Framework Laptop
Framework Laptop (Quelle: Wikipedia)

Framework Security

von

Meine Laptops und ich

Ich habe mir mal wieder Gedanken gemacht, welches Laptop ich mir kaufe, sollte mein bisheriges Gerät den Geist aufgeben. Ich gehe mal davon aus, dass mein Gerät noch lange hält (der Vorgänger hat über sieben Jahre gehalten) und da es theoretisch fähig für Windows 11 ist, habe ich auch 2025 noch keine Not (im Gegensatz zu fast allen PCs die ich in der Familie betreue).

Am aktuellen Gerät stören mich vor allem drei Aspekte:

  • Es hat kein USB/Thunderbolt mit Displaylink
  • Seit der Akku geplatzt ist und entfernt wurde, funktioniert das Touchpad nicht mehr zuverlässig
  • Es lädt nicht über USB-C

Einige Kriterien, welche die Auswahl bei den letzten beiden Geräten eingeschränkt und die Preise in die Höhe getrieben haben, sind mittlerweile obsolet. Da ich davon ausgehe meinen Server bald zu ersetzen und diesen dann für die Bildbearbeitung mit Lightroom nutzen könnte, brauche ich die starke Rechenleistung nicht mehr auf dem Laptop. Virtualisierung vieler Clients kam auch schon lange nicht mehr zum Einsatz. Auch der Bedarf nach einer dedizierten Grafikkarte (auch um viele Bildschirme anzusteuern) entfällt, da durch USB-/Thunderbolt-Docks drei externe Monitore hoffentlich kein Problem sein werden.

Auch die für mich bald zwölf Jahre alte Prämisse eine SSD für das OS und eine HDD für mindestes 2 TB an Daten zu haben, ist mit den aktuellen Preisen für sehr große SSD nicht mehr relevant. Zwei dedizierte SSD würde ich aber bevorzugen. Zur Not könnte aber einiges auf ein externes Speichermedium ausgelagert werden.

Da ich fast nur an externen Bildschirmen arbeite ist mir mittlerweile die Bildschirmgröße egal. Andererseits bin ich aber fast nicht mehr mit meinem privaten Laptop unterwegs, daher ist das Gewicht auch nicht mehr wichtig.

Bei meinen Arbeitsgeräten ist es noch einfacher. Beide lassen sich per USB-C laden, funktionieren am Thunderbolt-Dock und viel Speicher brauche ich auf diesen auch nicht. Zumindest bei der letzten Erneuerung 2020 haben die Akkus auch lange gehalten. Den Kunden-PC gäbe es theoretisch auch als VDI, aber das funktionierte einfach nicht gut genug, da es Probleme mit Audio und Video in Konferenzen gab und auch mehrere Monitore nicht in meinem Setup sauber liefen. Auch die Performance der VDI hat mich mehr gefrustet als gut ist. Daher bin ich sehr froh den Kunden-PC als physisches Gerät nutzen zu können. Der größte Nachteil ist, dass ich aber nur ein Gerät mit zur Arbeit nehme.

Lösung

Aktuell scheint mit das Framework Laptop eine gute Option zu sein. Anfangs war ich skeptisch, da ich die Angebotspallette von Schenker/Bestware auch okay finde. Meine Anforderungen an Wartbarkeit und Anpassbarkeit wurden auch stets erfüllt.

Neben der Austauschbarkeit aller Komponenten finde ich die Wechselmodule charmant. Es sieht für mich aus, als seien es vier USB-C Adapter auf dem Mainboard (deshalb ist die USB-C-Karte auch so günstig). Eigentlich clever gelöst.

Vor allem die Aussage, dass von den Erweiterungskarten gebootet werden kann, brachte mich auf die Idee, dass ich zwei der drei Laptops auf meinem Schreibtisch durch eine solche Erweiterungskarte ersetzen könnte. Was wäre, wenn ich den Arbeits- und den Kunden-PC jeweils nur als Speichererweiterungskarte in ein Framework Laptop stecken müsste? Aus Umweltaspekten heraus wäre es doch super nur ein Gerät alle x Jahre ersetzen zu müssen statt drei. Auch Reisen werden einfacher. Die Kosten für Arbeitgeber und Kunden wären auch etwas kleiner, auch wenn ich vermute, dass die Hardware an sich den Kohl nicht fett macht.

