Verschlüsselung gegen Datenklau
Macs mit Apple-Chip und Intel-Macs mit T2-Chip verschlüsseln die Anwenderdaten auf dem internen Datenträger standardmäßig, wozu eine komplexe Hierarchie von Schlüsseln verwendet wird. Das verhindert, dass man Datenträger ausbauen könnte, um dann an einem anderen Gerät auf die Daten zuzugreifen.
Denn ohne den Schlüssel, der in der Secure Enclave der Apple-Chips beziehungsweise im T2-Chip verwaltet wird, sind die Daten unzugänglich. Ver- und Entschlüsselung erfolgen über eine Verschlüsselungs-Engine in der Hardware, sodass Ver- und Entschlüsselung ohne jeglichen Zeitverlust erfolgen. Die Secure Enclave, von der CPU vollkommen abgeschottet, ist unter anderem auch für die Speicherung der biometrischen Daten des Fingerabdrucksensors zuständig.
Diese Intel-Macs haben einen T2-Sicherheitschip
Macbook Air ab 2018
Macbook Pro ab 2018
Mac Mini ab 2018
iMac 27“ ab 2020
iMac Pro
Mac Pro ab 2019
Zusätzlich kann man Filevault aktivieren, um die Verschlüsselung der Daten noch mit dem Benutzerpasswort des Mac abzusichern. Ohne dieses Passwort lässt sich der Datenträger nicht aktivieren. Beim Neustart wird er nach Eingabe des Passworts automatisch entsperrt, erst dann wird der Startvorgang fortgesetzt.
Filevault kann man entweder gleich beim Einrichten eines neuen Macs oder nachträglich in der Systemeinstellung „Datenschutz & Sicherheit“ einschalten. Verzögerungen gibt es keine, denn die Daten sind ja schon hardwareseitig verschlüsselt, Filevault fügt nur noch eine weitere Sicherheitsebene hinzu. Damit man im Notfall auf die Daten zugreifen kann, wenn man das Passwort vergessen hat, kann man entweder dem eigenen iCloud-Account erlauben, das Datenvolume zu entsperren, oder man lässt einen Wiederherstellungsschlüssel erzeugen, den man sicher aufbewahren muss.
Mit Filevault fügt man eine zusätzliche Sicherheitsebene für die Verschlüsselung der Daten hinzu.
Thomas Armbrüster
Erstellt man mit Time Machine ein Backup auf einem externen Datenträger, sollte man diesen ebenfalls mit einem Passwort verschlüsseln. Denn sonst könnte jemand den Datenträger an einen anderen Rechner anschließen und auf die Daten zugreifen. Wählt man ein externes Laufwerk für das Backup aus, öffnet sich ein Dialogfenster, in dem man die Verschlüsselung aktiviert und das Passwort festlegt. Das Passwort wird automatisch im Schlüsselbund gesichert, sodass man es nicht jedes Mal eintippen muss, wenn man das Laufwerk anschließt. In der Schlüsselbundverwaltung findet man es, wenn man dort nach dem Namen des Sicherungsmediums sucht.
Das Time-Machine-Backup sollte verschlüsselt werden, denn sonst sind die gespeicherten Daten ungeschützt.
Thomas Armbrüster
Eingebaute Systemsicherheit
Unter macOS Ventura und Sonoma ist der interne Datenträger standardmäßig in zwei Volumes unterteilt. Eines für das System und die mit dem System installierten Anwendungen (ausgenommen Safari), ein anderes für die Anwenderdaten und die vom Anwender installierten Programme. Zu sehen ist diese Unterteilung nur im Festplattendienstprogramm, ansonsten sieht man nur einen einzigen Datenträger mit allen Daten.
Das System-Volume ist durch den Mechanismus „Signed System Volume“ kryptografisch gegen Veränderungen geschützt. Sobald die Signatur des macOS nicht mehr stimmt, wird es beim Rechnerstart nicht aktiviert. Der Mac startet dann vom integrierten Wiederherstellungssystem, und man muss das macOS neu installieren.
