2397780

Schlüsselbund, Sandbox, FileVault: Sicherheit am Mac mit macOS Mojave

21.12.2018 | 08:24 Uhr | Thomas Armbrüster

Um den Mac gegen Schadsoftware und Datenklau zu schützen, hat Apple schon einige Mechanismen in das Betriebssystem eingebaut. Für weitere Sicherheitsmaßnahmen ist aber der Anwender selbst zuständig

Wer meint, dass die eigenen Daten sowieso für niemandem von Interesse sind und deshalb keiner versuchen würde, sie zu stehlen, geht von einer falschen Voraussetzung aus. Denn die meisten Angriffe auf Rechner und Onlinekonten sind ganz unpersönlich und werden tagtäglich millionenfach von automatisierten Schadprogrammen durchgeführt. Es geht in vielen Fällen auch gar nicht um die Daten auf dem Mac, sondern um die Daten des Anwenders wie Name, E-Mail-Kontakte und Passwörter, die dann für andere Zwecke missbraucht werden. Oder die Angriffsprogramme verschlüsseln die Daten auf dem Rechner und erpressen dann den Anwender, Geld für die Entschlüsselung zu bezahlen. Um so weniger Eingangstore es für Schadsoftware also gibt, um so geringer ist das Risiko.

Inhaltsverzeichnis

Sicherheitsupdates stets installieren
Gegen Schadsoftware: SIP, Gatekeeper, Xprotect
Benutzerpasswort und FileVault
Mit Touch ID Mac schützen
Passwörter mit Schlüsselbund verwalten
Verschlüsselung mit FileVault
Sicher booten mit T2
Firewall, Dateifreigaben, Sandbox

Sicherheitsupdates installieren

Keine Software ist fehlerfrei. Deshalb gibt es für macOS hin und wieder Systemupdates oder Sicherheitsupdates, wenn Sicherheitslücken erkannt wurden. Auch bei den Updates für Safari handelt es sich meist um Sicherheitsupdates, es kommen aber auch manchmal neue Funktionen hinzu. Für diese Updates ist bis einschließlich macOS High Sierra der App Store zuständig, ab macOS Mojave ist es die Systemeinstellung „Softwareupdate“. Man kann in beiden Fällen festlegen, ob die Updates automatisch geladen und ob sie auch automatisch installiert werden sollen, oder ob man nur benachrichtigt werden möchte, wenn ein Update verfügbar ist. Für die Benachrichtigung aktiviert man in der Systemeinstellung „App Store“ die Option „Automatisch nach Updates suchen“, in der Systemeinstellung „Softwareupdate“ klickt man auf „Weitere Optionen“ und markiert „Aktualisierungen suchen“. Zusätzlich lässt sich dann jeweils das automatische Laden neuer Updates im Hintergrund sowie die automatische Installation der macOS-Updates aktivieren. Lässt man nur die automatische Installation ausgeschaltet, wird man benachrichtigt, wenn die neue Software auf dem Mac verfügbar ist.

Die Suche nach Aktualisierungen für das System sollte man nicht ausschalten, um bei verfügbaren Updates benachrichtigt zu werden.
Vergrößern Die Suche nach Aktualisierungen für das System sollte man nicht ausschalten, um bei verfügbaren Updates benachrichtigt zu werden.

Außerdem gibt es jeweils noch eine Einstellung, um die aus dem App Store geladenen Programme automatisch aktualisieren zu lassen (App-Updates). Bei diesen Updates geht es aber in der Regel nicht um die Sicherheit, sondern um das Beheben von Fehlern und um neue Funktionen. Lässt man das automatische Update für die Apps ausgeschaltet, findet man die aktuellen Versionen im App Store unter „Updates“, und kann sie dann manuell installieren.

Sind Updates verfügbar, wird man über eine Mitteilung informiert.
Vergrößern Sind Updates verfügbar, wird man über eine Mitteilung informiert.

