Die Verschlüsselung von Daten stellte schon immer einen Teil des Sicherheitsmodells bei OS X dar – neben den Einstellungen für Benutzer und Rechte. Mit dem NSA-Skandal rückt sie endlich in den Fokus der Benutzer. Genauso wichtig wie die Benutzerverwaltung ist die Sicherung des Zugriffs über Netzwerk und Internet. Mavericks erlaubt es auch in der Client-Version, Serverdienste wie Datei- und Bildschirmfreigabe zu betreiben. In Zusammenarbeit mit den Benutzerrechten lässt sich der Zugriff aus der Ferne beschränken, die Sicherheit erhöhen. Wenn Schadprogramme im letzten Jahr auftraten, betraf das meist vom Benutzer nachgeladene Software und Module wie Java und Flash. Schon seit OS X 10.8 sucht das System täglich nach Sicherheitsupdates und installiert sie.
Einige Sicherheits-Features sind iOS entliehen. Dank Sandboxing (seit OS X 10.7) „wildern“ Programme nicht im Speicherbereich anderer Apps. Apples im Lieferumfang enthaltene Programme arbeiten inzwischen sandboxed. Programme, die auf die Kontakte des Benutzers zugreifen, benötigen Ihr Einverständnis. Mit Gatekeeper kann der Nutzer sicherstellen, dass nur „sichere“ Software auf dem Mac installiert wird. Kernel-ASLR (Address Space Layout Randomization) schützt das System. Mit OS X 10.8 Mountain Lion hatte Apple die Zertifizierung für FIPS 140-2 beantragt, ein US-Sicherheitsstandard zur Verschlüsselung. Dem Antrag wurde Ende Juni 2013 stattgegeben, rechtzeitig zu Mavericks. Parallel wurde übrigens auch iOS 6 zertifiziert.
Lokaler Schutz
1. Bessere Anmeldeoptionen:Namen und Passwort für Anmeldung verlangen
Haben Unbefugte Zugang zum Mac, sollten Sie in den Anmeldeoptionen der Benutzereinstellungen die automatische Anmeldung abschalten. Auch die Benutzerliste und die Merkhilfe erleichtern Fremden den Zugang. Auf Macs mit kritischem Inhalt sollte man auch auf schnellen Benutzerwechsel und den Gastzugang verzichten. Beide lassen sich für Einbruchsversuche nutzen. Schalten Sie, wie im Bild gezeigt, zur Sicherheit alle Optionen aus, so lässt sich dann ein Mac im Anmeldefenster auch nicht neu starten, ausschalten oder in den Ruhezustand versetzen.
2. Allgemeine Einstellungen: Kennwort für Bildschirmschoner und Ruhezustand aktivieren
Zu den allgemeinen Sicherheitseinstellungen gehört die Kennwortabfrage beim Beenden des Ruhezustands oder des Bildschirmschoners. Das verhindert den Zugriff Neugieriger, wenn Sie gerade nicht am Rechner sitzen. Hier können Sie wichtige Systemeinstellungen per Passwort vor Änderungen schützen und sich nach einer einstellbaren Zeit automatisch abmelden lassen. Damit etwa verwendete Fernbedienungen nicht den Schutz des Macs aushebeln, lässt sich der Empfänger des Rechners einfach deaktivieren, die Gefahr so bannen.
Firewall für Netz und Mac
1. Schutz des Netzwerks: DSL-Router mit Firewall
Angriffe von außen auf den Mac können aus dem lokalen Netzwerk erfolgen oder via Internet-Verbindung. Zwar schützt die lokale Firewall des Macs gegen beide Angriffe, hier gibt es aber eine bessere Option. Fast alle Internet-Provider bieten ihren Kunden bei Vertragsabschluss einen DSL-Router. Der beinhaltet oft eine Firewall-Lösung, einen DHCP-Server und sogar einen WLAN-Hotspot. Verschiedene Elemente der Firewall schützen dann automatisch alle Benutzer des lokalen Netzwerks vor Angriffen von außen. Bei guten Routern ist die Schutzfunktion automatisch aktiv.
2. Schutz des Macs: Integrierte Firewall-Software
Wer seinen Mac über ein DSL-Modem direkt mit dem Internet verbindet oder auch gegen Angriffe aus dem lokalen Netzwerk gewappnet sein muss, nutzt die Firewall von Mavericks. Leider ist sie auch unter OS X 10.9 nicht automatisch eingeschaltet, Sicherheitsexperten kritisieren Apple dafür seit Langem. Um den Status abzufragen, öffnen Sie in den Systemeinstellungen das Kontrollfeld „Sicherheit“. Dort klicken Sie auf „Firewall“. Hier lässt sich nach Eingabe des Administratorpassworts die Firewall aktivieren und deaktivieren.