Es macht darum keinen Sinn, bei Problemen das System neu zu installieren. Solange es funktioniert, ist es auch in Ordnung. Zudem wird das System von einem schreibgeschützten Schnappschuss gestartet, was ebenfalls verhindert, dass die Systemdaten auf der SSD kompromittiert werden können. Auch die System-Updates verwenden Schnappschüsse. Erst wenn alles richtig funktioniert, wird der aktualisierte Schnappschuss neu kryptografisch versiegelt und das System auf dem Mac installiert.
Nur im Festplattendienstprogramm ist die Unterteilung in Systemvolume und Datenvolume zu sehen.
Thomas Armbrüster
Für den Anwender hatte diese Sicherheit bisher zur Folge, dass Sicherheitsupdates wegen der kryptografischen Signatur des Gesamtsystems nur zusammen mit einem Systemupdate installiert werden konnten. Seit macOS Ventura gibt es zusätzlich die „schnellen Sicherheitsmaßnahmen“ (Rapid Security Response), mit dem sich wichtige Sicherheitsupdates separat installieren lassen.
Dazu muss in der Systemeinstellung „Allgemein > Softwareupdate“ die Option „Sicherheitsmaßnahmen und Systemdateien installieren“ aktiviert sein. Das Fenster mit der Einstellung öffnet sich, wenn man rechts neben „Automatische Updates“ auf das Informationssymbol klickt. Anzuraten ist, Updates für das aktuell installierte System immer zeitnah zu installieren, oder die Updates automatisch installieren zu lassen, da in der Regel damit auch Sicherheitslücken geschlossen werden.
Damit zukünftig Sicherheitsupdates öfters und schneller installiert werden können, muss diese Option in den Systemeinstellungen aktiviert bleiben.
Thomas Armbrüster
Programme sicher installieren
Um zu verhindern, dass Anwendungen auf dem Mac installiert werden, die aus unbekannten Quellen stammen und so potenziell Schaden anrichten können, lassen sich standardmäßig nur Programme installieren und starten, die von Entwicklern stammen, die von Apple zertifiziert wurden und die ihre Programme mit ihrem Zertifikat signiert haben.
Das stellt sicher, dass die Anwendungen danach nicht mehr verändert wurden, etwa auf dem Weg über das Internet. Die Programme müssen aber nicht wie beim iPhone und dem iPad aus dem App-Store stammen, sondern man kann auf dem Mac auch Software aus dem Internet laden. Das ist die Standardeinstellung. Alternativ lässt sich die Installation auf Apps beschränken, die aus dem App-Store stammen. Die Vorgaben findet man unter macOS Ventura und Sonoma in der Systemeinstellung „Datenschutz & Sicherheit“.
Man kann wählen, ob nur Anwendungen aus dem App-Store oder auch aus dem Internet installiert werden dürfen.
Thomas Armbrüster
Für aus dem Internet geladene Programme gibt es weitere Sicherheitsvorkehrungen. Wird eine aus dem Netz geladene Anwendung mit dem Installationsprogramm von macOS Ventura und Sonoma installiert, wird von diesem zuvor um Erlaubnis für die Installation gefragt. Handelt es sich um ein Programm, dass man selbst in den Programme-Ordner kopiert hat, fragt das System beim ersten Start der Anwendung, ob man es auch wirklich öffnen möchte. Ist das Programm nicht signiert oder ist die Zertifizierung des Programmanbieters abgelaufen, verweigert macOS den Start der Anwendung.
Startet man aus dem Internet geladene verifizierte Anwendungen, wird man nochmals um Erlaubnis gefragt.
Thomas Armbrüster
Information bei Hintergrundanwendungen
Einen weiteren Schutzmechanismus gibt es unter macOS Ventura und Sonoma für Anwendungen, die Hintergrundprozesse installieren, wie beispielsweise das Backupprogramm Carbon Copy Cloner oder die Passwortverwaltung 1Password. Hier fragt das System nach, ob man die Installation des Hintergrundprozesses erlauben möchte. Für die Erlaubnis ist zudem die Identifikation per Benutzerpasswort oder Fingerabdruck erforderlich. Um zu sehen, welche Hintergrundprozesse auf dem Mac installiert sind, öffnet man die Systemeinstellung „Allgemein > Anmeldeobjekte“. Alle Hintergrundprozesse sind dort unter „Im Hintergrund erlauben“ aufgelistet. Man kann sie dort auch wieder deaktivieren.
