Sicherheit & Mac OS X | Security-Tipps von Florian Kretzer

Datensicherheit und IT-Sicherheit werden auch für Macuser immer wichtiger. Mit Florian von Great Oak habe ich nicht nur über Mac-Sicherheit geplaudert. Safety first, also on Macs!

IT-Sicherheitsblog.de | Blog von Florian Kretzer

Du betreibst it-sicherheitsblog.de und die Firma Great Oak IT-Security e. K.. Magst Du Dich kurz vorstellen, Florian?

Sehr gerne. Die wichtigsten Punkte sind ja schon in der Frage erfasst. Ansonsten bin ich von Beruf Wirtschaftsingenieur Fachrichtung Telekommunikation und biete mit meiner Firma Great Oak IT-Security e.K. Dienstleistungen rund die Themen Datenschutz und IT-Sicherheit an.

Dabei spielt das Thema Mac-Sicherheit eine zunehmend größere Rolle, da es zum einen nur sehr wenige Anbieter gibt, die sich im Bereich Mac Sicherheit auskennen und es zum anderen zunehmend mehr Mac-affine Firmen gibt, die sich zwar bisher eher weniger um IT-Sicherheit gekümmert haben, nun aber im Zuge der letzten Datenschutznovellen (BDSG Novelle II –> Auftragsdatenverarbeitung) gezwungen sind, sich mehr mit dem Thema zu beschäftigen.

Nebenbei versuche ich mit it-sicherheitsblog.de auf Themen hinzuweisen die mich beschäftigen oder von denen ich meine, sie müssten dringend mal gesagt oder erklärt werden. Leider mangelt es mir jedoch häufig an Zeit, so dass ich es viel zu selten schaffe Artikel zu schreiben.

Welchen Beitrag würdest Du einem Macuser, der zum ersten Mal Deine Seite besucht, empfehlen?
Den Beitrag „Ist Ihr Mac sicher?“ sollte sich jeder Macuser zu erst anschauen. Mit dem kurzen Fragebogen bekommt man recht schnell einen Überblick über den Stand der eigenen Sicherheitsbemühungen.

Was sollte der Computernutzer unbedingt in Sachen Sicherheit tun, besonders als Macuser, aber auch als Nutzer von Linux, Windows und anderen Betriebssystemen?
Mitdenken. Sehr viele Sicherheitsprobleme entstehen dadurch, dass die Benutzer einfach zu sorglos handeln. Gerade im Bereich von Mac OS X basieren die allermeisten Schadprogramme auf einer aktiven Mithilfe durch den Benutzer. Im technischen Bereich gibt es natürlich Etliches in Sachen Sicherheit zu tun, aber meiner Meinung nach ist das Wichtigste ein regelmäßiges und auf Funktionalität geprüftes Backup. Da keine Sicherheitsmaßnahme 100% Schutz bringt, ist das Backup unverzichtbar.

Was macht ein gutes Sicherheitskonzept aus und warum sollte auch ein normaler Macuser, oder Benutzer von Computern, zumindest grundlegende Sicherheitsmaßnahmen treffen?
Ein gutes Sicherheitskonzept versucht das Gesamtsystem zu erfassen und abzusichern. Dies bedeutet für den normalen User, dass es nicht ausreicht einen Virenscanner oder sonstiges Sicherheitsprodukt zu kaufen und sich dann entspannt zurück zulehnen und sich in Sicherheit zu wiegen. Auch wenn es Mühe macht, sollte sich jeder Benutzer ein eigenes Gesamtsicherheitskonzept erarbeiten.

Falls das eigene Fachwissen nicht ausreicht, kann man durchaus auch Rat bei einem Profi suchen. Meist macht sich das zu einem späteren Zeitpunkt bezahlt.

