Sichererer Mac

Grundlegende Tipps zu mehr Sicherheit unter macOS

macOS bietet viele Möglichkeiten, den Zugriff auf den Rechner zu kontrollieren und die Sicherheit privater Daten zu gewährleisten. Man muss sie nur nutzen, denn viele sind zunächst nicht aktiv. Wir geben Tipps, wie Sie die Sicherheitseinstellungen verbessern und dabei beispielsweise Filevault oder die macOS-interne Firewall einschalten und Ihre Festplatte verschlüsseln, sowie das Nutzerkonto mit einem Passwort versehen.

Von   Uhr

Mit Passwort anmelden

Die einfachste Maßnahme zum Schutz von Rechner und Daten ist die Anmeldung mit Name und Passwort. Um die automatische Anmeldung nach dem Start des Rechners auszuschalten, öffnen Sie „Benutzer & Gruppen“ in den Systemeinstellungen. Dort wählen Sie unter der Liste der Benutzer „Anmeldeoptionen“. Dann klicken Sie unten links im Fenster auf das Schloss, um die Einstellungen zu entsperren. Weisen Sie sich als Administrator aus. Anschließend wählen Sie oben im rechten Teil des Fensters im Menü „Automatische Anmeldung“ die Einstellung „Deaktiviert“. Darunter können Sie nun noch wählen, ob macOS zur Anmeldung die verfügbaren Benutzer anzeigt oder ob Name und Passwort eingegeben werden müssen. Generell gilt, je weniger Infos ein Unbefugter hat, umso schwerer fällt ihm der Zugang. Das bedeutet auch, dass man die „Merkhilfe“ abschaltet oder zumindest so unverbindlich formuliert, dass sie einem Fremden nicht beim Erraten des Passworts hilft.

Systemeinstellungen für Benutzer und Gruppen
Systemeinstellungen für Benutzer und Gruppen (Bild: Screenshot)

Ruhezustand schützen

Viele Anwender schalten ihren Mac gar nicht mehr aus, sondern lassen ihn schlafen. Deshalb sollte man nicht vergessen, den Ruhezustand ebenfalls zu schützen. Ob zum Aufwecken des Mac das Passwort erforderlich ist, legen Sie in den Systemeinstellungen unter „Sicherheit“ fest. Sie können per Menü wählen, wie schnell die Abfrage erfolgen soll. Die Auswahl reicht von sofort bis 8 Stunden. Empfehlenswert ist eine kurze Zeit, maximal 5 oder 15 Minuten. Der Passwortschutz gilt auch für das Beenden des Bildschirmschoners.

Systemeinstellungen > Sicherheit > Allgemein
Systemeinstellungen > Sicherheit > Allgemein (Bild: Screenshot)

Passwort wählen

Der Bildschirmschoner ist heutzutage eher Dekoration. Er eignet sich allerdings in Verbindung mit dem Passwort für Ruhezustand und Bildschirmschoner prima, um den Rechner in kurzen Pausen schnell zu schützen: Richten Sie in den Einstellungen für „Schreibtisch & Bildschirmschoner“ eine „aktive Ecke“ ein. Fahren Sie dann mit der Maus dorthin, startet der Bildschirmschoner sofort.

Systemeinstellungen > Sicherheit > Filevault
Systemeinstellungen > Sicherheit > Filevault (Bild: Screenshot)

FileVault aktivieren

Trotz Passwortschutz liegen die Daten unverschlüsselt auf der Festplatte. Nimmt ein Dieb Rechner oder Festplatte mit, kann er ohne großen Aufwand auf die Daten zugreifen. Hier sorgt die FileVault-Funktion in den Sicherheitseinstellungen für Schutz. Mit ihr lässt sich der komplette Benutzer-Account verschlüsseln, genauer, auf ein verschlüsseltes Image übertragen. Ohne Passwort geht dann nichts mehr. Als Hintertür können Sie das Konto wahlweise über Ihr iCloud-Konto oder einen bei der Aktivierung von FileVault generierten Wiederherstellungsschlüssel entsperren. Apple kann die Verschlüsselung nicht aufheben.

