Der Mac gilt als weit sicherer als der Windows-PC. Das hat einerseits historische Gründe: Der Marktanteil der Rechner aus Cupertino war in der Vergangenheit oft derart niedrig, dass sich der Angriff nicht lohnte. Auf der anderen Seite hat das aber auch technische Gründe: Apple stattet das Betriebssystem des Mac ab Werk mit vielen sinnvollen Sicherheitsvorkehrungen aus.
Dennoch darf man das Thema Datensicherheit auch unter OS X 10.11 El Capitan und dem kommenden macOS 10.12 Sierra nicht unterschätzen. So bietet etwa Software von Drittherstellern wie Java oder Flash durchaus Einfallstore für Schadsoftware, auf der anderen Seite nutzen auch der besten Schutzschild nichts, wenn man ihn nicht nutzt. Und darauf verlassen, dass es nie eine Malware für den Mac geben wird, die auch ohne Zutun des Anwenders ihn höchsten Gefahren aussetzt, sollte man sich auch nicht.
Im Folgenden geben wir elf Tipps, die Sie befolgen sollten, um sich an Ihrem Mac in höchst möglicher Sicherheit wiegen zu können.
1. Firewall einschalten
Die erste und wichtigste Maßnahme für mehr Sicherheit sollte sein, die in das Mac-Betriebssystem integrierte Firewall zu aktivieren. Diese verhindert ungewollte eingehende Netzwerkverbindungen, aber nur, wenn sie eingeschaltet ist. Das ist am Mac in der Regel nicht der Fall - warum auch immer. Die Firewall ist aber schnell in Gang gebracht, öffnen Sie die Systemeinstellungen und klicken Sie auf das Modul "Sicherheit" und dort auf den Reiter "Firewall". Sie benötigen noch einen Klick auf das Schlosssymbol unten links, gefolgt von einer Passworteingabe. In den Optionen haben Sie nun noch die Möglichkeit, das Verhalten einzelner Apps festzulegen und vor allem, den Tarnmodus zu aktivieren. Diesen werden Sie vor allem an Ihrem Mobilrechner zu schätzen wissen, denn so wird Ihr Macbook in öffentlichen Netzen wie im Café praktisch unsichtbar.
Foto: Macwelt
Für noch mehr Sicherheit muss man auch den ausgehenden Netzwerkverkehr blockieren, das bietet sich etwa dann an, wenn Sie fürchten, sich bereits eine Malware eingefangen zu haben. Diese kann dann nicht mehr "nach Hause telefonieren" und etwa vertrauliche Daten an die Angreifer übermitteln. Leider stellt der Mac dafür kein Bordmittel zur Verfügung - zahlreiche mitgelieferte Programme müssen sich ja mit Apples Servern verständigen, um optimal zu funktionieren. Aber Software von Drittherstellern wie Little Snitch oder Hands Off erledigt die Ausgangskontrolle - und lässt dabei legitime Software durchaus nach draußen kommunizieren.
2. Bei den Freigaben genau hinschauen
Foto: Macwelt
Kümmern wir uns gleich um eine zweite Systemeinstellung, die Freigaben. Insbesondere in einer Büro- oder Home-Office-Umgebung will man ja auch, dass Macs Daten miteinander austauschen oder sich gegenseitig Dienste zur Verfügung stellen. Das regeln alles die Freigaben in der gleichnamigen Systemeinstellung. Erstellt man eine Freigabe - das kann bis zum Zugriff auf den eigenen Bildschirm gehen - ist es so, als würde man ein Fenster oder eine Tür in den Mac einbauen. Zwar muss man erst einmal die Vorhänge beiseite schieben, die Tür öffnen oder einen Schlüssel überreichen, damit Zutrittsberechtigte das auch wirklich nutzen können. Aber eine Tür ist nun einmal eine Tür, die man stets geschlossen halten sollte, wenn man sie nicht braucht. Vielleicht steht sie ja halb offen, weil das Schloss nicht sicher ist, oder das gekippte Fenster lässt sich leicht aushebeln. Einfach gesagt: Schalten Sie alle Freigaben aus, die Sie nicht benötigen.
