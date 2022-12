Macs mit Apple-Chip und Intel-Macs mit T2-Chip verschlüsseln die Anwenderdaten auf dem internen Datenträger standardmäßig, wozu eine komplexe Hierarchie von Schlüsseln verwendet wird. Das verhindert, dass man Datenträger ausbauen könnte, um dann an einem anderen Gerät auf die Daten zuzugreifen. Denn ohne den Schlüssel, der in der Secure Enclave der Apple-Chips verwaltet wird, sind die Daten unzugänglich. Ver- und Entschlüsselung erfolgen über eine Verschlüsselungs-Engine in der Hardware, sodass Ver- und Entschlüsselung ohne jeglichen Zeitverlust erfolgen. Die Secure Enclave, von der CPU vollkommen abgeschottet, ist unter anderem auch für die Speicherung der biometrischen Daten des Fingerabdrucksensors zuständig.

Zusätzlich kann man Filevault aktivieren, um die Verschlüsselung der Daten noch mit dem Benutzerpasswort des Mac abzusichern. Ohne dieses Passwort lässt sich der Datenträger nicht aktivieren. Beim Neustart wird er nach Eingabe des Passworts automatisch entsperrt, erst dann wird der Startvorgang fortgesetzt. Filevault kann man entweder gleich beim Einrichten eines neuen Macs oder nachträglich in der Systemeinstellung „Datenschutz & Sicherheit“ einschalten. Verzögerungen gibt es keine, denn die Daten sind ja schon hardwareseitig verschlüsselt, Filevault fügt nur noch eine weitere Sicherheitsebene hinzu. Damit man im Notfall auf die Daten zugreifen kann, wenn man das Passwort vergessen hat, kann man entweder dem eigenen iCloud-Account erlauben, das Datenvolume zu entsperren, oder man lässt einen Wiederherstellungsschlüssel erzeugen, den man aber sicher aufbewahren muss.

Mit Filevault fügt man eine zusätzliche Sicherheitsebene für die Verschlüsselung der Daten hinzu. Thomas Armbrüster

Erstellt man mit Time Machine ein Backup auf einem externen Datenträger, sollte man diesen ebenfalls mit einem Passwort verschlüsseln. Denn sonst könnte jemand den Datenträger an einen anderen Rechner anschließen und auf die Daten zugreifen. Wählt man ein externes Laufwerk für das Backup aus, öffnet sich ein Dialogfenster, in dem man die Verschlüsselung aktiviert und das Passwort festlegt. Das Passwort wird unter macOS Ventura automatisch im Schlüsselbund gesichert, sodass man es nicht jedes Mal eintippen muss, wenn man das Laufwerk anschließt. In der Schlüsselbundverwaltung findet man es, wenn man dort nach „Backup“ sucht.

Das Time Machine-Backup sollte verschlüsselt werden, denn sonst sind die gespeicherten Daten ungeschützt. Thomas Armbrüster

Eingebaute Systemsicherheit

Unter macOS Ventura ist der interne Datenträger in mehrere Volumes unterteilt. Ein Volume ist für das System und die mit dem System installierten Anwendungen (ausgenommen Safari), ein anderes für die Anwenderdaten zuständig. Zu sehen ist diese Unterteilung für den Anwender nur im Festplattendienstprogramm, ansonsten sieht er nur einen einzigen Datenträger mit allen Daten. Das System-Volume ist durch den Mechanismus „Signed System Volume“ kryptografisch gegen Veränderungen geschützt. Sobald die Signatur des Systems nicht mehr stimmt, wird es beim Rechnerstart nicht aktiviert. Der Mac startet dann von der Wiederherstellungspartition, und man muss das System neu installieren. Es ist darum weniger sinnvoll, bei Problemen das System selbst neu zu installieren, denn solange es funktioniert, ist es auch in Ordnung. Zudem wird das System als Schnappschuss gestartet, Änderungen können also nur an diesem vorgenommen werden. Das betrifft auch die System-Updates. Erst wenn alles richtig funktioniert, wird der aktualisierte Schnappschuss neu kryptografisch versiegelt und das System auf dem Mac installiert.

