Ratgeber: Mac OS X 10.7 Lion absichern

Kein Benutzer möchte sich um Unzulänglichkeiten von Programmfehlern kümmern oder sich mit den Auswirkungen maligner Software herumschlagen. Windows-Benutzer können davon ein Lied singen: Keine Antivirensoftware installiert, automatische Updates ausgeschaltet oder wohlmöglich die Firewall deaktiviert und schon lässt Windows seinen Anwender nicht mehr in Ruhe und peinigt sie mit ständigen Pop-ups.

Die "saubere" Apple-Welt

In der "sauberen Welt" von Apple hat der User mit alldem nichts zu tun. In der Standardinstallation findet er in der Regel die folgende Situation vor:

• Eine Firewall ist zwar vorhanden, aber prinzipiell bei Auslieferung ausgeschaltet;

• Die Anmeldung ohne Passwort ist die Regel;

• und Virenschutz ist was für Windows-Benutzer.

Wenn Graham Cluely, Sicherheitsexperte bei Sophos, im Unternehmensblog "Naked Security" vor einer neu entdeckten Malware auf dem Mac schreibt, so muss sich das nach Meinung viele OS-X-Anwender dann wohl um eine Ausnahme handeln. Dabei ist die auf den Namen OSX/Tsunami A getaufte Schadsoftware eine Variante des Linux-Backdoor-Schädlings Troj/Kaiten, der schon seit 2002 in Umlauf ist. Der Tsunami-Trojaner hat seinen Namen von seinem Haupteinsatzzweck: Er überflutet von gekaperten Macs aus bestimmte Web-Seiten mit Seitenaufrufen und versucht sie über diesen Weg zum Absturz zu bringen. Leider sind Programme wie OSX/Tsunami keine Ausnahme - es gibt eine ganze Reihe von Trojaner und Viren, die auch Apple-Systeme mit Mac OS X Lion befallen können und dies auch tun.

Nicht nur für Windows: Antivirus-Software

Deshalb gilt auch für Apple-Nutzer: Es ist einfacher und deutlich billiger, ein Antiviren-Programm zu installieren, als eine zeitraubende Neuinstallation des Computers durchführen zu müssen. Der Anbieter Sophos stellt seine Antivirenlösung für Macintosh für Heimanwender kostenlos zum Download bereit. Wer noch mehr Möglichkeiten benötigt und ganz sicher gehen will, findet bei den meisten anderen bekannten Anbieter von Sicherheitssoftware ebenfalls gut ausgereifte Programme: So bietet beispielsweise die auf unseren Testgeräten zum Einsatz kommende Eset Cypersecurity-Lösung die Möglichkeit, auch andere Betriebssysteme auf dem Apple-Rechner (wie etwa eine Windows-7-Version via Boot Camp) ebenfalls mit zu schützen.

Der sichere Mac
Lesen Sie, wie Sie Mac OS X Lion absichern.

Nichts ist sicher
Wider den Irrglauben, es gäbe auf Apple-Systeme keine Viren oder Schadsoftware: Kostenlose Antivirenlösungen wie die gezeigte von avast! können selbst klassische Windows-Trojaner auf diesen Systemen entdecken.

Software-Installation
Kann kein Hinderungsgrund sein, wenn es um den Virenschutz geht: Die Installation von Software auf dem Mac ist denkbar einfach – das gilt auch für solche Sicherheitslösungen.

Virenscanner nach wie vor ein Muss
Guter Schutz: Die für Privat- und Heimanwender kostenfreie Sophos-Antivirenlösung erlaubt den Aufbau eigener Regelwerke.

Hochprofessionell
Auch für den Mac-Rechner stehen hochprofessionelle Schutzeinrichtungen zur Verfügung: Die Suite des Anbieters Eset bietet alle von Windows-Rechnern her gewohnten Vorteile bei der Bekämpfung von Schadsoftware.

Festplatte verschlüsseln
Deutliche Verbesserungen in Bezug auf die Sicherheit hat Apple mit dem Mac OS X Lion zur Verfügung gestellt: So ist hier nun die Verschlüsselung der kompletten internen Festplatte möglich.

Extern auch alles dicht
Der Zugriff auf externe Datenträger unter Mac OS X Lion: Bei diesem System können die Anwender erstmals auch solche Platten ohne Zusatzprogramme verschlüsseln.

