Nachdem der neue Mac ausgepackt, in Betrieb genommen und eine ausgiebige Ausprobierphase unternommen wurde, beginnt so langsam der Arbeitsalltag. Sicherheit ist nicht eine Eigenschaft, die einmal umgesetzt, nie wieder betrachtet werden muss. Auch im laufenden Betrieb wird man immer wieder mit diesem Thema beschäftigt. Z.B. könnte die Festplatte einen Defekt bekommen. Wie kommt man dann an die Daten heran? Wurde regelmäßig ein Backup gemacht? Oder man besucht ahnungslos eine seriös erscheinende Webseite und der Mac wird per Drive-By-Download mit einem Trojaner infiziert. Zwar sind bisher nur wenige Schadprogramme bekannt geworden, die das Betriebssystem OS X betreffen, aber es scheint so, als würden sich die Vorfälle häufen. So wurden vom sogenannten Flashback-Trojaner laut dem AV-Spezialist Dr. Web mehr als 700.000 Systeme weltweit infiziert. Ein neu aufgetauchter Trojaner infiziert zunächst den Mac und verbreitet sich dann auch auf iPhones und iPads. Daran erkennt man, wie wichtig das Thema Sicherheit ist. In den folgenden Abschnitten versuche ich, meine Ideen zu erläutern.
Die Datensicherung
Ab der OS X Version 10.5 (Leopard) verfügt das Betriebssystem über eine recht einfache Backupfunktion namens Time Maschine. Wenn der Rechner eingeschaltet ist, sichert Time Maschine die Daten der konfigurierten Festplatte stündlich in einem inkrementiellen Backup am besten auf einem externen Datenträger wie z.B. eine angeschlossene externe Festplatte oder ein NAS (Network Attached Storage). Insbesondere für Notebooks mit WLAN bietet sich auch die Apple eigene Lösung Time Capsule an. Auf die Nutzung einer Backup-Lösung sollte meiner Meinung nach nicht verzichtet werden. Man kann einzelne Dateien wiederherstellen oder sogar das gesamte System.
Die Backup-Daten lassen sich leicht verschlüsseln und somit vor dem Zugriff Unberechtigter schützen. Eine Anleitung dazu findet man z.B. hier.
Auf alles Klicken?
Nein, auf keine Fall! Leider hat jede Software, also auch jedes Betriebssystem bzw. jede Anwendung Fehler und Sicherheitslücken, die Angreifer ausnutzen können. So werden viele Schadprogramme per E-Mail versendet. In der E-Mail befindet sich dann eine Datei, die, wenn sie ausgeführt wird, eine solche Sicherheitslücke ausnutzt und den Rechner infiziert. Dabei kann es sich z.B. um eine Word-Datei, eine DMG-Datei, eine PDF-Datei usw. handeln. Meist wird solch ein E-Mail-Anhang ausgeführt, wenn man darauf, je nach Einstellung, ein- oder zweimal klickt. Vor dem Ausführen einer solch empfangenen Datei sollte man daher sicher sein, dass sie aus vertrauenswürdiger Quelle stammt. Dabei ist der Absender der E-Mail alleine leider häufig kein Indiz für eine vertrauenswürdige Quelle. Wenn der Rechner eines Bekannten infiziert ist, kann es sein, dass das dort befindliche Schadprogramm dessen Kontakte ausließt und an alle darin enthaltenen Adressen eine E-Mail sendet, mit der sich das Schadprogramm selber weiter verbreitet, ohne dass der Bekannte davon etwas mitbekommt. Wenn man also von seinen Bekannten keine E-Mail mit Anhang erwartet, ist es sinnvoll, bei ihm nachzufragen, ob sie tatsächlich von ihm stammt. Auch die beliebten Weihnachtsgrußkarten etc. können von Kriminellen sein und sollten erstmal misstraurig beäugt werden. Viele Internet Service Provider bieten mittlerweile einen Virenschutz für das E-Mail-Postfach an. Eine solche Dienstleistung wie auch einen Spam-Schutz sollte man unbedingt beauftragen. Mit einem Virenschutz auf dem eigenen Rechner können Anhänge ebenfalls zusätzlich untersucht werden, bevor man sie ausführt. Doch, handelt es sich um ein neues, unbekanntes Schadprogramm, können die Virenscanner versagen. Nichts geht also über den gesunden Menschenverstand!
