macOS Sicherheit - Empfehlungen der anykey

Software
Betriebssystem
Kennwörter
Verschlüsselung
Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)
Verhalten von Mac mit aktivierter File Vault 2
Systemintegritätsschutz
Bildschirmsperre
Phising, Ransomware und Malware
Social Engineering
Backup

Software

Für die Sicherheit einer IT-Umgebung ist es von entscheidender Bedeutung, dass auf allen Geräten die installierten Anwendungen und Programme auf dem neuesten Stand sind.

Betriebssystem

Apple ergänzt das macOS Betriebssystem ständig mit neuen Sicherheits-Features, welche nicht nur die Daten selber, sondern auch die Privatsphäre des Benutzers optimal schützen sollen. In den letzten Jahren sind wichtige neue Features dazugekommen wie z. B.:

Gatekeeper Die Gatekeeper Funktion stellt sicher, dass nur Applikationen aus sicheren Quellen ausgeführt werden. Zusätzlich scannt Gatekeeper seit Catalina jede Applikation bevor sie das erste Mal ausgeführt wird, und verhindert so die Ausführung von schadhaftem Code.
Notarization Wenn ein Entwickler eine App für das macOS entwickelt, wird die App vor der Verteilung überprüft. Ohne diese Überprüfung kann die App nicht signiert werden und wird somit vom macOS standardmässig gesperrt.
Benutzer-Dialoge Wenn Programme oder sonstige Prozesse auf die Benutzerdaten zugreifen wollen, dann erscheint jeweils ein Dialogfenster um den Benutzer um Erlaubnis zu bitten. Diese Funktion kann Ransomware Attacken verhindern bei welcher Daten böswillig gelöscht oder verschlüsselt werden
Activation Lock Ermöglicht ein Gerät aus der Ferne zu sperren und wieder freizuschalten und somit Daten auf verlorenen oder gestohlenen Geräten zu schützen

Diese wichtigen Features fehlen bei älteren macOS Systemen. Zusätzlich werden bei diesen Systemen von Apple auch keine Sicherheitsupdates mehr zur Verfügung gestellt und somit bleiben diese zum Teil sehr problematischen Lücken offen

⚠️

anykey empfiehlt, Geräte immer auf dem neuesten Betriebssystem zu betreiben, damit die neuesten Sicherheits-Features genutzt werden können.

⚠️

Hardware, welche nicht auf mindestens macOS 152 aktualisiert werden kann, sollte aus Sicherheitsgründen nicht mehr mit dem Internet verbunden werden. In der Amy hat es fertige Gruppe für das auslesen der betroffenen Geräte.

⚠️

Das Amy Client Management ist optimiert für das aktuelle Betriebsystem. Wir gewähren Kompatibilität mit folgenden macOS Versionen:

macOS 154 SequoiaSonoma (Support von Apple bis Herbst 20276)
macOS 14 Sonoma (Support von Apple bis Herbst 2026)
macOS 13 Ventura (Support von Apple bis Herbst 2025)
macOS 12 Monterey (Support von Apple bis Herbst 2024)

Kennwörter

Ein sicheres Benutzerkennwort besteht aus mindestens 812 Zeichen. Empfohlen sind 15 Zeichen., welche idealerweise aus Gross- und Kleinschreibung und Satzzeichen bestehen. Beispiel:

MGPhim2099sa!

Anfangsbuchstaben vom Satz "Mein Geräte Passwort habe ich mir 2020 selber ausgedacht!"

Sehr empfehlenswert sind auch längere Kennwörter basierend auf Sätzen. Beispiel:

Das ist mein eigenes Kennwort und ich sage es Niemanden.

⚠️

anykey empfiehlt mit dem Amy Client Management "Mindestlänge des Codes: 810", "Alphanumerischer Wert" bei allen persönlichen Geräten zu erzwingen

‼️

Häufiges Ändern des Kennwortes hat oft keinen Sicherheitsvorteil bzw. die Benutzer verwenden dann häufig nur Varianten des gleichen Kennwortes bzw. simplere Kennwörter.

Verschlüsselung

Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)

Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, wird der Datenspeicher mit dem Hardware Key auf dem T2 Chip entschlüsselt und der Bootvorgang von der Systempartition startet.

→ Im eingeschalteten Zustand ist es technisch möglich über Hardware oder Manipulation des Betriebssystems auf Daten zuzugreifen, welche sich auf dem Datenspeicher befinden, auch wenn sich gar kein Benutzer angemeldet hat. Auch lässt sich auf den Datenspeicher zugreifen, wenn man die Wiederherstellungs-Funktion verwendet.