Öffnen Sie dazu die Systemeinstellung "Freigaben" und entfernen Sie im Zweifelsfall alle Haken. Aber Achtung, so manche Einstellung haben Sie oder Ihr Systemadministrator im Firmennetz womöglich mit Absicht gesetzt - in diesem Zweifelsfall besser noch einmal überlegen oder nachfragen. Die Freigaben ermöglichen Folgendes:
Bildschirmfreigabe: Die werden Administratoren gebrauchen, um aus der Ferne etwaige Probleme zu diagnostizieren und zu reparieren oder Updates einzuspielen. Das geht via VPN auch von Linux- oder Windows-Rechnern. Bevor der Admin aber Zugriff auf Ihre Maschine bekommt, muss er erst eine Genehmigung einholen, die Sie per Klick bestätigen oder ablehnen. Kein Administrator, kein Firmennetz oder irgendwo draußen unterwegs? Bildschirmfreigabe abschalten!
Dateifreigabe: Darüber können andere Computer auf die Dateien Ihres Mac zugreifen. Sie benötigen das eventuell selbst von Ihrem Zweitrechner aus, mit der Funktion "Back to my Mac" können Sie über iCloud auch aus der Ferne zugreifen, sofern die Dateifreigabe an ist. Konkret aktiviert die Dateifreigabe die Protokolle SMB, AFP und NFS. Benötigen weder Sie noch andere aus dem lokalen Netz oder über die iCloud Zugriff auf den Computer: Ausschalten!
Druckerfreigabe: In einem lokalen Netz mit mehreren Macs reicht ein Drucker völlig aus. Dann und nur dann muss die Druckerfreigabe an dem Mac aktiviert sein, an dem der Drucker hängt. So wird ein einfacher USB-Drucker quasi zum Netzwerkdrucker und alle können darüber drucken, solange der Rechner läuft. An allen anderen Macs kann man die Druckerfreigabe getrost ausgeschaltet lassen. Sie können freilich Ihren USB-Drucker auch einen Router wie die Time Capsule anschließen, aber das ist ein anderes Thema .
Entfernte Anmeldung: Das ist eher etwas für Techies, die sich aus der Ferne via SSH/SFTP an ihrem Mac anmelden, um dort Arbeiten via Kommandozeile zu erledigen. Trifft die Beschreibung nicht auf Sie zu: Ausschalten.
Entfernte Verwaltung: Nur, wenn in Ihrem Firmennetz ein Administrator Zugriff für Wartungsarbeiten benötigt einschalten, sonst immer ausgeschaltet lassen.
Entfernte Apple-Events: Sind keineswegs die Veranstaltungen Apples im von uns aus so fernen San Francisco, sondern ein Relikt aus alten Zeiten. Über die Apple-Events und Apple Script kann man andere Rechner dazu bringen, bestimmte Dinge zu erledigen. Das beschränkt sich nicht auf vernünftige Jobs wie Drucken, man kann aus der Ferne mit Hilfe der Sprachsynthese den Rechner auch zum Plappern bringen. Wenn Sie erfahrene Prankster in Ihrer Nähe vermuten und sich nicht zu Tode erschrecken lassen wollen: Abschalten.
Internetfreigabe: Noch so ein Relikt aus Zeiten der Wählverbindungen, in denen ein Rechner am Internet hing und die anderen (via Ethernet oder eine andere Kabelverbindung) den Anschluss mit nutzen konnten. In Zeiten überall verfügbaren WLANs nur noch selten gebraucht, kann man also bedenkenlos abschalten.
Bluetooth-Freigabe: Brauchen Sie allenfalls, wenn Sie ein Android-Smartphone mit dem Mac nutzen wollen, iPhone und iPad übertragen keine Daten via Bluetooth an den Mac.
