Im Jahr 2012 hat Apple erstmal eine grafische Ansicht zur Gefahreneinstufung für die Installation von Anwendungen in den Systemeinstellungen platziert. Unter “Sicherheit” ist seitdem eine Auswahl an Quellen, für die der Nutzer die Installation von Apps erlauben kann.
Diese beinhalten:
- App Store
- App Store und verifizierte Entwickler
Bevor der Namensänderung von OS X zu macOS gab es auch eine Option “Überall”, die Systemeinstellungen zeigen diese aber nicht mehr standardmäßig an.
©Macwelt
Die Einstellungen “Sicherheit” finden Sie in den Systemeinstellungen:
©Macwelt
Um Änderungen vorzunehmen, klicken Sie zuerst auf das Schloss im linken unteren Eck und geben Ihr Passwort ein:
©Macwelt
Unterschiede zwischen den Kategorien
Apple will verhindern, dass sich Schadcode auf Ihrem Mac einnistet. Alle Apps, die im App Store platziert sind, werden hinter den Kulissen von Apple selbst überprüft und haben nur einen eingegrenzten Spielraum im Betriebssystem. Dadurch schließt Apple aus, dass sich Entwickler unbemerkt Zugang zu privaten Dateien beschaffen.
Anwendungen, die nicht im App Store zu finden sind, können trotzdem den Apple-Stempel bekommen. Entwickler müssen nur dem Entwickler-Programm von Apple beitreten, 99 Euro im Jahr zahlen und ihre Daten hinterlegen. Danach kann eine digitale Signatur erstellt werden. Solche Apps werden dann als von einem “verifizierten Entwickler” eingestuft und können je nach Systemeinstellungen direkt geöffnet werden.
Alle Anwendungen, die also nicht im App Store sind (weil Entwickler sich vielleicht nicht an die Beschränkungen von Apple halten wollen oder keinen Einnahmen mit Apple teilen wollen), aber trotzdem offizielle App-Entwickler sind, fallen unter die zweite Einstufung, “App Store und verifizierte Entwickler”.
©Macwelt
Allerdings gibt es dadurch nicht die bereits angesprochene Prüfung von Apple, deshalb zeigt macOS einen Warnhinweis vor dem ersten Öffnen einer solchen Anwendung. Sie müssen sich also bewusst sein, dass die Anwendung, die Sie gerade heruntergeladen haben, möglicherweise Schadcode enthält. Prüfen Sie also zuerst immer, ob die Datei vom Entwickler selbst auf einer offiziellen Webseite heruntergeladen wurde.
©Macwelt
Haben Sie die restriktivere Option gewählt und erlauben Sie nur Anwendungen aus dem App Store, so können Sie keine Anwendungen direkt starten, die nicht aus dem App Store stammen. Ihnen wird ein Warnhinweis angezeigt, dass die Anwendung nicht aus dem App Store stammt und daher nicht geöffnet werden kann.
©Macwelt
Diese Warnung muss Sie aber nicht hindern, das heruntergeladene Programm zu installieren, dafür Sie müssen auch keine globalen Änderungen vornehmen. Die Systemeinstellungen unter “Sicherheit” geben Ihnen die Möglichkeit, eine Ausnahme für diesen Entwickler zu bestätigen.
©Macwelt
Der Reiter “Sicherheit” zeigt die Anwendung an, die Sie zuletzt versuchten zu öffnen, und mit dem Klick auf “Dennoch öffnen” wird eine Ausnahme festgelegt. Diese wird systemweit gespeichert und von jetzt an kann man die Anwendung immer mit einem Doppelklick starten.
Nicht verifizierte Anwendungen
Wenn Sie mit Open-Source-Software arbeiten, und Entwickler sich die 99 Euro im Jahr nicht leisten wollen oder können, so fallen die Anwendungen unter “Nicht verifizierte Entwickler”. In den neusten Versionen von macOS gibt es keine standardmäßige Einstellung mehr, welche die Installation von dieser Sorte Anwendungen erlaubt.
©Macwelt
Nach dem Öffnen einer Anwendung ohne digitale Signatur erscheint ein Warnhinweis, welcher vorschlägt, die Anwendung in den Papierkorb zu legen. Dies ist jedoch nicht das Ende der Fahnenstange. Wie schon bei der letzten Einstellung, können systemweite Ausnahmen erzeugt werden. Gehen Sie hierfür wieder in die Systemeinstellungen unten den Reiter “Sicherheit”, und klicken Sie auf die “Dennoch öffnen…” Schaltfläche. So können einmalig Ausnahmen für Anwendungen erzeugt werden, denen Sie vertrauen.