Während man die Systemupdates für das aktuelle System und die Sicherheitsupdates für die älteren Versionen grundsätzlich installieren sollte, um immer auf dem aktuellen Sicherheitsstand zu sein, ist es nicht notwendig, eine neue Systemversion sofort zu installieren, wenn diese erscheint. Denn Apple versorgt auch die beiden letzten Systemversionen weiterhin mit Sicherheitsupdates, aktuell also macOS Sierra und macOS HighSierra. So kann man abwarten, bis die eigentlich immer vorhandenen Fehler in den ersten Versionen eines neuen macOS ausgebügelt und alle Anwendungen an das neue System angepasst wurden.

 

Die Updates für das macOS und die Apps aus dem App Store lassen sich auch automatisch auf den Mac laden und installieren.
Vergrößern Die Updates für das macOS und die Apps aus dem App Store lassen sich auch automatisch auf den Mac laden und installieren.

Schutz gegen Schadsoftware

Seit OS X El Capitan gibt es den Systemintegritätsschutz (SIP). Dieser verhindert, dass Software auf bestimmte Bereiche des Systems und auf die mit dem System installierten Programme zugreifen kann, selbst wenn sie umfassende Administratorrechte (root) hat. Nur von Apple signierte und speziell für den Zugriff auf diese Bereiche autorisierte Software kann in diese Bereiche schreiben, beispielsweise Softwareaktualisierungen und Installationsprogramme von Apple. Außerdem kann eine Software nicht das Startvolume ändern, um den Mac von einem anderen Laufwerk zu starten, sondern nur der Anwender. Macs, die den von Apple entwickelten T2-Sicherheitschip eingebaut haben (Macbook Pro mit Touch Bar, das neue Macbook Air, der neue Mac Mini und der iMac Pro) werden zusätzlich geschützt. Denn der Sicherheitsprozessor überwacht, beginnend mit dem Auslesen der Informationen im Boot-ROM, alle Schritte des Systemstarts anhand der Signatur der jeweils zu ladenden Software wie Kernel und UEFI-Firmware und prüft, ob irgendetwas verändert wurde. Sollte der T2-Chip etwas Ungewöhnliches entdecken, nimmt er über das Internet Kontakt zu Apples Servern auf, um aktuelle Informationen und eventuelle Softwareupdates zu laden und startet dazu eventuell automatisch im Recovery-Modus. Übrigens wird auch der Start von Windows unter Boot Camp vom T2-Chip überwacht.

Standardmäßig lässt sich nur Software aus dem App Store und von verifizierten Entwicklern installieren.
Vergrößern Standardmäßig lässt sich nur Software aus dem App Store und von verifizierten Entwicklern installieren.

Darüber hinaus gibt es einen in das System integrierten Schutz gegen Schadsoftware. Dazu gehört zum einen Gatekeeper , die Einstellungen hierfür findet man in der Systemeinstellung „Sicherheit“ unter „Allgemein > Apps-Download erlauben von“. Hier legt man fest, ob nur Programme aus dem App Store oder auch Anwendungen von durch Apple zertifizierte Entwickler installiert werden können. Letzteres ist die Standardeinstellung. Gatekeeper verhindert so, dass ungeprüfte Software auf den Mac gelangt. Zudem kann Apple durch Löschen eines eventuell betrügerisch erlangten Zertifikats die dazugehörige Software schnell deaktivieren. Andere Software lässt sich nur über einen Umweg starten. Dazu muss man für das Programmsymbol das Kontextmenü aufrufen, auf „Öffnen“ klicken und dann nochmals das Starten des Programms bestätigen und Benutzername und Passwort eintippen. Das sollte man aber nur dann tun, wenn man vollkommen sicher ist, dass es sich um vertrauenswürdige Software handelt.

Die Option „Systemdateien und Sicherheits-Updates installieren“ sollte unbedingt eingeschaltet sein, damit Schadsoftware erkennt werden kann.
Vergrößern Die Option „Systemdateien und Sicherheits-Updates installieren“ sollte unbedingt eingeschaltet sein, damit Schadsoftware erkennt werden kann.