Ein solches Konzept beinhaltet die technische Absicherung des Rechners und des Netzwerkes, Erstellung eines Backupplans und, falls noch nicht geschehen, die grundlegende Beschäftigung mit den allgemeinen Sicherheitsthemen. Für den letzten Punkt gibt es gute Seiten, die auch Anfängern die wichtigsten Sicherheitsthemen erklären und wertvolle Tipps geben. Eine solche Seite ist BSI für Bürger.

Der Grund, warum auch eine Privatperson sich unbedingt Gedanken um die Rechnersicherheit machen sollte, lässt sich nicht in einen Satz fassen, weil es so viele Gründe gibt. Unsere Gesellschaft hat den Computer mittlerweile so gut in das tägliche Leben integriert, dass das Gefahrenpotential auch im privaten Bereich sehr groß geworden ist. Gründe sind unter anderem:

1. Finanzielle Verluste, wenn der Onlinebankingzugang geklaut wird
2. Verlustgefahr von wichtigen Dokumenten (z.B. Diplomarbeit, Hausarbeiten, das eigenen Buch etc.)
3. Verlustgefahr von persönlichen Daten (Fotos, Briefe, Videos usw.)
4. Imageschäden (intime Bilder oder Videos werden vom Rechner entwendet und im Internet veröffentlicht)
5. Unbemerkte Nutzung des WLANs durch den Nachbarn zum illegalen Download von Musik und Filmen, worauf der Betreiber als Störer haftbar gemacht wird.
6. uvm.

Wie sinnvoll ist eine Hardware-Firewall und kannst Du da bestimmte Produkte empfehlen, die bezahlbar und sinnvoll, für den Heimanwender, sind?
Eine Hardwarefirewall ist auf jeden Fall zu empfehlen. Allein schon das bloße Zwischenschalten einer zusätzlichen Instanz zwischen Rechner und Internet bringt mehr Sicherheit.

Zum einen muss der Angreifer immer noch eine zweite Instanz überwinden und zum anderen kann der Rechner nicht direkt aus dem Internet angesprochen werden, da die Rechner hinter der Firewall im privaten Umfeld nur IP-Adressen verwenden, die vom Internet aus nicht direkt angesprochen werden können.

Grundsätzlich erfüllen alle Router/Firewall-Geräte für Heimanwender ihren Zweck. Aber es empfiehlt sich auf eine einfach Handhabung oder einen guten Support zu achten. Dies ist zum Beispiel bei den FRITZ!Box-Geräten der Firma AVM gegeben. Aber auch andere Hersteller haben gute Produkte im Portfolio.

Gibt es Faustregeln für die Zeitspanne die zwischen den Backups liegen sollte? Ist es nicht so das verschiedene Daten, unterschiedliche Abstände bei der Datensicherung verlangen?
Grundsätzlich ist die Zeitspanne der Datensicherung von der Datenart abhängig. Einen allgemein gültigen Zeitraum gibt es nicht. Aber anhand eines Beispiels lässt sich ungefähr abschätzen, wie der Zeitraum zu bemessen ist.

Zu erst stellt sich die Frage, ob neue Daten regelmäßig hinzu kommen (z.B. in einem Unternehmen wo die Mitarbeiter an Rechnern arbeiten) oder nur von Zeit zu Zeit (z.B. im Privathaushalt, wo ab und zu mal die Speicherkarte der Digitalkamera auf den Rechner übertragen wird).

Bei regelmäßigem Datenzugang ist auch ein eben so regelmäßiges Backup erforderlich. Als Faustregel kann man sagen, dass ein Backup in den zeitlichen Abständen erfolgen sollte, bei denen der Verlust der Daten vom letzten Backup bis zum aktuellen Zeitpunkt kein großes Risiko darstellt.

Einfacher gesagt, wenn ein 24-stündiges Backup bedeutet, dass die Mitarbeiter im schlimmsten Fall die Daten des letzten Tages von Hand wieder eingeben müssen, ist das Risiko nicht all zu hoch. Wenn es bedeutet, dass alle Bestellungen in einem Onlineshop eines Tages verschwunden sind, ist es ein sehr hohes Risiko und der Backupzeitraum zu groß.

