tautoko

Weblog von Johannes Kleske

Tipps für mehr Mac-Sicherheit

| 17 Kommentare

Die EFF ermutigt zum Start des neuen Jahres, Festplatten komplett zu verschlüsseln. Ich nehme das mal zum Anlass, um ein paar weitere Tipps zu geben, wie man mit wenigen Mitteln den eigenen Mac ein ganzes Stück sicherer machen kann.

Grundsätzlich gilt: Keiner dieser Tipps schützt den Mac 100 Prozent. Es geht immer darum, den Missbrauch ein bisschen schwieriger zu machen.

Hinweis: Da ich derzeit nur auf Macs mit Lion als Betriebssystem arbeite, kann ich nicht überprüfen, inwiefern sich Bezeichnungen und Verortungen von früheren Mac-OS-X-Versionen unterscheiden.

  1. Immer die aktuellste Version des aktuellsten Betriebssystems installieren. Die großen und kleinen Updates schließen in der Regel eine Vielzahl von Sicherheitslücken. Außerdem haben sich bisher mit jeder neuen Version von Mac OS X die Sicherheitsmöglichkeiten deutlich verbessert und Lion ist da keine Ausnahme.
  2. 1password installieren. Kaum ein anderes Programm auf dem Mac trägt so umfassend zur allgemeinen Sicherheit im Umgang mit persönlichen Daten bei wie 1password. Es dient in erster Linie dazu, sichere Passwörter zu erstellen und zu speichern.
    Es bringt ein Plugin für jeden gängigen Browser mit, so dass man beim Erstellen eines neuen Accounts für einen Webdienst sehr einfach ein Passwort generieren und es beim nächsten Login wieder aufrufen kann. Man muss sich nur das Haupt-1password-Passwort merken. Das kann z.B. auch ein voller Satz sein, der sich persönlich einfach merken lässt, aber noch schwieriger zu knacken ist als eine wilde Kombination von Buchstaben und Zahlen.1
    1password beinhaltet noch viele weitere Möglichkeiten wie z.B. sichere Notizen und das Speichern von Software-Lizenzen usw. Es lohnt sich absolut, sich mit dem Programm etwas genauer zu beschäftigen.
  3. Die komplette Festplatte verschlüsseln. In Lion ist die hauseigene Festplattenverschlüsselung namens FileVault endlich soweit, dass man sie ohne große Einschränkungen im Alltag verwenden kann. Eine verschlüsselte Festplatte stellt sicher, dass niemand anderes an die Daten kann, wenn der Rechner verloren oder geklaut wird. FileVault findet man in der Systemeinstellung unter Sicherheit. Hier ist eine Anleitung zum Aktivieren.2
  4. Kennworteingabe immer erforderlich. Wenn man schon im Bereich Sicherheit der Systemeinstellungen ist, kann man gleich ein paar weitere Einstellungen vornehmen. Im Reiter Allgemein sollte man einstellen, dass die Eingabe des Kennworts erforderlich ist, wenn man den Bildschirmschoner beendet oder den Mac aus dem Schlafmodus weckt. So kann sich niemand am eigenen Rechner zu schaffen machen, wenn man gerade nicht in der Nähe ist.
  5. Firewall aktivieren. Die Firewall, ebenfalls im Bereich Sicherheit in den Systemeinstellungen, sollte man ebenfalls aktivieren. Sie bietet einen grundlegenden Schutz für Angriffe über das Web, wenn auch nicht besonders detailliert.
  6. Admin- und Standard-Konten verwenden. Die meisten Macbenutzer, die ich kenne, nutzen am Mac nur ein Konto (Name & Passwort zum Einloggen usw.). Dieses Konto ist in der Regel mit Administrationsrechten ausgestattet, d.h. man kann damit den ganzen Rechner verwalten, alle Einstellungen ändern, Programme löschen usw. Das birgt ein gewisses Risiko. Kommt jemand an den Mac, wenn dieser nicht im Bildschirmschoner- oder Standby-Modus ist oder findet er das Passwort des Benutzers heraus, kann er sofort den ganzen Rechner verwalten. Deswegen sollte man sich, aus meiner Sicht, ein Standard-Konto einrichten, mit dem man sich einloggt und das man ganz normal benutzt. Zusätzlich richtet man sich ein Administrationskonto ein, mit anderem Namen und Passwort, das den Rechner verwalten darf. Im Alltag bedeutet das, dass man immer dann, wenn man z.B. etwas an den Systemeinstellungen ändern oder ein Programm installieren oder löschen möchte, man Name und Passwort des Administrationskontos eingeben muss.
    Die Konten richtet man über den Punkt Benutzer & Gruppen in den Systemeinstellungen ein. Welche Namen und Passwörter man verwendet, bleibt einem komplett selbst überlassen. Entscheidend ist nur, dass der Punkt Der Benutzer darf diesen Computer verwalten beim Administrationskonto angewählt ist und beim Standardkonto nicht.
    Wenn man schon dabei ist, sollte man sich auch versichern, dass die automatische Anmeldung bei den Anmeldeoptionen deaktiviert ist.
  7. Firmware-Kennwort einrichten. Das Firmware-Kennwort dient beim Mac dazu, den Rechner davor zu schützen, dass jemand ein neues System aufspielt oder von einem anderen Medium bootet (z.B. in dem Fall, dass der Rechner gestohlen wird und jemand einfach eine neue Festplatte einbaut). Unter Lion3 bootet man zum Einrichten neu und drückt beim booten cmd + r. Nach der Auswahl der Sprache kann man oben im Menü über Dienstprogramme im Punkt Firmware-Kennwort das Kennwort einrichten. (Hinweis in der Fußnote beachten)

