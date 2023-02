Der Safer Internet Day ist immer am zweiten Tag der zweiten Woche des zweiten Monats. Also in diesem Jahr am Dienstag, den 7. Februar. Hauptsächlich dreht er sich darum, das Internet für Kinder und Jugendliche zu einem sichereren Ort zu machen, Apple setzt hier seine Schwerpunkte. Die gemeinnützige Organisation Klicksafe stellt den Tag in diesem Jahr unter das Motto #OnlineAmLimit und fordert mehr Digital Detox. Anlässlich des Aktionstages hier unsere besten Tipps für sicheres Surfen mit dem Mac.

Hier unsere besten Tipps für den Mac, mit denen auch für Sie das Internet zu einem besseren Ort wird:



1. Firewall einschalten

Die erste und wichtigste Maßnahme für mehr Sicherheit sollte sein, die in das Mac-Betriebssystem integrierte Firewall zu aktivieren – vor allem, wenn Sie ein Macbook besitzen. Vor allem in fremden WLAN-Netzen ist sie sinnvoll, zur Sicherheit sollte man sie deshalb nicht erst unterwegs einschalten müssen. Die Firewall verhindert ungewollte eingehende Netzwerkverbindungen, aber nur, wenn sie eingeschaltet ist. Das ist am Mac in der Regel nicht der Fall – warum auch immer. Die Firewall ist aber schnell in Gang gebracht, öffnen Sie die Systemeinstellungen von macOS Ventura und klicken Sie auf das Modul “Netzwerk” und dort auf den Reiter “Firewall”. (Vor macOS 13 Ventura fanden Sie die Firewall unter “Sicherheit” in den Einstellungen) Sie benötigen noch eine Passworteingabe, um die Einstellung zu ändern. In den Optionen haben Sie nun noch die Möglichkeit, das Verhalten einzelner Apps festzulegen und vor allem, den Tarnmodus zu aktivieren. Dieser macht Ihr Macbook in öffentlichen Netzen wie im Café praktisch unsichtbar.

Für noch mehr Sicherheit muss man auch den ausgehenden Netzwerkverkehr blockieren, das bietet sich etwa dann an, wenn Sie fürchten, sich bereits eine Malware eingefangen zu haben. Diese kann dann nicht mehr “nach Hause telefonieren” und etwa vertrauliche Daten an die Angreifer übermitteln. Leider stellt der Mac dafür kein Bordmittel zur Verfügung – zahlreiche mitgelieferte Programme müssen sich ja mit Apples Servern verständigen, um optimal zu funktionieren. Aber Software von Drittherstellern wie Little Snitch oder Hands Off erledigt die Ausgangskontrolle – und lässt dabei legitime Software durchaus nach draußen kommunizieren.

2. Bei den Freigaben genau hinschauen

Kümmern wir uns gleich um eine zweite Systemeinstellung, die Freigaben. Insbesondere in einer Büro- oder Home-Office-Umgebung will man ja auch, dass Macs Daten miteinander austauschen oder sich gegenseitig Dienste zur Verfügung stellen. Das regeln alles die Freigaben in der Systemeinstellung, die seit Ventura “Allgemein > Teilen” heißt und vorher eben “Freigaben”.

Erstellt man eine Freigabe – das kann bis zum Zugriff auf den eigenen Bildschirm gehen – ist es so, als würde man ein Fenster oder eine Tür in den Mac einbauen. Zwar muss man erst einmal die Vorhänge beiseiteschieben, die Tür öffnen oder einen Schlüssel überreichen, damit Zutrittsberechtigte das auch wirklich nutzen können. Aber eine Tür ist nun einmal eine Tür, die man stets geschlossen halten sollte, wenn man sie nicht braucht. Vielleicht steht sie ja halb offen, weil das Schloss nicht sicher ist, oder das gekippte Fenster lässt sich leicht aushebeln. Einfach gesagt: Schalten Sie alle Freigaben aus, die Sie nicht benötigen.

Öffnen Sie dazu die Systemeinstellung “Teilen” (oder “Freigaben”) und entfernen Sie im Zweifelsfall alle Haken. Aber Achtung, so manche Einstellung haben Sie oder Ihr Systemadministrator im Firmennetz womöglich mit Absicht gesetzt – in diesem Zweifelsfall besser noch einmal überlegen oder nachfragen. Die Freigaben ermöglichen Folgendes:

Bildschirmfreigabe: Die werden Administratoren gebrauchen, um aus der Ferne etwaige Probleme zu diagnostizieren und zu reparieren oder Updates einzuspielen. Das geht via VPN auch von Linux- oder Windows-Rechnern. Bevor der Admin aber Zugriff auf Ihre Maschine bekommt, muss er erst eine Genehmigung einholen, die Sie per Klick bestätigen oder ablehnen. Kein Administrator, kein Firmennetz oder irgendwo draußen unterwegs? Bildschirmfreigabe abschalten!