3. Firmware-Passwort setzen
Ist der Mac durch ein Passwort oder noch besser durch die Filevault-Verschlüsselung geschützt, haben Dritte keinen Zugriff auf die Daten - sofern der Code stark genug ist. Unheil anrichten können sie dennoch. Denn der Mac lässt sich von einem externen UBS-Stick booten - und alle Daten löschen, etwa mit einer Neuinstallation von OS X oder macOS. Das verhindert das Firmware-Passwort, dessen Eingabe auch nur dann erforderlich ist, wenn der Mac auf diesem eher ungewöhnlichen Wege von USB-Stick oder der Rettungspartition gestartet werden soll. Und eben von der Rettungspartition, die seit OS X 10.7 Lion Bestandteil einer Mac-Installation ist, muss man das Firmware-Passwort setzen. Starten Sie den Mac und halten Sie dabei die Tasten cmd und R gedrückt, bis der Fortschrittsbalken unterhalb des Apple-Logos erscheint. Unter dem Menü "Dienstprogramme > Firmware-Passwortdienstprogramm" finden Sie das Tool der Wahl. Aber Vorsicht: Wenn Sie Ihr Firmware-Passwort vergessen, wird nur noch Apple den Rechner entsperren können.
Foto: Macwelt
4. Gastbenutzer aktivieren
Bis hierhin haben wir in der Regel geraten, Funktionen abzustellen. Beim Gastbenutzer ist es umgekehrt, diesen sollten Sie auf alle Fälle aktivieren. Für Ihren Rechner daheim liegt das auf der Hand: Womöglich wollen Sie einen Besucher mal etwas im Internet recherchieren oder über einen Webmailer seine Korrespondenz erledigen lassen: Bieten Sie ihm den Gastbenutzer an, er kann dann nicht Ihre Daten einsehen, weder absichtlich noch unabsichtlich. Aber auch für Ihr Macbook ist der Gastbenutzer auf Reisen Gold wert. Denn sollten Sie Ihren Mobilrechner irgendwo liegen lassen und ein ehrlicher Finder meldet sich über den Gastbenutzer an und geht mit Safari ins Internet, meldet der iCloud-Service "Meinen Mac finden", wo sich Ihr Rechner aufhält und bringt eine von Ihnen festgelegte Nachricht auf den Bildschirm. Ohne Gastbenutzer wird es schwierig, einen verlorenen Mac wieder zu erlangen.
Foto: Macwelt
5. Mögliche Sicherheitslücke in Filevault abdichten
Ein gelungener Angriff ist zwar nicht bekannt, aber man weiß ja nie: Schickt man ein Macbook in den Ruhezustand, indem man den Deckel zuklappt, ist das Passwort für Filevault im RAM gespeichert. Theoretisch könnte diesen jemand auslesen und das Passwort wiederherstellen. Dazu sind aber tiefe Kenntnisse und raffinierte Methoden notwendig, sofern das überhaupt gelingen sollte. Für neugierige Kommilitonen oder Gelegenheitsdiebe also bestimmt kein Weg, um an die Daten des Benutzers zu kommen. Allenfalls Regierungsbehörden wäre so etwas zuzutrauen.
Misstrauische können aber Filevault daran hindern, das Passwort im RAM abzulegen. Die Konsequenz ist erträglich, weckt man den Rechner aus dem Ruhezustand, wird man womöglich sein Anwenderpasswort zweimal eingeben müssen - und der Mac braucht etwas länger um wieder aufzuwachen.
Foto: Macwelt
Schließlich kommt er aus dem Tiefschlaf respektive Hibernate-Modus, in den wir ihn schicken anstatt bloß in den Ruhezustand. Damit beim Schließen des Deckels das Macbook tief schläft und nicht nur döst und dazu das Passwort nicht im RAM speichert, muss man im Terminal folgenden Befehl eingeben:
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25 |
Rückgängig macht man das mit folgendem Befehl:
sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3 |
Beide Änderungen sind jeweils erst nach einem Neustart wirksam.
