Mac Sicherheit - Empfehlungen der anykey

Software
Betriebssystem
Kennwörter
Verschlüsselung
Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)
Verhalten von Mac mit aktivierter File Vault 2
Systemintegritätsschutz
Bildschirmsperre
Phising, Ransomware und Malware
Social Engineering
Backup
Zusammenfassung unserer Empfehlungen

Software

Für die Sicherheit einer IT-Umgebung ist es von entscheidender Bedeutung, dass auf allen Geräten die installierten Anwendungen und Programme auf dem neuesten Stand sind.

Betriebssystem

Apple ergänzt das macOS Betriebssystem ständig mit neuen Sicherheits-Features, welche nicht nur die Daten selber, sondern auch die Privatsphäre des Benutzers optimal schützen sollen. In den letzten Jahren sind wichtige neue Features dazugekommen wie z. B.:

Gatekeeper
Die Gatekeeper Funktion stellt sicher, dass nur Applikationen aus sicheren Quellen ausgeführt werden. Zusätzlich scannt Gatekeeper seit macOS Catalina jede Applikation bevor sie das erste Mal ausgeführt wird, und verhindert so die Ausführung von schadhaftem Code.
Notarization
Wenn ein Entwickler eine App für das macOS entwickelt, wird die App vor der Verteilung überprüft. Ohne diese Überprüfung kann die App nicht signiert werden und wird somit vom macOS standardmässig gesperrt.
Benutzer-Dialoge
Wenn Programme oder sonstige Prozesse auf die Benutzerdaten zugreifen wollen, dann erscheint jeweils ein Dialogfenster um den Benutzer um Erlaubnis zu bitten. Diese Funktion kann Ransomware Attacken verhindern bei welcher Daten böswillig gelöscht oder verschlüsselt werden
Activation Lock
Ermöglicht es, ein Gerät aus der Ferne zu sperren und wieder freizuschalten und somit Daten auf verlorenen oder gestohlenen Geräten zu schützen

Diese wichtigen Features fehlen bei älteren macOS Systemen. Zusätzlich werden bei diesen Systemen von Apple auch keine Sicherheitsupdates mehr zur Verfügung gestellt und somit bleiben diese zum Teil sehr problematischen Lücken offen

⚠️

anykey empfiehlt, Geräte immer auf dem neuesten Betriebssystem zu betreiben, damit die neuesten Sicherheits-Features genutzt werden können.

⚠️

Hardware, welche nicht auf mindestens macOS 15 aktualisiert werden kann, sollte aus Sicherheitsgründen nicht mehr mit dem Internet verbunden werden. In der Amy hat es vorgefertigte Gruppen, um betroffene Geräte auszulesen.

⚠️

Das Amy Client Management ist optimiert für das aktuelle Betriebsystem. Wir gewähren Kompatibilität mit folgenden macOS Versionen:

macOS 15 Sequoia (Support von Apple bis Herbst 2027)
macOS 14 Sonoma (Support von Apple bis Herbst 2026)
macOS 13 Ventura (Support von Apple bis Herbst 2025)

Kennwörter

Ein sicheres Benutzerkennwort besteht aus mindestens 8 Zeichen. Empfohlen sind 12 Zeichen oder mehr. Hier ein Beispiel:

MGPhim2099sa!

Anfangsbuchstaben vom Satz "Mein Geräte Passwort habe ich mir 2020 selber ausgedacht!"

Sehr empfehlenswert sind auch längere Kennwörter basierend auf Sätzen. Beispiel:

Das ist das M365 Kennwort von Michael.

‼️

Häufiges Ändern des Kennwortes hat oft keinen Sicherheitsvorteil. Die Benutzer verwenden dann häufig nur Varianten des gleichen Kennwortes und erstellen generell Kennwörter, welche man einfacher erraten kann.

Verschlüsselung

Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)

Der Datenspeicher ist verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, wird der Datenspeicher mit dem Hardware Key auf dem T2 Chip entschlüsselt und der Bootvorgang von der Systempartition startet.

→ Im eingeschalteten Zustand ist es technisch möglich über Hardware oder Manipulation des Betriebssystems auf Daten zuzugreifen, welche sich auf dem Datenspeicher befinden, auch wenn sich gar kein Benutzer angemeldet hat. Auch lässt sich auf den Datenspeicher zugreifen, wenn man die Wiederherstellungs-Funktion verwendet.

Verhalten von Mac mit aktivierter File Vault 2

Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, bleibt der Datenspeicher verschlüsselt und startet von der Wiederherstellungs-Partition. Ein lokaler Benutzer muss sich mit seinem Kennwort authentifizieren, wodurch der Datenspeicher entschlüsselt und der Bootvorgang von der Systempartition startet.

Auf den Datenspeicher kann nur mit dem Kennwort eines File Vault aktivierten Benutzers oder dem File Vault Wiederherstellungsschlüssel zugegriffen werden

⚠️

anykey empfiehlt grundsätzlich File Vault zu aktivieren. Wir können die Aktivierung auf Kundenwunsch hin über Amy Client Management forcieren.