Bugs inbegriffen
Allerdings scheint die Verschlüsselung noch nicht ganz ausgereift zu sein: Beim Test der Software entdeckten unsere Autoren einen reproduzierbaren Programmfehler im Festplattendienstprogramm von Mac OS X Lion.

Keine Abwärtskompatibilität
Inkonsistenzen eingebaut: Ältere Mac-Systemen können die verschlüsselten mobilen Datenträger leider nicht öffnen.

Backups mit verschlüsselt
Gute und vollständige Integration in das Lion-System: Auch das Backup-Programm „Time Machine“ berücksichtigt die Verschlüsselung und kann damit zusammenarbeiten.

Integrierte Firewall
Die integrierte Personal-Firewall auf dem Mac: Sie besteht aus zwei Programmen und ist in der Standardauslieferung nicht aktiv. Zudem erlaubt sie keine Unterbindung ausgehender Verbindungen – was moderne Firewall-Software leisten sollte.

Konfiguration
WaterProof: Hier handelt es sich um eine grafische Erweiterung, die den Anwender dabei helfen soll, die in Mac OS integrierte, aus dem Unix-System stammende Firewall „ipfw“ einfacher zu konfigurieren.

TCPBlock
Auch für diesen Sicherheitsbereich stehen kostenlose Lösungen bereit: TCPBlock ist eine kostenfreie, den Kernel erweiternde Firewall, die auch ausgehende Verbindungen reglementiert.

Rückgänging? Aber nicht alles!
Ein Sicherheitsrisiko: Der Finder in Lion erlaubt es dem Anwender, bis zu vier Arbeitsschritte zurückzunehmen – dabei sind allerdings Interaktionen des Papierkorbs ausgenommen.

Löschen für Fortgeschrittene
Auch an dieser Stelle muss der Anwender zunächst eingreifen, um eine höhere Sicherheit zu erreichen: Je nach Konfiguration erlaubt Mac OS dann auch ein sehr sicheres Löschen von Daten.

Mac OS X 10.7 bringt mehr Sicherheit

Was für allen anderen Betriebssystem gilt, gilt auch für das Mac OS von Apple: Ein Update auf eine neue Version des Betriebssystems bringt in der Regel auch ein deutliches Mehr an Sicherheit. Bei Apple heißt diese aktuelle Version Mac OS X Lion (Version 10.7).

Auf den ersten Blick mögen die Neuerungen, die Apple dort eingebaut hat, eher oberflächlich wirken. So wird in der Internet-Mac-Gemeinschaft hauptsächlich über den Sinn oder Unsinn der immer iOS-ähnlichen Eingabehilfen diskutiert. Nicht wenige Anwender outen sich als "Update-Muffel", versuchen den Wechsel möglichst zu verzögern und schwören dem Vorgängersystem Mac OS 10.6 Snow Leopard die Treue. Aber gerade aus der Sicherheitsperspektive heraus betrachtet, ist das keine so gute Idee: Anbieter Apple hat tief deutliche Verbesserungen und Erweiterungen an verschiedenen Sicherheits-Features vorgenommen und unterstreicht sein Ansinnen, endlich auch im professionellen IT-Umfeld zu punkten. Wir zeigen hier die fünf wichtigsten Neuerungen, die helfen, Sicherheit der Apple OS X-Systeme zu verbessern - wenn sie entsprechend konfiguriert und genutzt werden.

Interne Laufwerke verschlüsseln

Es dürften in erster Linie die Besitzer von Macbooks sein, die auf eine Verschlüsselung ihrer Daten besonders angewiesen sind. Kommt das Notebook einmal in die falschen Hände, droht der Verlust von wichtigen Informationen. Auf allen bisherigen Versionen von Mac OS X waren die Anwender lediglich dazu in der Lage, den Benutzerordner per File Vault zu verschlüsseln. Lion erweitert diese Verschlüsselung auf das gesamte Laufwerk - egal, ob es sich dabei um eine SSD oder eine traditionelle Festplatte handelt.