Der Heise-Verlag berichtete in der Ausgabe 22/2013 der Zeitschrift c't sowie auf seiner Online-Seite, dass Unternehmen und beauftrage Werbeagenturen E-Mails an ihre Kunden senden und tracken, ob und wann der Kunde die E-Mail gelesen hat. Dieses E-Mail-Tracking ermöglicht sogar herauszufinden, welches Betriebssystem und welches E-Mail-Programm der Kunde benutzt. Über die IP-Adresse lässt sich auch der ungefähre Aufenthaltsort ermitteln. Wie ist das möglich? Früher benutzte man in der Regel reine Text-Nachrichten. Heute werden E-Mails häufig in html-Code eingebetet, aus dem auch Webseiten aufgebaut sind. So lassen sich schöne E-Mails mit Bildern generieren. Insbesondere diese Bilder stellen das Problem da. Sie werden nämlich bei jedem Aufruf automatisch aus dem Internet nachgeladen. Dabei werden die genannten Daten ins Internet gesendet und sie müssen dort nur noch ausgewertet werden. Auch Apple-Mail ist von dem Problem betroffen. Abhilfe kann man mit folgender Einstellung schaffen:
In der Menü-Zeile von Apple-Mail im Menü "Mail" die Option "Einstellungen" auswählen und auf "Darstellung" klicken. Hier sollte die Funktion "Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen", wie oben gezeigt, deaktiviert sein. Geprüft habe ich diese Einstellung mithilfe des Emailchecks, den Heise anbietet. Der Nachteil, den man in Kauf nehmen muss, ist allerdings, dass in vielen (auch gewünschten) E-Mails Bilder so (ohne weiteres Zutun) nicht mehr angezeigt werden. Eine Alternative ist das Open Source Programm Thunderbird. Hier wird man explizit gefragt, bevor externe Ressourcen heruntergeladen werden. Wer die Firewall Little Snitch verwendet, kann ebenfalls kontrollieren, ob die Bilder in den E-Mails nachgeladen werden sollen oder nicht.
Nicht nur HTML-E-Mails und E-Mail-Anhänge sind potentielle Gefahren, sondern auch Links in E-Mails sind mit Vorsicht zu genießen, insbesondere wenn es sich um sogenannte Kurzlinks handelt, denen man nicht ansehen kann, wohin sie führen. Das führt uns zum nächsten Problem, dem Webbrowser. Auf Mac-Rechner wird meist Safari benutzt. Zwar hat Apple weitere Verbesserungen an seinem Webbrowser unter OS X vorgenommen (für die Experten: die Rendering-Engine läuft ähnlich wie bei Google-Chrome in einer Sandbox) und das Infizieren des Rechners durch Sicherheitslücken in Safari erschwert, aber nicht unmöglich gemacht. Das heißt, durch das bloße Besuchen einer Webseite, die bösartigen Code enthält, kann sich ein Schadprogramm auf dem Rechner einnisten. Dabei kann es sich durchaus um eine seriöse Webseite handeln, die unbemerkt gehackt und entsprechend manipuliert wurde oder die unabsichtlich Schadprogrmme über Werbeeinblendungen (wie beispielsweise bei Spiegel Online geschehen) verbreitet.
Links in sogenannten Phishing-E-Mails sollen auf eine nachgeahmte Webseite locken und das Opfer verleiten, vertrauliche Daten herauszugeben. Häufig handelt es sich dabei um die nachgeahmte Webseite einer Bank, wo man PIN- und TAN-Nummer eingeben soll. Bei solchen E-Mails muss man immer hellhörig sein. Banken interagieren nie auf derartiger Weise mit ihren Kunden.
Bei Webbrowsern kann man einige Sicherheitseinstellungen beachten, die die oben genannten Probleme beherrschbar machen. Diese (und noch ein paar Datenschutzeinstellungen) zeige ich nun am Beispiel von Safari. 
"Objekte aus Verlauf entfernen" und "Downloads aus der Liste entfernen" habe ich auf den kürzestmöglichen Wert gesetzt. Je weniger Daten zum Nutzerverhalten protokolliert werden, desto besser. Die Checkbox für "Sichere Dateien nach dem Laden öffnen" habe ich deaktiviert. Auch durch das automatische Ausführen von PDF- und Multimedia-Dateien können Schadprogramme auf den Rechner gelangen.
