Sicheres Netzwerk unter OS X

Grundkurs: Netzwerk-Sicherheit für Mac-Anwender

Netzwerk-Sicherheit unter Mac OS X. Verbindet man alle Geräte im Haus mit dem Internet, macht man diese auch angreifbar. Doch ein paar Handgriffe verbessern die Sicherheit. WIr erklären, was Mac-Anwender beachten müssen.
Von   Uhr

So praktisch es ist, Geräte zu Hause zu vernetzen und mit den grenzenlosen Weiten des Internets zu verbinden, so sehr präsentiert man damit auch offene Flanken und wirft die Frage nach der Sicherheit auf. Wie einfach ist es also, sich in fremde Netze zu schleichen? Wie sicher ist man im Internet unterwegs? Und was kann man tun, um sein Netz sicher zu machen und seine Daten zu schützen?

Bedrohungsszenarien

Die Sicherheit des Netzwerks ist auf vielen Ebenen ein Problem: Attacken können theoretisch im lokalen Netzwerk oder von außen aus dem Internet passieren. Der lokale Angriff erfordert die physische Präsenz des Angreifers, der bei der Nutzung des Internets überall auf der Welt sitzen kann. Verschieden ist aber auch der potenzielle Schaden: Während die meisten Menschen ihre Rechner und Geräte gegenüber dem Internet wenig oder gar nicht öffnen, stehen im lokalen Netz hingegen File Server und alle möglichen Dienste sorglos offen – im Vertrauen darauf, dass diese vom Internet abgeschirmt sind.

Und es gibt noch zwei Fälle zu unterscheiden, nämlich ob man zufälliges Opfer eines Angriffs wird oder jemand gezielt eine bestimmte Person ausspähen möchte. Im Gegensatz zu dem, was man in manch schlechtem Film sehen kann, ist Letzteres aber gar nicht so einfach: Zwar kann fast jeder sehen, welche Spuren man in sozialen Netzen, Foren und an anderen Stellen hinterlässt, aber der direkte Zugriff auf geschützte Daten einer bestimmten Person ist keineswegs trivial und erfordert entweder das Ausnutzen von Schwachstellen in der Software von Servern, Routern und Diensten oder aber den Einsatz von Spionagesoftware in Form von Trojanern oder Ähnlichem. Sehr viel wahrscheinlicher ist, dass man zu einem zufälligen Opfer wird. Jemand sucht nach offenen Netzen und guckt, was er dort finden kann.

Innere Sicherheit

Lokale Netzwerke basieren fast immer auf einer Mischung aus kabelbasierten Ethernet-Anschlüssen und einem WLAN für Geräte wie Smartphones und dergleichen. Geht es um die Abhörsicherheit, hat das Kabel die Nase weit vorn: Wer hier lauschen will, muss sich schon physikalisch Zugriff verschaffen. Das WLAN hingegen kann jeder in der Nähe empfangen und da anders als beim Ethernet Verbindungen zwischen zwei Geräten nicht durch einen Switch vom Rest abgekoppelt werden können, lässt sich das WLAN potenziell belauschen.

Für wichtige und geheime Dinge sollte man folglich immer einen Rechner nutzen, der per Kabel direkt mit dem Router verbunden ist, und das WLAN nur für die unwichtigeren Dinge. Wer ein WLAN aufspannt, sollte die WPA-Verschlüsselung nutzen und ein möglichst komplexes Passwort. Das hilft zumindest gegen Leute, die vor der Tür parken und ein leicht zu knackendes WLAN in der Nachbarschaft suchen – man muss nur etwas sicherer sein als die Nachbarn. Und man sollte keine überflüssigen Freigaben auf den lokalen Rechnern öffnen und beispielsweise seine Dateien ohne Passwort zugänglich machen.

Sichere Passwörter

Nein, der Name des Haustiers ist kein sicheres Passwort. Wähle nichts, was man im Lexikon findet, sondern beispielsweise die Anfangsbuchstaben eines Satzes, den du dir leicht merken kannst, und mische möglichst Groß- und Kleinschreibung.