Dateifreigabe: Darüber können andere Computer auf die Dateien Ihres Mac zugreifen. Konkret aktiviert die Dateifreigabe die Protokolle SMB, AFP und NFS. Benötigen weder Sie noch andere aus dem lokalen Netz oder über die iCloud Zugriff auf den Computer: Ausschalten!

Medien teilen: Will man seinen Mac als zentralen Speicher für Musk, Filme, Fotos und mehr betrieben und eventuell seine Median auch Dritten zur Verfügung stellen, ist diese Freigabe geeignet. In Zeiten von Apple Music und Apple TV+ wird diese Funktion aber selten gebraucht – dann also ausschalten.



Druckerfreigabe: In einem lokalen Netz mit mehreren Macs reicht ein Drucker völlig aus. Dann und nur dann muss die Druckerfreigabe an dem Mac aktiviert sein, an dem der Drucker hängt. So wird ein einfacher USB-Drucker quasi zum Netzwerkdrucker und alle können darüber drucken, solange der Rechner läuft. An allen anderen Macs kann man die Druckerfreigabe getrost ausgeschaltet lassen. Sie können freilich Ihren USB-Drucker auch einen Router wie die Time Capsule anschließen, aber das ist ein anderes Thema .

Entfernte Anmeldung: Das ist eher etwas für Techies, die sich aus der Ferne via SSH/SFTP an ihrem Mac anmelden, um dort Arbeiten via Kommandozeile zu erledigen. Trifft die Beschreibung nicht auf Sie zu: Ausschalten.

Entfernte Verwaltung: Nur, wenn in Ihrem Firmennetz ein Administrator Zugriff für Wartungsarbeiten benötigt einschalten, sonst immer ausgeschaltet lassen.

Entfernte Apple-Events: Sind keineswegs die Veranstaltungen Apples im von uns aus so fernen San Francisco, sondern ein Relikt aus alten Zeiten. Über die Apple-Events und Apple Script kann man andere Rechner dazu bringen, bestimmte Dinge zu erledigen. Das beschränkt sich nicht auf vernünftige Jobs wie Drucken, man kann aus der Ferne mit Hilfe der Sprachsynthese den Rechner auch zum Plappern bringen. Wenn Sie erfahrene Prankster in Ihrer Nähe vermuten und sich nicht zu Tode erschrecken lassen wollen: Abschalten.

Internetfreigabe: Noch so ein Relikt aus Zeiten der Wählverbindungen, in denen ein Rechner am Internet hing und die anderen (via Ethernet oder eine andere Kabelverbindung) den Anschluss mit nutzen konnten. In Zeiten überall verfügbaren WLANs nur noch selten gebraucht, kann man also bedenkenlos abschalten.

Bluetooth-Freigabe: Brauchen Sie allenfalls, wenn Sie ein Android-Smartphone mit dem Mac nutzen wollen, iPhone und iPad übertragen keine Daten via Bluetooth an den Mac.

Inhaltscaching: Diese Freigabe ist seit macOS High Sierra neu und daher noch relativ unbekannt. Umso besser, fällt das Ausschalten leichter, respektive das Gar-nicht-erst-Einschalten. Nützlich ist die Einstellung aber, um Updates auf mehrere Geräte zu installieren. So hält etwa ein Mac, auf dem diese Freigabe aktiviert ist, Systemupdates für weitere Macs oder iOS-Geräte bereit. Man muss also nur einmal das Update (oder auch andere Inhalte) von Apples Servern laden und kann dies auf andere Maschinen im eigenen Netz verteilen – das geht dann schneller und spart Bandbreite. Optional teilt man auch die Internetverbindung mit per USB angeschlossenen iOS-Geräten – sinnvoll etwa, wenn der Mac an ein LAN angeschlossen ist, aber kein drahtloses LAN zur Verfügung steht. Braucht man das alles nicht: Ausschalten oder gar nicht erst einschalten.



Bei alten Macs mit DVD-Laufwerk bzw. Superdrive sehen sie außerdem die Option DVD-Freigabe. Ist diese Option aktiv, können sie eine DVD in einem Rechner mit DVD-Laufwerk einlegen, und von einem Macs ohne DVD-Laufwerk aus nutzen. Das letzte Macbook pro mit DVD-Laufwerk hat Apple im Jahr 2017 aus dem Angebot genommen.