Ich möchte die Kontrolle über die Daten haben, die der Browser automatisch ins Internet versendet. Daher habe ich alle obigen Checkboxen deaktiviert.
Heutzutage benutzt man viele Dienste, bei denen man sich mit einem Passwort anmelden muss. So ist man gezwungen, sich viele (hoffentlich) unterschiedliche Passwörter zu merken, die zudem aus Sicherheitsgründen kryptisch sein sollen und regelmäßig geändert werden sollen. Da ist ein Passwortmanager eine große Hilfe. Safari hat unter Benutzung des Schlüsselbunds einen solchen Passwortmanager eingebaut. Ich selber benutze zwar einen anderer Passwortmanager (deshalb ist das weiße Feld oben im Bild leer), dieser hier soll aber nicht unerwähnt bleiben. Solange die Passwörter lokal im Schlüsselbund auf dem eigenen Rechner gespeichert sind, ist eine solche Vorgehensweise begrüßenswert. Sie ermöglicht sogar, mehr als zehn Zeichen zu verwenden, weil man sich diese nicht merken muss und die Authentisierung beim Anmelden auf einer Webseite automatisch erfolgt. Passwörter mit mehr als zehn Zeichen sind grundsätzlich sicherer.
Safari greift auf die Google-Safebrowsing-Liste zu. Google erfasst darin bösartige Phishing-Webseiten und Webseiten, die Schadprogramme verteilen. Das ermöglicht Safari, den Nutzer beim Surfen vor betrügerischen Seiten zu warnen.
Unter "Website-Einstellungen ..." lassen sich weitere Einschränkungen und Ausnahmen definieren. Ein guter Kompromiss ist, wenn vor der Ausführung nachgefragt wird und man die Erlaubnis explizit bestätigen muss. Auf den Einsatz von dem heute nur noch selten verwendeten Java sollte man grundsätzlich verzichten. immer wieder werden Sicherheitslücken bekannt und ausgenutzt. Mittels der neuen Funktion WebGL können hardwarebeschleunigte 3D-Grafiken im Webbrowser ausgeführt werden. Die Ausführen sollte man auch hier sicherheitshalber explizit bestätigen müssen. WebGL kommt derzeit noch nicht häufig zur Anwendung.
Cookies sollte man regelmäßig löschen, da sie u.a. das Nutzerverhalten speichern. Ganz darauf verzichten kann man leider nicht, weil sie für das Einloggen bei Webseiten benötigt werden. Aber sie lassen sich wenigstens einschränken. Auch die Preisgabe meines Aufenthaltsortes und das Tracking durch Webseiten möchte ich nicht. Allerdings bedeutet das gesetzte Häckchen bei dieser Option nur, dass die Webseitenbetreiber gebeten werden, auf Tracking zu verzichten. Viele halten sich leider nicht daran, so dass man zur Durchsetzung gezwungen ist, spezielle Browser wie den Firefox oder entsprechende Plug-Ins zu verwenden. Noch mehr Datenschutz lässt sich erreichen, in dem man im Menü "Ablage" ein "Neues Privates Fenster" öffnet und darin die Webseiten aufruft. 
Mit diesen Einstellungen verhindere ich, dass mir Webseiten Push-Benachrichtigungen zusenden.
Wenn man Erweiterungen installiert hat, sollten Updates automatisch installiert werden. Dazu setzt man im Reiter "Erweiterungen" unten links das Häckchen bei "Erweiterungen aus der Galerie für Safari-Erweiterungen automatisch aktualisieren".
Im neuen Safari blendet Apple wie bei den iOS-Geräten die komplette URL im Suchfeld aus, sondern zeigt nur noch den Domain-Namen an. So erkennt man nicht, auf welcher Unterseite man sich befindet. Deshalb habe ich unter Erweitert die Option "Vollständige Adresse der Website anzeigen" ausgewählt.
Als letzte Einstellung sollte man noch im Menü "Darstellung" die Option "Statusleiste einblenden" auswählen. Dadurch werden unten in der Statusleiste die URLs der Links eingeblendet, wenn man mit dem Mauszeiger darüber fährt. So sieht man, wohin die Links verweisen. Sollte die URL nicht vertrauenswürdig erscheinen oder steht dort etwas anderes als man erwartet hat, sollte man besser nicht auf den Link klicken.
