Datenschutz selbst gemacht: Mit dem Mac sicher im Netz unterwegs

13

Galaxy panic

Im Angesicht der unaufhörlichen, sogar staatlicherseits willentlichen Beschnüffelns ist es für immer wichtiger, zu zeigen, dass Privatsphäre keine Zauberei ist und fast alle Mittel an Board aktueller Computer vorhanden sind. Ich habe mich in dem Beitrag auf das weit verbreitete Mac OSX konzentriert.

Es soll jedoch nicht der Eindruck entstehen, dass das eigene System danach unangreifbar ist. Vieles lässt sich vermeiden, die totale Sicherheit gibt es nicht.

Ein Mac ist sicherer als ein PC.

Dazu sage ich mal “jein”.

Technisch gesehen werden die Schwachstellen von Mac OSX weniger oft ausgenutzt als die von Microsoft Windows1. Das liegt zum großen Teil an der immer noch weiten Verbreitung von WinDOwS und ist zum anderen auch historisch, traditionell oder hacker-ethisch gesehen ein beliebteres Ziel.

Der Begriff PC – also Personal Computer – schließt jedoch alle Heimrechner ein, also jegliche Computer für Büro und zu Hause – egal, ob tragbar oder nicht.

Genau hingeschaut ist die größte Schwachstelle doch nach wie vor der Mensch, der den Computer bedient. Und dabei kann an allen populären Plattformen viel falsch gemacht werden.

Hinter einem Mac wägen sich die meisten sicher und könnten genau dadurch unachtsam werden. Da alle Macs je Modell gleich gebaut sind, weisen wenn, dann auch alle der Serie die selben Sicherheitsmängel auf.

Daten sichern

Der wichtigste Punkt für die Sicherheit der eigenen Daten ist, sie vor Verlust zu schützen. Deshalb ist es wichtig, – egal, ob ich einen Computer, eine Kamera oder ein Smartphone benutze – regelmäßige Backups zu erstellen. Mit Time Machine besitzt Mac OSX die nötige Software. Time Machine kann nicht nur von sich aus regelmäßig Backups erstellen, es kann sie sogar verschlüsselt abspeichern sowie wieder einlesen und hat nebenbei eine Versionsverwaltung mit ebenso komfortabler Oberfläche. Es wird nur noch ein Datenträger mit genügend Speicherplatz (mindestens das Doppelte des bisher belegten Speichers) und dem richtigen Anschluss gebraucht, also eine externe Festplatte, SSD, ein NAS oder Server.

Standardeinstellungen ändern

Die Grundeinstellungen müssen unbedingt überprüft werden. Apple versucht es allen Benutzern möglichst leicht zu machen und geht dabei Kompromisse ein, die zu Lasten der Sicherheit und Privatsphäre gehen. Die Gratwanderung zwischen Komfort und Sicherheit ist in fast allen Bereichen der Datenverarbeitung vorhanden. Die nächsten Schritte können zu Lasten des Komforts gehen, werden Ihnen aber mehr Kontrolle ermöglichen.

Im Programm Systemeinstellungen, welches seit “Mountain Lion” unter /Applications zu finden ist, gibt es die Rubrik “Sicherheit”.

Falls das noch nicht geschehen ist, sollte dort ein Anmeldekennwort gesetzt werden (siehe sichere Passwörter).

Firewall starten

Ebenfalls unter “Sicherheit” finden Sie die Einstellungen zur Firewall. Diese sollte unbedingt aktiviert sein. Unter “Firewall-Optionen” müssen auch die vorhanden Regeln überprüft werden. Gegebenen Falls die Regeln, die nicht vertrauenswürdig erscheinen. Von jetzt an wird Mac OS X fragen, ob ein Programm Daten ins Internet/Netzwerk senden darf oder nicht. Zudem sollte der “Tarnmodus” aktiviert sein.

Privatsphäre

Im nächsten Reiter sollten allen Programmen prinzipiell alles verboftenwerden – natürlich bis auf die Dienste, die bekannt und unbedingt nötig sind.

Bildschirmschutz

Ein Bildschirmschoner hat bei modernen Displays nicht mehr die Hauptaufgabe, das Einbrennen von grafischen Elementen auf die Bildschirm-Matrix zu verhindern, vielmehr kann er den Computer vor unberechtigtem Gebrauch schützen. Es sollte eine kurze Aktivierungszeit (< 5 Minuten) gewählt werden und die Passwortabfrage aktiviert sein.

Zu dem ist ratsam, tragbare Computer zuzuklappen. Das Display kann mit der Kombination Umschalttaste + Steuerung + Auswurftaste ausgeschaltet und geschützt werden.