Der wichtigste Nachteil wäre, dass jeweils nur ein OS gesteckt und gebootet wäre, ich also nie alle drei oder auch nur zwei Systeme gleichzeitig nutzen könnte. Ich werde mal im Auge behalten, wie oft das ein Problem wäre. Es gibt aber ab und zu die Situation, dass ich mal zwischendurch ein Meeting habe, für das ich den PC wechseln muss – das wäre dann wohl problematischer (vor allem mit Hoch- und Runterfahren und dem Aufbau der VPN-Verbindung). Aktuell stecke ich dann nur Dockingstation und das HDMI-Kabel um. Ansonsten habe ich meist eh nur einen Rechner an, um Strom zu sparen.

Jetzt wird es sicher

Mein nächster Gedanke war, dass die IT-Abteilung meines Arbeitsgebers und des Kunden das wohl nie erlauben würden (abgesehen von den noch nicht vorhandenen Bereitstellungsprozessen für dieses Szenario). Da gibt es doch bestimmt Sicherheitsanforderungen, welche beim Wiederverwenden von IT nicht erfüllt werden, oder? Welche eigentlich? Aktuell hindert mich zu Hause auch niemand dran die Geräte aufzuschrauben und zu manipulieren (mache ich natürlich trotzdem nicht). Ob es im Büro auffällt, wenn man mit Laptop und Werkzeug mal 30 Minuten auf Toilette verschwindet muss ich noch ausprobieren. Aber wozu? Dank Secure Boot und Bitlocker sollte auch ein Booten von geklonten SSD nicht funktionieren. Ich muss mir das mal merken und am letzten Arbeitstag ausprobieren (fürs Protokoll: Ich werde es nicht tun). Also mit viel Aufwand kann man bestimmt was kaputt machen, aber so erfolgreich wie Fluepke werde ich mangels Erfahrung eh nicht sein.

Größere und wahrscheinlichere Gefahren gehen meines Erachtens von gefälschten und manipulierten IT-Produkten wie das OMG-Kabel. Aber die werden durch ein Framework Laptop weder mehr noch weniger.

Mögliche direkte Manipulationen sollte TPM in der Theorie verhindern. Also abgesehen davon, dass TPM auch keine 100% Sicherheit liefert. Meine Erfahrung mit TPM ist, dass die Hardware und das OS ans Mainboard gebunden sind. Aber das wäre doch mit dem Framework Laptop auch gegeben. Probleme gäbe es in dem Szenario, dass ich einen flexiblen Pool von Laptops habe und jedem Nutzer nur Speichererweiterungskarten bereitstelle, die dann an verschiedenen Laptops gesteckt würden. In meinem Szenario nehme ich mal an, dass ich ein Laptop mit drei Karten (privat, Arbeitgeber, Kunde) hätte. Mit einem Wechsel sollten die OS (inkl. Secure Boot) und TPM klarkommen, oder?

Ich werde mal weiter drüber nachdenken. Aktuell habe ich leider nicht mehrere Framework Laptops zum Probieren.

Zusammenfassung

Aktuell ist es nur eine Idee und ich denke auch nicht, dass dieses Szenario so schnell Wirklichkeit wird. Das Framework Laptop behalte ich aber in jedem Fall auf dem Radar und vielleicht kann ich es mal herausfinden.

Ökologisch und ökonomisch macht das Framework Laptop Sinn, aber die ganz große Synergie sehe ich noch nicht, aber wenn es wohl mehr vorgeschobene als wirklich neue IT-Sicherheitsprobleme gibt.

Ganz einfach gedacht wäre diese Lösung aber schon immer mit dem Booten von einem USB-Stick möglich gewesen.