1941728

Datensicherheit mit OS X – Sandbox, Gatekeeper, Filevault

26.12.2016 | 07:20 Uhr |

Sicherheitsmaßnahmen sind auch am Mac wichtig – aber bitte nicht nach dem Motto „viel hilft viel“. Nur gezielte Vorsorge schützt. In unserer Workshop-Reihe finden Sie alles, was ein sicherer Mac braucht.

Damit auch aus Ihrem Mac eine schwer einnehmbare Festung wird, gilt es zuerst, den Begriff „Sicherheit“ genauer zu definieren. Für unseren Workshop wollen wir uns sicherheitsrelevante Bestandteile von OS X und Sicherheits-Tools von Drittherstellern auf zwei  Ebenen ansehen und zeigen, wie sich der Mac auf diesen Ebenen sicherer machen lässt.

Sicherheit am Mac – Teil 2

Sicherheit am Mac – Teil 3

Zunächst geht es um Datensicherheit : Wie sorge ich als Anwender dafür, dass Dritte es so schwer wie nur möglich haben, an die Daten auf meiner Festplatte zu kommen? Das kann mit Systemtools wie Filevault funktionieren, oder unter Zuhilfenahme von Open-Source-Programmen wie Truecrypt.

Der zweite Schritt besteht darin, das Surfen im Web – die potenziell größte Gefahrenquelle – abzusichern. Und das sowohl mit technischen Hilfsmitteln als auch mit grundlegenden Verhaltensregeln.

Zum Schluss wollen wir zeigen, wie Sie sich neben Gefahren von außen auch davor schützen können, Ihren wertvollen Datenbestand durch Hardware-Probleme zu verlieren. Das Mittel der Wahl in diesem letzten Schritt heißt: Backups, Backups, Backups – idealerweise mit Apples Backup-Tool Time Machine .

Damit unbefugte Dritte, egal ob krimineller Natur oder im Auftrag von irgendwelchen Geheimdiensten, keine Chance haben, an die Daten auf Ihrer Festplatte zu gelangen, gibt es integrierte und externe Tools, die beim Schutz helfen.

Apps werden in der Sandbox komplett isoliert.
Vergrößern Apps werden in der Sandbox komplett isoliert.

Baustein Nr. 1: App-Sandbox

Die in OS X integrierte Sandbox sorgt dafür, dass von Ihnen geladene Apps nur das tun, was sie sollen, ohne dabei Zugriff auf Systemfunktionen zu erlangen. Apps dürfen sich also im übertragenen Sinne im Sandkasten austoben, während OS X mit seinen kritischen Systemkomponenten neben dem Sandkasten wachend auf einer Parkbank sitzt.

Apple hat diese Schutzschicht in die meisten Anwendungen wie Kalender oder Vorschau integriert. Neben Apps gilt das SandboxPrinzip auch für Safari. Hier laufen Komponenten und Plug‑ins wie der integrierte PDF-Viewer, Flash, Java oder Quicktime ebenfalls isoliert vom Rest des Systems.

Baustein Nr. 2: Gatekeeper

Mit dem Torwächter können Nutzer die Sicherheitsstufe für Download und Installation von Apps selbst festlegen.
Vergrößern Mit dem Torwächter können Nutzer die Sicherheitsstufe für Download und Installation von Apps selbst festlegen.

Während die Sandbox ohne das Zutun des Nutzers auskommt und den Mac quasi von selbst schützt, lässt sich Gatekeeper auch vom Nutzer konfigurieren. Gatekeeper sorgt dafür, dass unter OS X nur solche Apps installiert werden können, die per Signatur eindeutig von einem (von Apple überprüften) vertrauenswürdigen Entwickler stammen. In den Systemeinstellungen finden sich unter „Sicherheit > Allgemein“ die zu Gatekeeper gehörenden Einstellungen.

Der OS-X-Torwächter unterscheidet dabei drei Sicherheitsstufen: Downloads dürfen entweder nur aus dem Mac App Store erfolgen, sowohl aus dem Mac App Store, als auch von verifizierten Entwicklern oder aber von allen Download-Quellen („Keine Einschränkungen“). Wir empfehlen Ihnen, die mittlere Einstellung zu wählen, denn so können Sie Apps aus dem Mac App Store beziehen und auch auf Programme von signierten Drittanbietern wie Microsoft oder Adobe zugreifen.

