Das System bietet abgestufte Möglichkeiten, einen Mac und die darauf gespeicherten Daten gegen unbefugten Zugriff zu schützen. Das beginnt beim Deaktivieren der automatischen Anmeldung des Benutzers und endet bei der Verschlüsselung sensitiver Daten. Diese sind dann absolut gegen fremden Zugriff geschützt, selbst wenn der Mac in fremde Hände fallen sollte. Auch gegen Gelegenheitseindringlinge gibt es Abwehrmaßnahmen. So lässt sich der Rechner in den Arbeitspausen per Passwort schützen, und man kann die Passwörter in einem Schlüsselbund ablegen, der nicht automatisch bei der Anmeldung geöffnet wird. Auch das Arbeiten als normaler Benutzer ist in der Regel sinnvoll, wenn andere Zugang zum Rechner haben. Es lässt sich dann weniger Unfug treiben. Außerdem schützt es besser gegen Hackerangriffe über das Internet.
Automatische Anmeldung
1. Anmeldung deaktivieren
Standardmäßig ist das System so eingerichtet, dass der bei der Systeminstallation eingerichtete Administrator beim Rechnerstart angemeldet wird. Jeder, der Zugang zum Rechner hat, hat so auch Zugriff auf die Daten. Um die automatische Anmeldung auszuschalten, öffnet man die Systemeinstellung „Benutzer“, klickt auf das Schloss links unten im Fenster und gibt sein Administratorpasswort ein. Anschließend klickt man auf „Anmeldeoptionen“ und stellt „Deaktiviert“ im Aufklappmenü bei „Automatische Anmeldung“ ein.
2. Anmeldefenster ändern
Als weiteren Schutz markiert man die Option „Name und Kennwort“ anstatt „Liste der Benutzer“. Dann erscheinen im Anmeldedialog nicht mehr die Benutzernamen, sondern man muss den Namen zusätzlich zum Passwort eintippen, was einen besseren Schutz bietet.
3. Automatisch abmelden
Man kann sich auch automatisch vom Rechner abmelden lassen, wenn man ihn für eine bestimmte Zeit nicht benutzt hat. Dazu öffnet man die Systemeinstellung „Sicherheit“, aktiviert dort „Abmelden nach … Minuten Inaktivität“ und stellt den Zeitraum ein, nach dem der momentan aktive Benutzer automatisch abgemeldet wird. Das geschieht auch dann, wenn der Bildschirmschoner aktiv ist, nicht jedoch, falls sich der Rechner im Ruhezustand befindet.
Schutz in Arbeitspausen
1. Passwortschutz einschalten
Damit niemand in einer Arbeitspause auf den Rechner zugreifen kann, markiert man in der Systemeinstellung „Sicherheit“ den Punkt „Kennwortabfrage beim Beenden des Ruhezustands oder des Bildschirmschoners“. Dann lassen sich sowohl der Ruhezustand des Rechners (nicht der Ruhezustand des Monitors!) als auch der Bildschirmschoner nur durch die Eingabe des Benutzerpassworts wieder beenden. Sofern noch nicht geschehen, wird man außerdem dazu aufgefordert, die automatische Anmeldung des Benutzers zu deaktivieren.
2. Bildschirm schützen
Der Bildschirmschoner lässt sich außer über das in der Systemeinstellung „Energie sparen“ eingestellte Zeitintervall manuell über eine aktive Ecke einschalten, die Einstellungen nimmt man in der Systemeinstellung „Exposé & Spaces“ vor. Unter „Exposé“ wählt man oben im Fenster eine Bildschirmecke für die Aktivierung aus. Der Ruhezustand für den Bildschirm bietet keinen Passwortschutz. Um den Rechner manuell in den Ruhezustand zu schicken, nimmt man die Tastenkombination „Befehl-Wahl-Auswurftaste“.
Benutzerrechte einschränken
1. Neuen Administrator einrichten
Um das bei der Systeminstallation eingerichtete Administrator-Konto in ein Standardkonto umzuwandeln, legt man zuerst einen weiteren Administrator an. Dazu öffnet man in der Systemeinstellung „Benutzer“ das Schloss durch Eingabe des Administratorpassworts und klickt dann auf das Plussymbol. Im Aufklappmenü stellt man „Administrator“ ein und vergibt Name, Kurzname und ein Passwort. Per Klick auf „Account erstellen“ wird der Benutzer angelegt.
2. Zu Standard umwandeln
Nun meldet man sich über das Apple-Menü beim System ab und als der soeben eingerichtete Administrator wieder an. Anschließend öffnet man die Systemeinstellung „Benutzer“, schaltet sie mit dem Klick auf das Schloss frei und markiert links den bisherigen Administrator. Rechts muss man nun noch „Der Benutzer darf diesen Computer verwalten“ ausschalten. Anschließend meldet man sich wieder als ursprünglicher Benutzer an und arbeitet ab diesem Zeitpunkt mit einem Standard-Benutzerkonto.