Nur im Festplattendienstprogramm ist die Unterteilung in Systemvolume und Datenvolume zu sehen. Thomas Armbrüster

Für den Anwender hatte diese Sicherheit bisher zur Folge, dass Sicherheitsupdates wegen der kryptografischen Signatur des Gesamntsystems nur zusammen mit einem Systemupdate installiert werden konnten. Unter macOS Ventura (und auch unter iOS/iPadOS 16) gibt es einen neuen Mechanismus „Rapid Security Response“, mit dem sich Sicherheitsupdates auch separat installieren lassen sollen. Dazu muss in der Systemeinstellung „Allgemein > Softwareupdate“ die Option „Sicherheitsmaßnahmen und Systemdateien installieren“ aktiviert sein. Das Fenster mit der Einstellung öffnet sich, wenn man rechts neben „Automatische Updates“ auf das Informationssymbol klickt. Dort sind auch die Optionen zu finden, Systemupdates automatisch zu laden und automatisch zu installieren. Immer eingeschaltet bleiben muss in allen Fällen die Option „Nach Updates suchen“. Anzuraten ist, Updates für das aktuell installierte System zeitnah zu installieren, da diese in der Regel sowohl Fehler beheben als auch Sicherheitslücken schließen.

Damit zukünftig Sicherheitsupdates öfters und schneller installiert werden können, muss diese Option in den Systemeinstellungen aktiviert bleiben. Thomas Armbrüster

Programme sicher installieren

Um zu verhindern, dass Anwendungen auf dem Mac installiert werden, die aus unbekannten Quellen stammen und so potenziell Schaden anrichten können, lassen sich standardmäßig nur Programme installieren und starten, die von Entwicklern stammen, deren Programme von Apple verifiziert und danach nicht mehr geändert wurden. Den hierfür zuständigen Kontrollmechanismus auf dem Mac bezeichnet Apple als „Gatekeeper“. Die Programme müssen aber nicht wie beim iPhone oder dem iPad aus dem App-Store stammen, sondern man kann auf dem Mac auch Software aus dem Internet laden. Das ist die Standardeinstellung. Alternativ lässt sich die Installation auf Apps beschränken, die aus dem App-Store stammen. Die Vorgaben findet man unter macOS Ventura in der Systemeinstellung „Datenschutz & Sicherheit“.

Man kann wählen, ob nur Anwendungen aus dem App-Store oder auch aus dem Internet installiert werden dürfen. Thomas Armbrüster

Für aus dem Internet geladene Programme gibt es weitere Sicherheitsvorkehrungen. Wird die aus dem Netz geladene Anwendung mit dem Installationsprogramm von macOS Ventura installiert, wird von diesem zuvor um Erlaubnis für die Installation gefragt. Handelt es sich um ein Programm, dass man selbst in den Programme-Ordner kopiert hat, fragt das System beim ersten Start der Anwendung, ob man es auch wirklich öffnen möchte. Ist das Programm nicht verifiziert oder ist die Verifikation für die Anwendung abgelaufen, verweigert macOS Ventura den Start. Man kann dies zwar in der Systemeinstellung „Datenschutz & Sicherheit“ übergehen, indem man dort auf „Dennoch öffnen“ klickt, sollte dies aber im Zweifelsfall keineswegs tun.

