Auf alles Klicken?
Nein, auf keine Fall! Leider hat jede Software, also auch jedes Betriebssystem bzw. jede Anwendung Fehler und Sicherheitslücken, die Angreifer ausnutzen können. So werden viele Schadprogramme per E-Mail versendet. In der E-Mail befindet sich dann eine Datei, die, wenn sie ausgeführt wird, eine solche Sicherheitslücke ausnutzt und den Rechner infiziert. Dabei kann es sich z.B. um eine Word-Datei, eine DMG-Datei, eine PDF-Datei usw. handeln. Meist wird solch ein E-Mail-Anhang ausgeführt, wenn man darauf, je nach Einstellung, ein- oder zweimal klickt. Vor dem Ausführen einer solch empfangenen Datei sollte man daher sicher sein, dass sie aus vertrauenswürdiger Quelle stammt. Dabei ist der Absender der E-Mail alleine leider häufig kein Indiz für eine vertrauenswürdige Quelle. Wenn der Rechner eines Bekannten infiziert ist, kann es sein, dass das dort befindliche Schadprogramm dessen Kontakte ausließt und an alle darin enthaltenen Adressen eine E-Mail sendet, mit der sich das Schadprogramm selber weiter verbreitet, ohne dass der Bekannte davon etwas mitbekommt. Wenn man also von seinen Bekannten keine E-Mail mit Anhang erwartet, ist es sinnvoll, bei ihm nachzufragen, ob sie tatsächlich von ihm stammt. Auch die beliebten Weihnachtsgrußkarten etc. können von Kriminellen sein und sollten erstmal misstraurig beäugt werden. Viele Internet Service Provider bieten mittlerweile einen Virenschutz für das E-Mail-Postfach an. Eine solche Dienstleistung wie auch einen Spam-Schutz sollte man unbedingt beauftragen. Mit einem Virenschutz auf dem eigenen Rechner können Anhänge ebenfalls zusätzlich untersucht werden, bevor man sie ausführt. Doch, handelt es sich um ein neues, unbekanntes Schadprogramm, können die Virenscanner versagen. Nichts geht also über den gesunden Menschenverstand!
Der Heise-Verlag berichtete in der Ausgabe 22/2013 der Zeitschrift c't sowie auf seiner Online-Seite, dass Unternehmen und beauftrage Werbeagenturen E-Mails an ihre Kunden senden und tracken, ob und wann der Kunde die E-Mail gelesen hat. Dieses E-Mail-Tracking ermöglicht sogar herauszufinden, welches Betriebssystem und welches E-Mail-Programm der Kunde benutzt. Über die IP-Adresse lässt sich auch der ungefähre Aufenthaltsort ermitteln. Wie ist das möglich? Früher benutzte man in der Regel reine Text-Nachrichten. Heute werden E-Mails häufig in html-Code eingebetet, aus dem auch Webseiten aufgebaut sind. So lassen sich schöne E-Mails mit Bildern generieren. Insbesondere diese Bilder stellen das Problem da. Sie werden nämlich bei jedem Aufruf automatisch aus dem Internet nachgeladen. Dabei werden die genannten Daten ins Internet gesendet und sie müssen dort nur noch ausgewertet werden. Auch Apple-Mail ist von dem Problem betroffen. Abhilfe kann man mit folgender Einstellung schaffen:
In der Menü-Zeile von Apple-Mail im Menü "Mail" die Option "Einstellungen" auswählen und auf "Darstellung" klicken. Hier sollte die Funktion "Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen", wie oben gezeigt, deaktiviert sein. Geprüft habe ich diese Einstellung mithilfe des Emailchecks, den Heise anbietet. Der Nachteil, den man in Kauf nehmen muss, ist allerdings, dass in vielen (auch gewünschten) E-Mails Bilder so (ohne weiteres Zutun) nicht mehr angezeigt werden. Eine Alternative ist das Open Source Programm Thunderbird. Hier wird man explizit gefragt, bevor externe Ressourcen heruntergeladen werden. Wer die Firewall Little Snitch verwendet, kann ebenfalls kontrollieren, ob die Bilder in den E-Mails nachgeladen werden sollen oder nicht.
