Notebooks, egal ob PC oder Mac, sind ein gefundenes Fressen für Diebe. Allerdings wiegt der Diebstahl der Daten oft mehr als der Verlust des Gerätes. Denn mit immer größeren Festplatten liegen auch immer mehr sensiblere Daten auf den Geräten. Da bietet es sich also an, es dem Dieb wenigstens so schwer wir möglich zu machen.
In diesem Artikel blicken wir über den Tellerrand hinaus, er behandelt die Macs dieser Welt. Der Grund ist einfach: Während Windows-Nutzer mittlerweile sensibel im Bezug auf Sicherheitsprobleme geworden sind, denken die meisten Macianer noch immer, dass ihnen wenig oder nichts passieren kann. Mit diesem Artikel wollen wir, in Kooperation mit unser Schwesterzeitschrift MacWelt.de, ein wenig zum Umdenken beitragen und einfache wie effektiver Methoden vorstellen, mit denen Sie ihr Notebook mit wenigen Klicks sicherer machen.
Verschiedene Benutzerkonten verwenden
Bei nur einem Benutzer ist dieser auch Administrator des Rechners. Apple hat zwar Vorsichtsmaßnahmen getroffen, so dass beim Installieren von Programmen oder Löschen von Systemkomponenten auch vom Administrator das Passwort eingegeben werden muss, sicherer ist es aber, für die tägliche Arbeit das Benutzerkonto in ein normales Konto umzuwandeln.
Dazu benötigt man einen zweiten Benutzer. Um ihn anzulegen, öffnet man die Systemeinstellung „Benutzer“, klickt auf das Schlosssymbol und gibt das Administratorpasswort ein.
Per Klick auf das Plussymbol öffnet sich ein Fenster, in dem man den neuen Benutzer benennt, ihm einen Kurznamen zuteilt und ein Passwort vergibt. Damit man später mit dem bisherigen Konto weiterarbeiten kann, macht man den neuen Benutzer zum Administrator und klickt „Der Benutzer darf diesen Computer verwalten“ an. Per Klick auf „Account erstellen“ legt das System den Benutzer an. War die automatische Anmeldung für den bisherigen Benutzer aktiviert, öffnet sich ein Fenster, in dem man sie ausschaltet.
Starke Kennwörter dank Assistent
Um zu prüfen, ob das Passwort gut oder schlecht ist, klickt man im Fenster mit den Benutzereinstellungen auf das Schlüsselsymbol. Im sich öffnenden Fenster stellt man entweder „Manuell“ im Aufklappmenü ein, um selbst ein Passwort einzugeben, oder nimmt eine andere Option, um sich etwas vorschlagen zu lassen. Den Vorschlag kopiert man, schließt den Assistenten und setzt dann den Text in das Kennwortfeld ein. Nicht vergessen darf man, sich das Passwort an einem sicheren Ort zu notieren.
Rechte begrenzen, Sicherheit erhöhen
Nun meldet man sich vom Rechner ab und mit dem neu angelegten Administrator-Account wieder an und öffnet die Systemeinstellung „Benutzer“. Dort klickt man auf das Schloss, gibt das neue Administratorpasswort ein und deaktiviert dann für den bisherigen Benutzer die Option „Der Benutzer darf diesen Computer verwalten“. Anschließend meldet man sich vom System ab und mit dem bisherigen Benutzerkonto wieder an und arbeitet nun mit einem normalen Benutzerkonto.
Anmeldung: Sicherheit verbessern
Bei öffentlich zugänglichen Rechnern sowie auf Mobilrechnern schaltet man die automatische Anmeldung am besten aus, da sonst jeder den Rechner starten und auf die Daten zugreifen kann. In der Systemeinstellung „Benutzer“ gibt man nach dem Klick auf das Schloss den Administratornamen und das Passwort ein und klickt auf „Anmelde-Opt.“. Danach lässt sich die Option „Autom. anmelden als“ deaktivieren.
