Mac-OS X 10.5 bietet abgestufte Möglichkeiten, einen Mac und die darauf gespeicherten Daten gegen unbefugten Zugriff zu schützen. Das beginnt beim Deaktivieren der automatischen Anmeldung des Benutzers und endet bei der Verschlüsselung sensitiver Daten. Diese sind dann absolut vor unbefugtem Zugriff geschützt, selbst wenn der Mac in fremde Hände fallen sollte. Auch gegen Gelegenheitseindringlinge gibt es Abwehrmaßnahmen. So lässt sich der Rechner in den Arbeitspausen automatisch per Passwort schützen, und man kann die Passwörter in einem Schlüsselbund ablegen, der nicht automatisch bei der Anmeldung geöffnet wird. Auch das Arbeiten als normaler Benutzer ist in der Regel sinnvoll, wenn andere Zugang zum Rechner haben. Es lässt sich dann weniger Unfug treiben. Außerdem schützt es besser gegen Hackerangriffe aus dem Internet.
Anmeldung nur mit Passwort
Standardmäßig ist das System so eingerichtet, dass der bei der Systeminstallation eingerichtete Administrator beim Rechnerstart angemeldet wird. Jeder, der Zugang zum Rechner hat, hat so auch Zugriff auf die Daten. Um die automatische Anmeldung auszuschalten, öffnet man die Systemeinstellung “Sicherheit”, klickt auf das Schloss links unten im Fenster und gibt sein Administrator-Passwort ein. Anschließend klickt man auf “Anmeldeoptionen” und stellt “Deaktiviert” im Aufklappmenü bei “Automatische Anmeldung” ein. Von nun an muss man bei jedem Rechnerstart sein Passwort eingeben, wer dieses nicht kennt, kann den Mac nicht starten.
Als weiteren Schutz markiert man die Option “Name und Kennwort” anstatt “Liste der Benutzer”. Dann erscheinen im Anmeldedialog nicht mehr die Benutzernamen, sondern man muss den Namen zusätzlich zum Passwort eintippen, was einen zusätzlichen Schutz bietet.
Man kann sich auch automatisch vom Rechner abmelden lassen, wenn man ihn für eine bestimmte Zeit nicht benutzt hat. Dazu öffnet man die Systemeinstellung “Sicherheit”, aktiviert dort “Abmelden nach … Minuten Inaktivität” und stellt den Zeitraum ein, nach dem der momentan aktive Benutzer automatisch abgemeldet wird. Das geschieht auch dann, wenn der Bildschirmschoner aktiv ist, nicht jedoch, falls sich der Rechner im Ruhezustand befindet.
Schutz in Arbeitspausen
Damit niemand in einer Arbeitspause auf den Rechner zugreifen kann, markiert man in der Systemeinstellung “Sicherheit” den Punkt “Kennwortabfrage beim Beenden des Ruhezustands oder des Bildschirmschoners”. Dann lassen sich sowohl der Ruhezustand des Rechners (nicht der Ruhezustand des Monitors!) als auch der Bildschirmschoner nur durch die Eingabe des Benutzerpassworts wieder beenden. Sofern noch nicht geschehen, wird man außerdem dazu aufgefordert, die automatische Anmeldung des Benutzers zu deaktivieren.
Der Bildschirmschoner lässt sich außer über das in der Systemeinstellung “Energie sparen” eingestellte Zeitintervall manuell über eine aktive Ecke einschalten, die Einstellungen nimmt man in der Systemeinstellung “Exposé & Spaces” vor. Unter “Exposé” wählt man oben im Fenster eine Bildschirmecke für die Aktivierung aus. Der Ruhezustand für den Bildschirm bietet keinen Passwortschutz. Um den Rechner manuell in den Ruhezustand zu schicken, nimmt man die Tastenkombination “Befehl-Wahl-Auswurftaste”.
Benutzerrechte einschränken
Für den normalen Alltag am Mac ist es sinnvoll, sich als benutzer und nicht aös Administrator anzumelden. Sowohl man selbst als auch andere können so sehr viel weniger Schaden am mac anrichten (beispielsweise wichtige Daten löschen und ähnliches). Um das bei der Systeminstallation eingerichtete Administrator-Konto in ein Standard-Konto umzuwandeln, legt man zuerst einen weiteren Administrator an. Dazu öffnet man in der Systemeinstellung “Benutzer” das Schloss durch Eingabe des Administrator-Passworts und klickt dann auf das Plussymbol. Im Aufklappmenü stellt man “Administrator” ein und vergibt Name, Kurzname und ein Passwort. Per Klick auf “Account erstellen” wird der Benutzer angelegt.