Power-Tipp

Gatekeeper verhindert das Öffnen unbekannter Apps.
© 2015

Haben Sie eine App von einem nichtsignierten Entwickler, bei der Sie sich mit Blick auf die Unbedenklichkeit der App absolut sicher sind, können Sie die App trotz der Warnungen von OS X öffnen, indem Sie mit gedrückter „Control-Taste“ („ctrl“) doppelt die App klicken und „Öffnen“ wählen.

Baustein Nr. 3: Filevault

Mit Filevault bringt OS X ein praktisches Bordmittel mit, das Ihre Festplatte vor unerlaubten Zugriffen schützen soll, beispielsweise wenn der Mac gestohlen wird. Dafür greift Apples Safe auf den Krypto-Standard XTS‑ AES mit einer Schlüssellänge von 128 Bit zurück. Neben dem eigentlichen System-Volume unterstützt Filvault auch externen Speichermedien wie beispielsweise die für Time Machine.

Filevault ist ein ungemein praktisches System-Tool. Einmal aktiviert, haben es Datendiebe deutlich schwerer, an Ihre Daten zu kommen.
Vergrößern Filevault ist ein ungemein praktisches System-Tool. Einmal aktiviert, haben es Datendiebe deutlich schwerer, an Ihre Daten zu kommen.

Die zusätzliche Sicherheit, die sich vor allem für Ihre mobilen Macs empfiehlt (einfach weil hier das Verlustrisiko höher ist), können Sie in wenigen Schritten konfigurieren: Navigieren Sie zuerst in den Systemeinstellungen zum Menüpunkt „Sicherheit“, wo Sie den Reiter „Filevault“ finden. Um Filevault einzurichten, klicken Sie auf „Filevault aktivieren ...“. Haben Sie mehrere Nutzer-Accounts auf Ihrem Mac angelegt, fragt Filvault noch nach, welche Benutzer die Verschlüsselung aufheben dürfen. Nun öffnet OS X ein Dialogfenster, in dem der Wiederherstellungsschlüssel für Filevault angezeigt wird.

Diesen Key notieren Sie sich bitte – idealerweise in einem Passwortsafe wie 1Password, aber möglichst auf einem anderen Mac. Dann werden Sie gefragt,ob Sie den Key auch bei Apple speichern wollen. Wir empfehlen, den Schlüssel besser selbst sicher zu verwahren. Nach einem Klick auf „Fortfahren“ startet Ihr Mac neu und beginnt mit der Verschlüsselung. Nach dem Neustart arbeitet die Verschlüsselungsroutine im Hintergrund, Sie können also ohne Weiteres weiterarbeiten – Filevault erledigt in den nächsten Stunden den Rest.

Dateien verstecken mit Zusatz-Tools

Neben den Tools, die OS X bereits ab Werk zum Schützen Ihrer lokalen Daten mitbringt, können Sie mithilfe einiger Dritthersteller zusätzliche Datei-Safes erstellen – und das sowohl lokal als auch in der Cloud.

Nachfolger der beliebten Verschlüsselungssoftware Truecrypt ist die Lösung Veracrypt.
Vergrößern Nachfolger der beliebten Verschlüsselungssoftware Truecrypt ist die Lösung Veracrypt.

Baustein Nr. 4: Daten-Safe mit Truecrypt bzw. Veracrypt

Das Tool Truecrypt ist ein Oldie unter den Krypto-Tools, aber nach wie vor unter Profis beliebt – gerade um kleinere Dateicontainer unter OS X anzulegen, in denen Sie als Nutzer problemlos vertrauliche Dateien ablegen können, ist ein Tool wie Truecrypt ideal. Zudem bietet das Programm das wichtige Prinzip der „plausible deniability“, also die Möglichkeit, Dateien zu verstecken, ohne Spuren zu hinterlassen, die Aufschluss über mögliche versteckte und verschlüsselte Dateien geben könnten.

Die Weiterentwicklung des Programms haben die Entwickler eingestellt , Sie können aber auf der Internetseite www.veracrypt.codeplex.com eine mit Truecrypt so gut wie identische Nachfolger-Version laden und auf Ihrem Mac installieren. Zusätzlich ist die Systemerweiterung OSXFUSE erforderlich. Beim Erstellen des ersten Dateicontainers führt Sie ein Assistent Schritt-für-Schritt durch den Vorgang. Zuerst erstellen Sie mit einem Klick auf „Create“ einen Datei-Container und entscheiden im nächsten Fenster, welche Art von Container es werden soll: Standard oder Versteckt. Wir wählen den Standard-Container, der dann auch auf der Festplatte als Truecrypt-Container zu erkennen ist. Im Anschluss legen wir fest, wo der Container abgelegt werden und welche Größe er haben soll – beides wählen Sie entsprechend Ihres Nutzungsverhaltens.

Wählen Sie nun idealerweise ein möglichst langes, alphanumerisches Kennwort. Die nächsten beiden Schritte drehen sich um das Dateisystem und die Frage, ob der Container auf mehreren Rechnern zum Einsatz kommen soll. Wir wählen als Dateisystem OS X Extended. Im Anschluss erstellt Veracrypt die Schlüssel. Bewegen Sie den Mauszeiger zusätzlich möglichst erratisch – das verbessert die kryptografische Qualität der Schlüssel.

Hat das Programm den Vorgang abgeschlossen, wählen Sie im Hauptfenster von Veracrypt den gerade erstellten Container aus und klicken unten Links auf „Mount“, um den Container als Wechselmedium einzuhängen. Nun können Sie Daten in den Container legen, als wäre es ein USB-Stick. Danach brauchen Sie den Container nur noch auszuwerfen.

Baustein Nr. 5: Mit Boxcryptor in die Cloud

Während Veracrypt vor allem für lokal verschlüsselte Container taugt und nicht wirklich ideal für Einsteiger ist, eignet sich Boxcryptor bestens, um Inhalte in Dropbox, Box oder Google Drive zu verschlüsseln. Anders als bei Truecrypt ist der Code von Boxcryptor nicht Open-Source, es wird also ein gewisses Maß an Vertrauen gegenüber dem deutschen Hersteller vorausgesetzt. Dafür ist auch der Bedienkomfort größer und die Lösung ist für Einsteiger geeignet. In der gratis verfügbaren Basisversion für Heimanwender werden die Inhalte von Dateien unkenntlich gemacht, während die Dateinamen im Klartext im Cloud-Speicher Ihrer Wahl verbleiben.

Nach dem Download des Boxcryptor-Clients brauchen Sie nur noch den Inhalt des DMG-Volumes in Ihren Ordner „Programme“ zu verschieben und doppelt auf das Icon zu klicken. Über die Schaltfläche „Sign Up“ erstellen Sie sich nun einen NutzerAccount bei Boxcryptor und melden sich mit den Nutzerdaten in der App an. Legen Sie jetzt in den Einstellungen unter „Locations“ fest, welche Cloud-Dienste Sie mit Boxcryptor verbinden wollen und wo deren Sync-Ordner liegen.

Boxcryptor ist mit den meisten Cloud-Lösungen kompatibel und markiert verschlüsselte Dateien mit einem grünen Tag.
Vergrößern Boxcryptor ist mit den meisten Cloud-Lösungen kompatibel und markiert verschlüsselte Dateien mit einem grünen Tag.

Nun können Sie über ein auf dem Schreibtisch gemountete virtuelle Laufwerk „Boxcryptor“ auf die verbundenen Cloud- Speicher zugreifen, über ein kleines Applet in der Menüleiste haben Sie Zugriff auf das Einstellungsmenü. Erstellen Sie anschließend innerhalb des virtuellen Laufwerks einen neuen Ordner, beispielsweise in Dropbox, wird Boxcryptor Sie fragen, ob der Ordner gleich verschlüsselt werden soll.

Natürlich können Sie auch bestehende Dateien oder ganze Ordner mit Boxcryptor verschlüsseln: Dazu genügt zuerst ein Rechtsklick auf das entsprechende Objekt, dann wählen Sie im Aufklappmenü „Dienste > Encrypt with Boxcryptor“ – wenige Sekunden später ist das Element verschlüsselt und mit einem grünen Tag versehen. Wollen Sie neben der Verschlüsselung der Inhalte auch verschlüsselte Dateinamen, können Sie neben der kostenlosen Basisvariante  das UnlimitedPersonal-Paket für eine Jahresgebühr von derzeit 36 Euro abonnieren. Ebenfalls erhältlich: Entsprechende Companion-Apps für iPhone und iPad, Android und Windows.

Als Alternative zu Boxcryptor können Sie auch einen Blick auf das Tool Cryptomator werfen. Die noch relativ neue Lösung basiert auf Open Source-Software und funktioniert so ähnlich wie der beliebte Konkurrent.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

1941728