Zudem ist es sinnvoll, das Anmeldepasswort von Zeit zu Zeit zu ändern. Dazu begibt man sich in die Systemeinstellung „Benutzer“, wählt links das Benutzerkonto aus und klickt auf „Kennwort ändern“. Nach Eingabe des bisherigen Kennworts gibt man das neue ein, bestätigt es und klickt auf „Kennwort ändern“. Anschließend wird man noch darauf hingewiesen, dass auch das Passwort für den Schlüsselbund geändert wird.
Arbeitspausen: Daten vor Neugierigen schützen
Damit in einer Arbeitspause keine neugierigen Kollegen Zugriff auf den Rechner haben, aktiviert man in der Systemeinstellung „Sicherheit“ die Option „Kennwort verlangen beim Beenden des Ruhezustands oder des Bildschirmschoners“. Aktiviert man dann beim Verlassen des Rechners den Ruhezustand oder den Bildschirmschoner, öffnet sich beim Betätigen der Tastatur oder der Maus das Dialogfenster „Identifizieren“. Ohne Passworteingabe kommt man nicht weiter.
Anmeldefenster aktivieren
Eine weitere Option, um einen Rechner in der Pause zu schützen, ist das Abmelden. Dies erledigt man entweder über den Befehl im Apple-Menü, oder man aktiviert in der Systemeinstellung „Benutzer“ in den Anmeldeoptionen den schnellen Benutzerwechsel. Dann ist im Menü für den Benutzerwechsel die Option „Anmeldefenster“ zu finden. Wählt man sie aus, wechselt das System zum Anmeldefenster, und niemand kann ohne Eingabe von Name und Passwort den Rechner benutzen.
Eine weitere sinnvolle Schutzmaßnahme ist, die Systemeinstellungen zu schützen. Dazu aktiviert man „Kennwort verlangen für die Freigabe von geschützen Systemeinstellungen“. Dann kann niemand an den wichtigen Systemeinstellungen etwas ändern und damit Unheil anrichten, denn erst nach einem Klick auf das Schloss und der Passworteingabe hat man Zugriff auf die jeweiligen Einstellungen.
Sicherheit für BIOS und Firmware
Da der Mensch vergesslich ist, hat Apple seinen System- DVDs ein Programm mitgegeben, mit dem man alle Passwörter durch neue ersetzen kann, ohne das alte eingeben zu müssen. Dazu startet man von der DVD und ruft im Menü „Dienstprogramme“ den Eintrag „Kennwörter zurücksetzen“ auf. Nun kann man ein Volume wählen und für alle Benutzer neue Passwörter vergeben. Das ist aber auch ein Sicherheitsrisiko, da diese Methode jedem offensteht, der über eine System-DVD mit passendem System verfügt.
Will man verhindern, dass ein Mac von einer DVD gestartet wird, um das Passwort zu ändern, sperrt man solche Startversuche mit einem Kennwort. Dazu gibt es auf der System-DVD im Verzeichnis „Applications/Utilities“ das Programm „Open Firmware Kennwort“. Die Sperre betrifft auch den Start von externen Festplatten.
Bevor man das Programm startet, meldet man sich auf dem Rechner mit einem Administrator-Account an. Nach dem Programmstart öffnet sich ein Hinweisfenster, in dem man auf „Ändern“ klickt.
Im nächsten Fenster markiert man „Zum Ändern der Open Firmware Einstellungen ist ein Kennwort erforderlich“, gibt ein Passwort ein und bestätigt es. Dabei beschränkt man sich auf Buchstaben und Zahlen und vermeidet spezielle Sonderzeichen sowie Umlaute, da beim Rechnerstart nur die englische Tastaturbelegung aktiv ist.
Nach dem Klick auf „OK“ ist noch die Eingabe des Administratorpassworts erforderlich. Anschließend erhält man eine Bestätigung, beendet das Programm und startet den Rechner neu.
Sobald nun jemand versucht, durch Halten der Wahltaste den Startmanager aufzurufen, um die System-DVD oder ein anderes Startvolume auszuwählen, erscheint auf dem Bildschirm ein Schlosssymbol mit einer Eingabezeile für das Passwort. Nur wenn man es richtig eintippt, startet der Rechner. Den Versuch, durch Halten der Taste „C“ direkt von einer DVD zu starten, ignoriert der Rechner einfach und startet normal von der internen Festplatte.