Soweit die aus meiner Sicht wichtigsten Tipps für einen sichereren Mac. Korrekturen und Ergänzungen sind sehr willkommen.


  1. Man sollte wissen, dass 1password in der Datenbank aus Performancegründen nur den jeweiligen Benutzernamen und das Passwort verschlüsselt, so wie es der hauseigene Mac-OS-X-Schlüsselbund auch tut. Details dazu findet man hier. (Danke, Sebaso, für den Hinweis.) 

  2. Wenn man das Passwort zur Entschlüsselung einer Festplatte eingeben muss, z.B. weil man sie in einen anderen Mac eingebaut hat oder wenn man das Firmware-Kennwort eingeben muss, kann es gut sein, dass der Rechner zu dem Zeitpunkt ein Englisches Tastaturlayout verwendet (weil sehr früh im Bootvorgang das deutsche Layout noch nicht geladen wurde). Wer Sonderzeichen in seinem Passwort verwendet, muss dann zunächst herausfinden, wo diese auf einer Englischen Tastatur liegen. Danke an Marco für den Hinweis. 

  3. Für andere Mac-OS-X-Versionen hat Apple das Vorgehen hier beschrieben. 

Johannes Kleske

34, Co-Gründer von Third Wave, lebt in Berlin, denkt nach über Städtleben, vernetztes Arbeiten und zukünftige Kommunikation, hat Spaß an feinem Kaffee und inspirierenden Medien.

Twitter, Tumblr, flickr, Readmill

17 Kommentare

  1. Guter Appell, Johannes, Danke! Mir fehlte nur noch Punkt 3 (FileVault), an dem ich mehrfach gescheitert bin, weil… 

    a) Das Ganze irgendwie doch buggy zu sein scheint und erst nach dem zweiten Start der Verschlüsselung wirklich funktionierte und 

    b) Bei der Passwort-Abfrage die Tastatur auf EN switcht und damit das Passwort u. U. natürlich nicht mehr angenommen wird.

    Vielleicht hilft die Info hier ja noch jemandem, der sich deine Liste zur Brust nimmt! 

  2. Macht FireVault den Mac nicht erheblich langsamer ?

  3. Pingback: brew0102 - dailycoffeebreak.de

  4. Vielen Dank – noch ein paar Dinge, die ich nicht berücksichtigt hab bisher. 

  5. Zum Schnell-sperren finde ich mit Alfred.app den shortcut “lock” ganz hilfreich übrigens http://d.pr/9XSE (screenshot) 

  6. Sehr schöner Beitrag, man lernt nie aus.

  7. Hab mich bzgl filevault bisher auch nicht getraut. Wichtigste Dinge hab ich in Knox Vaults. Kommt sich das in die Quere? Wollte jetzt mal ein TM-Backup machen und dann filevault anstellen. Dauert das lang? Was muss ich vorher beachten? Danke!

  8. Danke für die Tipps. Wieso ist eigentlich die Firewall per default off und wen hat es schonmal gestört wenn man sie aktiviert hat!? An FileVault hab ich mich auch noch nicht “getraut”, mal sehen. Was meinst du mit Punkt 8 “schnell sperren” – einfach als Aufforderung? @assbach:disqus via Einstellungen in der “Schlüsselbundverwaltung” kann man auch ein Lock-Icon in der Menüleiste anzeigen. Das ist nicht ganz zu schnell wie Alfred, aber auch brauchbar.

  9. Alter Post, ich weiß, aber ich finde, das gehört noch dazu:

    Wenn man den Rechner schon so total verschließt, sollte man eventuellen Findern trotzdem noch eine sichere Möglichkeit geben, einen zu kontaktieren. In Lion kann man dafür eine eigene Nachricht auf dem Lockscreen anzeigen lassen, mit Kontaktdaten z.B.: http://osxdaily.com/2011/07/28/login-and-lock-screen-message-in-mac-os-x-lion/

  10. Pingback: Arbeiten in Bewegung | tautoko

Kommentar verfassen