Zum anderen sorgen Xprotect und das Malware Removal Tool dafür, dass bekannte Schadsoftware erst gar nicht auf den Mac gelangt beziehungsweise sicher entfernt wird. Damit sowohl der Systemintegritätsschutz als auch Gatekeeper, Xprotect und das Malware Removal Tool immer aktuell sind, sucht das macOS täglich nach neuen Informationen und installiert sie im Hintergrund. Dazu muss unter Sierra und High Sierra in der Systemeinstellung „App Store“ die Option „Systemdateien und Sicherheits-Updates installieren“ markiert sein. Unter macOS Mojave findet man diese Option in der Systemeinstellung „Softwareupdate“ unter „Weitere Optionen“. Man sollte diese standardmäßig aktivierte Einstellung auf keinen Fall ausschalten, um nicht die Sicherheit des Systems zu verringern. Da jeweils nur wenige Daten übertragen und installiert werden, funktioniert das auch einwandfrei bei langsameren Internetverbindungen.

Das Benutzerpasswort und Verschlüsselung mit FileVault

Damit nicht Hinz und Kunz einfach den Mac starten und dann auf alle Daten zugreifen können, legt man ein Benutzerpasswort fest, das beim Anmelden des Benutzers eingetippt werden muss. Es gibt zwar auch die Möglichkeit, in der Systemeinstellung „Benutzer & Gruppen“ unter „Anmeldeoptionen“ die standardmäßig deaktivierte automatische Anmeldung zu aktivieren, empfehlenswert ist das aber in der Regel nicht. Denn dann kann jeder, der Zugang zum Rechner hat, diesen starten und hat Zugriff auf alle Daten. Sofern die Verschlüsselung mit FileVault aktiviert ist, ist die automatische Anmeldung aber nicht verfügbar.

Schaltet man die automatische Anmeldung ein, sind alle Daten auf dem Mac für jeden zugänglich, der Zugriff auf den Rechner hat.
Vergrößern Schaltet man die automatische Anmeldung ein, sind alle Daten auf dem Mac für jeden zugänglich, der Zugriff auf den Rechner hat.

Das Benutzerpasswort dient auch dazu, die Daten auf dem Mac per FileVault zu verschlüsseln und um den Schlüsselbund mit den gespeicherten Passwörtern zu schützen. Von daher sollte das Benutzerpasswort komplex genug sein, um nicht von Programmen zum Knacken von Passwörtern in wenigen Sekunden erkannt zu werden. Das Benutzerpasswort muss man auch eintippen, wenn man neue Software installiert, und um in den Systemeinstellungen „Sicherheit“, „Startvolumen“,  und „Benutzer“ Änderungen vorzunehmen. Auch um sich in Safari die gespeicherten Passwörter anzeigen zu lassen, ist das Benutzerpasswort erforderlich.

Auf der Webseite des Datenschutzbeauftragten des Kantons Zürich lassen sich Passwörter auf ihre Sicherheit hin prüfen.
Vergrößern Auf der Webseite des Datenschutzbeauftragten des Kantons Zürich lassen sich Passwörter auf ihre Sicherheit hin prüfen.

Ein gutes Passwort sollte weder ein einzelnes Wort sein, das man in einem Wörterbuch findet, noch der Name von Hund, Katze und Freund/Freundin oder das Geburtsdatum. Auch das Ersetzen von Buchstaben durch ähnlich aussehende Sonderzeichen wie S > $ oder i >! machen ein solches Passwort nicht sicherer. Zudem gilt die Devise: Umso länger das Passwort ist, umso sicherer ist es. Merken muss man es sich aber auch können. Eine Variante für gute Passwörter besteht darin, mehrere, logisch nicht zusammengehörige Wörter aneinander zu reihen, getrennt beispielsweise durch Sonderzeichen und/oder Zahlen wie etwa „Buch4kalt8Palme7kratzen&Faust“. Eine andere Variante besteht darin, sich einen längeren Satz zu merken und dann die Anfangsbuchstaben der Wörter aneinander zu reihen und noch Zahlen und Sonderzeichen einzustreuen. So wird aus „Morgens um 9 Uhr ist die Welt noch nicht ganz in Ordnung“ das Passwort „Mu9U,idWnn!giO“. Wer möchte, kann ein Passwort beispielsweise auf der Webseite des Datenschutzbeauftragten des Kantons Zürich prüfen. Um ein schlechtes Benutzerpasswort durch ein sicheres zu ersetzen, nimmt man die Option „Passwort ändern“, die man gleich an zwei Stellen findet: In der Systemeinstellung „Benutzer & Gruppen“ und in der Systemeinstellung „Sicherheit > Allgemein“.

