Kein Benutzer möchte sich um Unzulänglichkeiten von Programmfehlern kümmern oder sich mit den Auswirkungen maligner Software herumschlagen. Windows-Benutzer können davon ein Lied singen: Keine Antivirensoftware installiert, automatische Updates ausgeschaltet oder wohlmöglich die Firewall deaktiviert und schon lässt Windows seinen Anwender nicht mehr in Ruhe und peinigt sie mit ständigen Pop-ups.
Die "saubere" Apple-Welt
In der "sauberen Welt" von Apple hat der User mit alldem nichts zu tun. In der Standardinstallation findet er in der Regel die folgende Situation vor:
-
Eine Firewall ist zwar vorhanden, aber prinzipiell bei Auslieferung ausgeschaltet;
-
Die Anmeldung ohne Passwort ist die Regel;
-
und Virenschutz ist was für Windows-Benutzer.
Wenn Graham Cluely, Sicherheitsexperte bei Sophos, im Unternehmensblog "Naked Security" vor einer neu entdeckten Malware auf dem Mac schreibt, so muss sich das nach Meinung viele OS-X-Anwender dann wohl um eine Ausnahme handeln. Dabei ist die auf den Namen OSX/Tsunami A getaufte Schadsoftware eine Variante des Linux-Backdoor-Schädlings Troj/Kaiten, der schon seit 2002 in Umlauf ist. Der Tsunami-Trojaner hat seinen Namen von seinem Haupteinsatzzweck: Er überflutet von gekaperten Macs aus bestimmte Web-Seiten mit Seitenaufrufen und versucht sie über diesen Weg zum Absturz zu bringen. Leider sind Programme wie OSX/Tsunami keine Ausnahme - es gibt eine ganze Reihe von Trojaner und Viren, die auch Apple Mac OS X Computer befallen können und dies auch tun.
Nicht nur für Windows: Antivirus-Software
Deshalb gilt auch für Apple-Nutzer: Es ist einfacher und deutlich billiger, ein Antiviren-Programm zu installieren, als eine zeitraubende Neuinstallation des Computers durchführen zu müssen. Der Anbieter Sophos stellt seine Antivirenlösung für Macintosh für Heimanwender sogar kostenlos zum Download bereit. Wer noch mehr Möglichkeiten benötigt und ganz sicher gehen will, findet bei den meisten anderen bekannten Anbieter von Sicherheitssoftware ebenfalls gut ausgereifte Programme: So bietet beispielsweise die auf unseren Testgeräten zum Einsatz kommende "Eset Cypersecurity"-Lösung die Möglichkeit, auch andere Betriebssysteme auf dem Apple-Rechner (wie etwa eine Windows-7-Version via Boot Camp) ebenfalls mit zu schützen.
Neues Betriebssystem bringt mehr Sicherheit
Was für allen anderen Betriebssystem gilt, gilt auch für das Mac OS von Apple: Ein Update auf eine neue Version des Betriebssystems bringt in der Regel auch ein deutliches Mehr an Sicherheit. Bei Apple heißt diese aktuelle noch ziemlich neue Version Mac OS X Lion (Version 10.7).
Auf den ersten Blick mögen die Neuerungen, die Apple dort eingebaut hat, eher oberflächlich wirken. So wird in der Internet-Mac-Gemeinschaft hauptsächlich über den Sinn oder Unsinn der immer IOS-ähnlichen Eingabehilfen diskutiert. Nicht wenige Anwender outen sich als "Update-Muffel", versuchen den Wechsel möglichst zu verzögern und schwören dem Vorgängersystem "Schnee-Leopard" die Treue. Aber gerade aus der Sicherheitsperspektive heraus betrachtet, ist das keine so gute Idee: Anbieter Apple hat tief deutliche Verbesserungen und Erweiterungen an verschiedenen Sicherheits-Features vorgenommen und unterstreicht sein Ansinnen, endlich auch im professionellen IT-Umfeld zu punkten. Wir zeigen hier die fünf wichtigsten Neuerungen, die helfen, Sicherheit der Apple OS X-Systeme zu verbessern - wenn sie entsprechend konfiguriert und genutzt werden.
Interne Laufwerke verschlüsseln
Es dürften in erster Linie die Besitzer von Macbooks sein, die auf eine Verschlüsselung ihrer Daten besonders angewiesen sind. Kommt das begehrte Stück einmal in die falschen Hände, droht der Verlust von wichtigen Informationen. Auf allen bisherigen Versionen von Mac OS X waren die Anwender lediglich dazu in der Lage, den Benutzerordner per "File Vault" zu verschlüsseln. Lion erweitert diese Verschlüsselung auf das gesamte Laufwerk - egal, ob es dabei um eine SSD oder eine traditionelle Festplatte handelt.
