Wie der Mac sicher wird

Kein Benutzer möchte sich um Unzulänglichkeiten von Programmfehlern kümmern oder sich mit den Auswirkungen maligner Software herumschlagen. Windows-Benutzer können davon ein Lied singen: Keine Antivirensoftware installiert, automatische Updates ausgeschaltet oder wohlmöglich die Firewall deaktiviert und schon lässt Windows seinen Anwender nicht mehr in Ruhe und peinigt sie mit ständigen Pop-ups.

Die "saubere" Apple-Welt

In der "sauberen Welt" von Apple hat der User mit alldem nichts zu tun. In der Standardinstallation findet er in der Regel die folgende Situation vor:

• Eine Firewall ist zwar vorhanden, aber prinzipiell bei Auslieferung ausgeschaltet;

• Die Anmeldung ohne Passwort ist die Regel;

• und Virenschutz ist was für Windows-Benutzer.

Wenn Graham Cluely, Sicherheitsexperte bei Sophos, im Unternehmensblog "Naked Security" vor einer neu entdeckten Malware auf dem Mac schreibt, so muss sich das nach Meinung viele OS-X-Anwender dann wohl um eine Ausnahme handeln. Dabei ist die auf den Namen OSX/Tsunami A getaufte Schadsoftware eine Variante des Linux-Backdoor-Schädlings Troj/Kaiten, der schon seit 2002 in Umlauf ist. Der Tsunami-Trojaner hat seinen Namen von seinem Haupteinsatzzweck: Er überflutet von gekaperten Macs aus bestimmte Web-Seiten mit Seitenaufrufen und versucht sie über diesen Weg zum Absturz zu bringen. Leider sind Programme wie OSX/Tsunami keine Ausnahme - es gibt eine ganze Reihe von Trojaner und Viren, die auch Apple Mac OS X Computer befallen können und dies auch tun.

Nicht nur für Windows: Antivirus-Software

Deshalb gilt auch für Apple-Nutzer: Es ist einfacher und deutlich billiger, ein Antiviren-Programm zu installieren, als eine zeitraubende Neuinstallation des Computers durchführen zu müssen. Der Anbieter Sophos stellt seine Antivirenlösung für Macintosh für Heimanwender sogar kostenlos zum Download bereit. Wer noch mehr Möglichkeiten benötigt und ganz sicher gehen will, findet bei den meisten anderen bekannten Anbieter von Sicherheitssoftware ebenfalls gut ausgereifte Programme: So bietet beispielsweise die auf unseren Testgeräten zum Einsatz kommende "Eset Cypersecurity"-Lösung die Möglichkeit, auch andere Betriebssysteme auf dem Apple-Rechner (wie etwa eine Windows-7-Version via Boot Camp) ebenfalls mit zu schützen.

Neues Betriebssystem bringt mehr Sicherheit

Was für allen anderen Betriebssystem gilt, gilt auch für das Mac OS von Apple: Ein Update auf eine neue Version des Betriebssystems bringt in der Regel auch ein deutliches Mehr an Sicherheit. Bei Apple heißt diese aktuelle noch ziemlich neue Version Mac OS X Lion (Version 10.7).

Auf den ersten Blick mögen die Neuerungen, die Apple dort eingebaut hat, eher oberflächlich wirken. So wird in der Internet-Mac-Gemeinschaft hauptsächlich über den Sinn oder Unsinn der immer IOS-ähnlichen Eingabehilfen diskutiert. Nicht wenige Anwender outen sich als "Update-Muffel", versuchen den Wechsel möglichst zu verzögern und schwören dem Vorgängersystem "Schnee-Leopard" die Treue. Aber gerade aus der Sicherheitsperspektive heraus betrachtet, ist das keine so gute Idee: Anbieter Apple hat tief deutliche Verbesserungen und Erweiterungen an verschiedenen Sicherheits-Features vorgenommen und unterstreicht sein Ansinnen, endlich auch im professionellen IT-Umfeld zu punkten. Wir zeigen hier die fünf wichtigsten Neuerungen, die helfen, Sicherheit der Apple OS X-Systeme zu verbessern - wenn sie entsprechend konfiguriert und genutzt werden.