Schlüsselbund verwalten
Für jeden Benutzer legt das System einen Schlüsselbund an, in dem es Passwörter speichert, die beispielsweise für das Senden und Empfangen von E-Mails oder zum Anmelden an einem anderen Rechner im Netz und bei einer geschützten Webseite benötigt werden. Vor dem Sichern im Schlüsselbund wird man aber jedes Mal gefragt und kann sich auch gegen die Speicherung entscheiden. Der Schlüsselbund hat ebenfalls ein Kennwort, standardmäßig ist dies das Anmeldepasswort.
Es gibt noch einen zweiten Schlüsselbund, der für das System zuständig ist. Hier werden Passwörter gespeichert, die alle Benutzer betreffen, beispielsweise das Anmeldepasswort für das WLAN. Um die einzelnen Schlüsselbunde zu sehen, klickt man links unten im Fenster auf „Schlüsselbunde einblenden“. Rechts listet das Programm dann jeweils die zum markierten Schlüsselbund gehörenden Einträge auf.
Der Anmeldeschlüsselbund wird automatisch beim Anmelden geöffnet und bleibt so lange offen, bis man sich wieder abmeldet. Die gespeicherten Passwörter selbst bleiben aber geschützt, da man nach dem Aktivieren von „Kennwort einblenden“ zuerst das Passwort des Schlüsselbunds eingeben muss. Im Dialogfenster kann man dann entscheiden, ob der Zugriff nur einmal oder immer erlaubt sein soll, wobei „Einmal erlauben“ die sichere Alternative ist.
Schlüsselbund manuell schützen
Jeder, der Zugang zum Rechner hat, kann alle Aktionen durchführen, für die eines der im Schlüsselbund gespeicherten Passwörter erforderlich ist, da der Schlüsselbund immer geöffnet ist. Besser ist es deshalb, den Schlüsselbund zu schützen. Dazu markiert man in den Voreinstellungen des Schlüsselbunds „Status in der Menüleiste anzeigen“. Dann erscheint im Menü ein Schlosssymbol mit dem Eintrag „Schlüsselbund Anmelden schützen“. Der Befehl „Bildschirm schützen“ bietet noch eine weitere Möglichkeit, den passwortgeschützten Bildschirmschoner zu aktivieren.
Alternativ lässt sich der Schlüsselbund auch automatisch schützen. Dazu ruft man „Bearbeiten > Einstellungen für Schlüsselbund Anmeldung ändern“ auf. Im Dialogfenster lässt sich nun sowohl eine Zeitspanne angeben, nach der der Schlüsselbund gesichert wird, als auch der Schutz im Ruhezustand aktivieren.
Eine weitere Sicherheitsmaßnahme besteht darin, das Kennwort für den Schlüsselbund zu ändern, wozu man „Bearbeiten > Kennwort für Schlüsselbund Anmeldung ändern“ aufruft. Ein geändertes Passwort hat zur Folge, dass der Schlüsselbund nicht mehr automatisch bei der Anmeldung geöffnet wird, da er nun ein anderes Passwort hat als das Anmeldepasswort. Den automatischen Schutz stellt man ebenfalls ein, damit der Schlüsselbund nach Verwendung wieder geschlossen wird.
Ist der Schlüsselbund geschützt und benötigt ein Programm den Zugriff auf ein Passwort, öffnet sich ein Dialogfenster mit dem Hinweis, dass das Programm den Schlüsselbund „Anmeldung“ verwenden möchte. Nach Eingabe des Schlüsselbundpassworts kann die Anwendung dann auf den Schlüsselbund zugreifen.