Viele Mac-Nutzer verwenden auch den auf Open Source basierenden Firefox. Hier lassen sich analoge Einstellungen vornehmen. Firefox läuft derzeit jedoch nicht in einer Sandbox, beinhaltet aber im Gegensatz zu den anderen Browsern eine Funktion zum Tracking-Schutz (mehr dazu im Abschnitt "Noch mehr Sicherheit"). Google-Chrome (einschließlich das Flash-Plug-In) läuft wie Safari dagegen in einer Sandbox und bietet somit einen hohen Schutz.
Adobe's Flash wird ebenfalls regelmäßig ausgenutzt, um Schadprogramme zu verbreiten. Auch der Mac war hiervon schon betroffen. Daher benutze ich neben dem Flash-Plug-In von Adobe noch zusätzlich eine Erweiterung wie z.B. ClickToFlash. Damit werden Flash-Inhalte grundsätzlich nicht ausgeführt. Möchte ich einen bestimmten Flash-Inhalt dennoch nutzen, klicke ich einfach auf das stattdessen angezeigte Platzhalter-Symbol.
Ist das Flash-Plug-In von Adobe installiert, tauscht unter Systemeinstellungen ein weiteres Icon auf. Hier lassen sich weitere Einstellungen vornehmen. Ich bin etwas restriktiv vorgegangen: 
Datensparsamkeit ist mir wichtig ;-).
Nein, keinen Zugriff auf Kamera und Mikrofon!
Meine Bandbreite gehört mir, insbesondere möchte ich nicht, dass Fremde meinen Internetzugang mit benutzen.
Updates werden automatisch bezogen. Das ist besonders wichtig, da in der Vergangenheit Sicherheitslücken in Flash häufig ausgenutzt wurden.
Wenn man auf "Alle löschen..." klickt:
Nun auf "Daten löschen" klicken.
Auch in Webseiten eingebettete Werbung kann z.B. mittels der Erweiterung AdBlock blockiert werden. Damit werden nicht nur Werbeeinblendungen unterdrückt, sondern auch die Infektion meines Rechners mit Schadprogrammen verhindert, die über diese Form von Werbung verbreitet werden. Die Erweiterung Ghostery, die für Safari, Firefox, Chrome, etc. zur Verfügung steht, erkennt das Tracking der Werbeanbieter und verspricht dieses zu unterbinden. Allerdings kooperiert Ghostery zur Finanzierung mit Werbepartnern. Auch Disconnect bietet Tools zum Tracking-Schutz und zur anonymen Nutzung von Suchmaschinen als Plug-In an. Der Tracking-Schutz von Firefox basiert auf der von Disconnect zur Verfügung gestellten Blockliste von Tracking-Diensten.
Regelmäßige Aktualisierungen
Die Einstellungen der Softwareaktualisierung wurden in Nach dem Auspacken ausführlich beschrieben. Es ist sehr wichtig, dass man regelmäßig Softwareaktualisierungen einspielt, da hiermit nicht nur Programmfehler korrigiert sondern auch bekannte Sicherheitslücken geschlossen werden.
Seit Mavericks bietet Apple die automatische Aktualisierung des Systems und der über den App Store gekauften Anwendungen an.
Anwendungen, die von anderen Quellen stammen, installieren häufig einen eigenen Aktualisierungs-Assistenten. Dieser sollte dann genutzt werden. Ist kein Assistent vorhanden, muss man selber manuell regelmäßig prüfen, ob der Hersteller eine neue Aktualisierung zur Verfügung stellt.
Hat ein Hersteller den Support für seine Anwendung eingestellt, ist es ratsam, sich nach Alternativen umzusehen.
Virenscanner?
Eine gute Frage, die gar nicht so einfach zu beantworten ist. Apple selber hat in seiner Macwerbung lange Zeit damit geworben, dass Macs virenfrei sind. Mittlerweile haben sie wohl Abstand davon genommen. Das BSI empfiehlt keinen Virenscanner und verweist darauf, dass nur wenige Viren bekannt sind. Außerdem schützen viele Internet Service Provider die E-Mail-Postfächer ihrer Kunden.
