Damit auch aus Ihrem Mac eine schwer einnehmbare Festung wird, gilt es zuerst, den Begriff „Sicherheit“ genauer zu definieren. Für unseren Workshop wollen wir uns sicherheitsrelevante Bestandteile von OS X und Sicherheits-Tools von Drittherstellern auf drei Ebenen ansehen und zeigen, wie sich der Mac auf diesen Ebenen sicherer machen lässt.
Zunächst geht es um Datensicherheit: Wie sorge ich als Anwender dafür, dass Dritte es so schwer wie nur möglich haben, an die Daten auf meiner Festplatte zu kommen? Das kann mit Systemtools wie Filevault funktionieren, oder unter Zuhilfenahme von Open-Source-Programmen wie Truecrypt.
Der zweite Schritt besteht darin, das Surfen im Web – die potenziell größte Gefahrenquelle – abzusichern. Und das sowohl mit technischen Hilfsmitteln als auch mit grundlegenden Verhaltensregeln.
Damit unbefugte Dritte, egal ob krimineller Natur oder im Auftrag von irgendwelchen Geheimdiensten, keine Chance haben, an die Daten auf Ihrer Festplatte zu gelangen, gibt es integrierte und externe Tools, die beim Schutz helfen.
Baustein Nr. 1: App-Sandbox
Die in OS X integrierte Sandbox sorgt dafür, dass von Ihnen geladene Apps nur das tun, was sie sollen, ohne dabei Zugriff auf Systemfunktionen zu erlangen. Apps dürfen sich also im übertragenen Sinne im Sandkasten austoben, während OS X mit seinen kritischen Systemkomponenten neben dem Sandkasten wachend auf einer Parkbank sitzt.
Apple hat diese Schutzschicht in die meisten Anwendungen wie Kalender oder Vorschau integriert. Neben Apps gilt das SandboxPrinzip auch für Safari. Hier laufen Komponenten und Plug‑ins wie der integrierte PDF-Viewer, Flash, Java oder Quicktime ebenfalls isoliert vom Rest des Systems.
Baustein Nr. 2: Gatekeeper
Während die Sandbox ohne das Zutun des Nutzers auskommt und den Mac quasi von selbst schützt, lässt sich Gatekeeper auch vom Nutzer konfigurieren. Gatekeeper sorgt dafür, dass unter OS X Mavericks nur solche Apps installiert werden können, die per Signatur eindeutig von einem (von Apple überprüften) vertrauenswürdigen Entwickler stammen. In den Systemeinstellungen finden sich unter „Sicherheit > Allgemein“ die zu Gatekeeper gehörenden Einstellungen.
Der OS-X-Torwächter unterscheidet dabei drei Sicherheitsstufen: Downloads dürfen entweder nur aus dem Mac App Store erfolgen, sowohl aus dem Mac App Store, als auch von verifizierten Entwicklern oder aber von allen Download-Quellen („Keine Einschränkungen“). Wir empfehlen Ihnen, die mittlere Einstellung zu wählen, denn so können Sie Apps aus dem Mac App Store beziehen und auch auf Programme von signierten Drittanbietern wie Microsoft oder Adobe zugreifen.
Baustein Nr. 3: Filevault
Mit Filevault bringt OS X Mavericks ein praktisches Bordmittel mit, das Ihre Festplatte vor unerlaubten Zugriffen schützen soll, beispielsweise wenn der Mac gestohlen wird. Dafür greift Apples Safe auf den Krypto-Standard XTS‑AES mit einer Schlüssellänge von 128 Bit zurück. Neben dem eigentlichen System-Volume unterstützt Filvault auch externen Speichermedien wie beispielsweise die für Time Machine. Durch den Einsatz von Filevault wird Ihr Mac etwas langsamer booten, da bei jedem Boot-Vorgang das Startvolume entschlüsselt werden muss.
Die zusätzliche Sicherheit, die sich vor allem für Ihre mobilen Macs empfiehlt (einfach weil hier das Verlustrisiko höher ist), können Sie in wenigen Schritten konfigurieren: Navigieren Sie zuerst in den Systemeinstellungen zum Menüpunkt „Sicherheit“, wo Sie den Reiter „Filevault“ finden. Um Filevault einzurichten, klicken Sie auf „Filevault aktivieren ...“. Haben Sie mehrere Nutzer-Accounts auf Ihrem Mac angelegt, fragt Filvault noch nach, welche Benutzer die Verschlüsselung aufheben dürfen. Nun öffnet OS X ein Dialogfenster, in dem der Wiederherstellungsschlüssel für Filevault angezeigt wird.
Diesen Key notieren Sie sich bitte – idealerweise in einem Passwortsafe wie 1Password, aber möglichst auf einem anderen Mac. Dann werden Sie gefragt,ob Sie den Key auch bei Apple speichern wollen. Wir empfehlen, den Schlüssel besser selbst sicher zu verwahren. Nach einem Klick auf „Fortfahren“ startet Ihr Mac neu und beginnt mit der Verschlüsselung. Nach dem Neustart arbeitet die Verschlüsselungsroutine im Hintergrund, Sie können also ohne Weiteres weiterarbeiten – Filevault erledigt in den nächsten Stunden den Rest.
Dateien verstecken mit Zusatz-Tools
Neben den Tools, die OS X Mavericks bereits ab Werk zum Schützen Ihrer lokalen Daten mitbringt, können Sie mithilfe einiger Dritthersteller zusätzliche Datei-Safes erstellen – und das sowohl lokal als auch in der Cloud.
