3. Firmware-Passwort setzen
Ist der Mac durch ein Passwort oder noch besser durch die Filevault-Verschlüsselung geschützt, haben Dritte keinen Zugriff auf die Daten - sofern der Code stark genug ist. Unheil anrichten können sie dennoch. Denn der Mac lässt sich von einem externen UBS-Stick booten - und alle Daten löschen, etwa mit einer Neuinstallation von OS X oder macOS. Das verhindert das Firmware-Passwort, dessen Eingabe auch nur dann erforderlich ist, wenn der Mac auf diesem eher ungewöhnlichen Wege von USB-Stick oder der Rettungspartition gestartet werden soll. Und eben von der Rettungspartition, die seit OS X 10.7 Lion Bestandteil einer Mac-Installation ist, muss man das Firmware-Passwort setzen. Starten Sie den Mac und halten Sie dabei die Tasten cmd und R gedrückt, bis der Fortschrittsbalken unterhalb des Apple-Logos erscheint. Unter dem Menü "Dienstprogramme > Firmware-Passwortdienstprogramm" finden Sie das Tool der Wahl. Aber Vorsicht: Wenn Sie Ihr Firmware-Passwort vergessen, wird nur noch Apple den Rechner entsperren können.
4. Gastbenutzer aktivieren
Bis hierhin haben wir in der Regel geraten, Funktionen abzustellen. Beim Gastbenutzer ist es umgekehrt, diesen sollten Sie auf alle Fälle aktivieren. Für Ihren Rechner daheim liegt das auf der Hand: Womöglich wollen Sie einen Besucher mal etwas im Internet recherchieren oder über einen Webmailer seine Korrespondenz erledigen lassen: Bieten Sie ihm den Gastbenutzer an, er kann dann nicht Ihre Daten einsehen, weder absichtlich noch unabsichtlich. Aber auch für Ihr Macbook ist der Gastbenutzer auf Reisen Gold wert. Denn sollten Sie Ihren Mobilrechner irgendwo liegen lassen und ein ehrlicher Finder meldet sich über den Gastbenutzer an und geht mit Safari ins Internet, meldet der iCloud-Service "Meinen Mac finden", wo sich Ihr Rechner aufhält und bringt eine von Ihnen festgelegte Nachricht auf den Bildschirm. Ohne Gastbenutzer wird es schwierig, einen verlorenen Mac wieder zu erlangen.
5. Mögliche Sicherheitslücke in Filevault abdichten
Ein gelungener Angriff ist zwar nicht bekannt, aber man weiß ja nie: Schickt man ein Macbook in den Ruhezustand, indem man den Deckel zuklappt, ist das Passwort für Filevault im RAM gespeichert. Theoretisch könnte diesen jemand auslesen und das Passwort wiederherstellen. Dazu sind aber tiefe Kenntnisse und raffinierte Methoden notwendig, sofern das überhaupt gelingen sollte. Für neugierige Kommilitonen oder Gelegenheitsdiebe also bestimmt kein Weg, um an die Daten des Benutzers zu kommen. Allenfalls Regierungsbehörden wäre so etwas zuzutrauen.
Misstrauische können aber Filevault daran hindern, das Passwort im RAM abzulegen. Die Konsequenz ist erträglich, weckt man den Rechner aus dem Ruhezustand, wird man womöglich sein Anwenderpasswort zweimal eingeben müssen - und der Mac braucht etwas länger um wieder aufzuwachen.
Schließlich kommt er aus dem Tiefschlaf respektive Hibernate-Modus, in den wir ihn schicken anstatt bloß in den Ruhezustand. Damit beim Schließen des Deckels das Macbook tief schläft und nicht nur döst und dazu das Passwort nicht im RAM speichert, muss man im Terminal folgenden Befehl eingeben:
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25 |
Rückgängig macht man das mit folgendem Befehl:
sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3 |
Beide Änderungen sind jeweils erst nach einem Neustart wirksam.
6. Persistente Anwendungen überprüfen
Auf dem Mac leisten allerlei Apps unauffällig im Hintergrund ihre Dienste, vom Start des Rechners an bis man ihn ausschaltet, sogenannte persistente Apps. Darunter sind etwa die Update-Checker von Google und Microsoft, die nur auffallen, wenn sie eine Aktualisierung für eines der installierten Programme gefunden haben. Ebenso kommen mit der Creative Cloud etliche persistente Apps auf die Maschine. Aber auch Malware setzt derartige Techniken ein, um unter dem Radar des Anwenders durchfliegen zu können. Dummerweise können sich bei Systemstart aktive Anwendungen praktisch überall auf dem Rechner verstecken, nicht nur in den Startobjekten. Den Mac auf derartige Änderungen zu überwachen, gleicht einer Mammutaufgabe. Doch es gibt Abhilfe in Form zweier Tools. Knockknock etwa überprüft die Stellen des Systems, in dem sich persistente Apps verstecken könnten und zeigt dem Anwender, was sich dort tut und wer da agiert. Knockknock kann aber keine Auskunft darüber geben, ob es sich bei den aufgefundenen Programmen tatsächlich um Malware handelt. Wenn Sie aber außer den Tools von Adobe, Apple, Microsoft und Google etwas angezeigt bekommen, können Sie ja immer noch googlen, um was es sich bei der verdächtigen Funktion handelt.
Vom gleichen Hersteller stammt das Menüleistentool Blockblock , das die gleichen Ordner überwacht, aber sich dann meldet, wenn eine Anwendung sich dort persistent einnisten möchte. Aber auch Blockblock ist kein Malwarescanner, ob Sie einer App die Installation erlauben oder nicht, müssen Sie selbst entscheiden - und dafür ihre Entscheidungsgrundlage im Zweifelsfall googlen.