Gretchenfrage Sicherheit am Mac
Mac, Sag mir wie hast du’s mit der Sicherheit? Die Frage, welches Niveau an Schutz gegen Malware man am Mac installieren soll, stellt sich natürlich immer wieder, wenn man Systeme für andere einrichtet oder betreut. Beim Mac muss man sich immerhin nicht lange mit der Vergangenheit beschäftigen: da war nichts. Wenn man die Attacken und Stürme auf der Windows-Seite zum Vergleich nimmt, dann kam auf der Mac Seite nicht einmal ein Lüftchen auf.
Aus über 20 Jahren Erfahrung mit Mac Support kann ich immer noch alle Ereignisse an einer Hand abzählen, Datenverlust oder auch nur Systemneuinstallation gab‘s nicht, Punkt. Und heute? Die Fachleute sind sich ziemlich einig, dass die Zeit der Viren vorbei ist, heutige Bedrohungen gehen von trojanischen Pferden und dergleichen aus. Nahezu ausschliesslich sind es Phishing, Drive-by-Infections und andere webbasierende Scams, die eine Gefahr darstellen. Welche Massnahmen sind dagegen auf dem Mac sinnvoll?
Erst einmal die Standards: Software auf dem neusten Stand halten, nur notwendige Dienste einschalten (Systemeinstellungen Sharing), wenn möglich Verschlüsselung und sichere Protokolle verwenden, und mit Abstand der wichtigste Punkt: sichere Passwörter einsetzen (mehr als 8 Zeichen lang, ohne Wörter, die man in einem Wörterbuch finden kann, Gross- und Kleinbuchstaben, Zahlen, und Sonderzeichen verwenden und es muss aus der Erinnerung rekonstruierbar sein, damit es nirgendwo aufgeschrieben werden muss).
Als eine für Macianer neue und erklärungsbedürftige Massnahme lasse ich die User nicht mehr mit Administrator-Rechten arbeiten, sondern richte ihnen, z.B. auf einem Notebook neben ihrem normalen unprivilegierten User einen lokalen Administrator ein. Wenn sie dann ein Update machen wollen oder aus sonst einem Grund Administratoren Privilegien benötigen (Einstellungen ändern, ein neues Programm installieren, Shell-Befehle ausführen etc.), dann macht es ihnen der Mac äusserst leicht: im Dialogfenster, das automatisch angezeigt wird, muss bloss der Name des Administrators geändert und das Passwort eingegeben werden. Das Passwort darf sogar dasselbe sein wie dasjenige des Normalusers, damit nicht noch eines ins Spiel kommt.
Auf diese Weise passieren weniger Versehen, die der User dann bereut, und ein Angreifer, der sich Zugang verschafft zum Computer des gerade aktiven Benutzers, kann nur Dinge tun die ein Normaluser auch tun könnte. Keine Einstellungen verändern, keine neuen User einrichten, das Startlaufwerk nicht ändern und keine Software verändern oder installieren: Der Angreifer kann gar nichts tun, was für ihn interessant ist. Für alle anderen Dinge müsste er das Passwort kennen. Dieses ist aber eben sicher, und daher machen sich die wenigsten Angreifer die Mühe, es auch nur zu versuchen zu knacken.
Wenn es allerdings einem Angreifer gelingen sollte, das Passwort zu knacken, dann hilft keine Software mehr, kann sie aus Prinzip nicht. Aus diesem Grund verwende ich auch keine Antivirensoftware mehr und deshalb ist das Passwort so wichtig. Wenn man es für nützlich erachtet, kann man seine Festplatten einmal im Jahr nach Viren absuchen. Während dem Rest des Jahres verursachen diese Programme nur Probleme und nützen gar nichts, weil sie nur erkennen können, was bereits da ist.
Ich bin überzeugt, dass wir noch ziemlich lange keine Mac-spezifischen Attacken sehen werden, aus dem einfachen Grund, dass es genügend Möglichkeiten gibt, Plattformübergreifende Angriffe zu konstruieren, oder auf die Legionen von ungepatchten Windows-Maschinen zurückzugreifen, die immer noch irgendwo am Netz sind. Trotzdem würde es nicht schaden, wenn Apple sich mehr anstrengen und ihre Reaktionszeit auf bekannte Sicherheitslöcher verkürzen würde.
Posted on
in Mail, Web, Passwort, Applikationen, Software, Arbeitsplätze, Support
Interessanter Eintrag, aber irgendwie fand ich ihn ohne Absatztrennungen schwer zu lesen.
Da stimme ich völlig zu. Die Blog Applikation hat weder die Abstände noch die Umbrüche noch die Stichworte geschluckt. Die ersten beiden konnten wir beheben, die missglückte Stichworteingabe wird noch untersucht. Vielleicht eine Attacke von einem Spam-Schleuder-Zombie? ;-)