Auch das Zusammenspiel von Verschlüsselung und Backup-Software "Time Machine" konnte in früheren Versionen von Mac OS X als "verbesserungswürdig" eingestuft werden. Nun arbeitet die Datensicherung der Time Machine wie gewohnt im Abstand von einer Stunde, um die Daten zu sichern. Eine Abmeldung am System, wie noch unter Snow Leopard üblich, ist nun für das Backup bei aktiver Verschlüsselung nicht mehr notwendig. Solange die Verschlüsselung auf dem System aktiv ist, verhindert Mac OS X Lion zudem, dass der Mac ohne Passwort aus dem Bildschirmschoner- oder Ruhezustand erwacht. Wird die interne Festplatte, auf der das Betriebssystem installiert ist, ebenfalls verschlüsselt, so fordert Mac OS X Lion die Eingabe des Passworts direkt nach dem Einschalten an. Erst nach einer korrekten Eingabe des Passworts startet das eigentliche Betriebssystem. Anwender, die diese Features bisher nutzen wollten, mussten zu anderen Lösungen wie Truecrypt greifen, um eine entsprechende Sicherheit zu erreichen.
Alle Einstellung findet der Benutzer in den Systemeinstellungen unter "Sicherheit". Der Wiederherstellungsschlüssel kann entweder lokal ausgedruckt oder bei Apple abgelegt werden. Das Unternehmen rückt den Schlüssel jedoch nur dann wieder heraus, wenn drei personifizierte Fragen im Stil "Mädchenname der Mutter" korrekt beantwortet werden können. Der Zugriff auf das Speichermedium ist nur noch mithilfe des Benutzerpassworts oder des Sicherheitscodes möglich. Dies ist natürlich auch dann der Fall, sofern jemand versucht, die Platte an einem anderen Mac zu starten. Nach dem Einschalten von "File Vault" und einem Neustart können die Anwender normal weiterarbeiten, denn das System erledigt die Verschlüsselung im Hintergrund. Dies kann allerdings je nach Größe der Festplatte oder SSD durchaus etliche Stunden dauern.
Externe Laufwerke verschlüsseln
Externe Laufwerke sowie USB-Sticks konnten bisher bei den OS X-Systemen nur mit Lösungen von Drittanbietern verschlüsselt und damit vor unbefugtem Zugriff geschützt werden. Dies hat sich mit Lion geändert - mit Hilfe des Festplatten-Dienstprogramms ist der Anwender in der Lage, das externe Medium so zu formatieren, dass es in einem verschlüsselten Format angelegt wird. Alle zuvor auf dem Medium gespeicherten Daten gehen dabei natürlich verloren. Der Vorgang selbst ist kinderleicht zu bewerkstelligen:
-
Im Festplatten-Dienstprogramm in der linken Liste den gewünschten Datenträger auswählen und
-
in das Register "Löschen" wechseln.
-
Danach muss der Anwender in der Einstellung "Format" eine Option wie "Mac OS Extended (Journaled, Verschlüsselt)" auswählen und das Passwort für die Verschlüsselung eingeben.
Eine grafische Darstellung zeigt ihm an, ob das gewählte Passwort sicher ist. An dieser Stelle haben wir im Test einen Bug entdeckt: Sobald wir versuchen, mehr als achtmal eine "1" einzugeben, stürzte das Festplatten-Dienstprogramm reproduzierbar ab. Auch wenn dieses Passwort alles andere als sicher ist, so haben wir den Bug dennoch an Apple über die entsprechenden Bordmittel gemeldet - Abstürzen sollte das Programm schließlich auf keinen Fall.
Wird der verschlüsselte Datenträger an einem Mac-OS-X-Lion-Rechner angeschlossen, wird der Benutzer zur Eingabe des Passworts aufgefordert. Ältere Mac-Betriebssysteme, die noch eine sehr lange Zeit die Mehrheit darstellen dürften, zeigen dann aber lediglich in einem Hinweisfenster an, dass sie das Medium nicht öffnen können.