Werden Hintergrundobjekte von einer Anwendung installiert, kann man sie in den Systemeinstellungen verwalten.
Thomas Armbrüster
In dieser Systemeinstellung findet man zudem die Anmeldeobjekte, die beim Starten des Mac automatisch gestartet werden. Auch über die Installation von Anmeldeobjekten wird man durch eine Mitteilung informiert, wenn man das dazugehörige Programm installiert. Anmeldeobjekte lassen sich ebenfalls jederzeit wieder entfernen.
Einen zusätzlichen Schutz bietet Safari beim Laden von Objekten aus dem Internet. Man muss im Browser jeweils zustimmen, um Daten von der gerade geöffneten Webseite auf den Mac zu übertragen. In den Einstellungen von Safari werden die Berechtigungen unter ”Websites > Downloads“ verwaltet und man kann sie hier deaktivieren.
In Safari kann man genau vorgeben, von welchen Webseiten Objekte auf den Mac geladen werden dürfen.
Thomas Armbrüster
Schutz vor Schadsoftware
macOS Ventura und Sonoma verfügen über eine integrierte Technologie gegen Schadsoftware mit der Bezeichnung „XProtect“ und „XProtect Remediator“. Anhand der Signaturen bekannter Schadsoftware werden Schadprogramme auf dem Mac erkannt und auch entfernt. Die Dateien mit den Signaturen und Einstellungen (XProtectPayloads und XProtectPlistConfigData) aktualisiert Apple regelmäßig im Hintergrund über das Internet, wenn in der Systemeinstellung „Allgemein > Softwareupdate“ die Option „Sicherheitsmaßnahmen und Systemdateien installieren“ aktiviert ist. Man sollte diese Option also besser nicht deaktivieren, standardmäßig ist sie eingeschaltet. Wann die XProtect-Daten zum letzten Mal aktualisiert wurden, findet man in den Systeminformationen unter „Installationen“.
In den Systeminformationen lässt sich kontrollieren, wann zuletzt die Signaturen von XProtect aktualisiert worden sind.
Thomas Armbrüster
Lesetipp: Antivirus für den Mac: 7 Programme im Vergleich
Ein weiter Schutz vor Schadsoftware ist die Nachfrage von macOS Ventura und Sonoma, wenn man ein externes Medium per USB oder Thunderbolt an den Mac anschließt. Bevor man auf den Datenträger zugreifen kann, muss man zuerst zustimmen. So lässt sich verhindern, dass ein Datenträger, der eventuell Schadsoftware enthalten könnte, ohne Kenntnisnahme durch den Anwender angeschlossen wird.
In der Systemeinstellung „Datenschutz & Sicherheit“ lässt sich unter „Verbinden von Zubehör erlauben“ festlegen, ob die Nachfrage immer, nur bei unbekannten Medien oder nur dann erfolgt, wenn der Mac nicht entsperrt ist. Die Nachfrage lässt sich auch komplett deaktivieren.
Unter macOS Ventura wird standardmäßig nachgefragt, wenn unbekannte Datenträger an den Mac angeschlossen werden.
Thomas Armbrüster
Schutz vor Datenzugriff
Für viele Programme lässt sich festlegen, auf welche Daten sie Zugriff haben sollen. Es gibt den Zugriff auf alle Anwenderdaten (Festplattenvollzugriff), den beispielsweise Backup-Programme benötigen, sowie separate Berechtigungen für die Verzeichnisse Dokumente, Schreibtisch und Downloads sowie für externe Datenträger wie SSDs, Festplatten oder USB-Sticks (entfernbare Volumes). Manche Programme fragen beim ersten Einsatz um die entsprechende Erlaubnis nach.