6. Persistente Anwendungen überprüfen
Auf dem Mac leisten allerlei Apps unauffällig im Hintergrund ihre Dienste, vom Start des Rechners an bis man ihn ausschaltet, sogenannte persistente Apps. Darunter sind etwa die Update-Checker von Google und Microsoft, die nur auffallen, wenn sie eine Aktualisierung für eines der installierten Programme gefunden haben. Ebenso kommen mit der Creative Cloud etliche persistente Apps auf die Maschine. Aber auch Malware setzt derartige Techniken ein, um unter dem Radar des Anwenders durchfliegen zu können. Dummerweise können sich bei Systemstart aktive Anwendungen praktisch überall auf dem Rechner verstecken, nicht nur in den Startobjekten. Den Mac auf derartige Änderungen zu überwachen, gleicht einer Mammutaufgabe. Doch es gibt Abhilfe in Form zweier Tools. Knockknock etwa überprüft die Stellen des Systems, in dem sich persistente Apps verstecken könnten und zeigt dem Anwender, was sich dort tut und wer da agiert. Knockknock kann aber keine Auskunft darüber geben, ob es sich bei den aufgefundenen Programmen tatsächlich um Malware handelt. Wenn Sie aber außer den Tools von Adobe, Apple, Microsoft und Google etwas angezeigt bekommen, können Sie ja immer noch googlen, um was es sich bei der verdächtigen Funktion handelt.
Foto: Macwelt
Vom gleichen Hersteller stammt das Menüleistentool Blockblock , das die gleichen Ordner überwacht, aber sich dann meldet, wenn eine Anwendung sich dort persistent einnisten möchte. Aber auch Blockblock ist kein Malwarescanner, ob Sie einer App die Installation erlauben oder nicht, müssen Sie selbst entscheiden - und dafür ihre Entscheidungsgrundlage im Zweifelsfall googlen.
7. Virenschutzsoftware verwenden
Gewiss, der Mac ist keineswegs eine derart von Viren geplagte Plattform wie der Windows-PC. Selbst Mac-Anwender, die niemals Daten mit Windows-Nutzern austauschen - darunter könnte ein für sie selbst harmloser, für den Kommunikationspartner aber ein höchst gefährlicher Virus versteckt sein - sollten regelmäßig Virenscanner benutzen. Auf dem Mac ist vor allem Flash und Java ein Einfallstor für Schadsoftware, diese Komponenten kann und will man aber nicht immer deaktivieren. Welche Tools etwas taugen, was sie kosten und welchen Nutzen sie bringen, haben wir im Macwelt-Testcenter akribisch ermittelt.
8. Zwei-Faktor-Authentifizierung nutzen
Schön, ist also der Mac abgesichert, aber was ist mit iOS-Geräten? Aufgrund der besonderen Softwarearchitektur und den Aufpassern im App Store, ist das Thema Malware für iOS ein noch kleineres, zumal die Wirksamkeit von Sicherheitssoftware für iPhone und iPad enorm eingeschränkt ist. Am besten schützt man sein iPhone und iPad mit einem möglichst sicheren Passwort und nicht nur einer vierstelligen PIN. Ein Plus an Sicherheit bietet jedoch schon der sechsstellige Passcode.
Ein Dieb oder ein unehrlicher Finder kann dann mit einem abhanden gekommenen iPhone eigentlich nichts anfangen. Es sei denn, es gelingt ihm, das Passwort des mit dem Gerät verknüpften iCloud-Accounts in Erfahrung zu bringen und so nicht nur an Nutzerdaten zu gelangen, sondern auch das iPhone zurücksetzen und für sich selbst neu aufsetzen zu können. Starke Passworte sind also wichtig, "password", "123456" und "apple" sind mehr als schwache Kennwörter.
Mit der Zwei-Faktor-Authentifizierung (2FA), die Apple seit iOS 9.3 aktiviert hat (vorher gab es schon die Bestätigung in zwei Stufen), lässt sich effektiv verhindern, dass Diebe oder Fundsachenunterschlager das Passwort für iCloud ändern können. Denn der bloße Login-Versuch an einem neuen Browser löst eine Warnung aus, die auf allen anderen Geräten des legitimen Besitzers erscheint. Erst wenn er diese (an einem Gerät) bestätigt, gelingt mit dem richtigen Passwort der Login. Falls Sie beispielsweise eine derartige Meldung auf Ihrem Mac bekommen und beim Griff in die Jackentasche feststellen, dass das iPhone weg ist, gibt es nur eines: Ablehnen. Und dann über die iCloud das fehlende iPhone suchen. Sie können dann das Gerät aus der Ferne löschen, es ist danach aber nicht mehr auffindbar.