Nicht nur HTML-E-Mails und E-Mail-Anhänge sind potentielle Gefahren, sondern auch Links in E-Mails sind mit Vorsicht zu genießen, insbesondere wenn es sich um sogenannte Kurzlinks handelt, denen man nicht ansehen kann, wohin sie führen. Das führt uns zum nächsten Problem, dem Webbrowser. Auf Mac-Rechner wird meist Safari benutzt. Zwar hat Apple weitere Verbesserungen an seinem Webbrowser unter OS X vorgenommen (für die Experten: die Rendering-Engine läuft ähnlich wie bei Google-Chrome in einer Sandbox) und das Infizieren des Rechners durch Sicherheitslücken in Safari erschwert, aber nicht unmöglich gemacht. Das heißt, durch das bloße Besuchen einer Webseite, die bösartigen Code enthält, kann sich ein Schadprogramm auf dem Rechner einnisten. Dabei kann es sich durchaus um eine seriöse Webseite handeln, die unbemerkt gehackt und entsprechend manipuliert wurde oder die unabsichtlich Schadprogrmme über Werbeeinblendungen (wie beispielsweise bei Spiegel Online geschehen) verbreitet.
Links in sogenannten Phishing-E-Mails sollen auf eine nachgeahmte Webseite locken und das Opfer verleiten, vertrauliche Daten herauszugeben. Häufig handelt es sich dabei um die nachgeahmte Webseite einer Bank, wo man PIN- und TAN-Nummer eingeben soll. Bei solchen E-Mails muss man immer hellhörig sein. Banken interagieren nie auf derartiger Weise mit ihren Kunden.
Bei Webbrowsern kann man einige Sicherheitseinstellungen beachten, die die oben genannten Probleme beherrschbar machen. Diese (und noch ein paar Datenschutzeinstellungen) zeige ich nun am Beispiel von Safari. 
"Objekte aus Verlauf entfernen" und "Downloads aus der Liste entfernen" habe ich auf den kürzestmöglichen Wert gesetzt. Je weniger Daten zum Nutzerverhalten protokolliert werden, desto besser. Die Checkbox für "Sichere Dateien nach dem Laden öffnen" habe ich deaktiviert. Auch durch das automatische Ausführen von PDF- und Multimedia-Dateien können Schadprogramme auf den Rechner gelangen.
Ich möchte die Kontrolle über die Daten haben, die der Browser automatisch ins Internet versendet. Daher habe ich alle obigen Checkboxen deaktiviert.
Heutzutage benutzt man viele Dienste, bei denen man sich mit einem Passwort anmelden muss. So ist man gezwungen, sich viele (hoffentlich) unterschiedliche Passwörter zu merken, die zudem aus Sicherheitsgründen kryptisch sein sollen und regelmäßig geändert werden sollen. Da ist ein Passwortmanager eine große Hilfe. Safari hat unter Benutzung des Schlüsselbunds einen solchen Passwortmanager eingebaut. Ich selber benutze zwar einen anderer Passwortmanager (deshalb ist das weiße Feld oben im Bild leer), dieser hier soll aber nicht unerwähnt bleiben. Solange die Passwörter lokal im Schlüsselbund auf dem eigenen Rechner gespeichert sind, ist eine solche Vorgehensweise begrüßenswert. Sie ermöglicht sogar, mehr als zehn Zeichen zu verwenden, weil man sich diese nicht merken muss und die Authentisierung beim Anmelden auf einer Webseite automatisch erfolgt. Passwörter mit mehr als zehn Zeichen sind grundsätzlich sicherer.
Safari greift auf die Google-Safebrowsing-Liste zu. Google erfasst darin bösartige Phishing-Webseiten und Webseiten, die Schadprogramme verteilen. Das ermöglicht Safari, den Nutzer beim Surfen vor betrügerischen Seiten zu warnen.
Unter "Website-Einstellungen ..." lassen sich weitere Einschränkungen und Ausnahmen definieren. Ein guter Kompromiss ist, wenn vor der Ausführung nachgefragt wird und man die Erlaubnis explizit bestätigen muss. Auf den Einsatz von dem heute nur noch selten verwendeten Java sollte man grundsätzlich verzichten. immer wieder werden Sicherheitslücken bekannt und ausgenutzt. Mittels der neuen Funktion WebGL können hardwarebeschleunigte 3D-Grafiken im Webbrowser ausgeführt werden. Die Ausführen sollte man auch hier sicherheitshalber explizit bestätigen müssen. WebGL kommt derzeit noch nicht häufig zur Anwendung.