Baustein Nr. 4: Daten-Safe mit Truecrypt
Das Tool ist ein Oldie unter den Krypto-Tools, aber nach wie vor äußerst beliebt – gerade um kleinere Dateicontainer unter OS X anzulegen, in denen Sie als Nutzer problemlos vertrauliche Dateien ablegen können, ist Truecrypt ideal. Zudem bietet das Programm das wichtige Prinzip der „plausible deniability“, also die Möglichkeit, Dateien zu verstecken, ohne Spuren zu hinterlassen, die Aufschluss über mögliche versteckte und verschlüsselte Dateien geben könnten.
Das Programm können Sie auf der Internetseite www.truecrypt.org laden und auf Ihrem Mac installieren. Nun erstellen Sie mit einem Klick auf „Create“ einen Datei-Container und entscheiden im nächsten Fenster, welche Art von Container es werden soll: Standard oder Versteckt. Wir wählen den Standard-Container, der dann auch auf der Festplatte als Truecrypt-Container zu erkennen ist. Im Anschluss legen wir fest, wo der Container abgelegt werden und welche Größe er haben soll – beides wählen Sie entsprechend Ihres Nutzungsverhaltens.
Wählen Sie nun idealerweise ein möglichst langes, alphanumerisches Kennwort. Die nächsten beiden Schritte drehen sich um das Dateisystem und die Frage, ob der Container auf mehreren Rechnern zum Einsatz kommen soll. Wir wählen als Dateisystem OS X Exten-ded und im nächsten Screen die Option „I will only mount the volume on Mac OS X“. Im Anschluss erstellt Truecrypt die Schlüssel. Bewegen Sie den Mauszeiger zusätzlich möglichst erratisch – das verbessert die kryptografische Qualität der Schlüssel.
Hat das Programm den Vorgang abgeschlossen, markieren Sie im Hauptfenster von Truecrypt den gerade erstellten Container und klicken unten Links auf „Mount“, um den Container als Wechselmedium einzuhängen. Nun können Sie Daten in den Container legen, als wäre es ein USB-Stick. Danach brauchen Sie den Container über Truecrypt nur noch auszuwerfen.
Baustein Nr. 5: Mit Boxcryptor in die Cloud
Während Truecrypt vor allem für lokal verschlüsselte Container taugt, ist Boxcryptor bestens geeignet, um Inhalte in Dropbox, Box oder Google Drive zu verschlüsseln. Anders als bei Truecrypt ist der Code von Boxcryptor nicht Open-Source, es wird also ein gewisses Maß an Vertrauen gegenüber dem Hersteller vorausgesetzt. In der gratis verfügbaren Basisversion für Heimanwender werden die Inhalte von Dateien unkenntlich gemacht, während die Dateinamen im Klartext im Cloud-Speicher Ihrer Wahl verbleiben.
Nach dem Download des Boxcryptor-Clients brauchen Sie nur noch den Inhalt des DMG-Volumes in Ihren Ordner „Programme“ zu verschieben und doppelt auf das Icon zu klicken. Über die Schaltfläche „Sign Up“ erstellen Sie sich nun einen NutzerAccount bei Boxcryptor und melden sich mit den Nutzerdaten in der App an. Legen Sie jetzt in den Einstellungen unter „Locations“ fest, welche Cloud-Dienste Sie mit Boxcryptor verbinden wollen und wo deren Sync-Ordner liegen.
Nun können Sie über das auf dem Schreibtisch gemountete virtuelle Laufwerk „Boxcryptor“ auf die verbundenen Cloud- Speicher zugreifen, über ein kleines Applet in der Menüleiste haben Sie Zugriff auf das Einstellungsmenü. Erstellen Sie anschließend innerhalb des virtuellen Laufwerks einen neuen Ordner, beispielsweise in Dropbox, wird Boxcryptor Sie fragen, ob der Ordner gleich verschlüsselt werden soll.
Natürlich können Sie auch bestehende Dateien oder ganze Ordner mit Boxcryptor verschlüsseln: Dazu genügt zuerst ein Rechtsklick auf das entsprechende Objekt, dann wählen Sie im Aufklappmenü „Dienste > Encrypt with Boxcryptor“ – wenige Sekunden später ist das Element verschlüsselt und mit einem grünen Tag versehen. Wollen Sie neben der Verschlüsselung der Inhalte auch verschlüsselte Dateinamen, können Sie neben der kostenlosen Basisvariante auch das UnlimitedPersonal-Paket für eine Jahresgebühr von derzeit 36 Euro (Stand 11.04.2014) abonnieren. Ebenfalls erhältlich: Entsprechende Companion-Apps für iPhone und iPad.
Als Alternative zu Boxcryptor können Sie auch einen Blick auf das Tool Tresorit werfen. Die schweizer Entwickler setzen bei Ihrer Kombination aus Desktop- und Mobil-Apps auf georedundante Speicherung auf Servern in der EU sowie auf den sicheren AES-256-Verschlüsselungsstandard. Das Preismodell ähnelt dem von Boxcryptor: Neben einem kostenlosen "Basic"-Konto können interessierte Nutzer auch auf kostenpflichtige Pro- und Business-Pläne upgraden (Preise variieren je nach Speichergröße zwischen 5,99 Euro im Monat und 99,99 Euro im Monat). Anders als Boxcryptor, das seinen Datensafe in bestehenden Dropbox- oder Googledrive-Ordnern ablegt, verfügt Tresorit über eigene Speicher-Infrastruktur und ist damit unabhängig von Storage-Lösungen Dritter. (Macwelt/ad)