Automatisch abmelden: Als Ergänzung zu FileVault können Sie die automatische Abmeldung aktivieren. Klicken Sie in den Sicherheitseinstellungen unten auf „Weitere Optionen“, können Sie die Funktion einschalten und wählen, nach wie viel Minuten Inaktivität die Abmeldung erfolgen soll. Beim Schließen des Kontos wird auch das verschlüsselte FileVault-Image wieder geschlossen.

Passwort wählen

Für einen effektiven Schutz dürfen Passwörter nicht leicht zu erraten oder in Wörterbüchern nachschlagbar sein (auch nicht zerlegt). Sie sollten daher Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. Die Mindestlänge hängt vom Einsatzzweck ab. Am Rechner reichen in der Regel schon 10 Zeichen. Für iCloud und iTunes-Konto empfehlen sich schon eher 12 bis 14 Zeichen. Bei zu vielen Falscheingaben wird das Konto allerdings zu Ihrem Schutz gesperrt. Beim WLAN-Passwort bleiben Einbruchsversuche dagegen unbemerkt. Hier sind eher 14 oder besser 16 Zeichen angesagt.

Systemeinstellungen > Sicherheit > Allgemein
Systemeinstellungen > Sicherheit > Allgemein (Bild: Screenshot)

Software aus dem Web installieren

Apple hat in Sierra die Einstellungen für die App-Überwachung Gatekeeper verschärft. In den allgemeinen Sicherheitseinstellungen haben Sie nur noch die Auswahl, Apps-Downloads für „App Store“ und „Verifizierte Entwickler“ zu erlauben. Die Einstellung „Keine Einschränkungen“ für beliebige Software fehlt. Um Missverständnissen vorzubeugen: Apple hat damit nicht die Installation freier Software unterbunden, sondern sorgt dafür, dass bei deren Installation immer eine Bestätigung nötig ist. Wollen Sie zum Beispiel nach der Neueinrichtung eines Mac sehr viele freie Apps installieren, können Sie den alten Zustand wiederherstellen. Dazu geben Sie im Terminal den Befehl „sudo spctl --master-disable“ ein. Dadurch steht beim nächsten Start der Systemeinstellungen wieder die Option „Keine Einschränkungen“ zur Verfügung. Sie sollten sie aber nur vorübergehend nutzen. Mit „sudo spctl --master-enable“ blenden Sie die Option wieder aus.

Festplattendienstprogramm
Festplattendienstprogramm (Bild: Screenshot)

Daten verschlüsseln

Manchmal muss man nicht gleich die große FileVault-Keule auspacken und den ganzen Account verschlüsseln. Oft reicht es, nur ausgewählte Daten besser zu schützen. Dafür kann man zum Beispiel ein verschlüsseltes Image anlegen oder eine externe Festplatte verschlüsseln. Hierzu öffnen Sie das Festplatten-Dienstprogramm. Mit dem Menübefehl „Ablage > Neues Image > Leeres Image“ können Sie ein virtuelles Volume anlegen. Dabei können Sie neben der Eingabe von Name, Größe und Format auch eine AES-Verschlüsselung aktivieren. Für den Hausgebrauch reichen 128 Bit, besonders sensible Daten sichert man mit 256 Bit. Um ein ganzes Volume zu verschlüsseln, löscht man es und wählt dabei als Dateiformat „Mac OS Extended (Journaled, verschlüsselt)“. Das Verschlüsseln externer Speicher ist auch als Ergänzung zu FileVault sinnvoll. Vor allem das Time-Machine-Volume darf man nicht vergessen, da die Daten des Benutzers sonst unverschlüsselt gesichert werden. Die Verschlüsselung des Backups lässt sich in den Einstellungen für Time Machine bei der Auswahl des Volumes aktivieren.