Auch das Zusammenspiel von Verschlüsselung und Backup-Software Time Machine konnte in früheren Versionen von Mac OS X als "verbesserungswürdig" eingestuft werden. Nun arbeitet die Datensicherung der Time Machine wie gewohnt im Abstand von einer Stunde, um die Daten zu sichern. Eine Abmeldung am System, wie noch unter Snow Leopard üblich, ist nun für das Backup bei aktiver Verschlüsselung nicht mehr notwendig. Solange die Verschlüsselung auf dem System aktiv ist, verhindert Mac OS X Lion zudem, dass der Mac ohne Passwort aus dem Bildschirmschoner- oder Ruhezustand erwacht. Wird die interne Festplatte, auf der das Betriebssystem installiert ist, ebenfalls verschlüsselt, so fordert Mac OS X Lion die Eingabe des Passworts direkt nach dem Einschalten an. Erst nach einer korrekten Eingabe des Passworts startet das eigentliche Betriebssystem. Anwender, die diese Features bisher nutzen wollten, mussten zu anderen Lösungen wie Truecrypt greifen, um eine entsprechende Sicherheit zu erreichen.

Alle Einstellungen findet der Benutzer in den Systemeinstellungen unter "Sicherheit". Der Wiederherstellungsschlüssel kann entweder lokal ausgedruckt oder bei Apple abgelegt werden. Das Unternehmen rückt den Schlüssel jedoch nur dann wieder heraus, wenn drei personifizierte Fragen im Stil "Mädchenname der Mutter" korrekt beantwortet werden können. Der Zugriff auf das Speichermedium ist nur noch mithilfe des Benutzerpassworts oder des Sicherheitscodes möglich. Dies ist natürlich auch dann der Fall, sofern jemand versucht, die Platte an einem anderen Mac zu starten. Nach dem Einschalten von "File Vault" und einem Neustart können die Anwender normal weiterarbeiten, denn das System erledigt die Verschlüsselung im Hintergrund. Dies kann allerdings je nach Größe der Festplatte oder SSD durchaus etliche Stunden dauern.

Externe Laufwerke verschlüsseln

Externe Laufwerke sowie USB-Sticks konnten bisher bei den OS X-Systemen nur mit Lösungen von Drittanbietern verschlüsselt und damit vor unbefugtem Zugriff geschützt werden. Dies hat sich mit Lion geändert - mit Hilfe des Festplatten-Dienstprogramms ist der Anwender in der Lage, das externe Medium so zu formatieren, dass es in einem verschlüsselten Format angelegt wird. Alle zuvor auf dem Medium gespeicherten Daten gehen dabei natürlich verloren. Der Vorgang selbst ist kinderleicht zu bewerkstelligen:

• Im Festplatten-Dienstprogramm in der linken Liste den gewünschten Datenträger auswählen und

• in das Register "Löschen" wechseln.

• Danach muss der Anwender in der Einstellung "Format" eine Option wie "Mac OS Extended (Journaled, Verschlüsselt)" auswählen und das Passwort für die Verschlüsselung eingeben.

Eine grafische Darstellung zeigt ihm an, ob das gewählte Passwort sicher ist. An dieser Stelle haben wir im Test einen Bug entdeckt: Sobald wir versuchen, mehr als achtmal eine "1" einzugeben, stürzte das Festplatten-Dienstprogramm reproduzierbar ab. Auch wenn dieses Passwort alles andere als sicher ist, so haben wir den Bug dennoch an Apple über die entsprechenden Bordmittel gemeldet - Abstürzen sollte das Programm schließlich auf keinen Fall.

Wird der verschlüsselte Datenträger an einem Mac-OS-X-Lion-Rechner angeschlossen, wird der Benutzer zur Eingabe des Passworts aufgefordert. Ältere Mac-Betriebssysteme, die noch eine sehr lange Zeit die Mehrheit darstellen dürften, zeigen dann aber lediglich in einem Hinweisfenster an, dass sie das Medium nicht öffnen können.

Interessanterweise ist dem Benutzer mit Mac OS nicht möglich, die Verschlüsselung zu entfernen, ohne dass ihm dabei alle Daten verloren gehen. Das Festplatten-Dienstprogramm erlaubt es lediglich, die Platte in einem unverschlüsselten Format wieder zu formatieren. Das können dann aber glücklicherweise aber auch die Benutzer älterer Mac-OS-Versionen. Trotzdem halten wir es für einen echten Schwachpunkt, dass der Anwender die Verschlüsselung nicht einfach wieder entfernen kann - das hat Microsoft mit "Bitlocker to Go" weitaus besser gelöst.