Interne Laufwerke verschlüsseln

Es dürften in erster Linie die Besitzer von Macbooks sein, die auf eine Verschlüsselung ihrer Daten besonders angewiesen sind. Kommt das begehrte Stück einmal in die falschen Hände, droht der Verlust von wichtigen Informationen. Auf allen bisherigen Versionen von Mac OS X waren die Anwender lediglich dazu in der Lage, den Benutzerordner per "File Vault" zu verschlüsseln. Lion erweitert diese Verschlüsselung auf das gesamte Laufwerk - egal, ob es dabei um eine SSD oder eine traditionelle Festplatte handelt.

Auch das Zusammenspiel von Verschlüsselung und Backup-Software "Time Machine" konnte in früheren Versionen von Mac OS X als "verbesserungswürdig" eingestuft werden. Nun arbeitet die Datensicherung der Time Machine wie gewohnt im Abstand von einer Stunde, um die Daten zu sichern. Eine Abmeldung am System, wie noch unter Snow Leopard üblich, ist nun für das Backup bei aktiver Verschlüsselung nicht mehr notwendig. Solange die Verschlüsselung auf dem System aktiv ist, verhindert Mac OS X Lion zudem, dass der Mac ohne Passwort aus dem Bildschirmschoner- oder Ruhezustand erwacht. Wird die interne Festplatte, auf der das Betriebssystem installiert ist, ebenfalls verschlüsselt, so fordert Mac OS X Lion die Eingabe des Passworts direkt nach dem Einschalten an. Erst nach einer korrekten Eingabe des Passworts startet das eigentliche Betriebssystem. Anwender, die diese Features bisher nutzen wollten, mussten zu anderen Lösungen wie Truecrypt greifen, um eine entsprechende Sicherheit zu erreichen.

Alle Einstellung findet der Benutzer in den Systemeinstellungen unter "Sicherheit". Der Wiederherstellungsschlüssel kann entweder lokal ausgedruckt oder bei Apple abgelegt werden. Das Unternehmen rückt den Schlüssel jedoch nur dann wieder heraus, wenn drei personifizierte Fragen im Stil "Mädchenname der Mutter" korrekt beantwortet werden können. Der Zugriff auf das Speichermedium ist nur noch mithilfe des Benutzerpassworts oder des Sicherheitscodes möglich. Dies ist natürlich auch dann der Fall, sofern jemand versucht, die Platte an einem anderen Mac zu starten. Nach dem Einschalten von "File Vault" und einem Neustart können die Anwender normal weiterarbeiten, denn das System erledigt die Verschlüsselung im Hintergrund. Dies kann allerdings je nach Größe der Festplatte oder SSD durchaus etliche Stunden dauern.

So nur auf den Ultimate- und Enterprise-Versionen von Windows 7 zu finden
Die Bitlocker-Laufwerksverschlüsselung steht für alle internen Festplatten und auch mobile Geräte zu Verfügung.

Ohne ein TPM (Trusted Platform Modul) geht es zunächst einmal nicht
Bei der Verschlüsselung des Systemlaufwerks verlangt Windows 7 nach der entsprechenden Hardwareunterstützung.

Alle anderen Laufwerke und auch USB-Sticks können problemlos verschlüsselt werden
Ein Assistent leitet den Anwender dabei durch die komplette Prozedur.

Ein wichtiger Schritt
Ohne ein Kennwort kann das Laufwerk später nicht wieder freigegeben werden. Hier kann auch eine Smartcard zum Einsatz kommen.

Der Wiederherstellungsschlüssel
Er sollte unbedingt auf einem anderem Medium abgespeichert oder auch ausgedruckt werden, damit das Medium auch wiederhergestellt werden kann, wenn das Passwort vergessen oder verloren wurde.

Kann schon eine gewisse Zeit in Anspruch nehmen
Die Dauer der eigentlichen Verschlüsselung hängt sowohl von der Datenmenge als auch von der Verarbeitungsgeschwindigkeit der CPU ab.

Die verschiedenen Optionen zur Verwaltung
Für ein bereits verschlüsseltes Laufwerk stellt Windows über das Kontextmenü (Rechtsklick) eine Reihe von Optionen bereit.

Sofort erkennbar
Windows kennzeichnet verschlüsselte Laufwerke durch ein spezielles Icon, so dass der Anwender schon vor der Frage nach dem Passwort weiß, womit er es in diesem Fall zu tun hat.

Und es geht doch ohne TPM
Mittels einer bereits bestehenden Gruppenrichtlinie wird es möglich, auch das Systemlaufwerk ohne diese Hardwareunterstützung zu verschlüsseln und von diesem Schutz zu profitieren.