Foto: Macwelt
Wie Sie die Zwei-Faktor-Authentifizierung einrichten und wie sie sich von der Bestätigung in zwei Stufen unterscheidet, lesen Sie hier . Nicht nur Apple bietet eine solche Sicherheitsfunktion an, auch andere Anbieter wie Google, Dropbox oder Microsoft. Es ist in jedem Fall ratsam, die 2FA zu nutzen, wenn sie angeboten wird.
9. DNS-Anfragen verschlüsseln
Server im Internet sind alle mit einer IP-Adresse versehen, etwa 62.146.91.240. Kann man sich schlecht merken, weswegen in Domain-Name-Servern (DNS, den mit der bekanntesten Adresse 8.8.8.8 betreibt Google) eine Art von Übersetzungstabelle hinterlegt ist und Sie auf den richtigen Server gelangen, wenn Sie in Ihren Browser www.macwelt.de eintippen. Leider stammt der Teil der Kommunikation, bei dem Ihr Mac den DNS abfragt, aus den Urzeiten des Internet und findet daher unverschlüsselt statt. Rein theoretisch könnte ein Lauscher also über den DNS Ihren Internetverkehr abgreifen. Das lässt sich aber mit dem Tool DNSCrypt vermeiden, das die Anfragen an den DNS und dessen Antworten verschlüsselt. Im täglichen Gebrauch bekommen Sie von der Software kaum etwas mit, dass sie arbeitet, erkennen Sie allenfalls an ihrem Menüleistensymbol.
Foto: Macwelt
10. VPN benutzen
DNS verschlüsseln hilft aber nur wenig, wenn Sie mit Ihrem Macbook in einem öffentlichen Netz unterwegs sind, im Café, auf dem Marktplatz, im Rathaus. Lauscher könnten Ihre Daten abgreifen und Sie in schwere Nöte bringen. Damit es aber gar nicht so weit kommt, können Sie Ihre komplette Internetsession verschlüsseln, indem Sie ein VPN (Virtual Private Network) verwenden. Dabei verbinden Sie sich verschlüsselt mit dem Server des VPN-Anbieters, der erst dann Ihre Anfragen an Websites und -dienste weiterleitet, Lauschen wird zwecklos. Die Zwischenstation VPN bremst dabei Ihren Mac nicht merklich aus.
Foto: Macwelt
Weiterer Vorteil eines VPN: Dieser verschleiert auch Ihre Herkunft, Sie können also von Ländergrenzen geblockte Inhalte dennoch abrufen, die IP und damit Ihr Standort sind ja verschleiert. So kommen Sie beispielsweise früher in Genuss gewisser US-Serien oder können von Ihrem Urlaubsland aus die Live-Streams der deutschen Fernsehsender verfolgen. VPN gehört also gewissermaßen zur Grundausstattung eines mobilen Mac... Welche Dienste und Apps für Sie ideal sind, entnehmen Sie unserem Ratgeber "Die besten VPN-Apps für Macs und iPhones" .
11. Auf HTTPS umstellen
Das wichtigste Protokoll des Internet, das Hypertext Transfer Protocol (HTTP) überträgt Daten im Klartext. Wenn Sie also nicht gerade ein VPN einsetzen, könnte jeder mitlesen, so wie der Postbote auch Postkarten lesen könnte. Glücklicherweise stellen immer mehr Sites auf das sichere und verschlüsselte Protokoll HTTPS um, nicht nur Ihre Bank, der Internethändler oder das soziale Web Ihres Vertrauens. Die Verschlüsselung ist aber nach wie vor ein Kostenfaktor, weswegen nicht jede Internetadresse mit "https://" beginnt. Im Zweifel tippen Sie aber in Ihren Browser die gesamte Adresse ein, also etwa https://www.macwelt.de und landen dann auf einer Seite mit einer sicheren Verbindung. Nutzen Sie Firefox oder Chrome, können Sie zu diesem Zweck die Erweiterung HTTPS Everywhere installieren, die Sie - falls vorhanden - immer auf die sichere Version der Site umleitet. Für Safari gibt es die Erweiterung SSL Everywhere , die jedoch bei der ersten Kontaktaufnahme noch unverschlüsselt sendet und dann erst umschaltet. Ist aber besser als nichts. (Macwelt)