Sie gilt dann so lange, bis man sie widerruft. Die Übersicht über die Zugriffsberechtigungen findet man in der Systemeinstellung „Datenschutz & Sicherheit“ unter „Festplattenvollzugriff“ und unter „Dateien und Ordner“. Man kann die Berechtigungen hier auch wieder zurücknehmen.
Für manche Programme lässt sich individuell festlegen, auf welche Verzeichnisse sie zugreifen dürfen.
Thomas Armbrüster
Auch wenn ein Programm auf die Fotos-Mediathek oder auf die Kontakte zugreifen möchte, muss man dies einmal erlauben. Des Weiteren können Programmen wie Teams und Zoom auf die eingebaute Kamera und auf das Mikrofon nur dann zugreifen, wenn es der Anwender erlaubt, was auch für den Zugriff auf Bluetooth gilt. Alle diese Einstellungen sind ebenfalls unter „Datenschutz & Sicherheit“ zu finden. Zudem haben die neueren mobilen Macs eine hardwareseitige Abschaltung des Mikrofons, wenn man das Macbook zuklappt. Es lässt sich dann nicht per Software aktivieren, um heimlich Gespräche aufzunehmen.
Wenn Anwendungen auf die Mediathek von Fotos zugreifen wollen, muss dies vom Anwender ausdrücklich erlaubt werden.
Thomas Armbrüster
Das Anwenderpasswort
Ein wichtiges Sicherheitsmerkmal, für das man ausschließlich als Anwender zuständig ist, ist das Benutzerpasswort. Dieses benötigt man für die Anmeldung am Mac und das Entsperren des mit Filevault verschlüsselten Datenträgers, sowie für den Zugriff auf verschiedene Optionen in den Systemeinstellungen.
Seit der Verfügbarkeit von Touch-ID auf dem Mac genügt meist aber die Identifikation über den Fingerabdruck. Ausgenommen davon sind die Anmeldung des Benutzers nach einem Neustart, die Einrichtung neuer Benutzer und das Hinzufügen von Fingerabdrücken. Hierfür muss man immer das Benutzerpasswort eintippen.
Für manche Systemeinstellungen benötigt man das Benutzerpasswort oder den Fingerabdruck, um Änderungen vorzunehmen.
Thomas Armbrüster
Man sollte unbedingt ein sicheres Passwort wählen, denn dieses schützt gegen Versuche, den Mac durch Erraten des Benutzerpassworts zu entsperren und damit Zugang zu allen Daten zu bekommen. Eine Variante für gute Passwörter besteht darin, mehrere, logisch nicht zusammengehörige Wörter aneinander zu reihen, getrennt beispielsweise durch Sonderzeichen wie „Europa.Baum,Löwe-Stuhl”.
Oder man merkt sich einen längeren Satz und reiht dann die Anfangsbuchstaben der Wörter aneinander und streut noch Zahlen und Sonderzeichen ein. So wird aus „Morgens um 9 Uhr ist die Welt noch nicht ganz in Ordnung“ das Passwort „Mu9U;idWnn!giO“. Auch die Länge des Passworts ist wichtig. Je länger, umso schwerer zu knacken.
Auf Macs mit Apple Silicon oder T2-Chip ist die Passworteingabe sicherheitshalber zudem auf zehn Versuche beschränkt, wobei nur unterschiedliche Passworteingaben zählen. Bei jedem neuen Versuch verlängert sich jeweils der Zeitraum, bis die nächste Eingabe vorgenommen werden kann. Ein zwischenzeitlicher Neustart ändert an der Zählung nichts. Bei Versuch Nummer neun ist es schon eine Stunde, und nach Versuch zehn geht es erst im Wiederherstellungsmodus weiter, in dem man nochmals zehn Versuche hat. Zusammen mit einem guten Benutzerpasswort macht das den Mac sehr sicher gegen Datendiebstahl.
Mit einem Passwortchecker lässt sich ein Passwort auf seine Tauglichkeit hin überprüfen.
Thomas Armbrüster
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.