In der Systemeinstellung „Sicherheit“ lässt sich ein schwaches Passwort durch ein starkes ersetzen.
Vergrößern In der Systemeinstellung „Sicherheit“ lässt sich ein schwaches Passwort durch ein starkes ersetzen.

Touch ID

Hat man ein Macbook Pro oder Macbook Air mit Touch ID, braucht man zwar auch ein sicheres Benutzerpasswort, muss es aber nicht immer eintippen, sondern legitimiert sich in manchen Fällen per Fingerabdruck. Die Informationen über den Fingerabdruck werden in einem sicheren Bereich des T2-Sicherheitschips abgelegt. So kann man sich per Fingerabdruck anmelden, ausgenommen nach einem Neustart oder wenn der Mac 48 Stunden lang nicht benutzt wurde, und auch die Safari-Passwörter werden per Fingerabdruck eingeblendet. Ein weiterer Vorteil von Touch ID ist, dass man im iTunes Store und im App Store ebenfalls per Fingerabdruck einkaufen kann und dazu nicht das Passwort der Apple-ID benötigt. Dieses Passwort sollte aber ebenso gut sein wie das Benutzerpasswort, denn sofern so eingestellt, lässt sich mit der Apple-ID und dem Passwort auf den Mac und den verschlüsselten Datenträger zugreifen, wenn man das Benutzerpasswort vergessen hat. Mehr Passwörter muss man sich aber nicht merken, denn alle anderen Passwörter lassen sich in der Schlüsselbundverwaltung des Systems sicher speichern.

Auf den Macbooks mit Fingerabdrucksensor kann man den Mac auch ohne Passworteingabe entsperren.
Vergrößern Auf den Macbooks mit Fingerabdrucksensor kann man den Mac auch ohne Passworteingabe entsperren.

Passwörter mit Schlüsselbund verwalten

Das macOS besitzt mit den Schlüsselbunden eine eingebaute Passwortverwaltung. In den Schlüsselbunden, die durch das Benutzerpasswort geschützt sind, werden unter anderem das Passwort für das WLAN und für die in Mail eingerichteten E-Mail-Konten abgelegt. Man muss die Passwörter nur bei der ersten Anmeldung am WLAN beziehungsweise bei der Einrichtung des E-Mail-Kontos eintippen, da anschließend das System beziehungsweise Mail auf den jeweiligen Schlüsselbund zugreifen können. Man kann also beliebig komplexe, unterschiedliche Passwörter verwenden, da man sie sich nicht merken muss.

Das Passwort für einen Mail-Account muss man nur einmal eintippen, Mail legt es dann in einer Schlüsselbunddatei ab.
Vergrößern Das Passwort für einen Mail-Account muss man nur einmal eintippen, Mail legt es dann in einer Schlüsselbunddatei ab.

Das gilt auch für die Passwörter für Web-Accounts, sofern man Safari verwendet. Denn Safari arbeitet mit der Schlüsselbundverwaltung zusammen und kann sowohl sichere Passwörter generieren als auch diese bei der nächsten Anmeldung in die entsprechenden Eingabefelder eintragen. Meldet man sich neu bei einer Website an, tippt man zuerst den gewünschten Benutzernamen beziehungsweise die E-Mail-Adresse ein und klickt dann in das Feld für das Passwort. Im sich nun einblendenden Aufklappmenü klickt man auf „Neues Passwort vorschlagen“, woraufhin Safari ein starkes Passwort in das Passwortfeld und zugleich in dasjenige für die Wiederholung einträgt. Die Adresse der Webseite, Benutzername und das Passwort werden dann im Schlüsselbund gespeichert. Hat man schon einen Account bei einer Website und tippt dort Benutzernamen und Passwort ein, fragt Safari nach, ob das Passwort gesichert werden soll und speichert nach der Bestätigung die Informationen.