Zusätzlicher Schlüsselbund und Reparatur
Um Informationen sicher abzulegen, auf die weder Programme noch das System zugreifen müssen, wie beispielsweise Seriennummern oder PINs, legt man sich mit „Ablage > neuer Schlüsselbund“ einen weiteren Schlüsselbund mit einem eigenen Passwort an. Dort kann man dann über „Neue sichere Notiz“ beliebig viele Informationen speichern. Nicht vergessen darf man, den Schlüsselbund nach der Eingabe oder dem Nachschlagen von Informationen wieder zu schützen.
Sollte es einmal Probleme mit einem gespeicherten Passwort geben, verfügt das Programm Schlüsselbund über eine eingebaute Prüf- und Reparaturfunktion. Man ruft sie über „Schlüsselbund > Schlüsselbund Erste Hilfe“ auf, gibt das Administratorpasswort (nicht das Schlüsselbundpasswort!) ein, wählt „Überprüfen“ oder „Reparieren“ und klickt auf „Start“. Hilft die Reparatur nicht, löscht man den problematischen Schlüsselbundeintrag.
Keine Gastfreundschaft
Beim Zugriff auf einen anderen Rechner über das lokale Netz benötigt man das Passwort eines dort angelegten Benutzers, mit einer Ausnahme: Auch Gäste können sich anmelden. Diese haben zwar nur Zugriff auf die öffentlichen Ordner, wer aber den Zugriff ganz unterbinden möchte, muss eine Einstellung in der Vorgabedatei „com.apple.AppleFileServer.plist“ aus dem Ordner „Library/Preferences“ ändern. Um die Einstellung zu bearbeiten, legt man sich zuerst eine Kopie der Datei auf dem Schreibtisch an.
Um die Vorgaben zu bearbeiten, benötigt man ein spezielles Programm, da die Datei nicht im Textformat gesichert ist. Hat man die Developer Tools installiert, öffnet sich nach einem Doppelklick auf das Dokument der Property List Editor. Oder man nimmt wie in diesem Beispiel die Freeware Pref Setter und zieht die Vorgabedatei auf das Programmsymbol. Nun sucht man in der Liste den Eintrag „guestAccess“ und stellt durch einen Doppelklick auf „true“ den Eintrag auf „false“ um. Beim Property List Editor gibt es ein Aufklappmenü mit „Yes“ und „No“. Abschließend sichert man die Datei.
Nun löscht man die originale Vorgabedatei aus dem Ordner „Library/Preferences“ und zieht die eben bearbeitete Version an ihre Stelle. Abschließend ruft man mit Befehlstaste-I das Informationsfenster auf, klickt unten im Fenster auf das Dreieck vor „Details“ und dann auf das Schloss rechts neben „Eigentümer“. Im Aufklappmenü bei „Eigentümer“ wählt man dann „System“ aus und stellt „admin“ bei Gruppe ein. Damit werden die ursprünglichen Zugriffsrechte wiederhergestellt.
Jetzt ist noch ein Neustart des Rechners fällig. Versucht nun jemand, sich über das Netz als Gast anzumelden, ist diese Option im Dialogfenster nicht aktiviert.
Fazit
Auch ein Mac ist nur so sicher, wie es der Benutzer zulässt. Klar, man verliert mit diesen Maßnahmen teilweise an Bequemlichkeit. Dennoch ist der Aufwand, den man für die Sicherheit seiner Daten treibt immer noch sehr gering. Allerdings gilt es zu beachten: Wird ein Notebook gestohlen, bringt kein noch so gutes Passwort die Informationen wieder zurück. Auch gegen physikalische Schäden, wie den Ausfall der Festplatte, hilft kein Kennwort.
Denkt man also an weiter Schritte zum Thema Datensicherheit muss eine flexible Backup-Strategie folgen. Vor allem als Privatnutzer oder Selbstständiger verdrängt man das Konzept gerne, bedeutet es doch zusätzlichen Aufwand und Kosten. Dennoch sollte man sich in einem ersten Ansatz angewöhnen, wichtige Dateien wie Arbeiten, Photos oder auch Bookmarks, auf mehreren, physikalisch getrennten Massespeichern zu sichern. (mja)
Dieser Artikel stammt von unserer Schwesterzeitschrift MacWelt.