Umbau notwendig
Damit das System nach der Verschlüsselung wieder booten kann, richtet der Assistent eine zusätzliche, ohne Hilfsmittel nicht sichtbare Partition auf der Festplatte ein.

Sollte unbedingt durchgeführt werden
Die Bitlocker-Systemüberprüfung stellt sicher, dass der Systemstartschlüssel als auch der Wiederherstellungsschlüssel lesbar und in Ordnung sind.

Die Freeware-Alternative
Das Programm Truecrypt kann nicht nur verschlüsselte Dateicontainer bereitstellen, sondern auch die Systempartition sicher verschlüsseln.

Eine besondere Spezialität von Truecrypt
Ein Betriebssystem kann komplett versteckt werden, so dass es selbst nach der Entschlüsselung des ersten Containers nicht zu finden ist.

Nicht nur die Windows-Partition allein kann verschlüsselt werden
Truecrypt bietet auch die Möglichkeit, die komplette Platte mit allen Bereichen zu sichern – dort dürfen sich dann aber keinesfalls schon verschlüsselte Bereiche befinden!

Noch mehr Sicherheit
Durch vorheriges Überschreiben der bestehenden Daten auf der Festplatte soll eine noch höhere Sicherheit erzielt werden können.

Erhöhte Sicherheit
Durch die zufälligen Mausbewegungen des Anwenders wird die Qualität der Verschlüsselung verbessert.

Sicherheit geht vor
Die Software erstellt automatisch ein ISO-Image mit einer Wiederherstellungs-CD. Dieser Schritt kann nicht übersprungen werden.

Eine letzte Warnung vor dem Start
Bevor die eigentliche Verschlüsselung beginnt, erfolgt ein weiterer Hinweis auf die Notwendigkeit von Sicherheitskopien.

Sollte zur Sicherheit nicht im reinen Batteriebetrieb erfolgen
Die komplette Verschlüsselung einer Systemplatte kann schon mal etwas Zeit in Anspruch nehmen.

Es ist geschafft
Nach über zwei Stunden heftige Systemaktivität ist die Systempartition verschlüsselt und mittels Truecrypt gesichert.

Externe Laufwerke verschlüsseln

Externe Laufwerke sowie USB-Sticks konnten bisher bei den OS X-Systemen nur mit Lösungen von Drittanbietern verschlüsselt und damit vor unbefugtem Zugriff geschützt werden. Dies hat sich mit Lion geändert - mit Hilfe des Festplatten-Dienstprogramms ist der Anwender in der Lage, das externe Medium so zu formatieren, dass es in einem verschlüsselten Format angelegt wird. Alle zuvor auf dem Medium gespeicherten Daten gehen dabei natürlich verloren. Der Vorgang selbst ist kinderleicht zu bewerkstelligen:

• Im Festplatten-Dienstprogramm in der linken Liste den gewünschten Datenträger auswählen und

• in das Register "Löschen" wechseln.

• Danach muss der Anwender in der Einstellung "Format" eine Option wie "Mac OS Extended (Journaled, Verschlüsselt)" auswählen und das Passwort für die Verschlüsselung eingeben.

Eine grafische Darstellung zeigt ihm an, ob das gewählte Passwort sicher ist. An dieser Stelle haben wir im Test einen Bug entdeckt: Sobald wir versuchen, mehr als achtmal eine "1" einzugeben, stürzte das Festplatten-Dienstprogramm reproduzierbar ab. Auch wenn dieses Passwort alles andere als sicher ist, so haben wir den Bug dennoch an Apple über die entsprechenden Bordmittel gemeldet - Abstürzen sollte das Programm schließlich auf keinen Fall.

Wird der verschlüsselte Datenträger an einem Mac-OS-X-Lion-Rechner angeschlossen, wird der Benutzer zur Eingabe des Passworts aufgefordert. Ältere Mac-Betriebssysteme, die noch eine sehr lange Zeit die Mehrheit darstellen dürften, zeigen dann aber lediglich in einem Hinweisfenster an, dass sie das Medium nicht öffnen können.

Interessanterweise ist dem Benutzer mit Mac OS nicht möglich, die Verschlüsselung zu entfernen, ohne dass ihm dabei alle Daten verloren gehen. Das Festplatten-Dienstprogramm erlaubt es lediglich, die Platte in einem unverschlüsselten Format wieder zu formatieren. Das können dann aber glücklicherweise aber auch die Benutzer älterer Mac-OS-Versionen. Trotzdem halten wir es für einen echten Schwachpunkt, dass der Anwender die Verschlüsselung nicht einfach wieder entfernen kann - das hat Microsoft mit "Bitlocker to Go" weitaus besser gelöst.

