Malware auf dem Mac

Apple-Viren - Gefahr für Mac und Windows

Sicherheit trotz Sharing

Als Betriebssystem ist Mac OS X ist ab Werk relativ sicher. Das liegt vor allem daran, dass Netzdienste (in den Systemeinstellungen unter „Sharing“) deaktiviert sind. Wir prüfen, welche Dienste einigermaßen sicher und welche möglicherweise gefährlich sind.

In den Systemeinstellungen unter „Sharing“ legt man fest, ob (und wenn ja, wie) Mac OS X auf Anfragen aus dem Netz antwortet (das kann das lokale Netz in einer Firma sein oder das globale Internet). Jeder dort aktive „Dienst“ braucht mindestens ein Hintergrundprogramm, das auf entsprechende Anfrage aus dem Netz aktiv wird. Oder anders formuliert: Wer „Printer Sharing“ aktiviert, stellt damit einen Drucker, der über USB am Mac angeschlossen ist, anderen Benutzern im Netz zur Verfügung.

Komfort oder Sicherheit?: Abschalten der Dienste macht den Mac zwar sicherer, allerdings fehlen dann viele Funktionen.
Komfort oder Sicherheit?: Abschalten der Dienste macht den Mac zwar sicherer, allerdings fehlen dann viele Funktionen.

Solange dieser Dienst aktiv ist, wartet im Hintergrund die Unix-Software cups auf Anfragen anderer Benutzer. Beim Druck ist dann keine Autorisierung notwendig: Ein anderer Mac kann auf einem „freigegebenen“ Drucker ohne Angabe von Benutzername und Kennwort drucken.

Relativ ungefährlich sind folgende Dienste

PRINTER-SHARING Das dazugehörige Hintergrundprogramm cups wird regelmäßig aktualisiert; Sicherheitslücken regelmäßig geschlossen.

WEB-SHARING Dahinter steckt der Webserver Apache, von dem Apple in Mac-OS X eine nicht ganz aktuelle Version verwendet. Da Sicherheitslücken aber regelmäßig geschlossen werden, ist die damit verbundene Gefahr relativ gering.

ENTFERNTE ANMELDUNG Gemeint ist der Unix-Dienst ssh (= „secure shell“), dessen Hintergrundprogramm als gut geschützt gilt. Wenn aber zum Beispiel ein Benutzer namens „admin“ eingerichtet ist und das Kennwort leer ist oder „admin“ lautet, dann wird die „Entfernte Anmeldung“ zum offenen Tor: Mit dieser leicht zu erratenden Kombination aus Benutzername und Kennwort kann jeder die komplette Kontrolle über den Mac übernehmen. Sicher ist dieser Dienst nur, wenn das Kennwort schwer zu erraten ist.

SCREEN-SHARING, ENTFERNTE VERWALTUNG Beide Dienste greifen auf Apples Software Remote Desktop zurück; in den Optionen lässt sich außerdem das Hintergrundprogramm VNC aktivieren. Wie bei der entfernten Anmeldung ist die Sicherheit dieses Dienstes von der Qualität des Kennwortes abhängig. Manche Experten halten VNC für weniger sicher als Apple Remote Desktop; wir raten dazu, diese Option nur zu aktivieren, wenn die Arbeit mit Apple Remote Desktop nicht möglich ist.

Kritisch sehen wir die Dienste

FILESHARING Filesharing ist ein Sammelbegriff für Dienste, die den Zugriff auf die Festplatte des Mac erlauben (oder auf einzelne „freigegebene“ Ordner). Seit Mac-OS X 10.5 wird das Kennwort für Filesharing nicht mehr im Klartext übertragen; ist also für andere Personen im gleichen Netz nicht mehr ohne weiteres lesbar. Doch das gilt nur, wenn man weder FTP- noch SMB-Sharing aktiviert. Bei diesen beiden Diensten wird das Kennwort weiter im Klartext übertragen – deshalb sollte man diese Zugriffsart nur in einem gut geschützten Firmennetz aktivieren und speziell bei einem Notebook auf Reisen abschalten. Ganz generell empfehlen wir bei Filesharing den Gastzugriff abzuschalten.

INTERNET-SHARING Damit wird ein Mac zum Router; sprich: der Mac nutzt beispielsweise Airport, um ein weiteres Gerät in das drahtgebundene Ethernet zu bringen. Damit muss der Mac aber alle Daten von einem Anschluss zum anderen transportieren, wobei immer die Gefahr der Überlastung besteht. Bislang konnte man diese Funktion immer wieder dazu nutzen, bei extremer Überlastung oder bei einem Fehler in der Transportsoftware (= „routed“) beide Internet-Verbindungen lahm zu legen.

BLUETOOTH-SHARING Für den Betrieb einer drahtlosen Maus oder Tastatur muss Bluetooth-Sharing nicht aktiv sein. Notwendig ist die Funktion nur, wenn man beispielsweise Dateien zwischen einem Handy und dem Mac übertragen will. Wir empfehlen Bluetooth-Sharing nur zu aktivieren, wenn wirklich Daten übertragen werden und danach wieder auszuschalten. Außerdem sollte man generell festlegen, dass der „Verbindungsaufbau nötig“ ist – denn dann muss man das Bluetooth-Gerät mindestens einmal bei Mac-OS X anmelden und registrieren, damit die Kommunikation funktioniert.

ENTFERNTE APPLE-EVENTS Dieser Dienst erlaubt die Fernsteuerung eines Mac von einem anderen aus; benutzt werden dabei Applescript-Befehle. Nach der Eingabe von Benutzername und Kennwort erhält man bei der Fernsteuerung keine weiteren Informationen, dass der Mac gerade im Hintergrund Befehle eines anderen Rechners ausführt. Deshalb empfehlen wir dringend diesen Dienst nur einzuschalten, solange man diese Funktion benötigt.