Die Systemeinstellungen

Systemeinstellungen Viele sicherheits- und datenschutzrelevante Einstellungen findet man in den Systemeinstellungen. Ruft man sie auf, bekommt man unter Mac OS 10.10 (Yosemite) folgende Anzeige (unter El Capitan ändert sich hier nichts wesentliches):Systemeinstellungen

Die Einstellungsmöglichkeiten, symbolisiert durch die vielen Icons, hängen von der eingesetzten Hardware ab. Verwendet man z.B. ein DVD-Laufwerk, erscheint ein entsprechendes Icon, hinter dem sich die verschiedenen möglichen Einstellungen verbergen. In der letzten Zeile findet man von Dritt-Herstellern hinzugefügte Icons, wie z.B. Adobe's "Flash-Player".  

Allgemein

In dieser Einstellung habe ich im Punkt "Benutzte Objekte" "Keine" ausgewählt. Das bewirkt, dass im Apfel-Menü unter "Benutzte Objekte" kein Verlauf meiner Tätigkeiten angezeigt wird.

Allgemeine Systemeinstellungen

Mit der Aktivierung von "Fenster beim Beenden eines Programms schließen" verhindere ich, dass in Anwendungen geöffnete Dokumente beim nächsten Start erneut geöffnet werden. Wer das praktisch findet, sollte hier keinen Hacken setzen. Ferner habe ich Handoff deaktiviert. Damit verzichte ich auf die Möglichkeit, geräteübergreifend zu arbeiten. Also z.B. Arbeiten, die ich auf dem iPhone begonnen habe, auf dem Mac oder anderen iCloud-Geräten weiterzuführen.

Sicherheit

Kommen wir zu der wichtigen Einstellung "Sicherheit". Im Reiter "Allgemein" habe ich folgende Einstellungen vorgenommen:

Allgemeine Sicherheitseinstellungen

Hiermit stelle ich sicher, dass ich direkt nach dem Hochfahren des Rechners sowie beim Beenden des Ruhezustands mein Passwort eingeben muss. Jemand, der mein Passwort nicht kennt, kommt somit erstmal nicht so einfach an meine Daten, wenn ich nicht in der Nähe bin.

Die Auswahl "Mac App Store und verifizierte Entwickler" beim Punkt "Apps-Download erlauben von:" ist ein guter Kompromiss. Hinter diesem Punkt verbirgt sich die unter Mountain Lion neu eingeführte "Gatekeeper"-Funktion. Durch diese Auswahl lassen sich nur Programme installieren, die ich aus dem App Store heruntergeladen habe oder die von Entwickler stammen, die von Apple verifiziert wurden (das Programm enthält dann eine digitale Signatur, die überprüft wird). Programme aus nicht vertrauenswürdiger Quelle, wie z.B. Schadprogramme, können erstmal nicht so einfach installiert werden. Allerdings möchte man vielleicht doch einmal ein Programm auf seinem Rechner nutzen, dessen Entwickler keine Apple-Signatur besitzt und der vertrauenswürdig erscheint. Geht auch! Man klickt rechts (dazu in der Maus-Einstellung "Sekundärklick" aktivieren) auf die Anwendung und wählt im dann geöffneten Kontext-Menü "Öffnen" aus.

Meine "Weiteren Optionen" sehen so aus:

Weitere Optionen Allgemeine Sicherheitseinstellungen

Wie oben bereits geschrieben, sollen schützenswerte Systemeinstellungen nur durch den Administrator vorgenommen werden. Dazu ist eine entsprechende Authentisierung erforderlich. Man erkennt das häufig daran, dass unten links ein Schlosssymbol erscheint, das nicht geöffnet ist. Zum Öffnen muss man darauf klicken und den Administrator-Account mit Passwort eingeben. 

Unter dem Reiter "Firewall" schlage ich folgende Einstellungen vor:

Firewalleinstellungen

Die Firewall ist in der Standardeinstellung deaktiviert. Dies sollte man m.E. in jedem Fall ändern.

Optionen Firewalleinstellungen

In den "Firewall-Optionen ..." lasse ich erstmal keine eigehenden Verbindungen zu. Damit sind aber auch alle Freigaben, wie z.B. das DVD-Laufwerk, über das Netzwerk nicht erreichbar. Um das zu ändern, ist das Kästchen "Alle eingehenden Verbindungen blockieren" zu deaktivieren. Ausnahmen lassen sich dann mithilfe des "+"-Buttons einrichten.

Unter dem Reiter Privatsphäre verbergen sich folgende Einstellungen:

Einstellungen Privatsphäre

Die Ortungsdienste sind bei mir auch für das Karten-App in der Regel deaktiviert. Wie funktionieren eigentlich diese Ordnungsdienste auf einem Mac ohne GPS-Empfänger? Grundsätzlich werden, wenn die WLAN-Schnittstelle aktiviert ist, alle auffindbaren WLAN-Netze in der Nähe an Apple gesendet und in eine Datenbank einsortiert. Die WLAN-Netze werden mit Ortsinformationen verknüpft. Diese können z.B. anhand der IP-Adresse abgeschätzt werden. Wenn sich GPS-fähige Geräte, wie etwa ein iPhone oder ein iPad, in der Nähe befinden, die die selben WLAN-Netze sehen, kann durch die dort vorhandenen GPS-Daten die Ortsbestimmung noch mal deutlich verfeinert werden. Auf meine Kontakt- und Kalenderdaten lasse ich nur ausgewählte Anwendungen zugreifen. Auf Programme, die auf Erinnerungen und Bedienungshilfen zugreifen, verzichte ich zunächst. Fehlerberichte mit ausführlichen Daten zu meinem Rechner, Anwendungen usw. sende ich nicht automatisch nach Cupertino. Natürlich kann ich im Einzelfall bei Bedarf alle Einschränkungen rückgängig machen.

