- Software
- Betriebssystem
- Kennwörter
- Verschlüsselung
- Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)
- Verhalten von Mac mit aktivierter File Vault 2
- Systemintegritätsschutz
- Bildschirmsperre
- Phising, Ransomware und Malware
- Social Engineering
- Backup
Software
Für die Sicherheit einer IT-Umgebung ist es von entscheidender Bedeutung, dass auf allen Geräten die installierten Anwendungen und Programme auf dem neuesten Stand sind.
Betriebssystem
Apple ergänzt das macOS Betriebssystem ständig mit neuen Sicherheits-Features, welche nicht nur die Daten selber, sondern auch die Privatsphäre des Benutzers optimal schützen sollen. In den letzten Jahren sind wichtige neue Features dazugekommen wie z. B.:
- Gatekeeper Die Gatekeeper Funktion stellt sicher, dass nur Applikationen aus sicheren Quellen ausgeführt werden. Zusätzlich scannt Gatekeeper seit Catalina jede Applikation bevor sie das erste Mal ausgeführt wird, und verhindert so die Ausführung von schadhaftem Code.
- Notarization Wenn ein Entwickler eine App für das macOS entwickelt, wird die App vor der Verteilung überprüft. Ohne diese Überprüfung kann die App nicht signiert werden und wird somit vom macOS standardmässig gesperrt.
- Benutzer-Dialoge Wenn Programme oder sonstige Prozesse auf die Benutzerdaten zugreifen wollen, dann erscheint jeweils ein Dialogfenster um den Benutzer um Erlaubnis zu bitten. Diese Funktion kann Ransomware Attacken verhindern bei welcher Daten böswillig gelöscht oder verschlüsselt werden
- Activation Lock Ermöglicht ein Gerät aus der Ferne zu sperren und wieder freizuschalten und somit Daten auf verlorenen oder gestohlenen Geräten zu schützen
Diese wichtigen Features fehlen bei älteren macOS Systemen. Zusätzlich werden bei diesen Systemen von Apple auch keine Sicherheitsupdates mehr zur Verfügung gestellt und somit bleiben diese zum Teil sehr problematischen Lücken offen
- macOS 154 SequoiaSonoma (Support von Apple bis Herbst 20276)
- macOS 14 Sonoma (Support von Apple bis Herbst 2026)
- macOS 13 Ventura (Support von Apple bis Herbst 2025)
- macOS 12 Monterey (Support von Apple bis Herbst 2024)
Kennwörter
Ein sicheres Benutzerkennwort besteht aus mindestens 812 Zeichen. Empfohlen sind 15 Zeichen., welche idealerweise aus Gross- und Kleinschreibung und Satzzeichen bestehen. Beispiel:
MGPhim2099sa!
Anfangsbuchstaben vom Satz "Mein Geräte Passwort habe ich mir 2020 selber ausgedacht!"
Sehr empfehlenswert sind auch längere Kennwörter basierend auf Sätzen. Beispiel:
Das ist mein eigenes Kennwort und ich sage es Niemanden.
Verschlüsselung
Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)
Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, wird der Datenspeicher mit dem Hardware Key auf dem T2 Chip entschlüsselt und der Bootvorgang von der Systempartition startet.
→ Im eingeschalteten Zustand ist es technisch möglich über Hardware oder Manipulation des Betriebssystems auf Daten zuzugreifen, welche sich auf dem Datenspeicher befinden, auch wenn sich gar kein Benutzer angemeldet hat. Auch lässt sich auf den Datenspeicher zugreifen, wenn man die Wiederherstellungs-Funktion verwendet.
Verhalten von Mac mit aktivierter File Vault 2
Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, bleibt der Datenspeicher verschlüsselt und startet von der Wiederherstellungs-Partition. Ein lokaler Benutzer muss sich mit seinem Kennwort authentifizieren, wodurch der Datenspeicher entschlüsselt und der Bootvorgang von der Systempartition startet.
- Auf den Datenspeicher kann nur mit dem Kennwort eines File Vault aktivierten Benutzers oder dem File Vault Wiederherstellungsschlüssel zugegriffen werden
Systemintegritätsschutz
Der Systemintegritätsschutz (System Integrity Protection, SIP) ist ein Schutz auf Systemebene, der den Zugriff von Komponenten in bestimmten kritischen Bereichen des Dateisystems auf das reine Lesen beschränkt und so verhindert, dass sie durch schädlichen Code ausgeführt oder geändert werden.
Bildschirmsperre
Damit ein Gerät zuverlässig geschützt ist, sollte nach 2 bis 5 Minuten Inaktivität ein Bildschirmschoner oder eine Bildschirmsperrung mit Kennwort-Schutz aktiviert werden. Dies stellt sicher, dass keine unbefugte Benutzer Zugriff auf das System haben.
Zusätzlich sollten die Geräte, wenn man sich davon entfernt, gesperrt werden (Control + Command + Q).
Phising, Ransomware und Malware
Um die Geräte vor schadhafter Software oder Phising zu schützen, empfiehlt sich der Einsatz einer Web Filter Lösung , welche problematische Internet-Inhalte sperrt.
Als zusätzlicher Schutz gibt es sogenannte End-Point-Security Lösungen (z. B. Jamf Protect bzw. Amy Pro), welche die lokalen Prozesse auf deinem Mac überwachen und bei Verdacht auf Malware blockieren.
Nicht mehr zeitgemäss sind traditionelle Antivirus-Software, welche auf Viren-Datenbanken beruhen, die ständig aktualisiert werden müssen und nur bekannte Schadsoftware beseitigen.
Social Engineering
Um die Institution von gezielten Angriffen zu schützen, brauchen alle Benutzer und Benutzerinnen regelmässig Training betreffend dem korrekten Verhalten in der digitalen Welt. Dabei sollten Aspekte wie z. B.
- Verhalten mit Emails welche Anhänge oder Links enthalten
- Verwendung von Kennwörtern
- Versand von Dokumenten über unsichere digitale Kanäle
- Telefonauskünfte
berücksichtigt werden.
Backup
Alle persönlichen und geschäftlichen Dateien müssen regelmässig auf einem separaten Speichermedium gesichert werden. Dieses Speichermedium sollte physikalisch getrennt sein, was sich am einfachsten mit einer CloudCteloud-basierten Lösung bewerkstelligen lässt. Alternativ lassen sich auch Backups auf externe USB-Speichermedien erstellen, welche dann vom Gerät getrennt aufbewahrt werden.
Bei Cloud-Backup-Lösungen gibt es zwei Varianten:
- Lokal zu Cloud Du speicherst deine Daten nur lokal und die lokal installierte Backup-Lösung speichert deine Daten in der Cloud.
- Cloud zu Cloud Du speicherst deine Daten in einer Cloud (Microsoft365, eWolke usw.) und die ebenfalls Cloud-basierte Backup-Lösung greift direkt auf die Daten in der Cloud zu und sichert sie.
Zusammenfassung unserer Empfehlungen