Neue Sicherheitsoptionen in Mac-OS X Lion mit Filevault

Die Verschlüsselung sensibler Daten ist nur ein Teil des Sicherheitsmodells in Lion. Über Einstellungen für Benutzer und Rechte wird der direkte Zugriff auf den Mac gesichert, also festgelegt, wer überhaupt Zugriff auf Daten hat und auf welche. Genauso wichtig, weil heute ein Standard, ist die Sicherung des Zugriffs über das Netzwerk und Internet. Lion erlaubt es auch in der Client-Version, Serverdienste wie Dateifreigabe, Webserver und so weiter zu betreiben. In Zusammenarbeit mit den Benutzerrechten lässt sich hier der Zugriff aus der Ferne beschränken, die Sicherheit erhöhen. Ein besonderes Augenmerk unter Lion liegt auf der Verbesserung bei der Verschlüsselung sensibler Daten. Mit Filevault 2 lassen sich jetzt nicht nur einzelne Home-Verzeichnisse, sondern die gesamte Festplatte sowie externe Platten sicher vor Hack-Angriffen schützen. Auch gelöschte Dateien können Informationen preisgeben. Beim Entleeren des Papierkorbs werden nur die Verzeichniseinträge der Dateien entfernt. Schon unter Snow Leopard ließ sich auch der ehemalige Speicherplatz der Daten überschreiben. Unter Lion hat Apple eine Technik aus dem iOS für iPhone & Co. übernommen: Der zu einer gelöschten Datei gehörige Schlüssel wird ebenfalls gelöscht, damit ist die Wiederherstellung nicht möglich.

Aus iOS entliehen ist auch "Sandboxing". Dabei wird der Aktionsradius eines Programms eingeschränkt, "Übergriffe" auf fremde Dateien erheblich erschwert. ASLR (Address Space Layout Randomization) schützt 32- und 64-Bit-Programme vor Angriffen.

Kommen Unbefugte an den Mac heran, sollten Sie in den Anmeldeoptionen der Benutzereinstellungen die automatische Anmeldung abschalten. Auch die Benutzerliste und die Merkhilfe erleichtern Fremden den Zugang. Auf Macs mit kritischem Inhalt sollte man auch auf schnellen Benutzerwechsel und den Gastzugang verzichten. Beide lassen sich für Einbruchsversuche nutzen. Das Firmware-Kennwort, das sich beim Start von der System-DVD unter Dienstprogramme setzen lässt, verhindert die Umgehung von Sicherheitseinstellungen durch den Wechsel des Startlaufwerks.

Zu den allgemeinen Sicherheitseinstellungen gehört die Kennwortabfrage beim Beenden des Ruhezustands oder des Bildschirmschoners. Das verhindert den Zugriff Neugieriger, wenn Sie gerade nicht am Rechner sitzen. Hier können Sie wichtige Systemeinstellungen per Passwort vor Änderungen schützen und sich nach einer einstellbaren Zeit automatisch abmelden lassen. Damit etwa verwendete Fernbedienungen nicht den Schutz des Macs aushebeln, lässt sich der Empfänger des Rechners einfach deaktivieren, die Gefahr so bannen.

Angriffe von außen auf den Mac können aus dem lokalen Netzwerk erfolgen oder via Internet-Verbindung. Zwar schützt die lokale Firewall des Macs gegen beide Angriffe, hier gibt es aber eine bessere Option. Fast alle Internet-Provider bieten ihren Kunden bei Vertragsabschluss einen DSL-Router. Der beinhaltet oft eine Firewall-Lösung, einen DHCP-Server und sogar einen Wi-Fi-Hotspot. Verschiedene Elemente der Firewall schützen dann automatisch alle Benutzer des lokalen Netzwerks vor Angriffen von außen. Bei guten Routern ist die Schutzfunktion automatisch aktiv.

Wer seinen Mac über ein DSL-Modem direkt mit dem Internet verbindet oder auch gegen Angriffe aus dem lokalen Netzwerk gewappnet sein muss, nutzt die Firewall von Mac-OS X 10.7. Leider ist die Firewall auch unter Lion nicht automatisch eingeschaltet, Sicherheitsexperten kritisieren Apple dafür seit langem. Um den Status abzufragen, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sicherheit". Dort klicken Sie auf "Firewall". Hier lässt sich nach Eingabe des Administrator-Passworts die Firewall ein- und ausschalten.

Nach dem Einschalten ist die lokale Firewall unter Lion sofort aktiviert und nimmt ihre Arbeit auf. Alle Anwendungen, die die Firewall für nicht autorisiert hält, hindert sie daran, eingehende Datenverbindungen aufzunehmen, notwendige Dienste lässt sie durch. Da Apple auch unter Lion großzügige Vorstellungen davon hat, was "notwendig" ist, sollte bei Vorhandensein eines Routers dessen Firewall genutzt werden. Die Firewall am Mac ist nach wie vor nicht "komplett dicht" gegen Attacken von außen.

Mit einem Klick auf "Weitere Optionen" gelangen Sie zum Fenster mit den von Lion automatisch freigegebenen Diensten. Haben Sie zum Beispiel in der Systemeinstellung "Freigaben" die Serverdienste "Bildschirmfreigabe", "Dateifreigabe" und andere aktiviert, öffnet die Firewall automatisch die für die Kommunikation an Ihrem Mac benötigten Ports für jeden der Dienste. Generell kann man sagen, dass zusätzliche Serverdienste und damit Öffnungen in der Firewall Risiken erhöhen.

Über das kleine Pluszeichen können Sie die Firewall gezielt für bestimmte Dienste und Programme öffnen. Um die gemeinsame Nutzung Ihrer iPhoto-Sammlung durch andere Benutzer zu erlauben, müssen Sie nichts tun, das übernimmt Lion automatisch. Spieleserver etwa, die Datenkommunikation mit Ihren Mitspielern aufzeichnen und regeln, müssen Sie manuell hinzufügen.

Alle Computer, die im Netzwerk aktiv sind, antworten normalerweise auf Anfragen von außen. Mit dem Tool "Ping" etwa sendet ein Administrator ein Mini-Datenpaket an seinen entfernten Mac. Der antwortet, und der Admin weiß, dass der Rechner arbeitet. Auf diesem Weg finden allerdings auch finstere Zeitgenossen heraus, ob ein Zielrechner verfügbar ist - aktivieren Sie "Tarn-Modus".