Time Machine verschlüsselt

Wenn der Nutzer alle Daten verschlüsseln kann, darf auch ein Backup nicht ungeschützt bleiben. Der typische Mac-Benutzer verwendet für die Datensicherung das kostenfreie und in den meisten Fällen vollkommen ausreichende "Time Machine"-System von Apple. Um auch hier die Verschlüsselung zu aktivieren, muss er im Dialogfenster der "Time Machine" lediglich ein Backup-Kennwort einrichten.

Die Software beginnt dann mit der Verschlüsselung, sobald die erste Sicherheitskopie auf dem Backup-Laufwerk angelegt wird. Der Vorgang ist automatisch im Hintergrund aktiv und dauert je nach Laufwerksgröße einige Zeit. Die Verschlüsselung von File Vault 2 ist jedoch laut Apple auf externe USB- oder FireWire-Laufwerke begrenzt. Über iSCSI eingebundene Laufwerke verhalten sich hier wie lokale Festplatten und können entsprechend verschlüsselt werden. Leider existiert auch hier wieder eine Ausnahme: Backups auf die Time Capsule oder andere über Netzlaufwerk zu erreichende Medien können über diesen Vorgang laut Hersteller nicht verschlüsselt werden.

Schließt der Benutzer das Laufwerk mit einem verschlüsselten Backup an einen Mac an, auf dem Mac OS X Lion installiert ist, wird automatisch nach dem Administrator-Passwort gefragt, um das Backup-Volume zu aktivieren und zu entschlüsseln. Ohne die korrekte Passworteingabe erscheint das Laufwerk erst gar nicht in der Finder-Übersicht. Bei einem älteren Mac entfällt jegliche Nachfrage, das Volume wird folglich nicht im Finder angezeigt und lässt sich auch nicht im Festplatten-Dienstprogramm aktivieren, ohne es wiederum komplett zu löschen. Hier lassen die Sicherheitsvorstellungen der Apple-Entwickler doch etwas den Praxisbezug vermissen.

Nützliche Firewall-Ergänzungen

Alle Versionen von Mac OS verfügen über die traditionelle Unix-basierte Firewall mit dem Namen "ipfw". Die Sofware ipfw prüft eingehende Pakete gegenüber einem zu hinterlegenden Regelsatz und entscheidet dann, ob das Datenpaket angenommen wird oder nicht. Damit handelt es sich hier um eine klassische Paket-Filter-Firewall, die auf Basis von Ports und IP-Adressen arbeitet. Seit Leopard gibt es eine weitere als "Application Filter" bezeichnete Firewall, die über die Systemsteuerung im Abschnitt "Sicherheit" Programmen den Zugriff auf das Netzwerk erlaubt oder verbietet. Leider ist keine der beiden Firewalls in der Standardauslieferung von Apple aktiviert - der Benutzer muss sich selbst um die Sicherheit seines Systems kümmern.

Ein weiterer Nachteil: Die Standard-Firewalls von Mac OS X prüfen nur den eingehenden Netzwerkverkehr, da macht auch Lion keine Ausnahme. Während in den jüngsten Versionen von Linux-Distributionen und dem Windows-System auch der ausgehende Datenverkehr überwacht wird, muss eine derartige Sicherheit unter Mac OS mit Zusatzprogrammen realisiert werden. Die Programme "LittleSnitch 2.x" und "Hands Off! 1.1.x" sind zwei kostenpflichtige Lösungen, die zusätzliche Features anbieten. Dazu gehört beispielsweise die Möglichkeit, nur bestimmten Programmen Schreibrechte einzuräumen. Aber hier stehen dem interessierten Anwender kostenlose Erweiterungen sind "Noobproof 1.4", "Waterproof" und "TCPBlock 2.8".