Nun meldet man sich über das Apple-Menü beim System ab und als der soeben eingerichtete Administrator wieder an. Anschließend öffnet man die Systemeinstellung “Benutzer”, schaltet sie mit dem Klick auf das Schloss frei und markiert links den bisherigen Administrator. Rechts muss man nun noch “Der Benutzer darf diesen Computer verwalten” ausschalten. Anschließend meldet man sich wieder als ursprünglicher Benutzer an und arbeitet ab diesem Zeitpunkt mit einem Standard-Benutzerkonto.
Jeder Benutzer kann jederzeit sein Passwort ändern. Dazu markiert er sein Benutzerkonto in der Systemeinstellung “Benutzer” und klickt auf “Kennwort ändern”. Nun tippt er sein altes und dann zwei Mal sein neues Passwort ein und klickt auf “Kennwort ändern”. Hat man als Standardbenutzer sein Passwort vergessen, kann ein Administrator über “Kennwort zurücksetzen” in der Systemeinstellung “Benutzer” ein neues vergeben, ohne das alte eingeben zu müssen.
Passwörter verwalten
Außer dem Benutzerpasswort benötigt man noch für viele andere Zwecke ein Kennwort. Sei es, um sich per Filesharing an einem anderen Mac anzumelden oder auf ein Airport-Netz zuzugreifen, sei es, um sich auf einer Webseite als Benutzer anzumelden oder seine E-Mails abzurufen. All diese Kennwörter speichert das System standardmäßig im Schlüsselbund “Anmeldung”, das selbst wiederum durch das Benutzerpasswort geschützt ist. Das Dienstprogramm Schlüsselbundverwaltung ist für die Verwaltung der Passwörter zuständig.
Damit man auf seine gespeicherten Passwörter zugreifen kann, wird der Schlüsselbund “Anmeldung” automatisch beim Anmelden geöffnet und bleibt bis zum Abmelden offen. Das ist zwar bequem, hat jedoch den Nachteil, dass alle Passwörter jedem zur Verfügung stehen, der Zugriff auf den Rechner hat. In der Schlüsselbundverwaltung kann man über “Bearbeiten > Einstellungen für Schlüsselbund ‚Anmeldung’ ändern” festlegen, dass der Schlüsselbund nach einer bestimmten Zeit und beim Aufrufen des Ruhezustands geschlossen wird. Dann muss man ihn mit seinem Benutzerpasswort öffnen, wenn darauf zugegriffen werden soll.
Mehrere Schlüsselbunde verwenden
Anstatt die Passwörter im Schlüsselbund “Anmeldung” zu sichern, kann man einen weiteren Schlüsselbund anlegen. Dazu ruft man in der Schlüsselbundverwaltung “Ablage > Neuer Schlüsselbund” auf, vergibt einen Namen und im nächsten Fenster das Passwort. Nun markiert man den Schlüsselbund und ruft “Ablage > Schlüsselbund [Name] als Standard sichern” auf. Dann werden die Passwörter zukünftig in diesem Schlüsselbund abgelegt. Man schützt ihn wie in Schritt 2 angegeben und speichert im Schlüsselbund “Anmeldung” nur noch solche Passwörter, die man ständig benötigt, beispielsweise zum Abfragen der E-Mails.
In einem Schlüsselbund lassen sich mit den sicheren Notizen beliebige Informationen sicher ablegen. Sinnvoll ist, hierfür ebenfalls einen eigenen Schlüsselbund anzulegen, den man aber nicht als Standard sichert. Anschließend markiert man den Schlüsselbund links in der Liste und legt über “Ablage > Neue sichere Notiz” die Notizen an. Danach sichert man den Schlüsselbund und öffnet ihn nur dann, wenn man eine Information nachschlagen möchte. Danach sperrt man ihn wieder per Klick auf das Schloss oben im Fenster.
Um ein Kennwort oder eine sichere Notiz nachzuschlagen, muss man standardmäßig nochmals das Passwort des Schlüsselbunds eingeben. Dazu öffnet man das Passwortfenster per Doppelklick auf das Passwort und markiert “Kennwort einblenden”. Es öffnet sich ein Dialogfenster zur Eingabe des Schlüsselbund-Passworts. Anschließend klickt man entweder auf “Erlauben” oder “Immer erlauben”. Markiert man Letzteres, unterbleibt zukünftig die Nachfrage beim Anzeigen des Kennworts.