3. Systemeinstellungen schützen
Auch für einen Administrator lässt sich der direkte Zugriff auf Systemeinstellungen ausschalten, die sich per Schloss schützen lassen. Dazu öffnet man die Systemeinstellung „Sicherheit“ und aktiviert „Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung“. Nun beendet man die Systemeinstellungen. Beim nächsten Zugriff muss dann jedes Mal das Administratorpassort eingetippt werden, um Änderungen an einer geschützten Systemeinstellung vorzunehmen.
4. Sicheres Passwort
Im Dialogfenster zum Anlegen eines neuen Benutzers erscheint neben der Eingabezeile für das Passwort ein Schlüsselsymbol. Klickt man es an, öffnet sich das Fenster des Passwortassistenten. Über das Aufklappmenü kann man zwischen mehreren Passwortarten wählen, der Assistent schlägt dann jeweils ein Beispiel vor und zeigt bei „Qualität“ an, wie gut es ist. Man kann auch ein eigenes Passwort eintippen, das Aufklappmenü stellt sich dann auf „Manuell“ um.
5. Benutzerpasswort ändern
Jeder Benutzer kann jederzeit sein Passwort ändern. Dazu markiert er sein Benutzerkonto in der Systemeinstellung „Benutzer“ und klickt auf „Kennwort ändern“. Nun tippt er sein altes und dann zweimal sein neues Passwort ein und klickt auf „Kennwort ändern“. Hat man als Standardbenutzer sein Passwort vergessen, kann ein Administrator über „Kennwort zurücksetzen“ in der Systemeinstellung „Benutzer“ ein neues vergeben, ohne das alte eingeben zu müssen.
Info Standardbenutzer
Der bei der Systeminstallation eingerichtete Benutzer ist ein Administrator. Zwar hat Apple auch für diesen Einschränkungen vorgesehen, so dass er beispielsweise beim Installieren von Programmen sein Passwort eingeben muss, ebenso beim Einrichten weiterer Benutzer. Der Standardbenutzer kann dies mit seinem Passwort dagegen nicht. Außerdem hat er keinen Zugriff auf die Systemeinstellungen, die sich per Schloss sichern lassen. Es ist darum in der Regel sicherer, mit einem Standardkonto zu arbeiten, vor allem dann, wenn der Mac auch anderen zugänglich ist.
Passwörter verwalten
1. Die Schlüsselbundverwaltung
Außer dem Benutzerpasswort benötigt man noch für viele andere Zwecke ein Kennwort. Sei es, um sich per Filesharing an einem anderen Mac anzumelden oder auf ein Airport-Netz zuzugreifen, sei es, um sich auf einer Webseite als Benutzer anzumelden oder seine E-Mails abzurufen. Alle diese Kennwörter speichert das System standardmäßig im Schlüsselbund „Anmeldung“, der selbst wiederum durch das Benutzerpasswort geschützt ist. Das Dienstprogramm Schlüsselbundverwaltung ist für die Verwaltung der Passwörter zuständig.
2. Schlüsselbundeinstellungen
Damit man auf seine gespeicherten Passwörter zugreifen kann, wird der Schlüsselbund „Anmeldung“ automatisch beim Anmelden geöffnet und bleibt bis zum Abmelden offen. Das ist zwar bequem, hat jedoch den Nachteil, dass alle Passwörter jedem zur Verfügung stehen, der Zugriff auf den Rechner hat. In der Schlüsselbundverwaltung kann man über „Bearbeiten > Einstellungen für Schlüsselbund ‚Anmeldung‘ ändern“ festlegen, dass der Schlüsselbund nach einer bestimmten Zeit und beim Aufrufen des Ruhezustands geschlossen wird. Dann muss man ihn mit seinem Benutzerpasswort öffnen, wenn darauf zugegriffen werden soll.
3. Anderer Schlüsselbund
Anstatt die Passwörter im Schlüsselbund „Anmeldung“ zu sichern, kann man einen weiteren Schlüsselbund anlegen. Dazu ruft man in der Schlüsselbundverwaltung „Ablage > Neuer Schlüsselbund“ auf, vergibt einen Namen und im nächsten Fenster das Passwort. Nun markiert man den Schlüsselbund und ruft „Ablage > Schlüsselbund [Name] als Standard sichern“ auf. Dann werden die Passwörter zukünftig in diesem Schlüsselbund abgelegt. Man schützt ihn wie in Schritt 2 angegeben und speichert im Schlüsselbund „Anmeldung“ nur noch solche Passwörter, die man ständig benötigt, beispielsweise zum Abfragen der E-Mails.
4. Sichere Notizen
In einem Schlüsselbund lassen sich mit den sicheren Notizen beliebige Informationen sicher ablegen. Sinnvoll ist, hierfür, wie in Schritt 3 beschrieben, ebenfalls einen eigenen Schlüsselbund anzulegen, den man aber nicht als Standard sichert. Anschließend markiert man den Schlüsselbund links in der Liste und legt über „Ablage > Neue sichere Notiz“ die Notizen an. Danach sichert man den Schlüsselbund und öffnet ihn nur dann, wenn man eine Information nachschlagen möchte. Im Anschluss daran sperrt man ihn wieder per Klick auf das Schloss oben im Fenster.