Bei "Noobproof" handelt es sich beispielsweise nicht um eine eigenständige Lösung, sondern um einen grafischen Assistenten für die leistungsfähige "ipfw"-Firewall. Ipfw ist mehr als nur eine einfache Firewall und besteht aus den sieben Komponenten: Paketfilter, Logging, Network Address Translation, Traffic-Shaping, Forwarding, Bridge und Stealth. Diese Software wurde ursprünglich Anfang 2000 von Daniel Boulet für das Unternehmen Berkeley Software Design Incorporated programmiert. Bei so vielen Modulen und einer solchen Historie ist eine große Anzahl von Einstellungsoptionen nur logisch. Noobproof erleichtert dem Firewall-Neuling diese Einrichtung deutlich. Leider wird Noobproof nur in der Version 1.4 für Mac OS 10.5 und 10.6 oder Version 1.2 für Mac OS 10.4 (Tiger) angeboten. Lion-Benutzer müssen entweder ipfw über Einträge in den etc-Dateien manuell konfigurieren oder greifen zu "Waterproof".

Standard-Firewall kostenlos erweitern

Die kostenlose Firewall TCPBlock überwacht auch ausgehende Verbindungen von Programmen auf dem Mac und ist somit eine Ergänzung zur Standard-Firewall des Betriebssystems, die lediglich eingehende Verbindungen beobachtet und diese gegebenenfalls blockt. Nach der Installation von TCPBlock und einem Neustart greift der Benutzer über die Systemeinstellungen auf TCPBlock zu. Er kann dann die Verhaltensweise der Firewall über White- und Blacklists für einzelne Programme definieren, da TCPBlock ansonsten bei jedem Programmstart zuvor um Erlaubnis fragen würde. In dem Tab "Connecting Apps" sieht er zudem die aktuelle Netzwerkaktivität in Echtzeit. Profi-Benutzer können über Kommandozeilen-Aufrufe eine feinere Steuerung und Überwachung erzielen und die Firewall in das Growl-Benachrichtigungssystem einbinden.

Unser Tipp: Wer MacOS X-Systeme in einem professionellen Umfeld einsetzen will oder muss, sollte eine Firewall wie TCPBlock auf den Systemen installieren und betreiben, um einen entsprechenden Sicherheitsstandard zu erreichen.

Auch der Papierkorb ist gesichert

Zum Abschluss möchten wir noch eine kleine Änderung vorstellen, die jedoch an sich extrem spannend ist: Der Finder von Mac OS X Lion erlaubt mit dieser Betriebssystemversion nun auch das Zurücknehmen von bis zu vier Arbeitsschritten. Wie bei der Bearbeitung von Office-Dokumenten ist der Anwender somit in der Lage, mehrere Änderungsschritte zurückzunehmen. Nach der ersten Freude gerät der sicherheitsbewusste Systembetreuer jedoch ins Schwitzen: Was ist mit dem Papierkorb?

Glücklicherweise haben die Entwickler in Cupertino den Papierkorb von der Rücknahme von Schritten ausgenommen. Insgesamt verhält sich Apple mit dem Papierkorb wahrlich vorbildlich: Wie genau es dieser Papierkorb beim Löschen von Dateien nehmen soll, kann der Benutzer sehr genau steuern.

Fazit

Das Fazit dieser kurzen Betrachtung kann nur lauten: Wechseln Sie - wenn möglich - auf die neueste Version von Mac OS X. Die erhöhten Sicherheitsanforderungen werden ausschließlich von "Lion" abgedeckt, da kann Mac OS 10.6 Snow Leopard einfach nicht mehr mithalten. Weitere Sicherheitsfeatures wie ASLR (Address Space Layout Randomization) oder das Sandboxing für Programme wurden für Lion ebenfalls überarbeitet oder stark erweitert:

ASLR und der so genannte Freispeicherschutz ist mit diesem Release nun auch für die große Anzahl 32-Bit-Applikationen nutzbar. Technisch betrachtet sorgt ASRL dafür, dass Programmen zufällig beim Start ein Adressraum zugewiesen wird - das reduziert das Risiko von Angriffen durch gezielte Pufferüberlaufattacken. Während Microsoft ASRL bereits mit Windows Vista komplett umsetzte, ist Apple nun mit Lion technisch nachgezogen.

Das Sandboxing grenzt indes die Operationen ein, die ein Programm ausführen kann: Dazu gehören beispielsweise das Öffnen von Dokumenten oder der Zugriff auf Netzwerke. Es schützt so das Betriebssystem. Sandboxing macht es im Falle einer Sicherheitsbedrohung schwieriger, ein Problem in einem bestimmten Programm auszunutzen, um so das gesamte System zu beeinträchtigen.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (cvi)