3. Firmware-Passwort setzen

Ist der Mac durch ein Passwort oder noch besser durch die Filevault-Verschlüsselung geschützt, haben Dritte keinen Zugriff auf die Daten – sofern der Code stark genug ist. Unheil anrichten können sie dennoch. Denn der Mac lässt sich von einem externen UBS-Stick booten – und alle Daten löschen, etwa mit einer Neuinstallation von macOS. Das verhindert das Firmware-Passwort, dessen Eingabe auch nur dann erforderlich ist, wenn der Mac auf diesem eher ungewöhnlichen Wege von USB-Stick oder der Rettungspartition gestartet werden soll. Und eben von der Rettungspartition, die seit OS X 10.7 Lion Bestandteil einer Mac-Installation ist, muss man das Firmware-Passwort setzen. Starten Sie den Mac und halten Sie dabei die Tasten cmd und R gedrückt, bis der Fortschrittsbalken unterhalb des Apple-Logos erscheint. Unter dem Menü “Dienstprogramme > Firmware-Passwortdienstprogramm” finden Sie das Tool der Wahl. Aber Vorsicht: Wenn Sie Ihr Firmware-Passwort vergessen, wird nur noch Apple den Rechner entsperren können.

Ein Firmware Passwort verhindert, dass der Mac von einem externen Medium gestartet werden kann.

4. Gastbenutzer aktivieren

Bis hierhin haben wir in der Regel geraten, Funktionen abzustellen. Beim Gastbenutzer ist es umgekehrt, diesen sollten Sie auf alle Fälle aktivieren. Für Ihren Rechner daheim liegt das auf der Hand: Womöglich wollen Sie einen Besucher mal etwas im Internet recherchieren oder über einen Webmailer seine Korrespondenz erledigen lassen: Bieten Sie ihm den Gastbenutzer an, er kann dann nicht Ihre Daten einsehen, weder absichtlich noch unabsichtlich. Aber auch für Ihr Macbook ist der Gastbenutzer auf Reisen Gold wert. Denn sollten Sie Ihren Mobilrechner irgendwo liegen lassen und ein ehrlicher Finder meldet sich über den Gastbenutzer an und geht mit Safari ins Internet, meldet der iCloud-Service “Wo ist?” , wo sich Ihr Rechner aufhält und bringt eine von Ihnen festgelegte Nachricht auf den Bildschirm. Ohne Gastbenutzer wird es schwierig, einen verlorenen Mac wiederzuerlangen.

5. Mögliche Sicherheitslücke in Filevault abdichten (Systeme vor Sierra)

Gilt nur für ältere Systeme vor macOS 10.12 Sierra) Ein gelungener Angriff ist zwar nicht bekannt, aber man weiß ja nie: Schickt man ein Macbook in den Ruhezustand, indem man den Deckel zuklappt, ist das Passwort für Filevault im RAM gespeichert. Theoretisch könnte diesen jemand auslesen und das Passwort wiederherstellen. Dazu sind aber tiefe Kenntnisse und raffinierte Methoden notwendig, sofern das überhaupt gelingen sollte. Für neugierige Kommilitonen oder Gelegenheitsdiebe also bestimmt kein Weg, um an die Daten des Benutzers zu kommen. Allenfalls Regierungsbehörden wäre so etwas zuzutrauen.

Misstrauische können aber Filevault daran hindern, das Passwort im RAM abzulegen. Die Konsequenz ist erträglich, weckt man den Rechner aus dem Ruhezustand, wird man womöglich sein Anwenderpasswort zweimal eingeben müssen – und der Mac braucht etwas länger um wieder aufzuwachen.

Tiefschlaf (Hibernate) statt Ruhezustand: So geht’s.

Schließlich kommt er aus dem Tiefschlaf respektive Hibernate-Modus, in den wir ihn schicken anstatt bloß in den Ruhezustand. Damit beim Schließen des Deckels das Macbook tief schläft und nicht nur döst und dazu das Passwort nicht im RAM speichert, muss man im Terminal folgenden Befehl eingeben: sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Rückgängig macht man das mit folgendem Befehl:

sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3

Beide Änderungen sind jeweils erst nach einem Neustart wirksam.

