macOS Sicherheit - Empfehlungen der anykey

Owner: Tobias Linder
Last edited time: 4 juillet 2024 13 h 53
Tags: Beratung und Dienstleistung
Created: 9 avril 2024 07 h 09

Software
Betriebssystem
Kennwörter
Verschlüsselung
Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)
Verhalten von Mac mit aktivierter File Vault 2
Systemintegritätsschutz
Bildschirmsperre
Phising, Ransomware und Malware
Social Engineering
Backup

Software

Für die Sicherheit einer IT-Umgebung ist es von entscheidender Bedeutung, dass auf allen Geräten die installierten Anwendungen und Programme auf dem neuesten Stand sind.

Betriebssystem

Apple ergänzt das macOS Betriebssystem ständig mit neuen Sicherheits-Features, welche nicht nur die Daten selber, sondern auch die Privatsphäre des Benutzers optimal schützen sollen. In den letzten Jahren sind wichtige neue Features dazugekommen wie z. B.:

Gatekeeper Die Gatekeeper Funktion stellt sicher, dass nur Applikationen aus sicheren Quellen ausgeführt werden. Zusätzlich scannt Gatekeeper seit Catalina jede Applikation bevor sie das erste Mal ausgeführt wird, und verhindert so die Ausführung von schadhaftem Code.

Notarization Wenn ein Entwickler eine App für das macOS entwickelt, wird die App vor der Verteilung überprüft. Ohne diese Überprüfung kann die App nicht signiert werden und wird somit vom macOS standardmässig gesperrt.

Benutzer-Dialoge Wenn Programme oder sonstige Prozesse auf die Benutzerdaten zugreifen wollen, dann erscheint jeweils ein Dialogfenster um den Benutzer um Erlaubnis zu bitten. Diese Funktion kann Ransomware Attacken verhindern bei welcher Daten böswillig gelöscht oder verschlüsselt werden

Activation LockErmöglicht ein Gerät aus der Ferne zu sperren und wieder freizuschalten und somit Daten auf verlorenen oder gestohlenen Geräten zu schützen

Diese wichtigen Features fehlen bei älteren macOS Systemen. Zusätzlich werden bei diesen Systemen von Apple auch keine Sicherheitsupdates mehr zur Verfügung gestellt und somit bleiben diese zum Teil sehr problematischen Lücken offen

Kennwörter

Ein sicheres Benutzerkennwort besteht aus mindestens 12 Zeichen, welche idealerweise aus Gross- und Kleinschreibung und Satzzeichen bestehen. Beispiel:

MGPhim2099sa!

Anfangsbuchstaben vom Satz "Mein Geräte Passwort habe ich mir 2020 selber ausgedacht!"

Sehr empfehlenswert sind auch längere Kennwörter basierend auf Sätzen. Beispiel:

Das ist mein eigenes Kennwort und ich sage es Niemanden.

Verschlüsselung

Verhalten von Mac mit T2 Chip oder höher (Mac-Modelle mit T2 Chip)

Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, wird der Datenspeicher mit dem Hardware Key auf dem T2 Chip entschlüsselt und der Bootvorgang von der Systempartition startet.

→ Im eingeschalteten Zustand ist es technisch möglich über Hardware oder Manipulation des Betriebssystems auf Daten zuzugreifen, welche sich auf dem Datenspeicher befinden, auch wenn sich gar kein Benutzer angemeldet hat. Auch lässt sich auf den Datenspeicher zugreifen, wenn man die Wiederherstellungs-Funktion verwendet.

Verhalten von Mac mit aktivierter File Vault 2

Der Datenspeicher ist voll verschlüsselt, wenn das Gerät ausgeschaltet ist. Wenn der Mac einschaltet, bleibt der Datenspeicher verschlüsselt und startet von der Wiederherstellungs-Partition. Ein lokaler Benutzer muss sich mit seinem Kennwort authentifizieren, wodurch der Datenspeicher entschlüsselt und der Bootvorgang von der Systempartition startet.

Auf den Datenspeicher kann nur mit dem Kennwort eines File Vault aktivierten Benutzers oder dem File Vault Wiederherstellungsschlüssel zugegriffen werden

Systemintegritätsschutz

Der Systemintegritätsschutz (System Integrity Protection, SIP) ist ein Schutz auf Systemebene, der den Zugriff von Komponenten in bestimmten kritischen Bereichen des Dateisystems auf das reine Lesen beschränkt und so verhindert, dass sie durch schädlichen Code ausgeführt oder geändert werden.

Bildschirmsperre

Damit ein Gerät zuverlässig geschützt ist, sollte nach 2 bis 5 Minuten Inaktivität ein Bildschirmschoner oder eine Bildschirmsperrung mit Kennwort-Schutz aktiviert werden. Dies stellt sicher, dass keine unbefugte Benutzer Zugriff auf das System haben.

Phising, Ransomware und Malware

Um die Geräte vor schadhafter Software oder Phising zu schützen, empfiehlt sich der Einsatz einer Web Filter Lösung , welche problematische Internet-Inhalte sperrt.

Als zusätzlicher Schutz gibt es sogenannte End-Point-Security Lösungen (z. B. Jamf Protect bzw. Amy Pro), welche die lokalen Prozesse auf deinem Mac überwachen und bei Verdacht auf Malware blockieren.

Nicht mehr zeitgemäss sind traditionelle Antivirus-Software, welche auf Viren-Datenbanken beruhen, die ständig aktualisiert werden müssen und nur bekannte Schadsoftware beseitigen.

Social Engineering

Um die Institution von gezielten Angriffen zu schützen, brauchen alle Benutzer und Benutzerinnen regelmässig Training betreffend dem korrekten Verhalten in der digitalen Welt. Dabei sollten Aspekte wie z. B.

Verhalten mit Emails welche Anhänge oder Links enthalten

Verwendung von Kennwörtern

Versand von Dokumenten über unsichere digitale Kanäle

Telefonauskünfte

berücksichtigt werden.

Backup

Alle persönlichen und geschäftlichen Dateien müssen regelmässig auf einem separaten Speichermedium gesichert werden. Dieses Speichermedium sollte physikalisch getrennt sein, was sich am einfachsten mit einer Cteloud-basierten Lösung bewerkstelligen lässt. Alternativ lassen sich auch Backups auf externe USB-Speichermedien erstellen, welche dann vom Gerät getrennt aufbewahrt werden.

Bei Cloud-Backup-Lösungen gibt es zwei Varianten:

Lokal zu CloudDu speicherst deine Daten nur lokal und die lokal installierte Backup-Lösung speichert deine Daten in der Cloud.

Cloud zu CloudDu speicherst deine Daten in einer Cloud (Microsoft365, eWolke usw.) und die ebenfalls Cloud-basierte Backup-Lösung greift direkt auf die Daten in der Cloud zu und sichert sie.