Startet man aus dem Internet geladene verifizierte Anwendungen, wird man nochmals um Erlaubnis gefragt. Thomas Armbrüster

Information bei Hintergrundanwendungen

Einen weiteren Schutzmechanismus gibt es unter macOS Ventura für Anwendungen, die Hintergrundprozesse installieren, wie beispielsweise Carbon Copy Cloner oder Tinker Tool System. Hier fragt das System nach, ob man die Installation des Hintergrundprozesses erlauben möchte. Für die Erlaubnis ist zudem die Identifikation per Benutzerpasswort oder Fingerabdruck erforderlich. Um zu sehen, welche Hintergrundprozesse auf dem Mac installiert wurden, öffnet man die Systemeinstellung „Allgemein > Anmeldeobjekte“. Alle Hintergrundprozesse sind dort unter „Im Hintergrund erlauben“ aufgelistet. Man kann sie dort auch wieder deaktivieren.

Werden Hintergrundobjekte von einer Anwendung installiert, kann man sie in den Systemeinstellungen verwalten. Thomas Armbrüster

In dieser Systemeinstellung findet man zudem die Anmeldeobjekte, die beim Starten des Mac automatisch gestartet werden. Auch über die Installation von Anmeldeobjekten wird man durch eine Mitteilung informiert, wenn man das dazugehörige Programm installiert. Anmeldeobjekte lassen sich ebenfalls jederzeit wieder entfernen. Einen zusätzlichen Schutz bietet Safari beim Laden von Objekten aus dem Internet. Man muss im Browser jeweils zustimmen, um Daten von der gerade geöffneten Webseite auf den Mac zu übertragen. In den Einstellungen von Safari werden die Berechtigungen unter ”Websites > Downloads“ verwaltet und man kann sie hier deaktivieren.

In Safari kann man genau vorgeben, von welchen Webseiten Objekte auf den Mac geladen werden dürfen. Thomas Armbrüster

Schutz vor Schadsoftware

macOS Ventura verfügt über eine integrierte Antivirustechnologie mit der Bezeichnung „XProtect“ und „XProtect Remediator“. Anhand der Signaturen bekannter Schadsoftware werden Schadprogramme auf dem Mac erkannt und auch entfernt. Die Dateien mit den Signaturen und Einstellungen (XProtectPayloads und XProtectPlistConfigData) aktualisiert Apple regelmäßig im Hintergrund über das Internet, wenn in der Systemeinstellung „Allgemein > Softwareupdate“ die Option „Sicherheitsmaßnahmen und Systemdateien installieren“ aktiviert ist. Man sollte diese Option also besser nicht deaktivieren, standardmäßig ist sie eingeschaltet. Wann die XProtect-Daten zum letzten Mal aktualisiert wurden, findet man in den Systeminformationen unter „Installationen“.

In den Systeminformationen lässt sich kontrollieren, wann zuletzt die Signaturen von XProtect aktualisiert worden sind. Thomas Armbrüster

Ein weiter Schutz vor Schadsoftware ist die Nachfrage von macOS Ventura, wenn man ein externes Medium per USB oder Thunderbolt an den Mac anschließt. Bevor man auf den Datenträger zugreifen kann, muss man zuerst zustimmen. So lässt sich verhindern, dass ein Datenträger, der eventuell Schadsoftware enthalten könnte, ohne Kenntnisnahme durch den Anwender angeschlossen wird. In der Systemeinstellung „Datenschutz & Sicherheit“ lässt sich festlegen, ob die Nachfrage immer, nur bei unbekannten Medien oder nur dann erfolgt, wenn der Mac nicht entsperrt ist. Die Nachfrage lässt sich auch komplett deaktivieren.

Unter macOS Ventura wird standardmäßig nachgefragt, wenn unbekannte Datenträger an den Mac angeschlossen werden. Thomas Armbrüster

Für manche Programme lässt sich festlegen, auf welche Daten sie Zugriff haben sollen. Es gibt den Zugriff auf alle Anwenderdaten (Festplattenvollzugriff), den beispielsweise Backup-Programme benötigen, sowie separate Berechtigungen für die Verzeichnisse Dokumente, Schreibtisch und Downloads sowie für externe Datenträger wie SSDs, Festplatten oder USB-Sticks (entfernbare Volumes). Manche Programme fragen beim ersten Einsatz um die entsprechende Erlaubnis. Sie gilt dann so lange, bis man sie widerruft. Die Übersicht über die Zugriffsberechtigungen findet man in der Systemeinstellung „Datenschutz & Sicherheit“ unter „Festplattenvollzugriff“ und unter „Dateien und Ordner“. Man kann die Berechtigungen hier auch wieder zurücknehmen.

