Wege beschritten. Ihre Betriebssysteme sind nicht nur technische Projekte, sondern auch sicherheitspolitische Statements. Sie sind Ausdruck des Strebens nach digitaler Souveränität und des Versuchs, die Abhängigkeit von ausländischer Technologie zu durchbrechen.
Dieser Artikel beleuchtet die Sicherheitsarchitekturen von Kylin OS (China), Astra Linux (Russland) und Red Star OS (Nordkorea) aus einer ingenieurwissenschaftlichen Perspektive. Ergänzend wird der wissenschaftliche Diskurs über russische Linux-Distributionen sowie die Architektur von Windows 10 im Licht der Forschung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) betrachtet. Abschließend zeigt ein Ausblick, wohin die Entwicklung sicherheitskritischer Systeme – auch im westlichen Kontext – tendiert.
1. Chinas Antwort: Kylin OS – Die flexible, mehrschichtige Verteidigung
Kylin OS (auch bekannt als NeoKylin oder Galaxy Kylin) ist das Ergebnis jahrelanger staatlich gelenkter Entwicklungsarbeit. Es basiert auf Linux, wurde jedoch tiefgreifend modifiziert, um den Anforderungen des chinesischen Staates und Militärs gerecht zu werden. Die Sicherheitsarchitektur trägt den Namen KYSEC (Kylin Security) und verfolgt das Ziel einer „vertrauenswürdigen Rechenumgebung“.
Das Kernstück: KSAF – Ein programmierbares Sicherheits-Framework
Das Herzstück der Kylin-Sicherheit ist das Kylin Security Authorization Framework (KSAF). Es handelt sich um ein „programmierbares Sicherheits-Framework“, das strikt zwischen Sicherheitspolitik (Policy) und Sicherheitsmechanismus trennt. Dies ermöglicht es Administratoren, in Echtzeit eigene Sicherheitsregeln für bestimmte Anwendungen zu definieren, ohne den Kernel neu kompilieren zu müssen .
Das Framework erweitert die standardmäßigen Linux Security Modules (LSM-Hooks) um eigene, chinesische Sicherheits-Hooks. Dies erlaubt eine granulare Kontrolle auf Prozessebene. Die Architektur ist hochgradig anpassbar, was sie für verschiedenste Szenarien (von Regierungsrechnern bis zu Embedded-Systemen) geeignet macht. Die Schwäche liegt jedoch in der Komplexität: Die Sicherheit hängt stark von der korrekten Konfiguration ab. Fehlkonfigurationen können systemweite Lücken öffnen.
Zwangszugriffskontrolle und kryptografische Standards
Kylin implementiert eine eigene Variante der Mandatory Access Control (MAC) , die an SELinux oder AppArmor angelehnt ist. Der entscheidende Unterschied ist die Integration chinesischer kryptografischer Standards (SM2, SM3, SM4) . Diese Algorithmen sind nicht nur für die Datenverschlüsselung zuständig, sondern auch für die Signierung von Systemkomponenten und die Authentifizierung.
Die vertrauenswürdige Startkette
Ein weiterer zentraler Pfeiler ist die vertrauenswürdige Startkette (Trusted Boot) . Kylin nutzt ein hardwarebasiertes Trusted Platform Module (TPM) , um eine „vertrauenswürdige Basis“ (Trusted Computing Base, TCB) zu schaffen. Jede Komponente – vom Bootloader über den Kernel bis hin zu den Treibern – wird vor dem Laden kryptografisch geprüft. Wird eine Manipulation festgestellt, stoppt der Startvorgang.
Mehrstufige Geheimhaltungsstufen
Analog zu militärischen Systemen werden Daten und Prozesse in verschiedene Sicherheitsstufen (z. B. „Streng Geheim“, „Geheim“, „Vertraulich“) eingeteilt. Die Architektur erzwingt eine strenge Informationsflusskontrolle – Daten dürfen nur von niedrigeren zu höheren Stufen fließen, nie umgekehrt.