Safari kann für jeden Web-Account ein starkes Passwort erzeugen, merken muss man sich die Passwörter nicht.
Vergrößern Safari kann für jeden Web-Account ein starkes Passwort erzeugen, merken muss man sich die Passwörter nicht.

Meldet man sich bei einer Website an, für die Safari Benutzernamen und Passwort schon gespeichert hat, klickt man in das Eingabefeld für den Benutzernamen, woraufhin sich ein Menü mit dem passenden Benutzernamen einblendet. Klickt man diesen an, werden Benutzernamen und Passwort in die Eingabefelder übernommen und man kann sich anmelden. Möchte man ein Passwort ändern, klickt man zuerst in das Feld für das alte Passwort und im sich einblendenden Menü auf den Benutzernamen. Anschließend klickt man in das erste Feld für das neue Passwort, dort auf das kleine Schlüsselsymbol und wählt im sich einblendenden Menü „Neues Passwort vorschlagen“ aus. Safari trägt dann ein sicheres Passwort in beide Eingabefelder ein. Sichert man die Änderungen, wird automatisch das bisherige Passwort im Schlüsselbund durch das neue ersetzt. Es ist also ganz einfach, sich für jeden Web-Account ein individuelles, sicheres Passwort zuzulegen, was unbedingt zu empfehlen ist, ohne sich auch nur ein einziges davon merken zu müssen, und man kann auch ohne großen Aufwand nicht sichere Passwörter in sichere umwandeln.

Safari kann es auch übernehmen, ein schwaches Passwort in ein starkes zu ändern.
Vergrößern Safari kann es auch übernehmen, ein schwaches Passwort in ein starkes zu ändern.

Um sich die von Safari gespeicherten Passwörter anzusehen, ruft man die Einstellungen von Safari auf, klickt auf „Passwörter“ und tippt sein Benutzerpasswort ein oder legitimiert sich per Fingerabdruck. Sobald man in der Liste mit den gespeicherten Passwörtern einen Eintrag markiert, blendet sich das Passwort in der rechten Spalte ein. Die Passwörter sind aber nicht in Safari abgelegt, sondern im Schlüsselbund „Lokale Objekte“. Mit dem Programm „Schlüsselbundverwaltung“ kann man sich die verschiedenen Schlüsselbunde ansehen und sich deren Inhalt anzeigen lassen. Der Schlüsselbund „Lokale Objekte“ ist für die Speicherung der benutzerspezifischen Passwörter wie E-Mail-Konto und Web-Konten zuständig, und im Schlüsselbund „System“ landet das Passwort für das WLAN. Den Schlüsselbund „Anmeldung“ füllt Apple unter anderem mit Passwörtern für die verschiedenen iCloud-Dienste. Will man sich eines der unter „Lokale Objekte“ gespeicherten Passwörter anzeigen lassen, macht man einen Doppelklick auf den Eintrag, markiert „Passwort einblenden“ und identifiziert sich mit seinem Benutzerpasswort.

Im Schlüsselbund „Lokale Objekte“ sind die Passwörter für E-Mail- und Web-Accounts sicher abgelegt.
Vergrößern Im Schlüsselbund „Lokale Objekte“ sind die Passwörter für E-Mail- und Web-Accounts sicher abgelegt.

Die im Schlüsselbund „Lokale Objekte“ gespeicherten Passwörter lassen sich über iCloud auch zwischen verschiedenen Macs und iOS-Geräten synchronisieren, wenn man in den iCloud-Einstellungen jeweils die Option „Schlüsselbund“ aktiviert. Der Name des Schlüsselbunds „Lokale Objekte“ ändert sich dann in „iCloud“. Alternativ kann man eine Passwortverwaltung wie 1Password , Dashlane , Enpass oder LastPass verwenden. Diese haben unter anderem den Vorteil, dass sie sowohl verschiedene Browser als auch mehrere Betriebssysteme unterstützen. Auch für einen Passwortmanager muss man sich ein komplexes, aber gut zu merkendes Passwort zulegen, um die dort gespeicherten Passwörter gut zu schützen.