©Macwelt
Wenn Sie nicht jedes Mal den Umweg über den Reiter “Sicherheit” gehen wollen, so hilft ein Terminal-Befehl die alte “Überall”-Option wieder ins Leben zu rufen. Suchen Sie via Spotlight nach “Terminal”, wählen Sie die Anwendung aus und es erscheint ein schwarzes Fenster nach dem Öffnen. Dort können Sie den Befehl:
sudo spctl --master-disableeingeben und mit Enter bestätigen. Anschließend geben Sie Ihr Passwort ein (die Buchstaben werden nicht angezeigt) und bestätigen wieder mit der Eingabetaste. Jetzt ist können Sie die Systemeinstellungen erneut öffnen, und unter unserem Reiter “Sicherheit” ist jetzt die Option “Überall” verfügbar.
©Macwelt
Dies ist die unsicherste Option, das System lässt Sie aber von jetzt an in Ruhe und zeigt keinerlei Warnhinweise beim Öffnen von Anwendungen mehr an. Um die Option zu deaktivieren, reicht der Befehl:
sudo spctl --master-enableDanach verschwindet die Option wieder. Wir empfehlen dies nur für professionelle Anwender, die mit vielen Anwendungen arbeiten, die nicht verifiziert sind, und genau wissen, woher das installierte Programm stammt.
Empfohlene Einstellungen und Vorgehensweisen
Das dynamische Hinzufügen von Ausnahmen macht es einfach, die Sicherheitseinstellungen so restriktiv wie möglich zu konfigurieren. Wenn Sie im Reiter “Sicherheit” nur “App Store” auswählen, so bekommen alle Anwendungen, die nicht vom App Store installiert wurden, einen Warnhinweis und lassen sich nicht öffnen. Dies umgehen Sie via der “Dennoch öffnen…”-Schaltfläche in den Systemeinstellungen.
Nicht komfortabel, aber sicher. Vor allem, wenn man bedenkt, dass die Installation von Anwendungen nicht viel Zeit in Anspruch nimmt. So ist es denkbar beim Aufsetzen des neuen Macs die Einstellung auf “App Store und verifizierte Entwickler” zu setzen, und nach dem Öffnen und Verwenden der Apps auf die Einstellung “App Store” zu wechseln.
So stellen Sie sicher, dass nicht aus Versehen Anwendungen geöffnet werden, die nicht den striktesten Sicherheitsrichtlinien entsprechen.
Passworteingabe bei der Installation
Neben diesen grundlegenden Beschränkungen kann es sein, dass Anwendungen eine Passworteingabe bei der Installation erfordern. Komplexe Apps greifen oft auf systemweite Einstellungen oder verändern diese, oder operieren in Systemordnern, auf die die normalen Nutzer keinen Zugriff haben.
Ist dies der Fall, muss der Nutzer nachweisen, dass er oder sie die notwendigen Rechte auf dem Mac haben. Einfachere Anwendungen können einfach in Programme-Ordner platziert werden und greifen auf keine anderen Dateien zu. Diese benötigen kein Administrator-Passwort.
Zusammenfassung
Wichtig zu verstehen ist: Egal welche Einstellungen Sie gewählt haben, jede Anwendung kann sich über Umwege in den Systemeinstellungen direkt öffnen. Die restriktive Einstellung “App Store” erlaubt standardmäßig nur das Öffnen von Anwendungen aus dem App Store. Dauerhafte Ausnahmen für Nicht-App-Store-Anwendungen können via “Dennoch öffnen…” hinzugefügt werden.
Die zweit-sicherste Einstellung ist “App Store und verifizierte Entwickler”. Alle Anwendungen, die von Entwicklern mit einer digitalen Signatur von Apple erstellt wurden, können geöffnet werden. Dies ist der Fall für alle Entwickler, die 99 Euro im Jahr zahlen und die Anwendung via Xcode erstellt haben. Die App selbst muss dabei nicht aus dem App Store kommen, und kann von einer Internetseite oder DVD stammen.
Wichtig zu verstehen ist hierbei, dass Apple keine direkte Schadcode-Prüfung vollziehen kann und Sie der Gefahr ausgeliefert sind, dass die App auf Bereiche im System zugreift, die vielleicht zu Ihrem Nachteil sein kann, aber nicht muss.
Die dritte Variante ist “Überall”, die Apple aus den Systemeinstellungen entfernt hat. Mit dem Terminal-Befehl kann diese wieder aktiviert werden. Anschließend sehen Sie keinerlei Warnhinweise mehr und alle Anwendungen können installiert werden. Wenn Sie viel mit Open-Source-Software arbeiten, kann dies von Vorteil sein. Sie müssen aber anschließend selbst prüfen, welchen Entwicklern und Quellen Sie vertrauen.
Autor: Bastian Gruber
Bastian Gruber arbeitet freiberuflich seit Dezember 2010 für die Macwelt.