2. Russlands Vorzeigeprojekt: Astra Linux – Formale Verifikation und das Parsec-Modell
Astra Linux ist das am weitesten verbreitete inländische Betriebssystem Russlands und hat einen Marktanteil von über 70 % bei den in Russland hergestellten Systemen . Es wurde von der Firma RusBITech für den Inlandsgeheimdienst (FSB) und das Verteidigungsministerium entwickelt. Die „Special Edition“ hat ein Sicherheitsniveau, das weltweit als eines der strengsten gilt. Der Hauptgrund: die formale mathematische Verifikation ihres Sicherheitsmodells.
Formales Sicherheitsmodell
Anders als bei den meisten Betriebssystemen, die auf Praxistests und „Best Practices“ vertrauen, basiert die Astra-Sicherheitsarchitektur auf einer mathematisch bewiesenen Kontrolllogik. Sicherheitseigenschaften wie „keine Informationsweitergabe von hoch nach niedrig“ wurden algorithmisch nachgewiesen, nicht nur getestet . Dies eliminiert theoretisch sämtliche unerwarteten Seitenkanäle, da das Modell vollständig ist. Die Architektur erfüllt die strengen Anforderungen für Zulassungen bis VS GEHEIM oder NATO-Secret.
Parsec – Das russische MAC-System
Astra verwendet ein eigenes MAC-System namens Parsec (nicht zu verwechseln mit dem gleichnamigen NASA-Tool). Parsec implementiert eine strenge Rollentrennung (RBAC) und erteilt jedem Prozess nur die minimal notwendigen Rechte (Least Privilege). Der entscheidende Unterschied zu Kylin: Das Regelwerk ist hier statisch und zertifiziert. Es kann nicht nachträglich vom Administrator „mal eben“ geändert werden, ohne dass das System seine Zertifizierung verliert. Dies erhöht die Sicherheit, macht das System aber auch extrem unflexibel.
Die „kontrollierte Umgebung“
Die Architektur erzwingt, dass jeder Datenzugriff über zentrale Sicherheits-Server läuft. Selbst der Kernel kann nicht direkt auf Festplatten-Daten zugreifen, ohne vorher beim Sicherheits-Server anzufragen. Dies schützt vor Rootkits, die den Kernel kompromittieren, da selbst der Kernel keine uneingeschränkten Zugriffsrechte besitzt. Wissenschaftliche Tests haben gezeigt, dass der Ansatz der Einschränkung von Superuser-Rechten in Astra Linux besonders effektiv ist: Während andere Systeme bei Ransomware-Angriffen mit Superuser-Rechten eine „Prozent der betroffenen Dateisysteme“-Quote von über 18 % aufwiesen, blieb die Quote bei Astra Linux bei 0 % .
Leistungseinbußen als Gegenleistung für Sicherheit
Der Preis für diese extreme Sicherheit ist die Performance. Messungen zeigen, dass die Verschlüsselungsgeschwindigkeit von Astra Linux ohne Superuser-Rechte bei nur 0,06 Mbit/s liegt – ein Bruchteil der Leistung anderer Systeme wie Debian (3,41 Mbit/s) oder Alt Linux (0,13 Mbit/s) . Diese Daten belegen, dass die tiefgreifende Sicherheitsarchitektur von Astra Linux mit erheblichen Leistungseinbußen erkauft wird.
Die FLY-Desktop-Umgebung
Astra Linux verwendet eine eigene grafische Oberfläche namens FLY. Diese ist nicht zu verwechseln mit den standardisierten Umgebungen wie GNOME oder MATE, die in anderen russischen Distributionen zum Einsatz kommen. In öffentlichen Datenbanken sind für FLY bislang keine CVE-Einträge verzeichnet – dies kann sowohl auf eine hervorragende Sicherheit als auch auf mangelnde wissenschaftliche Durchdringung hindeuten .
3. Nordkoreas Red Star OS – Die „Gefängnis-Architektur“
Das nordkoreanische Red Star OS verfolgt ein völlig anderes Ziel als die Systeme Chinas und Russlands. Nicht der Schutz des Nutzers vor Angreifern steht im Vordergrund, sondern der Schutz des Staates vor dem Nutzer. Es ist eine „Trusted Client“-Architektur, die den Computer als ein zu kontrollierendes Gerät betrachtet.