Daten verschlüsseln

Die Daten auf dem internen Datenspeicher eines Macs lassen sich mit FileVault verschlüsseln. FileVault ist standardmäßig nicht aktiviert, man sollte die Verschlüsselung aber aus folgendem Grund einschalten: Jeder Mac, ausgenommen die Modelle mit dem neuen T2-Sicherheitschip, lässt sich standardmäßig von einem extern angeschlossenen Datenträger mit installiertem macOS starten, und man hat dann ungehindert Zugriff auf alle Daten auf dem internen Datenträger. Ist dagegen die Verschlüsselung eingeschaltet, muss man sich jeweils mit dem Administratorpasswort legitimieren, um den internen Datenträger zu aktivieren und dann darauf zugreifen zu können.

Hat man FileVault aktiviert, wird die Verschlüsselung im Hintergrund durchgeführt.
Vergrößern Hat man FileVault aktiviert, wird die Verschlüsselung im Hintergrund durchgeführt.

FileVault wird in der Systemeinstellung „Sicherheit“ aktiviert. Als erstes wird man gefragt, ob man auch mit seiner Apple-ID und dem dazugehörigen Passwort den Datenträger entsperren möchte oder ob ein Wiederherstellungsschlüssel erstellt werden soll. Auf einem der beiden Wege hat man dann trotzdem Zugriff auf die verschlüsselten Daten, wenn man das Benutzerpasswort vergessen haben sollte. Wählt man den Sicherheitsschlüssel, wird dieser im Fenster dargestellt und man notiert ihn sich oder macht ein Bildschirmfoto. Aufbewahren muss man ihn an einer sicheren, für andere Personen nicht zugänglichen Stelle.

Startet man einen Mac von einem externen Laufwerk, kann man auf den verschlüsselten internen Datenträger nur mit Passwort zugreifen.
Vergrößern Startet man einen Mac von einem externen Laufwerk, kann man auf den verschlüsselten internen Datenträger nur mit Passwort zugreifen.

Bei Macs ohne den T2-Sicherheitschip wird der Datenträger im Hintergrund verschlüsselt, was je nach Datenmenge einige Prozessorrechenzeit beansprucht. Man kann aber normal weiterarbeiten. Mobile Macs müssen für die Verschlüsselung zudem an das Netzteil angeschlossen sein. Der T2-Sicherheitschip im iMac Pro, im neuen Macbook Air und Mac Mini und im Macbook Pro mit Touchbar verfügt über einen integrierten Verschlüsselungsprozessor, der die Verschlüsselung übernimmt. Er verschlüsselt nach dem Advanced Encryption Standard (AES) und verschlüsselt beziehungsweise entschlüsselt sämtliche Daten auf dem internen Datenspeicher des Mac, unabhängig davon, ob FileVault aktiviert ist oder nicht. Der für die Verschlüsselung benötigte Schlüssel wird während der Produktion für jeden Mac individuell erstellt und in einem gesicherten Bereich (Secure Enclave) des T2-Chips abgelegt, auf den nur der Verschlüsselungsprozessor zugreifen kann. Apple empfiehlt jedoch, FileVault zusätzlich zu aktivieren, um die Sicherheit zu erhöhen, da dann das Benutzerpasswort erforderlich ist, um auf die Daten zuzugreifen. Für den Anwender ergibt sich durch den Verschlüsselungsprozessor außer der erhöhten Sicherheit der Vorteil, dass Ver- und Entschlüsselung sehr schnell gehen und den Hauptprozessor nicht belasten.

Das Startsicherheitsdienstprogramm

Macs mit T2-Chip lassen sich standardmäßig nicht von externen Medien wie Festplatten oder USB-Sticks starten. Wählt man in der Systemeinstellung „Startvolume“ ein externes Volume für den Start aus, bekommt man nach dem Klick auf „Neustart“ einen Hinweis, dass dies nicht möglich ist. Dasselbe gilt auch, wenn man beim Neustart den Startmanager mit gedrückter alt-Taste aufruft und dort ein externes Startvolume auswählt. In beiden Fällen wird man auf den Recovery-Modus verwiesen, um dort die Einstellung zu ändern. Nach dem Neustart mit gedrückter Tastenkombination cmd-R findet man im Menü „Dienstprogramme“ den Eintrag „Startsicherheitsdienstprogramm“.