6. Persistente Anwendungen überprüfen

Auf dem Mac leisten allerlei Apps unauffällig im Hintergrund ihre Dienste, vom Start des Rechners an bis man ihn ausschaltet, sogenannte persistente Apps. Darunter sind etwa die Update-Checker von Google und Microsoft, die nur auffallen, wenn sie eine Aktualisierung für eines der installierten Programme gefunden haben. Ebenso kommen mit der Creative Cloud etliche persistente Apps auf die Maschine. Aber auch Malware setzt derartige Techniken ein, um unter dem Radar des Anwenders durchfliegen zu können. Dummerweise können sich bei Systemstart aktive Anwendungen praktisch überall auf dem Rechner verstecken, nicht nur in den Startobjekten. Den Mac auf derartige Änderungen zu überwachen, gleicht einer Mammutaufgabe. Doch es gibt Abhilfe in Form zweier Tools. Knockknock etwa überprüft die Stellen des Systems, in dem sich persistente Apps verstecken könnten und zeigt dem Anwender, was sich dort tut und wer da agiert. Knockknock kann aber keine Auskunft darüber geben, ob es sich bei den aufgefundenen Programmen tatsächlich um Malware handelt. Wenn Sie aber außer den Tools von Adobe, Apple, Microsoft und Google etwas angezeigt bekommen, können Sie ja immer noch im Internet suchen, um was es sich bei der verdächtigen Funktion handelt.

Knockknock verrät leider nicht, ob die aufgefundenen persistenten Apps schädlich sind.

Vom gleichen Hersteller stammt das Menüleistentool Blockblock , das die gleichen Ordner überwacht, aber sich dann meldet, wenn eine Anwendung sich dort persistent einnisten möchte. Aber auch Blockblock ist kein Malwarescanner, ob Sie einer App die Installation erlauben oder nicht, müssen Sie selbst entscheiden – und dafür Ihre Entscheidungsgrundlage im Zweifelsfall googlen.

7. Virenschutzsoftware verwenden

Gewiss, der Mac ist keineswegs eine derart von Viren geplagte Plattform wie der Windows-PC. Selbst Mac-Anwender, die niemals Daten mit Windows-Nutzern austauschen – darunter könnte ein für sie selbst harmloser, für den Kommunikationspartner aber ein höchst gefährlicher Virus versteckt sein – sollten regelmäßig Virenscanner benutzen. Es ist ja fast wie im richtigen Leben: Man kann gefährliche Viren auch weitergeben, ohne selbst davon etwas zu bemerken. Nach dem Ende von Flash verbleibt Java auf dem Mac als Einfallstor für Schadsoftware, diese Komponente kann und will man aber nicht immer deaktivieren. Welche Tools etwas taugen, was sie kosten und welchen Nutzen sie bringen, haben wir im Macwelt-Testcenter akribisch ermittelt .

8. Zwei-Faktor-Authentifizierung nutzen

Schön, ist also der Mac abgesichert, aber was ist mit iOS-Geräten? Aufgrund der besonderen Softwarearchitektur und den Aufpassern im App Store, ist das Thema Malware für iOS ein noch kleineres, zumal die Wirksamkeit von Sicherheitssoftware für iPhone und iPad enorm eingeschränkt ist. Am besten schützt man sein iPhone und iPad mit einem möglichst sicheren Passwort und nicht nur einer vierstelligen PIN. Ein Plus an Sicherheit bietet jedoch schon der sechsstellige Passcode.

Ein Dieb oder ein unehrlicher Finder kann dann mit einem abhanden gekommenen iPhone eigentlich nichts anfangen. Es sei denn, es gelingt ihm, das Passwort des mit dem Gerät verknüpften iCloud-Accounts in Erfahrung zu bringen und so nicht nur an Nutzerdaten zu gelangen, sondern auch das iPhone zurücksetzen und für sich selbst neu aufsetzen zu können. Starke Passworte sind also wichtig, “password”, “123456” und “apple” sind mehr als schwache Kennwörter.

Mit der Zwei-Faktor-Authentifizierung (2FA), die Apple seit iOS 9.3 aktiviert hat (vorher gab es schon die Bestätigung in zwei Stufen), lässt sich effektiv verhindern, dass Diebe oder Fundsachenunterschlager das Passwort für iCloud ändern können. Denn der bloße Login-Versuch an einem neuen Browser löst eine Warnung aus, die auf allen anderen Geräten des legitimen Besitzers erscheint. Erst wenn er diese (an einem Gerät) bestätigt, gelingt mit dem richtigen Passwort der Login. Falls Sie beispielsweise eine derartige Meldung auf Ihrem Mac bekommen und beim Griff in die Jackentasche feststellen, dass das iPhone weg ist, gibt es nur eines: Ablehnen. Und dann über die iCloud das fehlende iPhone suchen. Sie können dann das Gerät aus der Ferne löschen, es ist danach aber nicht mehr auffindbar.