Einzigartiges Watermarking-System
Die berüchtigtste Funktion ist die tief im Kernel verankerte Watermarking-Engine. Jede Datei, die erstellt, geöffnet oder gedruckt wird, erhält automatisch einen unsichtbaren digitalen Fingerabdruck (Forensic Watermarking). Dieser Fingerabdruck enthält die eindeutige Hardware-ID des Rechners, die Nutzer-ID und den Zeitstempel. Das Wasserzeichen ist so konzipiert, dass es sogar Screenshots und ausgedruckte Dokumente überlebt – beispielsweise durch unsichtbare Punktmuster. Ziel ist es, die Verbreitung von Dokumenten lückenlos nachverfolgen zu können.
Kwangmyong – Das abgeschottete Intranet
Die Netzwerk-Architektur ist so konfiguriert, dass der gesamte Internetverkehr gefiltert und protokolliert wird. Die Firewall ist keine „Außen-Firewall“, sondern eine „Innen-Firewall“ , die den Datenfluss nach außen kontrolliert und unerlaubte Verbindungen (z. B. zu ausländischen Servern) sofort blockiert und meldet.
Verschlüsselung als Falle
Die Festplattenverschlüsselung ist zwar vorhanden, aber der Schlüssel ist nicht im TPM gespeichert, sondern in einer zentralen Datenbank auf einem Regierungsserver. Ohne Verbindung zu diesem Server (was im Intranet möglich ist) kann das System nicht entsperrt werden. Dies verhindert, dass ein gestohlener Rechner außerhalb des Landes genutzt oder analysiert werden kann.
Technische Veraltung als Achillesferse
Die große Schwachstelle der Architektur ist ihre technische Veraltung. Red Star OS basiert auf einer sehr alten Linux-Version (Fedora 11, Kernel 2.6). Moderne Sicherheitslücken wie Spectre oder Meltdown wurden nie gepatcht. Die „Sicherheit“ besteht hier eher aus Abschottung und Überwachung als aus aktuellen technologischen Abwehrmaßnahmen.
4. Der wissenschaftliche Diskurs: Russische Linux-Distributionen im Vergleich
Eine aktuelle Studie der Russischen Staatlichen Gubkin-Universität für Erdöl und Gas hat die grafischen Oberflächen und Sicherheitsaspekte der vier großen russischen Distributionen – Astra Linux, REDOS-8, ALT Linux und ROSA – verglichen . Die Ergebnisse sind aufschlussreich.
| Betriebssystem | Grafische Oberfläche | Sicherheitsbewertung (Platz) | Admin-Bewertung (Platz) | Kern-Charakteristik |
|---|---|---|---|---|
| Astra Linux | FLY (Eigenentwicklung) | 1 | 1 | Maximal zertifiziert, formale Verifikation |
| REDOS-8 | MATE | 1 | 3 | Strenge Standards für Behörden |
| ALT Linux | MATE | 3 | 2 | Minimalistisch, leichtgewicht |
| ROSA | GNOME | 4 | 4 | Modern, aber ressourcenhungrig |
Die Sicherheit der Grafik-Umgebungen: GNOME vs. MATE
Die Studie vergleicht auch die Sicherheit der zugrundeliegenden Grafik-Umgebungen. Der Blick in die CVE-Datenbanken (Common Vulnerabilities and Exposures) zeigt deutliche Unterschiede :
- GNOME: 259 registrierte CVE-Einträge (Stand 2025). Typische Probleme: Pufferüberläufe (z.B. CVE-2024-36472) und Datenlecks (CVE-2021-3800).
- MATE: 126 registrierte CVE-Einträge. Typische Probleme: Schwachstellen in der Bildschirmsperre (z.B. CVE-2018-20681).