Arbeiten mit verschlüsselten Images
Mit Bordmitteln des Systems lassen sich Dateien oder Ordner nur dann individuell per Kennwort verschlüsseln, wenn man sie in einer verschlüsselten Image-Datei speichert. Zum Öffnen der Image-Datei muss dann das Passwort eingegeben werden, bevor sie als virtuelles Laufwerk aktiviert wird und man auf die Daten zugreifen kann. Um ein neues Image anzulegen, öffnet man das Festplatten-Dienstprogramm und klickt in der Symbolleiste auf “Neues Image”.
Im Eingabefeld “Sichern unter” trägt man den Namen für die Image-Datei ein und in das Feld “Volumename” den Namen, mit dem das virtuelle Laufwerk im Finder erscheint. Im Aufklappmenü “Volumegröße” wählt man die Größe für die Datei und bei “Format” in der Regel “Mac OS Extended (Journaled)”, genauso wie bei einer Festplatte. Das MS-DOS-Dateisystem wählt man, falls Windows-Daten gesichert werden. Die anderen Mac-Formate braucht man nur in Ausnahmefällen.
Damit die Daten im Image verschlüsselt sind, wählt man eine der beiden Optionen bei “Verschlüsselung” aus. Im Normalfall reicht die Verschlüsselung mit 128 Bit aus. Bei “Partitionen” stellt man “Einfache Partition – Apple-Partionstabelle” ein. Andere Optionen benötigt man nur, wenn das Image startfähig sein soll oder auf ein optisches Medium gebrannt wird. Als letzte Einstellung wählt man “Mitwachsendes Bundle-Image” (siehe Kasten) bei “Image-Format” und klickt auf “Erstellen”, um das Image anzulegen. Dann wird man noch zur Eingabe des Passworts aufgefordert, das man sicherheitshalber nicht im Schlüsselbund ablegt.
Um Daten im Image zu speichern, öffnet man es per Doppelklick und gibt das Passwort ein. Das Image erscheint dann als Laufwerk im Finder und man kopiert die zu verschlüsselnden Dateien und Ordner dorthin. Zum Schluss muss man das virtuelle Laufwerk auswerfen, damit die Daten verschlüsselt werden. Ein aktives virtuelles Laufwerk ist nicht geschützt.
Verschlüsselung mit File Vault
Mit File Vault bietet Mac-OS X eine Verschlüsselungsfunktion für den gesamten Privatordner. Dabei wird dieser in eine verschlüsselte Image-Datei umgewandelt, und zwar im Format “Mitwachsendes Bundle-Image”. Darum sind die Daten nur dann verschlüsselt, wenn man nicht am Rechner angemeldet ist. Aus Platzgründen ist es empfehlenswert, die iPhoto-Bibliothek und die iTunes-Mediathek auszulagern, damit diese nicht ebenfalls verschlüsselt werden müssen. Um File Vault zu aktivieren, öffnet man die Systemeinstellung “Sicherheit” und dort die Abteilung “FileVault”. Zuerst muss man nach einem Klick auf “Hauptkennwort festlegen” ein Passwort einrichten. Es dient dazu, das verschlüsselte Image auch dann öffnen zu können, wenn ein Benutzer sein Passwort vergessen hat. Dieses wird jeweils für die Verschlüsselung verwendet. Ohne eines dieser beiden Passworte kommt man an die Daten nie wieder heran.
Nun klickt man auf “FileVault aktivieren” und gibt sein Benutzerpasswort ein. Im nächsten Fenster lassen sich das sichere Löschen und der sichere virtuelle Speicher aktivieren. Dann werden die Daten beim Ausleeren des Papierkorbs immer überschrieben und der virtuelle Speicher auf der Festplatte verschlüsselt. Mit nochmaligem Klick auf “FileVault aktivieren” legt das System das Disk Image an, wozu alle Programme geschlossen und der Benutzer am System abgemeldet wird. Auf der Festplatte muss mindestens so viel freier Speicherplatz verfügbar sein, wie der Benutzerordner belegt.
Dass File Vault aktiviert ist, erkennt man an dem geänderten Haussymbol für den eigenen Privatordner. Aus Sicherheitsgründen wird die automatische Anmeldung ausgeschaltet und lässt sich für den Benutzeraccount, der mit File Vault gesichert ist, auch nicht wieder einschalten. Meldet man sich mit seinem Passwort an, öffnet das System automatisch die Image-Datei, sodass man genauso arbeitet wie bisher.
Schaltet man File Vault in der Systemeinstellung “Sicherheit” mit “FileVault deaktivieren” wieder aus, so kopiert das System die Daten aus der Image-Datei wieder in einen normalen Benutzerordner und löscht dann das Image. Dazu werden ebenfalls alle Programme beendet und der Benutzer abgemeldet. Auf der Festplatte muss mindestens so viel freier Speicherplatz verfügbar sein, wie der Benutzerordner belegt.
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.