Die Zwei-Faktor-Authentifizierung in Aktion

Wie Sie die Zwei-Faktor-Authentifizierung einrichten und wie sie sich von der Bestätigung in zwei Stufen unterscheidet, lesen Sie hier . Nicht nur Apple bietet eine solche Sicherheitsfunktion an, auch andere Anbieter wie Google, Dropbox oder Microsoft. Es ist in jedem Fall ratsam, die 2FA zu nutzen, wenn sie angeboten wird.

9. VPN benutzen

DNS verschlüsseln hilft aber nur wenig, wenn Sie mit Ihrem Macbook in einem öffentlichen Netz unterwegs sind, im Café, auf dem Marktplatz, im Rathaus. Lauscher könnten Ihre Daten abgreifen und Sie in schwere Nöte bringen. Damit es aber gar nicht so weit kommt, können Sie Ihre komplette Internetsession verschlüsseln, indem Sie ein VPN (Virtual Private Network) verwenden. Dabei verbinden Sie sich verschlüsselt mit dem Server des VPN-Anbieters, der erst dann Ihre Anfragen an Websites und -dienste weiterleitet, Lauschen wird zwecklos. Die Zwischenstation VPN bremst dabei Ihren Mac nicht merklich aus.

VPN bieten Verschlüsselung und verschleiern Ihren Standort.

Weiterer Vorteil eines VPN: Dieses verschleiert auch Ihre Herkunft, Sie können also von Ländergrenzen geblockte Inhalte dennoch abrufen, die IP und damit Ihr Standort sind ja verschleiert. So kommen Sie beispielsweise früher in Genuss gewisser US-Serien oder können von Ihrem Urlaubsland aus die Live-Streams der deutschen Fernsehsender verfolgen. VPN gehört also gewissermaßen zur Grundausstattung eines mobilen Mac… Welche Dienste und Apps für Sie ideal sind, entnehmen Sie unserem Ratgeber “Die besten VPN-Apps für Macs und iPhones” .

10. Auf HTTPS achten

Das wichtigste Protokoll des Internets, das Hypertext Transfer Protocol (HTTP) überträgt Daten im Klartext. Wenn Sie also nicht gerade ein VPN einsetzen, könnte jeder mitlesen, so wie der Postbote auch Postkarten lesen könnte. Glücklicherweise stellen immer mehr Sites auf das sichere und verschlüsselte Protokoll HTTPS um, nicht nur Ihre Bank, der Internethändler oder das soziale Web Ihres Vertrauens. Die Verschlüsselung ist aber nach wie vor ein Kostenfaktor, weswegen nicht jede Internetadresse mit “https://” beginnt. Im Zweifel tippen Sie aber in Ihren Browser die gesamte Adresse ein, also etwa https://www.macwelt.de und landen dann auf einer Seite mit einer sicheren Verbindung. Chrome und Safari warnen bei unverschlüsselten Seiten mit einem kleinen “i” neben der Adresse, automatisch auf HTTPS und warnt bei unverschlüsselten Seiten. Für Safari gibt es die Erweiterung SSL Everywhere , die jedoch bei der ersten Kontaktaufnahme noch unverschlüsselt sendet und dann erst umschaltet. Ist aber besser als nichts.



11. System immer aktuell halten

Betriebssysteme mit ihren Millionen von Codezeilen sind derart komplex, dass auch bei akribischer Entwicklung und Wartung Fehler und Sicherheitslücken nicht zu vermeiden sind, insbesondere dann, wenn jedes Jahr neue Funktionen hinzukommen. Nicht jeder, der eine solche Lücke entdeckt, ist auch so fair, diese an die Hersteller zu melden, das passiert aber öfter als man denkt. Auch Apple zahlt Belohnungen an ehrliche Finder oder beschäftigt selbst Mitarbeiter, die iOS, iPadOS und macOS auf Schwachstellen überprüfen – die meisten neu bekannt gewordenen Sicherheitslücken schließt Apple aber zeitnah mit Security Updates oder gleich kompletten “Punkt-Updates” für die Systeme, zuletzt etwa iOS und iPadOS 16.3 und macOS 13.2. Nur in seltenen Fällen verursachen solche Updates Probleme, es ist also unerlässlich, seine Systeme auf dem aktuellen Stand zu halten. Denn gibt Apple mit den Releasenotes bekannt, eine Sicherheitslücke geschlossen zu haben, wissen nun alle, dass diese in Vorgängerversionen besteht. Nach etlichen Jahren jedoch können alte Geräte und Systeme keine aktuellen Updates mehr laden – in diesem Fall hilft im Zweifelsfall nur noch die Neuanschaffung.