Sicherheit am Mac mit OS X Lion

Dabei sind einige der Parameter von Mac-OS X seit Jahren in der Kritik. Beispielsweise dass man bei der ersten Einrichtung des Mac nur einen Benutzer-Account anlegen muss. Selbstverständlich muss dieser Account das Recht haben, alles zu verändern, was im Umkehrschluss heißt, dass man mit einem solchen Benutzer-Account alle Dateien auf der Festplatte löschen und verändern kann. Erschwerend kommt hinzu, dass viele Mac-Benutzer mit diesem einen Account arbeiten. Schafft es ein Virus auf den Mac, kann der Angreifer deshalb viel Schaden anrichten. Einer der Gründe, weshalb Sicherheitsexperten empfehlen, am Mac einen zweiten Account anzulegen und diesem (in den Systemeinstellungen unter "Benutzer") das Recht zur Verwaltung des Computers zu entziehen.

In aller Stille hat Apple mit Mac-OS X 10.6 ("Snow Leopard") einen Schutz vor Viren eingebaut: Ein Hintergrundprogramm prüft bei einem Download (nur beim Download mit Safari oder iChat), ob die Datei bestimmte Merkmale aufweist, die auf eines von drei bekannten trojanischen Pferden hinweist. Diese trojanischen Pferde tarnen sich zum Beispiel als Erweiterung für Quicktime und wurden in den vergangenen zwei bis drei Jahren im Internet beispielsweise als Teil einer kostenlosen ("gehackten") Version von iWork angeboten.

Diese Virenprüfung gibt es noch in OS X Lion - beschränkt auf Safari und iChat. Wer Schutz vor Mac- und vor Windows-Viren sucht, muss eine Antiviren-Software kaufen.

Lob gibt es für Apple zudem für Filevault 2. Die neue Software verschlüsselt eine komplette Festplatte (und nicht wie bisher nur einen Benutzerordner und dessen Unterordner) und fragt direkt beim Einschalten des Mac nach dem Kennwort. Wer sensible Daten (Geschäftsgeheimnisse oder andere Informationen, die im Datenschutzgesetz genannt werden) auf einem Macbook hat, sollte sich überlegen, Filevault 2 zu aktivieren. Wird das Macbook gestohlen, kann der Dieb die Daten auf der Festplatte ohne das Kennwort nicht lesen. Ärgerlich ist daran, dass Filevault 2 nur funktioniert, wenn eine Rettungspartition existiert. Ohne Rettungspartition lässt sich Filevault nicht einschalten.

Erfreulich ist dagegen der Ausbau des Sandkastens - jede Software, die ab November 2011 über Apples Internet-Laden Mac App Store verkauft werden soll, muss das Sandbox-System verwenden. Eine solche Software hat grundsätzlich keine Rechte; sie darf Dateien weder lesen noch verändern und keine Internet-Verbindung aufbauen oder die eingebaute Kamera des Mac nutzen.

Jeder Software-Entwickler muss deshalb vorher überlegen, welche Ordner und Dateien für seine Software lesbar und veränderbar sein müssen und diese Information innerhalb der Software eindeutig deklarieren. Beim Start der Software räumt OS X Lion dann nur diese Rechte ein - alle anderen Ordner und Dateien sind für die Software nicht nutzbar.

Damit einher geht Apples dringende Bitte an Software-Entwickler, wichtige Teile einer Software an kleine Unterprogramme auszulagern. Nur diese Unterprogramme bekommen dann die nötigen Rechte, während der Rest des Programms keine Rechte hat. Sichtbar ist das zum Beispiel bei Safari und Quicktime Player. Safari arbeitet mit mehreren Hintergrundprogrammen, die für die Darstellung der Seiten auf dem Monitor verantwortlich ist. Wenn ein Fehler in einer Seite Safari zum Absturz bringt, beschränkt sich dieser Fehler auf diese eine Seite, alle anderen Seiten bleiben offen und Safari läuft weiter. Lediglich der Tab oder das Fenster mit dem Fehler wird geschlossen.

Quicktime Player wiederum verwendet ein Unterprogramm, um Video-Dateien zu lesen und deren Inhalt zu entschlüsseln. Bei einem Fehler im Video oder im Entschlüsselungsalgorithmus stürzt nur dieses Programm ab, aber Quicktime Player arbeitet weiter.