Äußere Anwendungen

Während es einigermaßen unwahrscheinlich ist, dass sich wirklich jemand in lokale Netze hackt, dauert es nach der Verbindung mit dem Internet meistens nicht lange, bis von irgendwo die ersten Suchprogramme versuchen, Zugang zum Router zu erlangen und offen liegende Angriffsziele zu erspähen. Typischerweise suchen die Agenten nach bekannten Schwachstellen wie zum Beispiel veralteten Router-Firmwares und vom Nutzer nicht veränderten Standardpasswörtern. Gelingt der Zugriff auf den Router, kann der Angreifer versuchen, an die internen Rechner und andere Geräte zu gelangen, denn er kann sich jetzt wie ein interner Netzteilnehmer aufführen und schauen, was für Freigaben dort geöffnet sind.

Regel Nummer eins ist, unbedingt das Router-Passwort gegenüber der Werkseinstellung zu verändern. Viele, aber nicht alle Router verlangen das ohnehin vom Anwender bei der Inbetriebnahme. Genau wie man es auch bei den Rechnern tut, sollte man auch regelmäßig nach Updates der Router-Firmware suchen, die bekannte Sicherheitslücken stopft. Und wenn es nicht unbedingt sein muss, sollte man die Fernwartung des Routers nicht aktivieren, sodass dessen Benutzeroberfläche nur aus dem lokalen Netzwerk erreichbar ist.

Feuerschutz

Für den Schutz gegen Angriffe aus dem Internet ist eigentlich die Firewall zuständig, wenngleich sie nur einen Teilaspekt abdecken kann. Die „Brandmauer“ beschränkt den Netzzugriff anhand von Regeln, die den Zugriff auf bestimmte Adressen oder Dienste erlauben und verbieten können. Dabei gibt es sowohl „Personal Firewalls“, die auf den Rechnern installiert sind und sich bei OS X in den Sicherheits-Systemeinstellungen verbergen, als auch externe Firewalls, die sich oft im Router finden und den Verkehr für alle Geräte im Netz regeln können.

Firewall-Alternativen

Alternativ zur eingebauten Firewall gibt es kommerzielle Alternativen wie Little Snitch . Die Investition kann sich lohnen, wenn man mehr Komfort und Kontrolle haben oder sehr genau wissen möchte, welches Programm nach Hause telefoniert.

Die OS-X-eigene Firewall ist recht simpel gestrickt und erlaubt oder blockiert Netzzugriffe auf bestimmte Programme in einer Liste, statt sich wie normale Firewalls an IP-Adressen oder Ports für bestimmte Dienste zu orientieren. Immerhin führt das zu einer sehr simplen Bedienung: Man fügt Programme, denen man erlauben oder verbieten möchte, auf Anfragen von außen zu reagieren, der Liste hinzu. Zusätzlich gibt es die Option, offiziell signierter Software Verbindungen grundsätzlich zu erlauben oder alles zu sperren. Im Zweifel fragt die Firewall den Anwender, was sie tun soll. 

Workshop: Sicherheit für Router und WLAN

Die persönliche Firewall schützt natürlich nur den jeweiligen Rechner, aber keine anderen Geräte im Netz. Dafür eignet sich – falls vorhanden – die Firewall-Funktionalität des Routers besser. Bei den Fritzbox-Modellen beispielsweise lassen sich Listen von Internet-Adressen, aber auch von Diensten verwalten, die sich gezielt erlauben oder sperren lassen. Daraus lassen sich etwa Profile generieren, die einzelnen Geräten zugeordnet werden können, denn man muss ja beispielsweise Smart-Home-Geräten nicht das Gleiche erlauben wie Rechnern.

So prima das alles klingt, so frustrierend ist das Arbeiten hinter Firewalls manchmal auch: Wenn Spiele oder Chat-Programme nicht laufen mögen, ohne dass man die Regeln anpasst oder man bei jeder Fehlfunktion auf die Firewall tippt, schaltet man sie oft lieber ab. Und gegen Schadsoftware auf dem Rechner, die sich gut verstellen kann, hilft oft auch die Firewall nicht. Firewalls können nur ein Teil des Sicherheitskonzepts sein, der Rest muss immer auch aus Vorsicht und gesundem Menschenverstand bestehen.

Auch die meisten Router wie hier die Fritzbox bringen eine sehr wirkungsvolle Firewall mit.
Auch die meisten Router wie hier die Fritzbox bringen eine sehr wirkungsvolle Firewall mit.

Workshop: OS-X-Firewall nutzen

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Grundkurs: Netzwerk-Sicherheit für Mac-Anwender" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.