Verhalten von Mac mit aktivierter File Vault 2

Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, bleibt der Datenspeicher verschlüsselt und startet von der Wiederherstellungs-Partition. Ein lokaler Benutzer muss sich mit seinem Kennwort authentifizieren, wodurch der Datenspeicher entschlüsselt und der Bootvorgang von der Systempartition startet.

Auf den Datenspeicher kann nur mit dem Kennwort eines File Vault aktivierten Benutzers oder dem File Vault Wiederherstellungsschlüssel zugegriffen werden

⚠️

anykey empfiehlt grundsätzlich File Vault zu aktivieren. Wir können die Aktivierung auf Kundenwunsch hin über Amy Client Management forcieren.

Systemintegritätsschutz

Der Systemintegritätsschutz (System Integrity Protection, SIP) ist ein Schutz auf Systemebene, der den Zugriff von Komponenten in bestimmten kritischen Bereichen des Dateisystems auf das reine Lesen beschränkt und so verhindert, dass sie durch schädlichen Code ausgeführt oder geändert werden.

⚠️

Der Systemintegritätsschutz lässt sich ausschalten, indem man den Mac im Wiederherstellungsmodus startet. Es ist sinnvoll, dass diese Option immer aktiv ist.

Bildschirmsperre

Damit ein Gerät zuverlässig geschützt ist, sollte nach 2 bis 5 Minuten Inaktivität ein Bildschirmschoner oder eine Bildschirmsperrung mit Kennwort-Schutz aktiviert werden. Dies stellt sicher, dass keine unbefugte Benutzer Zugriff auf das System haben.

Zusätzlich sollten die Geräte, wenn man sich davon entfernt, gesperrt werden (Control + Command + Q).

⚠️

anykey empfiehlt, mit dem Amy Client Management die Funktionen "Sicherheit → Automatische Sperre (max.): 5 Minuten" und "Sicherheit → Code zum Entsperren des Bildschirms erforderlich: 5 Sekunden) bei allen persönlichen Geräten zu erzwingen

Phising, Ransomware und Malware

Um die Geräte vor schadhafter Software oder Phising zu schützen, empfiehlt sich der Einsatz einer Web Filter Lösung , welche problematische Internet-Inhalte sperrt.

Als zusätzlicher Schutz gibt es sogenannte End-Point-Security Lösungen (z. B. Jamf Protect bzw. Amy Pro), welche die lokalen Prozesse auf deinem Mac überwachen und bei Verdacht auf Malware blockieren.

Nicht mehr zeitgemäss sind traditionelle Antivirus-Software, welche auf Viren-Datenbanken beruhen, die ständig aktualisiert werden müssen und nur bekannte Schadsoftware beseitigen.

Social Engineering

Um die Institution von gezielten Angriffen zu schützen, brauchen alle Benutzer und Benutzerinnen regelmässig Training betreffend dem korrekten Verhalten in der digitalen Welt. Dabei sollten Aspekte wie z. B.

Verhalten mit Emails welche Anhänge oder Links enthalten
Verwendung von Kennwörtern
Versand von Dokumenten über unsichere digitale Kanäle
Telefonauskünfte

berücksichtigt werden.

Backup

Alle persönlichen und geschäftlichen Dateien müssen regelmässig auf einem separaten Speichermedium gesichert werden. Dieses Speichermedium sollte physikalisch getrennt sein, was sich am einfachsten mit einer CloudCteloud-basierten Lösung bewerkstelligen lässt. Alternativ lassen sich auch Backups auf externe USB-Speichermedien erstellen, welche dann vom Gerät getrennt aufbewahrt werden.

Bei Cloud-Backup-Lösungen gibt es zwei Varianten:

Lokal zu Cloud Du speicherst deine Daten nur lokal und die lokal installierte Backup-Lösung speichert deine Daten in der Cloud.
Cloud zu Cloud Du speicherst deine Daten in einer Cloud (Microsoft365, eWolke usw.) und die ebenfalls Cloud-basierte Backup-Lösung greift direkt auf die Daten in der Cloud zu und sichert sie.

‼️

Backups sollten immer verschlüsselt sein. Bei lokalen Backups kann man dies bewerkstelligen, indem man die USB-Festplatte verschlüsselt. Bei Cloud-Backups empfiehlt sich ein Schlüssel welcher dem Cloud-Anbieter unbekannt ist.privater Backup-Schlüssel oder 2-fach Authentifizierung.

Zusammenfassung unserer Empfehlungen