Macs mit dem T2-Sicherheitschip lassen sich standardmäßig nicht von einem externen Medium starten.
Vergrößern Macs mit dem T2-Sicherheitschip lassen sich standardmäßig nicht von einem externen Medium starten.

Wählt man diesen aus, muss man zuerst sein Benutzerkennwort eintippen, um das Programm zu öffnen. Dann kann man sowohl die Einstellungen für das sichere Starten ändern als auch das Starten von externen Datenträgern erlauben. Für das sichere Starten hat man die Wahl zwischen der strengen Standardeinstellung „Volle Sicherheit“ sowie den Vorgaben „Mittlere Sicherheit“ und „Ohne Sicherheit“. Während bei letzterer Einstellung der Startprozess gar nicht überwacht wird, erlaubt die mittlere Sicherheit das Starten von jedem jemals von Apple signierten Betriebssystem, sofern es nicht verändert wurde, auch wenn es aktuell nicht mehr signiert ist. Die volle Sicherheit verlangt dagegen Software, die aktuell von Apple signiert ist.

Bei Macs mit T2-Sicherheitschip muss man im Startsicherheitsdienstprogramm das Starten von externen Medien ausdrücklich erlauben.
Vergrößern Bei Macs mit T2-Sicherheitschip muss man im Startsicherheitsdienstprogramm das Starten von externen Medien ausdrücklich erlauben.

Um bei Macs ohne T2-Prozessor das Starten von externen Datenträgern zu verhindern, benötigt man ein Firmware-Passwort. Dazu ruft man ebenfalls  das Startsicherheitsdienstprogramm im Recovery-Modus auf. In diesem Fall öffnet sich nun ein Fenster, um ein Firmware-Passwort zu vergeben. Man muss sich dieses gut merken oder sicher notieren, denn ohne das Passwort lässt sich der Mac nicht mehr von externen Medien und auch nicht im Recovery-Modus starten. Ruft man bei aktivem Firmware-Passwort den Startmanager mit gedrückter alt-Taste auf oder startet mit cmd-R im Recovery-Modus, blenden sich auf dem Bildschirm ein Schlosssymbol und eine Eingabezeile für das Firmware-Passwort ein. Unbedingt zu beachten ist, dass dann die englische Tastaturbelegung aktiv ist, also beispielsweise Z und Y vertauscht sind. Im Startsicherheitsdienstprogramm wird das Firmware-Passwort auch wieder deaktiviert.

Ist ein Firmware-Passwort eingerichtet, kann man nur mit dem Passwort im Recovery-Modus starten.
Vergrößern Ist ein Firmware-Passwort eingerichtet, kann man nur mit dem Passwort im Recovery-Modus starten.

Weitere Sicherheitseinstellungen: Firewall, Dateifreigaben, Sandbox

Verlässt man seinen Arbeitsplatz, sollte niemand auf den Mac zugreifen können. Dazu schickt man ihn in den Ruhezustand oder sperrt den Bildschirm. Für letzteres gibt es in macOS High Sierra und Mojave den Befehl „Bildschirm sperren“ im Apple-Menü. Zum Entsperren benötigt man dann das Passwort oder entsperrt per Touch-ID. Für den Ruhezustand ist standardmäßig vorgegeben, dass erst nach fünf Minuten das Benutzerpasswort oder der Fingerabdruck erforderlich sind, wenn man den Mac wieder aufweckt. Soll die Sperrung schneller, langsamer oder sofort geschehen, findet man die dafür vorgesehene Einstellung in der Systemeinstellung „Sicherheit“ unter „Allgemein“.

Eine schnelle Methode, um den Mac zu sichern, ist das Sperren des Bildschirms.
Vergrößern Eine schnelle Methode, um den Mac zu sichern, ist das Sperren des Bildschirms.