Systemintegritätsschutz

Der Systemintegritätsschutz (System Integrity Protection, SIP) ist ein Schutz auf Systemebene, der den Zugriff von Komponenten in bestimmten kritischen Bereichen des Dateisystems auf das reine Lesen beschränkt und so verhindert, dass sie durch schädlichen Code ausgeführt oder geändert werden.

⚠️

Der Systemintegritätsschutz lässt sich ausschalten, indem man den Mac im Wiederherstellungsmodus startet. Es ist sinnvoll, dass diese Option immer aktiv ist.

Bildschirmsperre

Damit ein Gerät zuverlässig geschützt ist, sollte nach 2 bis 5 Minuten Inaktivität ein Bildschirmschoner oder eine Bildschirmsperrung mit Kennwort-Schutz aktiviert werden. Dies stellt sicher, dass keine unbefugten Personen Zugriff auf das System haben.

Zusätzlich sollten die Geräte, wenn man sich davon entfernt, gesperrt werden (Control + Command + Q).

⚠️

anykey empfiehlt, mit dem Amy Client Management die Funktionen "Sicherheit → Automatische Sperre (max.): 5 Minuten" und "Sicherheit → Code zum Entsperren des Bildschirms erforderlich: 5 Sekunden) bei allen persönlichen Geräten zu erzwingen

Phising, Ransomware und Malware

Um die Geräte vor schadhafter Software oder Phishing zu schützen, empfiehlt sich der Einsatz einer Web Filter Lösung , welche problematische Internet-Inhalte sperrt.

Als zusätzlicher Schutz gibt es sogenannte End-Point-Security Lösungen (z. B. Jamf Protect bzw. Amy Pro), welche die lokalen Prozesse auf deinem Mac überwachen und bei Verdacht auf Malware blockieren.

Nicht mehr zeitgemäss sind traditionelle Antivirus-Software, welche auf Viren-Datenbanken beruhen, die ständig aktualisiert werden müssen und nur bekannte Schadsoftware beseitigen.

Social Engineering

Um die Institution von gezielten Angriffen zu schützen, brauchen alle Benutzer und Benutzerinnen regelmässig Training betreffend dem korrekten Verhalten in der digitalen Welt. Dabei sollten Aspekte wie z. B.

Verhalten mit Emails, welche Anhänge oder Links enthalten
Verwendung von Kennwörtern
Versand von Dokumenten über unsichere digitale Kanäle
Telefonauskünfte

berücksichtigt werden.

Backup

Alle persönlichen und geschäftlichen Dateien müssen regelmässig auf einem separaten Speichermedium gesichert werden. Dieses Speichermedium sollte physikalisch getrennt sein, was sich am einfachsten mit einer Cloud-basierten Lösung bewerkstelligen lässt. Alternativ lassen sich auch Backups auf externe USB-Speichermedien erstellen, welche dann vom Gerät getrennt aufbewahrt werden.

Bei Cloud-Backup-Lösungen gibt es zwei Varianten:

Lokal zu Cloud
Du speicherst deine Daten nur lokal und die lokal installierte Backup-Lösung speichert deine Daten in der Cloud. Weitere Infos zur Local zu Cloud Backup Lösung findest du unter anykey.ch/cloudbackup
Cloud zu Cloud
Du speicherst deine Daten in einer Cloud (Microsoft365, anyCloud usw.) und die ebenfalls Cloud-basierte Backup-Lösung greift direkt auf die Daten in der Cloud zu und sichert sie. Weitere Infos zur Cloud zu Cloud Backup Lösung findest du unter anykey.ch/m365backup

‼️

Backups sollten immer verschlüsselt sein. Bei lokalen Backups kann man dies bewerkstelligen, indem man die USB-Festplatte verschlüsselt. Bei Cloud-Backups empfiehlt sich ein Schlüssel welcher dem Cloud-Anbieter unbekannt ist.

Zusammenfassung unserer Empfehlungen

Software und Betriebssystem aktuell halten: Installiere immer die neuesten Updates für dein Betriebssystem und deine Programme, um von den aktuellsten Sicherheitsverbesserungen zu profitieren.
Unsichere Geräte vom Netz nehmen: Verbinde Geräte, die du nicht mindestens auf macOS 15 aktualisieren kannst, nicht mehr mit dem Internet.
Starke Passwörter verwenden: Nutze lange Passphrasen anstelle von kurzen, komplexen Passwörtern, um die Sicherheit deiner Konten zu erhöhen.
Daten verschlüsseln: Aktiviere File Vault 2, um die Daten auf deiner Festplatte zu verschlüsseln und bei ausgeschaltetem Gerät zu schützen.
Systemeinstellungen optimieren: Aktiviere den Systemintegritätsschutz (SIP) und eine automatische Bildschirmsperre nach kurzer Inaktivität.
Schutz vor Online-Bedrohungen: Setze auf moderne Sicherheitslösungen wie Web-Filter und End-Point-Security anstelle von traditionellen Antivirenprogrammen.
Sicherheitsbewusstsein stärken: Informiere dich regelmässig über Social Engineering, um dich und andere Nutzer besser zu schützen.
Regelmässige Backups: Erstelle regelmässig verschlüsselte Backups deiner Daten und speichere diese idealerweise auf externen oder Cloud-basierten Speichermedien.