Die Autoren der Studie kommen zu dem Schluss, dass MATE aufgrund seiner einfacheren und stabileren Architektur als sicherer gilt. Die geringere Anzahl an CVE-Einträgen spricht für eine geringere Angriffsfläche. GNOME bietet zwar einen moderneren Funktionsumfang, aber die höhere Komplexität geht mit einem erhöhten Sicherheitsrisiko einher. Die Autoren betonen jedoch: „MATE erweist sich als sicherer aufgrund seiner einfachen Architektur und geringeren Anzahl von Schwachstellen. GNOME hingegen bietet einen erheblich breiteren Funktionsumfang und wird aktiv weiterentwickelt, was eine schnelle Behebung entdeckter Probleme ermöglicht“ .
Die Bedeutung von D-Bus, X11 und Wayland
Die Sicherheit der Grafik-Umgebungen hängt auch von der zugrundeliegenden Kommunikationsinfrastruktur ab :
- D-Bus (Desktop Bus): Die Message-Broker-Systeme in beiden Umgebungen sind kritische Angriffspunkte. D-Bus wird für die Kommunikation zwischen Anwendungen und Systemdiensten genutzt und ist eine potenzielle Angriffsfläche.
- X11: Der veraltete Grafik-Server wird von MATE genutzt. Seine Hauptschwäche ist die fehlende Isolation – Anwendungen können auf die Daten anderer Anwendungen zugreifen.
- Wayland: Der moderne Nachfolger, der von GNOME bevorzugt wird, isoliert die Fensterprozesse strikt voneinander. Dies eliminiert eine ganze Klasse von Angriffen.
Ergebnisse der Ransomware-Tests
Eine weitere wissenschaftliche Studie der Tomsker Staatlichen Universität für Kontrollsysteme und Radioelektronik hat die Resilienz der russischen Systeme gegen Ransomware getestet. Dabei wurde die „Prozent der betroffenen Dateisysteme“ gemessen :
| Betriebssystem | Betroffene Dateisysteme (%) – mit Superuser-Rechten |
|---|---|
| Astra Linux | 0 % |
| Debian | 18,31 % |
| Alt Linux | 2,98 % |
| RedOS | 3,47 % |
Das Ergebnis ist eindeutig: Der Ansatz von Astra Linux, die Rechte des Superusers massiv einzuschränken, macht das System praktisch immun gegen Ransomware-Angriffe, die auf die Verschlüsselung von Benutzerdateien abzielen. Die Autoren schlussfolgern, dass die „hohe Wirksamkeit des in Astra Linux angewandten Ansatzes – der Einschränkung der Rechte des Superusers – experimentell nachgewiesen wurde“ .
5. Exkurs: Die Sicherheitsarchitektur von Windows 10
Zum Verständnis der Alternativen ist ein Blick auf die etablierte westliche Konkurrenz hilfreich. Das BSI hat im Rahmen der Studie SiSyPHuS Win10 die Sicherheitsarchitektur von Windows 10 detailliert analysiert . Die zentralen Erkenntnisse:
- Virtual Secure Mode (VSM): Windows 10 nutzt erstmals Virtualisierung auf Betriebssystemebene, um kritische Prozesse in einer isolierten Umgebung auszuführen.
- Device Guard: Diese Funktion schützt vor der Ausführung von nicht vertrauenswürdiger Software.
- TPM und UEFI Secure Boot: Diese hardwarebasierten Technologien bilden eine vertrauenswürdige Startkette.
- Telemetrie: Ein systemweit integrierter Dienst, der Nutzungsdaten an Microsoft übermittelt – ein Punkt, der in der Diskussion um nationale Betriebssysteme oft kritisch gesehen wird.
Die BSI-Analyse identifiziert auch Schwachstellen:
- Die Application Compatibility Infrastructure (AppCompat) , die die Ausführung älterer Software ermöglicht, wird als sicherheitskritisch eingestuft.
- Der PatchGuard, der den Kernel vor Manipulation schützen soll, ist nicht unüberwindbar.
6. Ausblick: Die Zukunft sicherheitskritischer Betriebssysteme
Die Analyse der verschiedenen Sicherheitsarchitekturen zeigt, dass der Trend zu stärkerer Isolation und Modularisierung geht. Klassische, monolithische Betriebssysteme stoßen an ihre Grenzen, insbesondere in sicherheitskritischen Bereichen wie der Verteidigungstechnik.
