2569184

M1 viel sicherer als Intel-Macs: Apples Security Guide

19.02.2021 | 15:53 Uhr | Stephan Wiesend

In einem neuen Handbuch hat Apple die Sicherheitskonzepte von M1 und Big Sur näher vorgestellt.

In regelmäßigen Abständen veröffentlicht Apple einen sogenannten Apple Platform Security Guide , ein umfangreiches, englischsprachiges PDF-Handbuch über Apples Sicherheitskonzept für iOS, macOS, aber auch andere Plattformen. Gedacht ist es vor allem für Firmenkunden, die mehr technische Hintergründe zu Apples Secure Enclave oder Neural Engine erhalten wollen. Es ist aber auch für interessierte Mac-Anwender sehr nützlich und stellt viele Sicherheitsfunktionen in Betriebssystem und Hardware vor. In der aktuellen Ausgabe vom Februar (bisher nur englischsprachig) erfährt man erstmals viele Einzelheiten zu den Sicherheitsfunktionen von Apples M1-CPU, die in den neuen Modellen Macbook Air, Macbook Pro 13-Zoll und Mac Mini verbaut wird. Wir haben hier einige interessante Themen ausgewählt.

Interessant ist nicht zuletzt, dass es bei dem Aufbau von M1 und A14 viele Parallelen gibt, so hat der neue M1-Chip oft ein fast identisches Sicherheitskonzept wie die aktuellste iPhone-CPU. Viele Konzepte sind zwar nur für Fachleute von Interesse, wie etwa „Pointer Authentication Codes“ oder „Sealed Key Protectiton“. Nicht wenige, wie etwa Face-ID haben aber auch auf den Benutzeralltag Auswirkungen.

Schutz der Nutzerdaten

Gibt es ein Systemproblem und der Mac wird mit einem Rettungssystem gebootet, sind die Nutzerdaten automatisch geschützt. Das gilt auch während der Aktualisierung der Firmware, DFU-Modus oder Softwareupdates. Ein großer Unterschied zu den Intel-Geräten, auf deren Daten man etwa per Festplattenmodus zugreifen konnte. Noch ungewohnt ist etwa, dass man einen M1-Mac über einen zweiten Mac und Apple Configurator aktualisieren kann.

Auch Drittanbieter können bei einem Mac mit M1-Chip zudem eine neue Verschlüsselung auf Dateiebene nutzen. Der Vorteil der Verschlüsselung per M1-Chip: Sensible Daten sind dadurch besser geschützt, ohne dass die Systemleistung gestört wird. Diese Technologie namens „Data Protection“ nutzt ab M1 und A14 AES-256, vorher kam AES-128 zum Einsatz.

Verringerte Sicherheitsanforderungen gelten bei "Permissive Security"
Vergrößern Verringerte Sicherheitsanforderungen gelten bei "Permissive Security"
© Apple

Secure Boot

Eine Besonderheit, die Apple auch schon bei seinen iPhones einsetzt, ist ein abgesichertes Boot-Verfahren. Anders als beim Intel-Mac gibt es auch keine Boot-Partition mehr. Vor einem Systemstart prüft der M1-Chip, dass die beim Startvorgang geladene macOS-Systemsoftware von Apple autorisiert ist. Diese Autorisierung wird außerdem laufend im Hintergrund geschützt. Für den Anwender hat dies allerdings auch den Nachteil, dass alte Sicherungsmethoden wie das Klonen eines Systems (etwa mit Carbon Copy Cloner) auf ein externes Speichermedium vorerst nicht mehr funktioniert. Dafür soll der Mac vor dem Befall durch Malware während des Boot-Prozesses geschützt sein.

Der Boot-Prozess erfolgt in mehreren Schritten.
Vergrößern Der Boot-Prozess erfolgt in mehreren Schritten.
© Apple

Schutz vor Datendiebstahl

Nur bei Geräten mit Apple-CPUs steht zudem die Technologie Sealed Key Protection zur Verfügung. Dies soll verhindern, dass verschlüsselte Daten nicht einfach von einem Gerät auf ein Speichermedium kopiert und später entschlüsselt werden.

Die Technologie wird hier ausführlicher vorgestellt. Achtung: Die deutsch lokalisierten Seiten waren bei Redaktionsschluss noch nicht aktualisiert.

Aktuelle Secure Enclave

Die Secure Enclave wurde von Apple schon mit dem iPhone 5S eingeführt und laufend verbessert. Die aktuelle Version ist in den M1 integriert und bietet nicht zuletzt mehr und neuere Funktionen als der T2-Chip wie einen Boot Monitor und ein Secure Storage Component gen 2.

Face-ID

Wie beim A14 ist auch beim M1 die Secure Neural Engine in die Neural Engine des Prozessors integriert. Allerdings gibt es einen eigenen Sicherheits-Controller, der zwischen den Aufgaben von Anwendungsprozessor und Secure Enclave umschaltet. Nach jeder Nutzung wird etwa der Status der Neural Engine zurückgesetzt, um die Face-ID-Daten zu schützen.

Memory Protection Engine

Der Speicher der neuen Macs wird besonders geschützt, eine Aufgabe der Memory Protection Engine. Mehr Details hier.

Hardwareabschaltung bei Mac und iPad

Eine interessante neue Funktion, die aber auch schon einige neuere Intel-Macs beherrschten, ist außerdem die Hardwareabschaltung .

Einige Spionprogramme waren in der Lage, ferngesteuert das Mikrofon eines Macs oder auch iOS-Gerätes einzuschalten. Schon ab dem Macbook Pro und Macbook Air 2019 wird aber im zugeklappten Zustand das Mikro per Hardware abgeschaltet. Eine Software hat dann keinen Zugriff mehr, selbst bei Root-Rechten. (Wie Apple anmerkt, ist im zugeklappten Zustand die Kamera sowieso verdeckt). Ab 2020 haben aber auch iPads eine solche Funktion, die von einem Case ausgelöst wird. Verdeckt man das Display mit einem MFI-Case (nicht nur von Apple), wird die Mikrofonverbindung hardwareseitig sofort getrennt.

Macwelt Marktplatz

2569184