Time Machine verschlüsselt

Wenn der Nutzer alle Daten verschlüsseln kann, darf auch ein Backup nicht ungeschützt bleiben. Der typische Mac-Benutzer verwendet für die Datensicherung das kostenfreie und in den meisten Fällen vollkommen ausreichende "Time Machine"-System von Apple. Um auch hier die Verschlüsselung zu aktivieren, muss er im Dialogfenster der "Time Machine" lediglich ein Backup-Kennwort einrichten.

Die Software beginnt dann mit der Verschlüsselung, sobald die erste Sicherheitskopie auf dem Backup-Laufwerk angelegt wird. Der Vorgang ist automatisch im Hintergrund aktiv und dauert je nach Laufwerksgröße einige Zeit. Die Verschlüsselung von File Vault 2 ist jedoch laut Apple auf externe USB- oder FireWire-Laufwerke begrenzt. Über iSCSI eingebundene Laufwerke verhalten sich hier wie lokale Festplatten und können entsprechend verschlüsselt werden. Leider existiert auch hier wieder eine Ausnahme: Backups auf die Time Capsule oder andere über Netzlaufwerk zu erreichende Medien können über diesen Vorgang laut Hersteller nicht verschlüsselt werden.

Schließt der Benutzer das Laufwerk mit einem verschlüsselten Backup an einen Mac an, auf dem Mac OS X Lion installiert ist, wird automatisch nach dem Administrator-Passwort gefragt, um das Backup-Volume zu aktivieren und zu entschlüsseln. Ohne die korrekte Passworteingabe erscheint das Laufwerk erst gar nicht in der Finder-Übersicht. Bei einem älteren Mac entfällt jegliche Nachfrage, das Volume wird folglich nicht im Finder angezeigt und lässt sich auch nicht im Festplatten-Dienstprogramm aktivieren, ohne es wiederum komplett zu löschen. Hier lassen die Sicherheitsvorstellungen der Apple-Entwickler doch etwas den Praxisbezug vermissen.

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>

Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>

Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>

Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>

ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>

Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>

GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>

KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>

KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>

MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>

Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>

Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>

Nützliche Firewall-Ergänzungen

Alle Versionen von Mac OS verfügen über die traditionelle Unix-basierte Firewall mit dem Namen "ipfw". Die Sofware ipfw prüft eingehende Pakete gegenüber einem zu hinterlegenden Regelsatz und entscheidet dann, ob das Datenpaket angenommen wird oder nicht. Damit handelt es sich hier um eine klassische Paket-Filter-Firewall, die auf Basis von Ports und IP-Adressen arbeitet. Seit Leopard gibt es eine weitere als "Application Filter" bezeichnete Firewall, die über die Systemsteuerung im Abschnitt "Sicherheit" Programmen den Zugriff auf das Netzwerk erlaubt oder verbietet. Leider ist keine der beiden Firewalls in der Standardauslieferung von Apple aktiviert - der Benutzer muss sich selbst um die Sicherheit seines Systems kümmern.

Ein weiterer Nachteil: Die Standard-Firewalls von Mac OS X prüfen nur den eingehenden Netzwerkverkehr, da macht auch Lion keine Ausnahme. Während in den jüngsten Versionen von Linux-Distributionen und dem Windows-System auch der ausgehende Datenverkehr überwacht wird, muss eine derartige Sicherheit unter Mac OS mit Zusatzprogrammen realisiert werden. Die Programme "LittleSnitch 2.x" und "Hands Off! 1.1.x" sind zwei kostenpflichtige Lösungen, die zusätzliche Features anbieten. Dazu gehört beispielsweise die Möglichkeit, nur bestimmten Programmen Schreibrechte einzuräumen. Aber hier stehen dem interessierten Anwender kostenlose Erweiterungen sind "Noobproof 1.4", "Waterproof" und "TCPBlock 2.8".

