geöffnetes Vorhängeschloss auf einer Mac Tastatur © steve auf stock.adobe.com

Built-in Mac Security und ihre Tücken

MacOS ist laut Apple das Betriebssytem mit "integrierter Sicherheit" - wir schauen einmal genauer hin.

Built-in Mac Security und ihre Tücken

Apple schreibt auf der eigenen Website, dass Sicherheit in das Mac Betriebssystem macOS „schon integriert“ sei und liegt damit sicher auch nicht falsch. Um die eingebauten Features allerdings zuverlässig auf jedem der Geräte im Unternehmenskontext zu nutzen, führt kein Weg an einer Verwaltungslösung vorbei. Folgend einige Sicherheitsfeatures, bei denen es sich lohnt, aufmerksam zu sein und wo wir eine Umsetzung auf privat wie geschäftlich genutzten Macs empfehlen können:

Firewall standardmäßig aus

Das wohl Auffälligste bei einer frischen macOS-Installation oder einem frisch ausgelieferten Mac (ja, auch direkt von Apple) ist die deaktivierte Firewall. Das ergibt durchaus Sinn, wenn davon ausgegangen wird dass der Mac ausschließlich im heimischen Netzwerk verwendet wird, wo ein Router (und dessen vergleichbare Firewall) zwischen Endgerät und Internet vermittelt.

Wird jedoch im öffentlichen Raum, zum Beispiel über Hotspots in Cafés, auf das Internet zugegriffen ist es ratsam die macOS-eigene Firewall einzuschalten. Am besten ist diese immer aktiviert, dann entfällt das situative Einschalten. Unsere Macs bei SPIRIT/21 intern konfigurieren wir deshalb so, dass die Firewall standardmäßig aktiviert ist und nicht ausgeschaltet werden kann.

Screenshot aus dem Einstellungsbereich eines Macs

FileVault 2 (Festplattenverschlüsselung) aktivieren

Mac OS X Lion (2011) und neuere Versionen bieten FileVault 2 an. Dieses verschlüsselt das gesamte Startvolume und schließt in der Regel auch das Home-Verzeichnis ein. Automatisch geschieht das aber nicht, FileVault muss zuvor eingeschaltet werden. Damit sind alle Daten verschlüsselt und können lediglich durch das bekannte Passwort wieder entschlüsselt werden. Dieses Passwort kann jedoch über die Firmware (EFI) zurückgesetzt werden, darum sollte auch ein EFI Passwort gesetzt werden.

Firmware mit Passwort schützen

Ein Firmware-Passwort schützt gegen lokale Angriffsversuche, in dem es eine Sicherheitsschicht auf Hardware-Ebene hinzufügt und den Zugriff auf verschiedene Boot-Optionen einschränkt. Sei es das Booten von einem externen Speichermedium aus oder das Starten im Wiederherstellungsmodus, um die dortigen Mechanismen zur Manipulation zu verwenden, wie zum Beispiel das Zurücksetzen des Administrator-Kennworts.

Wenn es mit FileVault 2 kombiniert wird, macht das Firmware-Kennwort den Mac sehr sicher. Damit jemand Ihre Informationen stehlen kann, müsste er die Festplatte entfernen und sie entschlüsseln. Das bedeutet aber auch, dass der Verlust dieses Kennworts katastrophal sein kann. Umso besser, wenn FileVault durch eine Verwaltungslösung wie Jamf aktiviert wird und der Wiederherstellungsschlüssel dabei zentral gesichert wird.

Achtung bei neueren MacBooks mit Apple’s M1-Chip:

Bei diesen bietet Apple aufgrund der neuen Architektur bisher kein Firmware Passwort an. Um zumindest in ähnlichem Maße Kontrolle über das Gerät zu behalten empfehlen wir die Verwendung von Apple’s DEP, der automatischen Geräteregistrierung. So kann das Gerät ausschließlich mit dem zugewiesenen MDM eingerichtet werden. Vor dem einfachen Löschen des Macs schützt aber auch dies nicht, hier erwarten wir von Apple noch eine Lösung für Unternehmen; vor allem für solche ohne DEP.

Bis dahin können M1 Macs lediglich durch das Aktivieren der Festplattenverschlüsselung vor einem einfachen Passwort Reset bewahrt werden, in diesem Fall wird nach dem Wiederherstellungsschlüssel gefragt. Andernfalls kann das Passwort mittels Recovery ungehindert zurückgesetzt werden, falls der Mac in die falschen Hände gerät.

Freigaben deaktivieren

Manche Freigaben ergeben in einem lokalen Netzwerk Sinn, erleichtern die Zusammenarbeit oder ermöglichen Remote Zugriff für den eigenen IT-Support. Dennoch sollte hier folgende Regel angewandt werden: Ist man unsicher welche Freigabe wofür explizit gebraucht wird, deaktiviert man diese besser. Möglichen Angreifern (vor allem außerhalb des heimischen oder Firmen- Netzes) soll es nicht zu leicht gemacht werden.

Screenshot des Freigabebildschirms eines Macs

Wie sich die eingebauten Sicherheitsmechanismen einfach per zentraler Geräteverwaltung umsetzen lassen, zeigen wir gerne in einem direkten Austausch auf. Setzen Sie sich mit uns in Verbindung und vereinbaren ein unverbindliches erstes Beratungsgespräch.

Alexander Duffner, Junior Consultant

aduffner@spirit21.com

Alex unterstützt leidenschaftlich gerne Kunden dabei, ihr Apple Ökosystem bestmöglich zu verwalten und Kosten zu senken, indem Prozesse fortlaufend optimiert und automatisiert werden

Weitere Beiträge

Wir nutzen sogenannte Cookies, um Daten darüber zu bekommen, wie und mit welchen Endgeräten unsere Seiten besucht werden. Das hilft uns sehr dabei, die Seiten noch interessanter und bedienungsfreundlicher zu machen. Dabei berücksichtigen wir natürlich Ihre Präferenzen und schalten das SPIRIT/21-Analytics nur dann scharf, wenn Sie durch einen Klick auf „Cookies akzeptieren“ Ihr Einverständnis geben. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen finden Sie unter Cookie Einstellungen und in unserer