3. Firewall aktivieren: Basisschutzfunktion einschalten
Nach dem Einschalten ist die lokale Firewall unter Mavericks sofort aktiviert und nimmt ihre Arbeit auf. Alle Anwendungen, die die Firewall für nicht autorisiert hält, hindert sie daran, eingehende Datenverbindungen aufzunehmen, notwendige Dienste lässt sie durch. Da Apple auch unter OS X 10.9 großzügige Vorstellungen davon hat, was „notwendig“ ist, sollte bei Vorhandensein eines Routers dessen Firewall genutzt werden. Die Firewall am Mac ist nach wie vor nicht „komplett dicht“.
4. Freigegebene Dienste: Automatisch erlaubte Verbindungen anzeigen
Mit einem Klick auf „Weitere Optionen“ gelangen Sie zum Fenster mit den von Mountain Lion automatisch freigegebenen Diensten. Haben Sie zum Beispiel in der Systemeinstellung „Freigaben“ die Serverdienste „Bildschirmfreigabe“, „Dateifreigabe“ und andere aktiviert, öffnet die Firewall automatisch die für die Kommunikation mit Ihrem Mac benötigten Ports für jeden der Dienste. Generell kann man sagen, dass zusätzliche Serverdienste und damit Öffnungen in der Firewall Risiken erhöhen.
Firewall-Finetuning
1. Manuelle Konfiguration: Ausgewählte Programme manuell freigeben
Über das kleine Pluszeichen können Sie die Firewall für bestimmte Dienste und Programme öffnen. Um die gemeinsame Nutzung Ihrer iTunes-Bibliothek durch andere Benutzer zu erlauben, müssen Sie nichts tun, das übernimmt Mavericks automatisch. Spieleserver etwa, die Datenkommunikation mit Ihren Mitspielern aufzeichnen und regeln, müssen Sie manuell hinzufügen.
2. Die Firewall schützen: Tarnmodus gegen Datenspione einschalten
Computer, die im Netzwerk aktiv sind, antworten normalerweise auf Anfragen von außen. Mit dem Tool „Ping“ etwa sendet ein Administrator ein Minidatenpaket an seinen entfernten Mac. Der antwortet, und der Admin weiß, dass der Rechner arbeitet. Auf diesem Weg finden allerdings auch finstere Zeitgenossen heraus, ob ein Zielrechner verfügbar ist – aktivieren Sie „Tarnmodus“.
Filevault 2
1. Filevault erstmals nutzen: Automatische Verschlüsselung der Festplatte
Mit Filevault lassen sich die gesamte Festplatte des Macs sowie externe Festplatten verschlüsseln. Bis OS X 10.6 ließen sich nur die einzelnen Home-Verzeichnisse der Benutzer kodieren. Verschlüsselung und Entschlüsselung erfolgen – ist Filevault aktiviert – ohne weiteres Zutun des Benutzers. Klicken Sie auf „Filevault aktivieren“, um den Schutz einzuschalten. Sind mehrere Benutzer angelegt, ist jeweils das Kennwort einzugeben.
2. Wiederherstellungsschlüssel: Letzte Hilfe bei vergessenem Passwort
Die automatische Entschlüsselung und damit Freigabe der Daten für die Arbeit erfolgt bei eingeschaltetem Filevault nur, wenn der Benutzer sein Kennwort eingegeben hat. Hat er das vergessen, ist die Option über den „Wiederherstellungsschlüssel“ die letzte Möglichkeit, um an die Daten zu kommen. Mithilfe des Schlüssels lässt sich das Volume dann im Notfall lesbar machen. Ist auch der Schlüssel weg, sind alle Daten endgültig verloren.
3. Schlüssellager: Schlüssel speichern in Zeiten der Snowden-Enthüllungen
Den Wiederherstellungsschlüssel müssen Sie abschreiben und sicher aufbewahren, nach dem Motto „Schlüssel weg – Daten weg“. Die Aufbewahrung kann optional auch Apple übernehmen, gesichert durch drei Fragen mit passenden Antworten. Nach den Enthüllungen um die NSA-Schnüffelei und Kooperation von US-Unternehmen nehmen davon viele Anwender Abstand. Suchen Sie dann einen sicheren Platz „in Ihren Akten“ für den Schlüssel.
4. Verschlüsseltes Image: Sicheres Archiv für vertrauliche Daten anlegen
Oft reicht es, nur sensible Daten zu verschlüsseln. In dem Fall sind Sie mit einer verschlüsselten Image-Datei besser beraten. Öffnen Sie das Festplattendienstprogramm, und legen Sie mit „Ablage > Neu > Leeres Image“ ein virtuelles Volume an. Wählen Sie eine passende Größe. Tipp: Ein mitwachsendes Image belegt erst Speicherplatz, wenn Dateien hinzugefügt werden. Wer auf das Volume zugreifen will, muss zum Mounten das Passwort eingeben.