Tarnkappe

In den Systemeinstellungen unter “Freigaben” sollten an allen Diensten die Häkchen entfernt werden, die nicht unbedingt aktiv sein müssen. Somit verschwinden viele Türen zum Mac, die zwar nicht unbedingt offen stehen – sie sind ja mit einem Passwort geschützt – sie sind gar nicht mehr da. Es ist unerlässlich den “Gerätename” zu ändern. Im Ursprungszustand enthält er nämlich den Benutzernamen und kann so in einem Netzwerk einfacher angegriffen werden.

Ohne Rechte arbeiten

Entziehe Dir selbst die Rechte, auf systemrelevante Dateien zugreifen zu können. Alle Programme haben beim Benutzen prinzipiell die selben Rechte der User – können alles lesen und verändern, was diese auch können.

Der einfachste Weg dagegen ist, ein zweites Nutzerkonto anzulegen. Eines bekommt die notwendigen Rechte, zur Administration des Computers, das andere nur die nötigsten, um den Computer bequem bedienen zu können. Die notwendigen Einstellungen befinden sich unter “Benutzer & Gruppen” in den Systemeinstellungen.

Keine Sorge – um wichtige, administrative Aufgaben erledigen zu können, muss trotzdem selten das Konto gewechselt werden. Für die meisten Arbeiten erscheint ein Dialog, um sich als Administrator authentifizieren zu können.

Sichere Passwörter

Ein sicheres Passwort ist eines, das nur Du kennst, das nur möglichst gar nicht erraten werden kann, weder von einem Programm noch einer Person geknackt werden kann und auf das Du trotzdem zugreifen kannst, wenn Du es brauchen. Es gibt verschiedene Strategien, sich sichere Passwörter auszudenken.

Mit dem Kennwortassistenten ist zum Erzeugen sicherer Passwörter ein kleines Tool an vielen Stellen erreichbar. Es befindet sich zum Beispiel in den “Benutzer & Gruppen”-Einstellungen in den Systemeinstellungen unter “Kennwort ändern”, in der Schlüsselbundverwaltung hinter dem kleinen “+” ganz unten, um neue Objekte zu erstellen und im AirPort-Dienstprogramm für die WLAN-Sicherheit.

Schlüsselbund

Das Programm Schlüsselbundverwaltung bietet sehr guten Komfort, die Passwörter an Board zu verwalten. Dabei werden alle Kennwörter in eine verschlüsselte Datenbank gespeichert. Wenn dies nicht explizit geändert wird, ist das Passwort für die Datenbank das Anmeldekennwort. So entsperrt sich der Schlüsselbund mit erfolgreicher Anmeldung.

Genau das solltest Du ändern, damit andere nicht über einfache Umwege an Deine gespeicherten Passwörter gelangen können. Im Programm auf der linken Seite den Schlüsselbund “Anmeldung”/”login” mit einem rechten Mausklick anwählen und im Menü “Kennwort ändern” klicken. Ab jetzt muss das neue Passwort des Schlüsselbundes eingegeben werden, obwohl Du schon eingelockt bist. Unter “Einstellungen für…” wird eine Zeit bestimmt, nach der sich der Schlüsselbund schließt und das Kennwort erneut eingegeben werden muss.

Festplatte verschlüsseln

Ein Computer ist nicht nur vom Netz aus angreifbar. Gegen Diebstahl oder sonstigen, direkten, physischen Zugriff ist eine Verschlüsselung ratsam. Mit FileVault ist es sehr einfach die Festplatte/SSD an Board komplett2 zu verschlüsseln.

Apple selbst hat dazu eine verständliche Anleitung. Ich möchte dem noch hinzufügen, dass ich es nicht empfehle, den Wiederherstellungsschlüssel oder sonstige private Daten – insbesondere Passwörter – via iCloud bei Apple oder anderen prominenten Sharing-Diensten zu speichern!

Wenn der Computer läuft, ist natürlich auch die Festplatte für den User entschlüsselt. Der Rechner sollte dann ausgeschaltet sein, wenn er allein gelassen wird.

Firmware-Passwort setzen

Bein Starten eines Mac gibt es verschiedene Kurzbefehle, um beim Startvorgang administrative Aufgaben ausführen zu können. Gegen einen Missbrauch davon, hilft es, ein Passwort für die Firmware EFI zu setzen. Auch dazu hat Apple selbst eine passende Anleitung.

Gast im Netzwerk

Nicht nur im Internet ist ein Computer angreifbar. Noch einfacher ist es in einem Netzwerk mit viel weniger Teilnehmer*innen, wie in einem Internetcafé, öffentlichen WLAN oder Firmennetzwerk. <ironie>Ganz anders verhält sich das im Netzwerk eines Hacker-Kongresses3.</ironie>

Ein Weg trotzdem relativ unbelauscht im WWW aktiv sein zu können, ist das Nutzen eines VPNs. Das setzt zwei Dinge voraus, einen VPN-Server – also Endpunkt – und ein VPN-Client. Für letzteres wird vielerorts Tunnelblick empfohlen. So auch hier.