In der Systemeinstellung „Sicherheit“ lässt sich außerdem die Firewall aktivieren, die standardmäßig ausgeschaltet ist. Hat man zu Hause oder im Büro ein WLAN mit Router, hat dieser in der Regel schon eine aktive Firewall, und auf dem Mac muss man sie nicht unbedingt einschalten. Schaden tut es aber nicht. In einem öffentlichen WLAN sollte man sie aber besser einschalten. Automatisch werden beim Einschalten der Firewall die zweite und dritte Einstellung unter „Firewall-Optionen“ aktiviert. Dann können in das macOS integrierte Programme sowie signierte Software eingehende Verbindungen verwenden. Alternativ lassen sich alle eingehenden Verbindungen blockieren, was aber nicht bedeutet, dass es dann keinen Internetzugang mehr gibt. Safari und Mail funktionieren nämlich weiterhin, ebenso wie der iTunes-Store und der App Store.

Auch wenn man alle eingehenden Verbindungen in der Firewall blockiert, kann man trotzdem E-Mails empfangen und im Web surfen.
Vergrößern Auch wenn man alle eingehenden Verbindungen in der Firewall blockiert, kann man trotzdem E-Mails empfangen und im Web surfen.

Die vierte Abteilung in der Systemeinstellung „Sicherheit“ heißt unter macOS Sierra und HighSierra „Privatsphäre“, in macOS Mojave „Datenschutz“. Es handelt sich aber nicht nur um eine sprachliche Änderung, sondern es sind neue und mehr Funktionen in Mojave hinzugekommen. Grundsätzlich sieht man in allen Versionen, welche Programme und Systemdienste auf andere Programme wie Fotos, Adressen und Kalender und auf die Ortungsdienste zugreifen und man hat die Möglichkeit, bestimmte Zugriffe zu untersagen, indem man sie deaktiviert.

In der Abteilung „Privatsphäre“ beziehungsweise „Datenschutz“ legt man unter anderem fest, welche Anwendung auf die Ortungsdienste zugreifen dürfen.
Vergrößern In der Abteilung „Privatsphäre“ beziehungsweise „Datenschutz“ legt man unter anderem fest, welche Anwendung auf die Ortungsdienste zugreifen dürfen.
© IDG

In macOS Mojave hat Apple das Sandboxing, also die Trennung der einzelnen Anwendungen voneinander, erweitert, um zu verhindern, dass Zugriffe auf Kontakte, Termine, E-Mails, Nachrichten, Erinnerungen oder Fotos ungefragt erfolgen. Für den Anwender ergibt sich daraus die Notwendigkeit, solche Zugriffe explizit zu erlauben und den entsprechenden Button in einem Dialogfenster anzuklicken. Das trifft beispielsweise auf Programme zum Erstellen von Fotobüchern zu, die auf die Bilder in Fotos zugreifen wollen. Außerdem gibt es nun Optionen, um Programmen den Zugriff auf das Mikrofon und die Kamera zu erlauben oder zu verweigern sowie die neuen Einträge „Vollzugriff auf Festplatte“ und „Automation“.

Unter macOS Mojave muss man ausdrücklich zustimmen, wenn ein Programm auf die Fotos zugreifen möchte.
Vergrößern Unter macOS Mojave muss man ausdrücklich zustimmen, wenn ein Programm auf die Fotos zugreifen möchte.

Hier fügt man Anwendungen hinzu, denen man diese Zugriffe erlauben möchte. So müssen beispielsweise die Backup-Programm Carbon Copy Cloner und SuperDuper Vollzugriff auf die Festplatte haben, sonst lassen sie sich nicht starten. Und bei „Automation“ geht es um Anwendungen, die beispielsweise mit Applescript geschrieben sind und andere Anwendungen steuern. Auch das muss man ausdrücklich erlauben.

Unter macOS Mojave braucht ein Backup-Programm die Erlaubnis, auf die ganze Festplatte zugreifen zu dürfen.
Vergrößern Unter macOS Mojave braucht ein Backup-Programm die Erlaubnis, auf die ganze Festplatte zugreifen zu dürfen.

Macwelt Marktplatz

2397780