Interessanterweise ist dem Benutzer mit Mac OS nicht möglich, die Verschlüsselung zu entfernen, ohne dass ihm dabei alle Daten verloren gehen. Das Festplatten-Dienstprogramm erlaubt es lediglich, die Platte in einem unverschlüsselten Format wieder zu formatieren. Das können dann aber glücklicherweise aber auch die Benutzer älterer Mac-OS-Versionen. Trotzdem halten wir es für einen echten Schwachpunkt, dass der Anwender die Verschlüsselung nicht einfach wieder entfernen kann - das hat Microsoft mit "Bitlocker to Go" weitaus besser gelöst.
Time Machine verschlüsselt
Wenn der Nutzer alle Daten verschlüsseln kann, darf auch ein Backup nicht ungeschützt bleiben. Der typische Mac-Benutzer verwendet für die Datensicherung das kostenfreie und in den meisten Fällen vollkommen ausreichende "Time Machine"-System von Apple. Um auch hier die Verschlüsselung zu aktivieren, muss er im Dialogfenster der "Time Machine" lediglich ein Backup-Kennwort einrichten.
Die Software beginnt dann mit der Verschlüsselung, sobald die erste Sicherheitskopie auf dem Backup-Laufwerk angelegt wird. Der Vorgang ist automatisch im Hintergrund aktiv und dauert je nach Laufwerksgröße einige Zeit. Die Verschlüsselung von File Vault 2 ist jedoch laut Apple auf externe USB- oder FireWire-Laufwerke begrenzt. Über iSCSI eingebundene Laufwerke verhalten sich hier wie lokale Festplatten und können entsprechend verschlüsselt werden. Leider existiert auch hier wieder eine Ausnahme: Backups auf die Time Capsule oder andere über Netzlaufwerk zu erreichende Medien können über diesen Vorgang laut Hersteller nicht verschlüsselt werden.
Schließt der Benutzer das Laufwerk mit einem verschlüsselten Backup an einen Mac an, auf dem Mac OS X Lion installiert ist, wird automatisch nach dem Administrator-Passwort gefragt, um das Backup-Volume zu aktivieren und zu entschlüsseln. Ohne die korrekte Passworteingabe erscheint das Laufwerk erst gar nicht in der Finder-Übersicht. Bei einem älteren Mac entfällt jegliche Nachfrage, das Volume wird folglich nicht im Finder angezeigt und lässt sich auch nicht im Festplatten-Dienstprogramm aktivieren, ohne es wiederum komplett zu löschen. Hier lassen die Sicherheitsvorstellungen der Apple-Entwickler doch etwas den Praxisbezug vermissen.
Nützliche Firewall-Ergänzungen
Alle Versionen von Mac OS verfügen über die traditionelle Unix-basierte Firewall mit dem Namen "ipfw". Die Sofware ipfw prüft eingehende Pakete gegenüber einem zu hinterlegenden Regelsatz und entscheidet dann, ob das Datenpaket angenommen wird oder nicht. Damit handelt es sich hier um eine klassische Paket-Filter-Firewall, die auf Basis von Ports und IP-Adressen arbeitet. Seit Leopard gibt es eine weitere als "Application Filter" bezeichnete Firewall, die über die Systemsteuerung im Abschnitt "Sicherheit" Programmen den Zugriff auf das Netzwerk erlaubt oder verbietet. Leider ist keine der beiden Firewalls in der Standardauslieferung von Apple aktiviert - der Benutzer muss sich selbst um die Sicherheit seines Systems kümmern.
Ein weiterer Nachteil: Die Standard-Firewalls von Mac OS X prüfen nur den eingehenden Netzwerkverkehr, da macht auch Lion keine Ausnahme. Während in den jüngsten Versionen von Linux-Distributionen und dem Windows-System auch der ausgehende Datenverkehr überwacht wird, muss eine derartige Sicherheit unter Mac OS mit Zusatzprogrammen realisiert werden. Die Programme "LittleSnitch 2.x" und "Hands Off! 1.1.x" sind zwei kostenpflichtige Lösungen, die zusätzliche Features anbieten. Dazu gehört beispielsweise die Möglichkeit, nur bestimmten Programmen Schreibrechte einzuräumen. Aber hier stehen dem interessierten Anwender kostenlose Erweiterungen sind "Noobproof 1.4", "Waterproof" und "TCPBlock 2.8".