Als Endpunkt bietet sich entweder der Router zu Hause oder ein vertrauenswürdiger VPN-Dienst an.

Mikrofon und Kamera

Erst kürzlich ist bestätigt worden, dass es relativ einfach möglich ist, die Web-Kamera eines Macs zu aktivieren, ohne dass die Warn-LED an ist. Das heißt, Du bekommst nichts davon mit. Dass dies technisch möglich ist, schien vielen bisher logisch, praktisch nachvollziehbar ist es jetzt.

Dagegen hilft ein einfacher Trick: Überklebe Deine Kamera dann, wenn Du sie nicht brauchst.

Anders ist es beim Mikrofon. Da gibt es gleich gar keine Warn-LED. Zwar kann in den Einstellungen die Input-Quelle auf stumm gestellt werden, einen generellen Zugriff von Prozessen auf das Mikrofon kann trotzdem nicht hundertprozentig unterbunden werden. Es ist möglich, unbemerkt die Lautstärke temporär zu ändern oder eine andere Audio-Quelle zu wählen.

Programme der anderen

Benutze am Besten keine Programme, denen Du nicht vertrauen kannst. Viele kleine Helferlein telefonieren nach Hause zu ihrem Herren, ohne dass Du wissen kannst, wer das ist, was die Programme übermitteln, noch, dass sie es überhaupt tun. Das betrifft ins Besondere Chat- und Such-Programme. Viele prominente Anbieter und Hersteller schießen mit der Analyse der Daten weit über das Ziel hinaus. So werden ganze Adressbücher, gesamte Nachrichten-Verläufe, Profile des Rechners samt Übersicht der installierten Programme und viele Details mehr ausgelesen und übertragen.

Ich werde es an dieser Stelle unterlassen, einzelne Programme zu nennen, weil der Eindruck entstehen könnte, es handele sich nur um die genannten.

Bluetooth

Wenn es nicht gebraucht wird, schalte es einfach aus. Falls doch, sei sicher, dass der Rechner unsichtbar ist und der “Gerätename” in einen allgemeinen geändert wurde.

Fazit

Trotz aller Sicherheitsmaßnamen sind diese nur Erschwernisse und nichts kann zu einhundert Prozent verhindern, dass ein Rechner angegriffen oder ausspioniert wird. Keine Anleitung kann den gesunden Menschenverstand ersetzen.


Quellen:


  1. Das auch sehr beliebte UNIX-Derivat LINUX lasse ich gerade bewusst außen vor, da ich davon ausgehe, das die Nutzer*innen dieses OS sich mehrheitlich mit ihrem System eh näher beschäftigen und Sorge tragen. ?
  2. Komplette Verschlüsselung erst mit FileVault 2 ab Mac OS X Lion, davor nur für den Benutzer-Ordner ?
  3. Diese Anleitung ist ursprünglich für die Teilnahme am 30C3 bestimmt. ?

Diesen Beitrag habe ich ursprünglich für mein Blog “tasmo[de~]” geschrieben.



Flipboard
Folge uns auf Flipboard @Blogrebellen

13 KOMMENTARE

  1. Schöne Zusammenfassung. Vielleicht noch zwei Anmerkungen: Time Machine hat Probleme wenn die FileVault Verschlüsselung aktiv ist und eine on board Verschlüsselungssoftware eines der bekannten Mitglieder des PRISM Netzwerks finde ich per se problematischer als eine open source Lösung wie z.B. TrueCrypt.

    Um mal zu schauen, wer so alles nach Hause telefoniert, sollte man sich Little Snitch oder HandsOff installieren, die das schön mitschneiden und veranschaulichen (und natürlich auch verhindern können). Ich finde es z.B. ziemlich unglaublich, was Adobe alles so abschnorchelt.

  2. Ganz dumm gefragt: Aus welchem Grund sieht man die Anzeige wie oben im Screenshot? Hatte das vor kurzem und habe keine vollständige Erklärung gefumden.

  3. 1. Diese Maßnahmen sind komplett wirkungslos wenn sich eine (NSA) Backdoor und/oder ein Keylogger im System befindet. Und bei Apple und Microsoft Produkten muss man eben davon ausgehen.
    2. Diese Backdoors können nicht nur von der NSA genutzt werden,
    3. Closed Source Produkte unterliegen keiner objektiven Kontrolle, daher sind sie grundsätzlich gefährdet.
    4. Allein Open Source Software bietet einen möglichen Schutz der Privatsphäre.

    Dieser Artikel ist ergo extrem irreführend, auch wenn erwähnt wird das es keine 100%ige Sicherheit gibt. Es fehlt schlichtweg die Aussage das eine Sicherheit unter MacOS und MS Windows garantiert NICHT möglich ist.