Des Weiteren empfehle ich zu den laufenden Backups von Zeit zu Zeit Archivbackups zu erstellen, die nicht wieder überschrieben werden und dauerhaft sicher archiviert werden. So kann man auch nach mehreren Jahren, z.B. bei einer Buchprüfung, auf einen alten Datenbestand zurück greifen, falls dies notwendig ist.

Bei Privatpersonen bietet es sich an, ein Backup zu erstellen wenn neue Daten auf den Rechner gekommen sind, die nirgendwo redundant vorhanden sind.

Und für alle Mac-User kann ich nur empfehlen Time Machine zu verwenden. So wird laufend ein Backup aller Daten erstellt und der Benutzer muss sich kaum Gedanken machen. Dazu ist aber wichtig, dass das Backupmedium regelmäßig mit dem Rechner verbunden ist, wie beispielsweise bei Time Capsule und das man bei dem Einsatz von FileVault einige Besonderheiten beachtet.

Viele Benutzer von Computern sind mit mehr Rechten unterwegs als nötig. Warum sollten diese Benutzer, deiner Meinung nach, den Administratorstatus in den Benutzerstatus mit weniger Rechten ändern und warum?
Vereinfacht kann man sagen: wer viele Rechte am Rechner hat, hat auch viele Möglichkeiten etwas kaputt zu machen. Etwas differenzierter betrachtet zeigt sich schnell, dass viele Angriffe dadurch erst so gut funktionieren, weil der Benutzer mit zu vielen Rechten unterwegs war.

Um dieses Risiko zu minimieren sollte ein Benutzer mit so wenig Rechten ausgestattet sein wie möglich. Allerdings muss man auch immer noch die Anwendbarkeit im Auge behalten. Wenn zu oft nach einer Bestätigung oder einem Passwort für höhere Rechte gefragt wird, ist der Anwender schnell genervt oder klickt die Meldung einfach weg, ohne sich Gedanken über das Warum zu machen.

Ein gutes Beispiel ist die UAC von Windows Vista. Die Abfrage kommt derart häufig, dass die meisten Benutzer sie routiniert wegklicken ohne sich zu fragen, warum sie nun gerade aufblendet.

Unter Mac OS X sollte aber auf jeden Fall der Benutzer nur als Standard-Nutzer konfiguriert sein. Man kann damit sehr gut arbeiten und wenn wirklich etwas Grundlegendes am System geändert werden soll oder eine systemweite Software installiert werden muss, kann man den Admin-Account verwenden.

Gibt es Podcasts und Netzprojekte die sich mit dem Thema Mac-Sicherheit und Computer-Sicherheit beschäftigen und die du empfehlen magst?
Leider gibt es nicht viele gute Seiten zum Thema Mac-Sicherheit. Als Blog kann ich den Mac Security Blog von Intego empfehlen. Aber auch Macintosh Security ist lesenswert. Als generelle Mac-Security Seite ist MacMark interessant. Einen reinen Mac-Security Podcast kenne ich nicht, aber es gibt natürlich zahlreiche Podcasts, bei denen ab und zu mal ein Mac-Thema auf den Tisch kommt. Diese Podcasts sind allerdings meist sehr weit gefächert und benötigen ein gewisses IT-Security-Grundwissen.

Datenschutz und IT-Sicherheit sind dehnbare und teilweise abstrakte Begriffe. Stimmst du dem zu und wie würdest du Kindern die beiden Begriffe erklären?
Die Verwechselung oder Gleichstellung der beiden Wörter begegnet mir im beruflichen Alltag immer wieder. Ich vermute, dass die unklare Verwendung der beiden Begriffe stark durch die oft falsche Verwendung in den Medien begründet ist.

Wenn man über die Begriffe spricht, sollte man allerdings noch einen dritten hinzuziehen, die Datensicherheit.