Für manche Programme lässt sich individuell festlegen, auf welche Verzeichnisse sie zugreifen dürfen. Thomas Armbrüster

Auch wenn ein Programm auf die Fotos-Mediathek oder auf die Kontakte zugreifen möchte, muss man dies einmal erlauben. Des Weiteren können Programmen wie Teams und Zoom auf die eingebaute Kamera und auf das Mikrofon nur dann zugreifen, wenn es der Anwender erlaubt, was auch für den Zugriff auf Bluetooth gilt. Alle diese Einstellungen sind ebenfalls unter „Datenschutz & Sicherheit“ zu finden. Zudem haben die neueren mobilen Macs eine hardwareseitige Abschaltung des Mikrofons, wenn man das Macbook zuklappt. Es lässt sich nicht per Software aktivieren, um heimlich Gespräche aufzunehmen.

Wenn Anwendungen auf die Mediathek von Fotos zugreifen wollen, muss dies vom Anwender ausdrücklich erlaubt werden. Thomas Armbrüster

Das Anwenderpasswort

Ein wichtiges Sicherheitsmerkmal, für das man ausschließlich als Anwender zuständig ist, ist das Benutzerpasswort. Dieses benötigt man nicht nur für die Anmeldung am Mac und das Entsperren des mit FileVault verschlüsselten Datenträgers, sondern auch für den Zugriff auf verschiedene Optionen in den Systemeinstellungen wie „Datenschutz und Sicherheit“, „Netzwerk“ und „Passwörter“. Seit der Verfügbarkeit von Touch-ID auf dem Mac genügt meist aber die Identifikation über den Fingerabdruck. Ausgenommen davon sind die Anmeldung des Benutzers nach einem Neustart, die Einrichtung neuer Benutzer und das Hinzufügen von Fingerabdrücken. Hierfür muss man immer das Benutzerpasswort eintippen.

Für manche Systemeinstellungen benötigt man das Benutzerpasswort oder den Fingerabdruck, um Änderungen vorzunehmen. Thomas Armbrüster

Man sollte unbedingt ein sicheres Passwort wählen, denn dieses schützt gegen Versuche, den Mac durch Erraten des Benutzerpassworts zu entsperren und damit Zugang zu allen Daten zu bekommen. Eine Variante für gute Passwörter besteht darin, mehrere, logisch nicht zusammengehörige Wörter aneinander zu reihen, getrennt beispielsweise durch Sonderzeichen wie „Europa.Baum,Löwe-Stuhl”. Oder man merkt sich einen längeren Satz und reiht dann die Anfangsbuchstaben der Wörter aneinander und streut noch Zahlen und Sonderzeichen einn. So wird aus „Morgens um 9 Uhr ist die Welt noch nicht ganz in Ordnung“ das Passwort „Mu9U;idWnn!giO“. Auch die Länge des Passworts ist wichtig. Je länger, umso schwerer zu knacken.

Auf Macs mit Apple Silicon oder T2-Chip ist die Passworteingabe sicherheitshalber zudem auf zehn Versuche beschränkt, wobei nur unterschiedliche Passworteingaben zählen. Bei jedem neuen Versuch verlängert sich jeweils der Zeitraum, bis die nächste Eingabe vorgenommen werden kann. Ein zwischenzeitlicher Neustart ändert an der Zählung nichts. Bei Versuch neun ist es schon eine Stunde, und nach Versuch zehn geht es erst im Wiederherstellungsmodus weiter, in dem man nochmals zehn Versuche hat. Zusammen mit einem guten Benutzerpasswort macht das den Mac sehr sicher gegen Datendiebstahl.