Cookies sollte man regelmäßig löschen, da sie u.a. das Nutzerverhalten speichern. Ganz darauf verzichten kann man leider nicht, weil sie für das Einloggen bei Webseiten benötigt werden. Aber sie lassen sich wenigstens einschränken. Auch die Preisgabe meines Aufenthaltsortes und das Tracking durch Webseiten möchte ich nicht. Allerdings bedeutet das gesetzte Häckchen bei dieser Option nur, dass die Webseitenbetreiber gebeten werden, auf Tracking zu verzichten. Viele halten sich leider nicht daran, so dass man zur Durchsetzung gezwungen ist, spezielle Browser wie den Firefox oder entsprechende Plug-Ins zu verwenden. Noch mehr Datenschutz lässt sich erreichen, in dem man im Menü "Ablage" ein "Neues Privates Fenster" öffnet und darin die Webseiten aufruft. 
Mit diesen Einstellungen verhindere ich, dass mir Webseiten Push-Benachrichtigungen zusenden.
Wenn man Erweiterungen installiert hat, sollten Updates automatisch installiert werden. Dazu setzt man im Reiter "Erweiterungen" unten links das Häckchen bei "Erweiterungen aus der Galerie für Safari-Erweiterungen automatisch aktualisieren".
Im neuen Safari blendet Apple wie bei den iOS-Geräten die komplette URL im Suchfeld aus, sondern zeigt nur noch den Domain-Namen an. So erkennt man nicht, auf welcher Unterseite man sich befindet. Deshalb habe ich unter Erweitert die Option "Vollständige Adresse der Website anzeigen" ausgewählt.
Als letzte Einstellung sollte man noch im Menü "Darstellung" die Option "Statusleiste einblenden" auswählen. Dadurch werden unten in der Statusleiste die URLs der Links eingeblendet, wenn man mit dem Mauszeiger darüber fährt. So sieht man, wohin die Links verweisen. Sollte die URL nicht vertrauenswürdig erscheinen oder steht dort etwas anderes als man erwartet hat, sollte man besser nicht auf den Link klicken.
Viele Mac-Nutzer verwenden auch den auf Open Source basierenden Firefox. Hier lassen sich analoge Einstellungen vornehmen. Firefox läuft derzeit jedoch nicht in einer Sandbox, beinhaltet aber im Gegensatz zu den anderen Browsern eine Funktion zum Tracking-Schutz (mehr dazu im Abschnitt "Noch mehr Sicherheit"). Google-Chrome (einschließlich das Flash-Plug-In) läuft wie Safari dagegen in einer Sandbox und bietet somit einen hohen Schutz.
Adobe's Flash wird ebenfalls regelmäßig ausgenutzt, um Schadprogramme zu verbreiten. Auch der Mac war hiervon schon betroffen. Daher benutze ich neben dem Flash-Plug-In von Adobe noch zusätzlich eine Erweiterung wie z.B. ClickToFlash. Damit werden Flash-Inhalte grundsätzlich nicht ausgeführt. Möchte ich einen bestimmten Flash-Inhalt dennoch nutzen, klicke ich einfach auf das stattdessen angezeigte Platzhalter-Symbol.
Ist das Flash-Plug-In von Adobe installiert, tauscht unter Systemeinstellungen ein weiteres Icon auf. Hier lassen sich weitere Einstellungen vornehmen. Ich bin etwas restriktiv vorgegangen: 
Datensparsamkeit ist mir wichtig ;-).
Nein, keinen Zugriff auf Kamera und Mikrofon!
Meine Bandbreite gehört mir, insbesondere möchte ich nicht, dass Fremde meinen Internetzugang mit benutzen.
Updates werden automatisch bezogen. Das ist besonders wichtig, da in der Vergangenheit Sicherheitslücken in Flash häufig ausgenutzt wurden.
Wenn man auf "Alle löschen..." klickt:
Nun auf "Daten löschen" klicken.
Auch in Webseiten eingebettete Werbung kann z.B. mittels der Erweiterung AdBlock blockiert werden. Damit werden nicht nur Werbeeinblendungen unterdrückt, sondern auch die Infektion meines Rechners mit Schadprogrammen verhindert, die über diese Form von Werbung verbreitet werden. Die Erweiterung Ghostery, die für Safari, Firefox, Chrome, etc. zur Verfügung steht, erkennt das Tracking der Werbeanbieter und verspricht dieses zu unterbinden. Allerdings kooperiert Ghostery zur Finanzierung mit Werbepartnern. Auch Disconnect bietet Tools zum Tracking-Schutz und zur anonymen Nutzung von Suchmaschinen als Plug-In an. Der Tracking-Schutz von Firefox basiert auf der von Disconnect zur Verfügung gestellten Blockliste von Tracking-Diensten.