Wenn ich Datenschutzveranstaltungen in Schulen durchführe, versuche ich die Begriffe ungefähr so zu erklären:
Datenschutz ist alles, was den Schutz der Daten regelt und fördert. Das sind Gesetze, Verhaltensregeln, technische und organisatorische Maßnahmen.

Datensicherheit ist ein Teilbereich des Datenschutzes und bezeichnet die wirklichen Sicherheitsmaßnahmen zum Schutz der Daten. Zum Beispiel Verschlüsselung, Backups, Schulung der Mitarbeiter, Verhaltenregeln im Umgang mit Datenträgern uvm.

Und IT-Sicherheit ist die Zusammenfassung aller Maßnahmen, Regeln und Vorgaben um einen festgelegten Stand der IT zu erhalten. Man legt beispielweise fest, dass ein Webshop 24 Stunden / 365 Tage im Jahr für die Kunden verfügbar sein soll. Alles, was ich nun mache, Ersatzserver kaufen, Notfalltechniker beschäftigen, sicheres Rechenzentrum mieten usw. ist IT-Sicherheit. Datensicherheit ist auch ein Teil der IT-Sicherheit, da ich ja festlege, dass meine digitalen Daten nicht von anderen benutzt oder missbraucht werden können und somit alle Maßnahmen dafür auch unter IT-Sicherheit fallen.

Wer viel im Internet unterwegs ist hat irgendwann viele viele Passwörter die sich niemand merken kann. Wie verwaltest Du deine Passwörter und was würdest Du anderen empfehlen, um die Flut an Kennwörtern mit Rücksicht auf die Sicherheit zu verwalten?
Das Problem mit den Passwörtern wird immer wieder auf den Tisch gebracht, wenn beispielweise die Teilnehmer meiner Schulungen versuchen, mir darzulegen, dass sichere Passwörter zwar schön und gut wären, aber überhaupt nicht praktikabel.

Dazu kann ich nur sagen, es gibt massenweise Passwortmanager am Markt, mit denen sich die Passwörter wirklich einfach und sicher verwalten lassen. Für Firmen gibt es diese sogar mit umfangreicher Netzwerkfunktionalität. Die Manager bieten, an die Passwörter verschlüsselt mit einem Masterpasswort in einer Datenbank zu verwalten. Das Programm lässt man einfach minimiert laufen und immer wenn man ein Passwort braucht kurz drauf gehen, Passwort in die Zwischenablage und auf der Webseite einfügen.

Das dauert auch nicht länger als zu überlegen welchen Passwort man für die Seite hatte und es einzutippen. Gleichzeitig bieten die Passwortmanager fast immer noch einen Passwortgenerator, mit dem man sich für jede Webseite auch ein individuelles sicheres Passwort erzeugen lassen kann.

Ich selber setze auf meinen Mac- und Windowssystemen KeePass bzw. KeePassX ein. Bei reinen Windowsumgebungen empfehle ich den Einsatz von KeePass (keepass.info), bei gemischten Umgebungen KeePassX, da KeePassX die Datenbanken von KeePass noch nicht lesen kann. Alternaiv kann man mit KeePass auch Datenbanken der Version 1.x (kdb) erstellen und diese benutzen. KeePassX gibt es auch für iPhone, Android uvm.

Warum findest Du KeePass bzw. KeePassX besser als 1Password oder Schlüsselbund?
Mein Vorzug für KeePass ist rein subjektiver Natur, ich empfinde den Schlüsselbund als bei weitem nicht so komfortabel und funktionsreich wie einen zusätzlicher Passwortmanager.