5. Passwort nachschlagen
Um ein Kennwort oder eine sichere Notiz nachzuschlagen, muss man standardmäßig nochmals das Passwort des Schlüsselbunds eingeben. Dazu öffnet man das Passwortfenster per Doppelklick auf das Passwort und markiert „Kennwort einblenden“. Es öffnet sich ein Dialogfenster zur Eingabe des Schlüsselbundpassworts. Anschließend klickt man entweder auf „Erlauben“ oder „Immer erlauben“. Markiert man Letzteres, unterbleibt zukünftig die Nachfrage beim Anzeigen des Kennworts.
6. Passwort ändern
Das Passwort eines Schlüsselbunds lässt sich über „Bearbeiten > Kennwort für Schlüsselbund [Name] ändern“ jederzeit neu vergeben. Dann gibt man zuerst das alte und anschließend zweimal ein neues Passwort ein und klickt auf „OK“. Ändert man das Anmeldepasswort für das eigene Benutzerkonto, wird automatisch auch das Passwort für den Schlüsselbund „Anmeldung“ geändert. Ändert dagegen ein Administrator das Anmeldepasswort eines anderen Benutzers, ist das Schlüsselbundpasswort davon nicht betroffen.
Info Passwörter verschieben
Hat man mehrere Schlüsselbunde angelegt, lassen sich die Passwörter zwischen diesen verschieben. Dazu markiert man einen Eintrag rechts im Fenster und zieht ihn auf einen anderen Schlüsselbund links in der Liste. Die Schlüsselbundverwaltung fordert dann noch jeweils die Passwörter der Schlüsselbunde an.
Verschlüsseltes Image
1. Image-Datei erstellen
Mit Bordmitteln des Systems lassen sich Dateien oder Ordner nur dann individuell per Kennwort verschlüsseln, wenn man sie in einer verschlüsselten Image-Datei speichert. Zum Öffnen der Image-Datei muss dann das Passwort eingegeben werden, bevor sie als virtuelles Laufwerk aktiviert wird und man auf die Daten zugreifen kann. Um ein neues Image anzulegen, öffnet man das Festplatten-Dienstprogramm und klickt in der Symbolleiste auf „Neues Image“.
2. Formateinstellungen
Im Eingabefeld „Sichern unter“ trägt man den Namen für die Image-Datei ein und in das Feld „Volumename“ den Namen, mit dem das virtuelle Laufwerk im Finder erscheint. Im Aufklappmenü „Volumegröße“ wählt man die Größe für die Datei und bei Format in der Regel „Mac OS Extended (Journaled)“, genauso wie bei einer Festplatte. Das MS-DOS-Dateisystem wählt man, falls Windows-Daten gesichert werden. Die anderen Mac-Formate braucht man nur in Ausnahmefällen.
3. Verschlüsselung aktivieren
Damit die Daten im Image verschlüsselt sind, wählt man eine der beiden Optionen bei „Verschlüsselung“ aus. Im Normalfall reicht die Verschlüsselung mit 128 Bit aus. Bei „Partitionen“ stellt man „Einfache Partition – Apple-Partitionstabelle“ ein. Andere Optionen benötigt man nur, wenn das Image startfähig sein soll oder auf ein optisches Medium gebrannt wird. Als letzte Einstellung wählt man „Mitwachsendes Bundle-Image“ (siehe Kasten auf Seite 77) bei „Image-Format“ und klickt auf „Erstellen“, um das Image anzulegen. Dann wird man noch zur Eingabe des Passworts aufgefordert, das man sicherheitshalber nicht im Schlüsselbund ablegt.
4. Image Aktivieren
Um Daten im Image zu speichern, öffnet man es per Doppelklick und gibt das Passwort ein. Das Image erscheint dann als Laufwerk im Finder, und man kopiert die zu verschlüsselnden Dateien und Ordner dorthin. Zum Schluss muss man das virtuelle Laufwerk auswerfen, damit die Daten verschlüsselt werden. Ein aktives virtuelles Laufwerk ist nicht geschützt.
Info Bundle-Image
Damit sich große Image-Dateien besser mit Time Machine vertragen, gibt es das Format „Mitwachsendes Bundle-Image“, erkenntlich an der Namenserweiterung „.sparsebundle“. Bei diesem ist die Image-Datei intern in mehrere Einzeldateien unterteilt, die nach und nach belegt werden. Time Machine sichert dann bei Veränderungen nicht immer das gesamte Image, sondern nur die geänderten und neu hinzugekommenen Abschnitte. Mitwachsende Image-Dateien sind immer nur so groß wie die aktuell dort abgelegten Dateien und werden maximal so großwie die eingestellte Volume-Größe, egal, ob es sich um ein normales oder um ein Bundle-Image handelt.
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.