  4. 1. Muss man das? Warum nur bei Apple und Microsoft?
    2. Stimmt, wenn es sie gibt. Das trifft aber auf jede Lücke in jedem System jedes Herstellers zu, ob absichtlich eingebaut oder nicht.
    3. Software ist immer grundsätzlich gefährdet, ob open oder closed Source. Denn egal wie viele über einen Sourcecode schauen: Fehler werden immer wieder übersehen – sonst wäre OSS doch fehlerfrei.
    4. In der Theorie stimmt das, in der Praxis werden aber die wenigsten OSS-Projekte wirklich systematisch untersucht und kontrolliert – auch wenn es theoretisch möglich wäre. BTW: Zumindest Microsoft bietet bestimmten Partnern (Regierungen und große Unternehmen) auch Möglichkeiten an, den Sourcecode der eigenen Produkte zu prüfen. Die Möglichkeit dieser Prüfung ist also kein exklusives Merkmal von OSS.

    Nein, die korrekte Aussage lautet „Absolute Sicherheit ist niemals möglich“ – auch nicht bei ausschließlicher Verwendung von OSS. Aber einer gewissen Komplexität gibt es einfach kein System, das 100% fehlerfrei ist.

  5. Danke @KIKI für den Hinweis! In der Tat habe ich auch Little Snitch installiert. Es kann viel Verkehr rausfiltern – eine umfassende Kontrolle ist damit leider auch nicht möglich.

    @NonKon: Mit den Backdoors hast Du vollkommen Recht. Mit den Maaßnahmen ist es für manche Backdoors immerhin schwerer, sie auf den Computer zu installieren.
    Allein der Fakt, dass der Code von OpenSource-Software einsehbar ist, macht nicht jede OpenSource-Software sicher. Die Lücken müssen auch gefunden werden – und das passiert oft sehr spät. Auch die NSA kann Code lesen und veröffentlicht keine Sicherheitsmängel, die sie ausnutzt. Zu dem richtet sich der Artikel an NutzerInnen, die closed Software von Apple schon benutzen.

  6. soviel ich weiß ist die grafische Oberfläche des MACs propietär. Der Sourcecode ist nicht öffentlich, woher weißt Du dass diese Oberfläche keine Backdoor hat. Vertraust Du Apple ?

    Viele Grüße

  7. @Erhard: Du verwendest Linux? Hast Du die Sourcen aller verwendeten Softwarekomponenten selbst geprüft? Nein? Wem vertraust Du so alles?
    Dieses ganze „Open Source ist immer sicherer“ ist genau so ein Bullshit wie „Für Macs gibt es keine Schädlinge“. Jedes komplexe System hat Fehler, egal ob die Sourcen bekannt sind oder nicht. Und wenn man sich mal anschaut, wie lange es oft dauert, bis Fehler in OSS gefunden wurden, dann befürchte ich, dass es für die NSA leichter ist diverse Backdoors in unterschiedlichsten Open Source Projekten unterzubekommen als in einem Closed Source Betriebssystem. Selbst wenn man sich sein Betriebssystem selbst schreibt ist man nicht auf der sicheren Seite, weil ab einer gewissen Komplexität immer Fehler drin sein werden.

    Diese ständigen und destruktiven „OSS alleine macht glücklich und sicher und macht alles porentief rein“-Sprüche nerven inzwischen doch ziemlich. Statt gemeinsam zu überlegen, was man technisch und politisch gegen diese Schnüffelei unternehmen kann, kommt dann nur „Iiihhh, Du hast [einen Mac|Windows], das kann gar nicht sicher sein, nur OSS ist sicher“. Was ungefähr so richtig ist, wie die Geschichte vom Klapperstorch.

    OSS bietet die Voraussetzungen für eine höhere Sicherheit durch die offenen Quellen, aber so lange keine entsprechende Prüfung des Codes stattgefunden hat, hat man kein Stück mehr Sicherheit – nur das tolle Gefühl, dass irgendwo irgendjemand sicher schon daran saß, sitzt oder sitzen wird, den Source Code der Software auf Fehler und Hintertüren zu prüfen. Ganz sicher. Oder halt auch nicht.

    Die einen vertrauen also einem Unternehmen, für das dieses Vertrauen Geschäftsgrundlage ist und das soweit es zu sehen ist, alles mögliche unternimmt die eigenen Produkte und Kunden zu schützen und die anderem vertrauen auf irgendjemanden, den es gibt oder nicht, der irgendwo, irgendwann mal den Source der verwendeten OSS geprüft hat oder zumindest prüfen wird… oder auch nicht. Hey, ich verwende selber OSS, sehr häufig und gerne, aber mal ganz ehrlich: Wessen Vertrauen erscheint Dir da blauäugiger?

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.