Mitteilungen

Bei allen Programmen, die Informationen über die Mitteilungszentrale zur Verfügung stellen können, habe ich "Mitteilungen im Sperrbildschirm anzeigen" deaktiviert. So kann in meiner Abwesenheit trotz Sperrbildschirm niemand wichtige nicht für ihn bestimmte Informationen lesen.

Einstellungen Mitteilungen

iCloud

Eigentlich ist die iCloud ein sehr sinnvoller Dienst. Solange ich kein Vertrauen haben kann, dass meine Daten dort wirklich sicher gespeichert sind, nutze ich sie nur in Ausnahmefällen. 

Einstellungen iCloud

Z.B. habe ich die Safari-Lesezeichen auf verschiedenen Geräte über die iCloud synchronisiert. Das mache ich aber nicht permanent. 

Freigaben

Unter "Freigaben" kann ich Dienste im (lokalen) Netz für andere Geräte zur Verfügung stellen. Diese haben dann Zugriff auf die auf meinen Computer freigeschalteten Dienste. Z.B., wenn ich ein DVD-Laufwerk anschließe und freigebe, können andere Computer auf die dort eingelegte DVD zugreifen und diese abspielen. In diesem Fall erscheint der hier gewählte Gerätename sowie der freigegebene Dienst (also das DVD-Laufwerk) bei entsprechender Konfiguration im Finder des anderen Computers. Normalerweise habe ich alle Freigaben deaktiviert. Benötigte ich eine Freigabe, aktiviere ich sie an dieser Stelle. Es ist aber zu beachten, dass ggf. zusätzlich die restriktive Firewalleinstellung geändert werden muss. Dazu unter "Sicherheit" auf den Reiter "Firewall" klicken und "Firewall-Optionen ..." auswählen. Nun das Kästchen "Alle eingehenden Verbindungen blockieren" deaktivieren und über "+" ggf. Ausnahmen eintragen.  

Systemeinstellungen: Freigaben

Benutzer & Gruppen

Häufig ist in den bestehenden Mac OS X Konfigurationen ein Gast-Account aktiviert. Benötigt man ihn nicht, wird dieser am besten deaktiviert. Außerdem ist es sinnvoll, einen Administrator-Account anzulegen und diesen das Recht zu geben, den Rechner zu verwalten. Dem Benutzer-Account, der z.B. bei der Ersteinrichtung angelegt wurde, entzieht man das Recht zur Verwaltung des Rechners. Hintergrund dieser Aktion ist, dass man für die normale Nutzung keine weitreichenden Administratorrechte benötigt. Wird der eigene Nutzer-Account kompromittiert, soll der Angreifer so wenig Rechte wie möglich erhalten, so dass es ihm schwerer fällt, noch mehr Schaden anzurichten. Den Administrator-Account benötigt man dann anschließend nur, wenn neue Programme installiert oder wesentliche Systemkonfigurationen vorgenommen werden sollen. Das Betriebssystem fragt in solchen Fällen automatisch nach einer entsprechenden Authentisierung.  

Systemeinstellungen: Benutzer

Mit der Funktion iCloud-Schlüsselbund (hier auf "Passwort ändern ..." klicken) bietet Apple die Möglichkeit an, seine Passwörter in der iCloud zu speichern. Geschützt werden die Passwörter zusätzlich über eine PIN bzw. einen Sicherheitscode. Auch von den anderen ggf. vorhandenen Apple-Geräten können bei Kenntnis der Authentisierungsdaten die Passwörter nun verwendet werden. 

Die Apple-ID zum Zurücksetzen des Passwortes verwende ich nicht. 

Softwareaktualisierung

Es ist sehr wichtig, dass möglichst alle Anwendungen, die auf meinem Rechner laufen, regelmäßig aktualisiert werden, damit auch Sicherheitslücken durch die Hersteller schnell geschlossen werden können. Daher habe ich folgende Einstellungen, die bei Yosemite unter "App Store" zu finden sind, vorgenommen: 

App-Store Einstellungen

Um auf den App Store zugreifen zu können, benötigt man allerdings ein iTunes-Account (die Eingabe von Kreditkartendaten lässt sich beim Anlegen eines Accounts umgehen). Wer das nicht will, muss sich die Updates manuell besorgen. Die Updates des Betriebssystems und von anderen Apple-Programmen findet man auf den Apple-Supportseiten

Man sollte sein System so minimal wie möglich konfigurieren, um die Angriffsfläche einzuschränken. Das bedeutet, man sollte nur die Anwendungen installieren und die Freischaltungen und Einstellungen konfigurieren, die wirklich benötigt werden. Selten genutzte Anwendungen werden auch häufig bei der notwendigen Systempflege außer Acht gelassen. So wird dann auch schon mal ein wichtiges Sicherheitsupdate vergessen und der Rechner kann leichter angegriffen werden. Das gilt insbesondere für Anwendungen, die nicht über den App Store installiert wurden. Hier muss man sich selber regelmäßig um die Aktualisierungen kümmern oder die Tools der Dritt-Anbieter verwenden.