Bei "Noobproof" handelt es sich beispielsweise nicht um eine eigenständige Lösung, sondern um einen grafischen Assistenten für die leistungsfähige "ipfw"-Firewall. Ipfw ist mehr als nur eine einfache Firewall und besteht aus den sieben Komponenten: Paketfilter, Logging, Network Address Translation, Traffic-Shaping, Forwarding, Bridge und Stealth. Diese Software wurde ursprünglich Anfang 2000 von Daniel Boulet für das Unternehmen Berkeley Software Design Incorporated programmiert. Bei so vielen Modulen und einer solchen Historie ist eine große Anzahl von Einstellungsoptionen nur logisch. Noobproof erleichtert dem Firewall-Neuling diese Einrichtung deutlich. Leider wird Noobproof nur in der Version 1.4 für Mac OS 10.5 und 10.6 oder Version 1.2 für Mac OS 10.4 (Tiger) angeboten. Lion-Benutzer müssen entweder ipfw über Einträge in den etc-Dateien manuell konfigurieren oder greifen zu "Waterproof".

Standard-Firewall kostenlos erweitern

Die kostenlose Firewall TCPBlock überwacht auch ausgehende Verbindungen von Programmen auf dem Mac und ist somit eine Ergänzung zur Standard-Firewall des Betriebssystems, die lediglich eingehende Verbindungen beobachtet und diese gegebenenfalls blockt. Nach der Installation von TCPBlock und einem Neustart greift der Benutzer über die Systemeinstellungen auf TCPBlock zu. Er kann dann die Verhaltensweise der Firewall über White- und Blacklists für einzelne Programme definieren, da TCPBlock ansonsten bei jedem Programmstart zuvor um Erlaubnis fragen würde. In dem Tab "Connecting Apps" sieht er zudem die aktuelle Netzwerkaktivität in Echtzeit. Profi-Benutzer können über Kommandozeilen-Aufrufe eine feinere Steuerung und Überwachung erzielen und die Firewall in das Growl-Benachrichtigungssystem einbinden.

Unser Tipp: WerMacOS X-Systeme in einem professionellen Umfeld einsetzen will oder muss, sollte eine Firewall wie TCPBlock auf den Systemen installieren und betreiben, um einen entsprechenden Sicherheitsstandard zu erreichen.

Auch der Papierkorb ist gesichert

Zum Abschluss möchten wir noch eine kleine Änderung vorstellen, die jedoch an sich extrem spannend ist: Der Finder von Mac OS X Lion erlaubt mit dieser Betriebssystemversion nun auch das Zurücknehmen von bis zu vier Arbeitsschritten. Wie bei der Bearbeitung von Office-Dokumenten ist der Anwender somit in der Lage, mehrere Änderungsschritte zurückzunehmen. Nach der ersten Freude gerät der sicherheitsbewusste Systembetreuer jedoch ins Schwitzen: Was ist mit dem Papierkorb? Glücklicherweise haben die Entwickler und Produkt-Manager in Cupertino den Papierkorb von der Rücknahme von Schritten ausgenommen. Insgesamt verhält sich Apple mit dem Papierkorb wahrlich vorbildlich: Wie genau es dieser Papierkorb beim Löschen von Dateien nehmen soll, kann der Benutzer sehr genau steuern.

Fazit: Nur Löwen sind sicher

Das Fazit dieser kurzen Betrachtung kann nur lauten: Lieber Benutzer, wechsle - sofern möglich - auf die neueste Version von Mac OS X. Die erhöhten Sicherheitsanforderungen werden ausschließlich von "Lion" abgedeckt, da kann der Schnee-Leopard einfach nicht mehr mithalten. Weitere Sicherheitsfeatures wie ASLR (Address Space Layout Randomization) oder das Sandboxing für Programme wurden für Lion ebenfalls überarbeitet oder stark erweitert:

ASLR und der so genannte Freispeicherschutz ist mit diesem Release nun auch für die große Anzahl 32-Bit-Applikationen nutzbar. Technisch betrachtet sorgt ASRL dafür, dass Programmen zufällig beim Start ein Adressraum zugewiesen wird - das reduziert das Risiko von Angriffen durch gezielte Pufferüberlaufattacken. Während Microsoft ASRL bereits mit Windows Vista komplett umsetzte, ist Apple nun mit Lion technisch nachgezogen.

Das Sandboxing grenzt indes die Operationen ein, die ein Programm ausführen kann: Dazu gehören beispielsweise das Öffnen von Dokumenten oder der Zugriff auf Netzwerke. Es schützt so das Betriebssystem. Sandboxing macht es im Falle einer Sicherheitsbedrohung schwieriger, ein Problem in einem bestimmten Programm auszunutzen, um so das gesamte System zu beeinträchtigen. (sh)