Das Problem monolithischer Architekturen
Klassische Betriebssysteme wie Windows oder Linux bündeln zentrale Systemfunktionen in einem großen, privilegierten Kernel. Die Trusted Computing Base (TCB) – also die Summe aller Komponenten, denen man vertrauen muss – ist sehr umfangreich. „Ein einzelner Fehler in einem Treiber oder einer Systemkomponente kann dann potenziell das gesamte System zum Absturz bringen. Ebenso verhält es sich mit dem Eindringen von außen – das Eindringen in eine Komponente gibt den Weg zur Kontrolle über das gesamte System frei“, warnt Dr. Adam Lackorzynski, CTO der Kernkonzept GmbH .
Der Mikrokern-Ansatz als Lösung
Eine vielversprechende Alternative ist die Mikrokern-Architektur. Hier befindet sich im privilegierten Modus nur ein minimaler Betriebssystem-Kern, der ausschließlich für Isolation, Scheduling und grundlegende Sicherheitsmechanismen verantwortlich ist. Alle weiteren Systemfunktionen laufen als isolierte Module im Userland. „Die Trusted Computing Base wird dadurch auf wenige zehntausend Codezeilen reduziert. Das macht sie realistisch überprüfbar und schafft die Voraussetzung für formale Sicherheitszertifizierungen“, so Lackorzynski .
Anwendungsfelder von Mikrokernen
Mikrokernbasierte Systeme wie L4Re finden bereits heute Anwendung in:
- Cross-Domain-Gateways zur Trennung verschiedener Geheimhaltungsstufen
- Hochsicheren Secure-Endpoint-Lösungen
- Missionscomputern, Avionik und Automotive-Systemen
- Nationalen Secure-Cloud-Architekturen
Diese Entwicklung zeigt: Das sicherheitstechnische Rüstzeug für die nächste Generation von Betriebssystemen ist vorhanden. Die Herausforderung liegt weniger in der Technologie selbst, sondern in ihrer Implementierung, Zertifizierung und der Überwindung von Legacy-Systemen.
Fazit
Die Betrachtung der Sicherheitsarchitekturen nationaler Betriebssysteme offenbart drei grundlegend unterschiedliche Philosophien: China setzt mit Kylin OS auf Flexibilität und regelbasierte Kontrolle, Russland mit Astra Linux auf formale Verifikation und maximale Zertifizierung, Nordkorea mit Red Star OS auf Überwachung und interne Kontrolle.
Während Kylin und Astra Linux technisch auf dem neuesten Stand der Linux-Entwicklung sind, lebt Red Star OS von Abschottung und technischer Veraltung. Astra Linux ist das einzige System, das eine mathematisch nachgewiesene Sicherheit und eine belegte Resilienz gegen Ransomware-Angriffe aufweist.
Die Zukunft gehört jedoch mikrokernbasierten Architekturen, die durch strenge Isolation und Modularisierung eine „Security by Design“-Philosophie auf Betriebssystemebene verankern. Sie bieten einen strukturellen Ausweg aus dem Dilemma der monolithischen Systeme und sind die Grundlage für die digitale Einsatzfähigkeit sicherheitskritischer Systeme von morgen.
Quellen
- Криничев Е.Е., Матюшин А.М. Сравнение графического интерфейса отечественного линуска со стороны безопасности и администрирования // Международный журнал информационных технологий и энергоэффективности. – 2025. – Т. 10 № 2(52) с. 156–165
- Ognev, D.V., Nikroshkin, A.V. (2024). Анализ уязвимости операционных систем семейства Unix к вредоносному программному обеспечению типа «вымогатель» // Доклады Томского государственного университета систем управления и радиоэлектроники.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). (2022). SiSyPHuS Win10: Analyse des Windows 10 Gesamtsystems – Arbeitspaket 2: Architekturanalyse.
- Kernkonzept GmbH / IT-Daily. (2026). Wie Betriebssystemarchitekturen zur sicherheitskritischen Schlüsseltechnologie werden. Interview mit Dr. Adam Lackorzynski.
- Forshaw, J. (2025). Praxisbuch Windows-Sicherheit. Heidelberg: dpunkt.verlag.
Kommentar abschicken