Allerdings kann man sich Schadprogramme auch über externe Medien wie USB-Sticks oder über Datei-Downloads einfangen. Jedoch ist das Risiko unter Macs bei Weiten nicht so groß wie bei Windows-Rechner. Andererseits tauscht man auch Daten mit Windows-Nutzern aus und man möchte doch keine Schadprogramme weitergeben. Aus diesem Grund habe ich bei mir dann doch ein kostenfreies Anti-Viren-Produkt installiert. Eine Liste von kostenfreien Anti-Viren-Produkten ist unter Weblinks zu finden.
Der mobile Mac
Ein Notebook ist praktisch: man kann es überall mit hinnehmen. Es lässt sich im Büro, auf der Couch oder unterwegs im Zug nutzen. Das birgt das Risiko, dass es verloren gehen kann, ob irgendwo vergessen oder sogar geklaut. Dann zeigt sich wieder, wie wichtig regelmäßige Backups sind, denn sonst sind auch alle dort gespeicherten Daten verloren.
Die Daten sind aber womöglich auch vertraulich und sollen nicht in falsche Hände geraten. Daher ist neben der Vergabe eines guten Passwortes ebenfalls eine Verschlüsselung der Festplatte wichtig. OS X bietet mit der Funktion FileVault eine Festplattenverschlüsselung an. Man aktiviert diese Funktion in den Systemeinstellungen unter der Rubrik Sicherheit:
Den Wiederherstellungsschlüssel, den man bei der Einrichtung erhält, sollte man aufschreiben und an einen sicheren Ort verwahren. Alternativ kann man ihn auch bei Apple in der iCloud speichern (was ich persönlich aber nicht tue).
Es kann auch die Firmware (EFI) des Macs mit einem Passwort gesichert werden. Damit lässt sich ein Zugriff auf den sogenannten Single User Mode (SUM) oder auf den Recovery Mode (RM) erstmal schützen. Wird der Mac im SUM gebootet, besitzt man als Super User den Vollzugriff auf das ganze System. Mit dem RM lässt sich der Mac wiederherstellen. Durch das Setzen eines entsprechenden Passwortes, baut man hier eine weitere Hürde auf. Allerdings lässt sich dann ein alternatives Bootdevice (z.B. eine DVD oder ein USB-Stick) nur mit Kenntnis dieses Passwortes auswählen.
Um das EFI-Passwort zu setzen, bootet man den Mac im Recovery-Mode (beim Booten die Tasten cmd und R gedrückt halten). Im Menü den Eintrag "Dienstprogramme" wählen. Dort findet man den gesuchten Punkt "Firmware-Kennwort".
Mit der Cloud-Funktion "Meinen Mac suchen" kann man die Spur seines Mac's verfolgen, falls er abhanden gekommen ist. Dazu benötigt er aber einen Internetzugang, was nicht immer gegeben sein muss. Spürt man seinen Mac auf, lassen sich aus der Ferne sogar die Daten löschen.
iCloud
Die Nutzung von Apples Cloud-Dienst ist jedem selbst überlassen. Nachrichten wie z.B. unter http://www.heise.de/newsticker/meldung/Studie-US-Behoerden-koennen-umfangreich-auf-Cloud-Daten-zugreifen-1763750.html lassen mich bei der Nutzung stark zögern, obwohl es eigentlich ein netter Dienst ist. Auch die anderen amerikanischen Cloud-Dienste versuche ich zu vermeiden. Außerdem vermeide ich auch Videoanwendungen wie Skype (Microsoft), Hangouts (Google) oder Facetime, weil zuviele Kommunikationsdaten über die amerikanischen Server gesendet werden. Man sollte nach europäischen Alternativen Ausschau halten (so bietet z.B. auch die Telekom einen Cloud-Dienst an) oder zumindest die Inhalte bereits auf dem eigenen Computer verschlüsseln.
Die Diktat und Sprache Funktion lässt sich auch Offline nutzen, so dass die gesprochenen Worte nicht an die Apple-Server gesendet werden. Dazu muss allerdings ein ca. 1 GB großer Download angestoßen werden. Das geht mittels der Systemsteuerung unter dem Icon Diktat & Sprache, wie im Folgenden gezeigt:
