2406186

macOS: Benutzer-Account knacken und wie man ihn schützt

05.02.2019 | 16:30 Uhr | Markus Schelhorn

Sie dachten, die Benutzerkonten auf dem Mac wären sine sichere Sache? Weit gefehlt, denn es ist erschreckend einfach, ihn zu knacken. Allerdings: Ihn zu schützen ist noch einfacher.

Es ist für jedermann kinderleicht, auf dem Mac einen neuen Benutzeraccount mit Admin-Rechten anzulegen. Das ist zwar eine gute Hintertüre für diejenigen, die das Passwort ihres Accounts vergessen haben. Auch bei Startproblemen kann es helfen, einen frischen Account anzulegen, wenn beispielsweise das Löschen des PRAM ( siehe Tipp PRAM ) oder SMC ( siehe Tipp SMC ) nicht mehr helfen.

Doch gleichzeitig können auch alle anderen durch diese Hintertür, sofern sie vor Ort direkten Zugriff auf den Rechner haben. Der Trick dabei ist folgender: Man löscht eine Datei, die angibt, dass Sie die Erstinstallation bereits durchgeführt haben. Ist dies geschehen, dann kann man diese Schritt-für-Schritt-Erstinstallation erneut durchführen und einfache ein neues Benutzerkonto mit Adminrechten anlegen. Dann haben Sie Zugriff auf alle Daten des Rechners, können sogar das Passwort des alten Admin-Kontos ändern.

Zwei einfache Terminal-Befehle und ein "reboot" reichen aus, um einnen neuen Benutzer mit Adminrechten anlegen zu können. Dazu muss man den Rechner im Single-Mode starten.
Vergrößern Zwei einfache Terminal-Befehle und ein "reboot" reichen aus, um einnen neuen Benutzer mit Adminrechten anlegen zu können. Dazu muss man den Rechner im Single-Mode starten.
© Markus Schelhorn

Hier im Detail, wie Sie einen neuen Admin-Account anlegen

1 Im Single Mode starten : Starten Sie den Mac mit gedrückt gehaltenen Tasten cmd-S. Der Rechner startet im sogenannten Single Mode und zeigt eine Kommandozeile an, in der Sie Terminal-Befehle eingeben können.

2 Laufwerk auswählen: Tippen Sie zum starten folgenden Befehl ein:

/sbin/mount -uw /

Achten Sie auf die Leerzeichen hinter „mount“ und „-uw“. Bestätigen Sie mit Return. Da das Tastaturlayout im Single-Mode auf US-Englisch geschaltet ist, passt die Belegung einer Deutschen Tastatur nicht mehr. Das Slash-Zeichen (/) erhalten Sie mit der Minus-Taste, das Minus-Zeichen mit der Taste „ß“.

3 Bestätigungs-Datei löschen: Entfernen Sie die Bestätigung, dass das Setup bereits durchgeführt wurde. Dazu tippen Sie folgende Befehlszeile ein:

rm /var/db/.AppleSetupDone

Achtung, hinter dem „rm“ folgt ein Leerzeichen. Bestätigen Sie mit Return.

4 Starten Sie den Rechner neu: Mit folgendem Befehl starten Sie den Mac neu:

reboot

Bestätigen Sie mit Return.

5 Neuen Account einrichten: Nach dem Neustart erscheint der Setup-Assistent, mit dem Sie einen zusätzlichen Account mit Adminrechten anlegen können. Durchlaufen Sie das Setup nach Anweisung

6 Benutzer verwalten: Nachdem Sie einen neuen Account eingerichtet haben, können Sie mit ihm starten und beispielsweise das Admin-Passwort des alten Accounts neu vergeben – ohne das alte Passwort wissen zu müssen.

Nach dem Hack im Single-Modus kann man die Installationsroutine erneut durchlaufen udn so einen neuen Benutzer anlegen, der mit Admin-Rechten ausgestattet ist.
Vergrößern Nach dem Hack im Single-Modus kann man die Installationsroutine erneut durchlaufen udn so einen neuen Benutzer anlegen, der mit Admin-Rechten ausgestattet ist.
© Markus Schelhorn
Nachdem man einen neuen Benuter mit Adminrechten angelegt hat, kann man das Passwort des bisherigen Admins ändern.
Vergrößern Nachdem man einen neuen Benuter mit Adminrechten angelegt hat, kann man das Passwort des bisherigen Admins ändern.
© Markius Schelhorn

Benutzer-Account-Hack verhindern

Die einfachste Möglichkeit, den Hack zu verhindern, nutzen Sie womöglich bereits ohne es zu ahnen. Denn ist die Datenverschlüsselung FileVault aktiviert, können Sie den Single-User-Modus erst starten, wenn Sie das Admin-Kennwort eingeben. Ab macOS High Sierra ist dieses Verschlüsselung bei der Installationsroutine voreingestellt ( siehe unseren Artikel ). Unter „Systemeinstellungen > Sicherheit“ können Sie dies Verschlüsselung auch nachträglich aktivieren.

Mit Firmware-Passwort Zugang sichern

Sie möchten ohne aktiviertem FileVault verhindern, dass jemand unbefugtes im Single Mode einen neuen Benutzer anlegen kann? Die Lösung ist einfach: Aktivieren Sie das Firmware-Passwort. Eine ausführliche Anleitung dazu finden Sie bei Apple: https://support.apple.com/de-de/HT204455 . Ein Firmware-Passwort verhindert, dass man im Single Modus starten kann. Das Passwort schützt übrigens auch davor, dass der Mac von einem anderen Laufwerk gestartet wird. Ein Risiko bringt das aber mit sich: Vergessen Sie das Passwort, hilft nur der Gang zum Apple-Service, um das Passwort zurück zu setzen. Dazu brauchen Sie auch den Kaufbeleg.

So gehen Sie vor, um den Mac mit einem Firmware-Passwort zu schützen:

1 Im Wiederherstellungsmodus starten: Starten Sie den Mac mit gedrückten Tasten cmd-R. Der Mac startet so im Wiederherstellungs-Modus.

2 Startsicherheitsdienstprogramm aufrufen: Wird das Fenster „Dienstprogramme“ angezeigt, wählen Sie in der Menüleiste unter „Dienstprogramme“ den ersten Punkt „Startsicherheitsdienstprogramm“ (je nach System kann auch „Firmware-Passwortdienstprogramm“ angezeigt werden)

3 Firmware-Passwort: Klicken Sie auf „Firmware-Passwort aktivieren“ und vergeben Sie ein Passwort, dass Sie sich gut merken können. Auf gleichem Weg können Sie übrigens das Firmware-Passwort wieder deaktivieren. Das sollten Sie unbedingt machen, bevor Sie beispielsweise den Rechner verkaufen.

Mit dem Startsicherheitsdienstprogramm können Sie ein Firmware-Passwort festlegen. Damit lässt sich der Rechner nicht mehr im Single-Mode starten.
Vergrößern Mit dem Startsicherheitsdienstprogramm können Sie ein Firmware-Passwort festlegen. Damit lässt sich der Rechner nicht mehr im Single-Mode starten.
© Markus Schelhorn

Fazit

macOS bietet bei älteren Systemen per Voreinstellung eine große Sicherheitslücke. Denn im Single-Modus gestartet ist es mit drei einfachen Kommandozeilen möglich, ohne ein Passwort zu wissen, einen Admin-Benutzeraccount anzulegen. Mit einer FileVault-Verschlüsselung, die ab macOS High Sierra voreingestellt ist, oder einem Firmware-Passwort können Sie das verhindern. Das sollten Sie vor allem dann machen, wenn sich der Mac des Öfteren in einem öffentlich zugänglichen Raum befindet.

Macwelt Marktplatz

2406186