Bei "Noobproof" handelt es sich beispielsweise nicht um eine eigenständige Lösung, sondern um einen grafischen Assistenten für die leistungsfähige "ipfw"-Firewall. Ipfw ist mehr als nur eine einfache Firewall und besteht aus den sieben Komponenten: Paketfilter, Logging, Network Address Translation, Traffic-Shaping, Forwarding, Bridge und Stealth. Diese Software wurde ursprünglich Anfang 2000 von Daniel Boulet für das Unternehmen Berkeley Software Design Incorporated programmiert. Bei so vielen Modulen und einer solchen Historie ist eine große Anzahl von Einstellungsoptionen nur logisch. Noobproof erleichtert dem Firewall-Neuling diese Einrichtung deutlich. Leider wird Noobproof nur in der Version 1.4 für Mac OS 10.5 und 10.6 oder Version 1.2 für Mac OS 10.4 (Tiger) angeboten. Lion-Benutzer müssen entweder ipfw über Einträge in den etc-Dateien manuell konfigurieren oder greifen zu "Waterproof".
Standard-Firewall kostenlos erweitern
Die kostenlose Firewall TCPBlock überwacht auch ausgehende Verbindungen von Programmen auf dem Mac und ist somit eine Ergänzung zur Standard-Firewall des Betriebssystems, die lediglich eingehende Verbindungen beobachtet und diese gegebenenfalls blockt. Nach der Installation von TCPBlock und einem Neustart greift der Benutzer über die Systemeinstellungen auf TCPBlock zu. Er kann dann die Verhaltensweise der Firewall über White- und Blacklists für einzelne Programme definieren, da TCPBlock ansonsten bei jedem Programmstart zuvor um Erlaubnis fragen würde. In dem Tab "Connecting Apps" sieht er zudem die aktuelle Netzwerkaktivität in Echtzeit. Profi-Benutzer können über Kommandozeilen-Aufrufe eine feinere Steuerung und Überwachung erzielen und die Firewall in das Growl-Benachrichtigungssystem einbinden.
Unser Tipp: WerMacOS X-Systeme in einem professionellen Umfeld einsetzen will oder muss, sollte eine Firewall wie TCPBlock auf den Systemen installieren und betreiben, um einen entsprechenden Sicherheitsstandard zu erreichen.
Auch der Papierkorb ist gesichert
Zum Abschluss möchten wir noch eine kleine Änderung vorstellen, die jedoch an sich extrem spannend ist: Der Finder von Mac OS X Lion erlaubt mit dieser Betriebssystemversion nun auch das Zurücknehmen von bis zu vier Arbeitsschritten. Wie bei der Bearbeitung von Office-Dokumenten ist der Anwender somit in der Lage, mehrere Änderungsschritte zurückzunehmen. Nach der ersten Freude gerät der sicherheitsbewusste Systembetreuer jedoch ins Schwitzen: Was ist mit dem Papierkorb? Glücklicherweise haben die Entwickler und Produkt-Manager in Cupertino den Papierkorb von der Rücknahme von Schritten ausgenommen. Insgesamt verhält sich Apple mit dem Papierkorb wahrlich vorbildlich: Wie genau es dieser Papierkorb beim Löschen von Dateien nehmen soll, kann der Benutzer sehr genau steuern.
Fazit: Nur Löwen sind sicher
Das Fazit dieser kurzen Betrachtung kann nur lauten: Lieber Benutzer, wechsle - sofern möglich - auf die neueste Version von Mac OS X. Die erhöhten Sicherheitsanforderungen werden ausschließlich von "Lion" abgedeckt, da kann der Schnee-Leopard einfach nicht mehr mithalten. Weitere Sicherheitsfeatures wie ASLR (Address Space Layout Randomization) oder das Sandboxing für Programme wurden für Lion ebenfalls überarbeitet oder stark erweitert:
ASLR und der so genannte Freispeicherschutz ist mit diesem Release nun auch für die große Anzahl 32-Bit-Applikationen nutzbar. Technisch betrachtet sorgt ASRL dafür, dass Programmen zufällig beim Start ein Adressraum zugewiesen wird - das reduziert das Risiko von Angriffen durch gezielte Pufferüberlaufattacken. Während Microsoft ASRL bereits mit Windows Vista komplett umsetzte, ist Apple nun mit Lion technisch nachgezogen.
Das Sandboxing grenzt indes die Operationen ein, die ein Programm ausführen kann: Dazu gehören beispielsweise das Öffnen von Dokumenten oder der Zugriff auf Netzwerke. Es schützt so das Betriebssystem. Sandboxing macht es im Falle einer Sicherheitsbedrohung schwieriger, ein Problem in einem bestimmten Programm auszunutzen, um so das gesamte System zu beeinträchtigen. (sh)