Freigaben
Freigaben (Bild: Screenshot)

Freigaben ausschalten

Wird Ihr Mac nicht durch eine Firewall geschützt und ist aus dem Netz erreichbar, sollten Sie bedenken, dass jeder aktive Dienst ein potenzielles Ziel für Angreifer ist. Letztere prüfen, welche Dienste auf Anfragen reagieren, und klopfen Sie systematisch auf vorhandene Schwachstellen ab. Aus diesem Grund sollte man in den Systemeinstellungen für „Freigaben“ immer nur die Dienste laufen lassen, die man tatsächlich gerade braucht. Ganz nebenbei verbessert das Abschalten von Hintergrundprozessen auch Performance und Stromverbrauch.

Systemeinstellungen > Sicherheit > Firewall
Systemeinstellungen > Sicherheit > Firewall (Bild: Screenshot)

macOS-Firewall einschalten

Normalerweise übernimmt der Router die Sicherung des Netzwerks nach außen. Ist der Mac jedoch direkt per DSL mit dem Internet verbunden oder befindet er sich mit anderen Rechnern, die Sie nicht selbst kontrollieren, im lokalen Netz, sollten Sie zum Schutz die macOS-Firewall aktivieren. Sie finden sie unter dem gleichnamigen Reiter in den Sicherheitseinstellungen. Die Firewall filtert alle Anfragen aus dem Netz, wobei Sie App-basiert arbeitet. Klicken Sie auf „Firewall-Optionen“, um den Zugriff auf bestimmte Apps zu erlauben oder zu sperren. Blockieren Sie alle Verbindungen, sind auch die systemeigenen Dienste betroffen.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Grundlegende Tipps zu mehr Sicherheit unter macOS" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Der Teil über FileVault ist ja mal komplett falsch! Scheinbar hat Maclife nicht mitbekommen, dass bereits seit OS X 10.7 (Lion) durch FileVault nicht nur der Benutzer-Account sondern die gesamte Festplatte verschlüsselt wird! Zur Erinnerung: Lion wurde 2011 veröffentlicht!

Genau. Deswegen wird auch der Login bei aktiviertem FileVault direkt nach dem Power On Self Test (POST) und vor dem eigentlichen Boot-Prozess abgefragt. Somit wird das System entschlüsselt, damit alle nötigen Dateien zum Start geladen werden können.

Und fast schon fahrlässig, dass der Artikel nicht das Firmwarepasswort ins Spiel bringt. Ohne FW Passwort kommt man ohne Probleme auf die Recoverypartition, kann dort auch eine verschlüsselte Partition einfach löschen und eine neue Erstellen (Dadurch problemlos z.B. nach Diebstahl wiederverkaufbar) oder bei unverschlüsselten Partitionen einfach die Passwörter ändern und man kommt somit trotzdem ins System und an die Nutzerdaten.

In meinen Augen leidet die Qualität bei MacLife leider schon seit längerem!

Hoppla, da war ich in Gedanken wohl schon beim nächsten Tipp. Es ging mir um den Gegensatz alles zu verschlüsseln mit FileVault oder nur einzelne Daten per Image (ein paar Tipps weiter). Das Problem ist weniger, dass ich nicht gemerkt hab, dass längst der CoreStorage-Volume-Manager zum Einsatz kommt, sondern dass ich es schlicht verdrängt hab, weil das „wie“ für den Vergleich keine Rolle spielt. Peinlich ist es trotzdem, keine Frage.

Ein Firmware-Kennwort ist als ergänzender Schutz vor Angreifern mit mehr Wissen bzw. krimineller Energie sinnvoll. Auch dieser Schutz ist aber angreifbar. Außerdem sind die Daten auf einer verschlüsselten Partition oder einem verschlüsselten Image kein bisschen unsicherer, wenn man auf das FW-Kennwort verzichtet. Letztlich muss man abwägen, ob ein Tipp vielen Lesern nützt oder ob sie sich damit selbst ein Bein stellen können. Nach meiner Erfahrung passiert mit dem Firmware-Schutz gern auch mal Letzteres. Ich unterstelle auch mal, dass aus diesem Grund das Setzen des FW-Passworts ein wenig versteckt ist.

Die Kommentare für diesen Artikel sind geschlossen.