Im Internet rundum geschützt und sicher vor Malware

Die elf besten Sicherheitstipps für den Mac

19.08.2016
Von Thomas Keir und
Peter Müller ist der Ansicht, dass ein Apple täglich den Arzt erspart. Sei es iMac, Macbook, iPhone oder iPad, was anderes kommt nicht auf den Tisch oder in die Tasche. Seit 1998 beobachtet er die Szene rund um den Hersteller von hochwertigen IT-Produkten in Cupertino genau. Weil er schon so lange dabei ist, kennt er die Apple-Geschichte genau genug, um auch die Gegenwart des Mac-Herstellers kritisch und fair einordnen zu können. Ausgeschlafene Zeitgenossen kennen und schätzen seine Beiträge im Macwelt-Morgenmagazin, die die Leser werktags pünktlich um acht Uhr morgens in den nächsten Tag mit Apfel und ohne Doktor begleiten. Privat schlägt sein Herz für die Familie, den FC Bayern, sechs Saiten, Blues-Skalen und Triolen im Shuffle-Rhythmus.

3. Firmware-Passwort setzen

Ist der Mac durch ein Passwort oder noch besser durch die Filevault-Verschlüsselung geschützt, haben Dritte keinen Zugriff auf die Daten - sofern der Code stark genug ist. Unheil anrichten können sie dennoch. Denn der Mac lässt sich von einem externen UBS-Stick booten - und alle Daten löschen, etwa mit einer Neuinstallation von OS X oder macOS. Das verhindert das Firmware-Passwort, dessen Eingabe auch nur dann erforderlich ist, wenn der Mac auf diesem eher ungewöhnlichen Wege von USB-Stick oder der Rettungspartition gestartet werden soll. Und eben von der Rettungspartition, die seit OS X 10.7 Lion Bestandteil einer Mac-Installation ist, muss man das Firmware-Passwort setzen. Starten Sie den Mac und halten Sie dabei die Tasten cmd und R gedrückt, bis der Fortschrittsbalken unterhalb des Apple-Logos erscheint. Unter dem Menü "Dienstprogramme > Firmware-Passwortdienstprogramm" finden Sie das Tool der Wahl. Aber Vorsicht: Wenn Sie Ihr Firmware-Passwort vergessen, wird nur noch Apple den Rechner entsperren können.

Ein Firmware Passwort verhindert, dass der Mac von einem externen Medium gestartet werden kann.
Ein Firmware Passwort verhindert, dass der Mac von einem externen Medium gestartet werden kann.
Foto: Macwelt

4. Gastbenutzer aktivieren

Bis hierhin haben wir in der Regel geraten, Funktionen abzustellen. Beim Gastbenutzer ist es umgekehrt, diesen sollten Sie auf alle Fälle aktivieren. Für Ihren Rechner daheim liegt das auf der Hand: Womöglich wollen Sie einen Besucher mal etwas im Internet recherchieren oder über einen Webmailer seine Korrespondenz erledigen lassen: Bieten Sie ihm den Gastbenutzer an, er kann dann nicht Ihre Daten einsehen, weder absichtlich noch unabsichtlich. Aber auch für Ihr Macbook ist der Gastbenutzer auf Reisen Gold wert. Denn sollten Sie Ihren Mobilrechner irgendwo liegen lassen und ein ehrlicher Finder meldet sich über den Gastbenutzer an und geht mit Safari ins Internet, meldet der iCloud-Service "Meinen Mac finden", wo sich Ihr Rechner aufhält und bringt eine von Ihnen festgelegte Nachricht auf den Bildschirm. Ohne Gastbenutzer wird es schwierig, einen verlorenen Mac wieder zu erlangen.

Der Gastbenutzer hilft dabei, abhanden gekommene Macs wieder aufzuspüren.
Der Gastbenutzer hilft dabei, abhanden gekommene Macs wieder aufzuspüren.
Foto: Macwelt

5. Mögliche Sicherheitslücke in Filevault abdichten

Ein gelungener Angriff ist zwar nicht bekannt, aber man weiß ja nie: Schickt man ein Macbook in den Ruhezustand, indem man den Deckel zuklappt, ist das Passwort für Filevault im RAM gespeichert. Theoretisch könnte diesen jemand auslesen und das Passwort wiederherstellen. Dazu sind aber tiefe Kenntnisse und raffinierte Methoden notwendig, sofern das überhaupt gelingen sollte. Für neugierige Kommilitonen oder Gelegenheitsdiebe also bestimmt kein Weg, um an die Daten des Benutzers zu kommen. Allenfalls Regierungsbehörden wäre so etwas zuzutrauen.

Misstrauische können aber Filevault daran hindern, das Passwort im RAM abzulegen. Die Konsequenz ist erträglich, weckt man den Rechner aus dem Ruhezustand, wird man womöglich sein Anwenderpasswort zweimal eingeben müssen - und der Mac braucht etwas länger um wieder aufzuwachen.

Tiefschlaf (Hibernate) statt Ruhezustand: So geht's.
Tiefschlaf (Hibernate) statt Ruhezustand: So geht's.
Foto: Macwelt

Schließlich kommt er aus dem Tiefschlaf respektive Hibernate-Modus, in den wir ihn schicken anstatt bloß in den Ruhezustand. Damit beim Schließen des Deckels das Macbook tief schläft und nicht nur döst und dazu das Passwort nicht im RAM speichert, muss man im Terminal folgenden Befehl eingeben:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Rückgängig macht man das mit folgendem Befehl:

sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3

Beide Änderungen sind jeweils erst nach einem Neustart wirksam.

6. Persistente Anwendungen überprüfen

Auf dem Mac leisten allerlei Apps unauffällig im Hintergrund ihre Dienste, vom Start des Rechners an bis man ihn ausschaltet, sogenannte persistente Apps. Darunter sind etwa die Update-Checker von Google und Microsoft, die nur auffallen, wenn sie eine Aktualisierung für eines der installierten Programme gefunden haben. Ebenso kommen mit der Creative Cloud etliche persistente Apps auf die Maschine. Aber auch Malware setzt derartige Techniken ein, um unter dem Radar des Anwenders durchfliegen zu können. Dummerweise können sich bei Systemstart aktive Anwendungen praktisch überall auf dem Rechner verstecken, nicht nur in den Startobjekten. Den Mac auf derartige Änderungen zu überwachen, gleicht einer Mammutaufgabe. Doch es gibt Abhilfe in Form zweier Tools. Knockknock etwa überprüft die Stellen des Systems, in dem sich persistente Apps verstecken könnten und zeigt dem Anwender, was sich dort tut und wer da agiert. Knockknock kann aber keine Auskunft darüber geben, ob es sich bei den aufgefundenen Programmen tatsächlich um Malware handelt. Wenn Sie aber außer den Tools von Adobe, Apple, Microsoft und Google etwas angezeigt bekommen, können Sie ja immer noch googlen, um was es sich bei der verdächtigen Funktion handelt.

Knockknock verrät leider nicht, ob die aufgefundenen persistenten Apps schädlich sind.
Knockknock verrät leider nicht, ob die aufgefundenen persistenten Apps schädlich sind.
Foto: Macwelt

Vom gleichen Hersteller stammt das Menüleistentool Blockblock , das die gleichen Ordner überwacht, aber sich dann meldet, wenn eine Anwendung sich dort persistent einnisten möchte. Aber auch Blockblock ist kein Malwarescanner, ob Sie einer App die Installation erlauben oder nicht, müssen Sie selbst entscheiden - und dafür ihre Entscheidungsgrundlage im Zweifelsfall googlen.