Grundsätzlich sollte man sich anschauen, ob das Produkt alle Funktionen bietet, die man benötigt und ob es auch zu einem passt, sich also in den Arbeitsablauf gut integrieren lässt. Für mich trifft das auf KeePassX zu und zudem steht es noch unter der GPL

Was macht ein gutes Passwort aus?
Ein gutes Passwort ist lang genug, wird nur an einer Stelle verwendet und ist so zufällig wie möglich. Die Länge hängt vom Einsatzzweck ab. Wenn nur drei Eingabeversuche zur Verfügung stehen reichen sechs Zeichen vollkommen. Wenn beliebig viele Versuche zur Verfügung stehen, weil beispielsweise ein gestohlener Hash-Wert verglichen wird, kann das Passwort gar nicht lang genug sein.

Da das Passwort aber auch noch merkbar sein muss, denke ich, dass 12 Zeichen zur Zeit vollkommen ok sind. Bei Passwörtern, die in einem Passwortmanager gespeichert werden, können es auch gerne mehr Zeichen sein. Leider werden mit zunehmender technischer Entwicklung immer längere Passwörter notwendig. Deswegen empfehle ich, wo immer es möglich ist, auf eine Zwei-Faktor-Authentifizierung zurück zu greifen. So reichen bei einer Smartcard mit 15 Anmeldeversuchen 8-Ziffern lange Passwörter absolut aus.

Die Einmaligkeit ist mit einem Passwortmanager auch sehr leicht zu erreichen. Und die Zufälligkeit wird mit einem automatisierten Passwortgenerator gewährleistet. Für alle extrem vorsichtigen Nutzer können die Passwörter unterschiedlicher Generatoren kombiniert werden.

Einen guten Artikel zum Thema Passwörter gab es in der DuD 10/2009 der auch online verfügbar ist.

Du hast eine sehr schöne Checkliste: “Wie sicher ist ihr Mac?”, gibt es darüber hinaus einen Tipp für Macuser, um die Sicherheit ihres Macs zu erhöhen, den Du verraten magst?
Die wichtigsten Punkte sind auf der Checkliste erfasst, aber ich kann jedem Benutzer nur dringend ans Herz legen, nicht nur das Mac OS X upzudaten, sondern auch alle anderen eingesetzten Programme.
Außerdem sollten sie bei herunter geladener Software immer äußerste Vorsicht walten lassen.

Welche Podcasts und Netzprojekte mit allgemeinen Themen besuchst Du gerne und magst Du empfehlen?
Die Liste meiner oft besuchten Seiten ist ziemlich lang, da ich ziemlich viel Nachrichten lese. Das reicht von heise.de, golem.de über die klassischen Nachrichten bei zeit.de, sueddeutsche.de hin zu jurablogs.com. Besondere Lieblingsseiten oder Projekte habe ich da nicht.

Worüber hättest Du gerne gesprochen, wonach ich aber nicht gefragt habe?
Vielleicht wäre es gut noch etwas zu der allgemeinen Sicherheit eines Macs zu sagen. Leider ist Apple nicht gerade führend in Sachen Sicherheitstechnologie. Wobei ich hoffe, dass sich das in naher Zukunft ändert. So wäre es beispielweise sehr gut, wenn endlich die Full-Disk-Encrytion von Mac OS X aus gehen würde und es einen integrierten Smartcardreader geben würde, so dass man die Verschlüsselung smartcardbasiert durchführen könnte. Und eine bessere Integration von FileVault in das Time Machine Backup ist auch dringend nötig.

Great Oak | Florian Kretzer

Herzlichen Dank! Das war IT- und Mac-Sicherheits-Experte Florian Kretzer.

Tillmann Scheele führte durch das Maclites Magazin Interview.

• Weitere Interviewgäste
• Maclites Magazin via RSS Feed folgen
• Folge Maclites Magazin auf Twitter
• Fan auf Facebook werden

Diese Beiträge könnten dich auch interessieren.

• „Wenn ein Spiel vor der Veröffentlichung neugierig macht, mit seiner Story für Tage oder Wochen fesselt, technisch neue Maßstäbe setzt, spricht das alles für ein gutes Spiel.“ – Georgios Karasmanis
• „Mac-Spieler werden sich umgewöhnen müssen: Es wird mehr Mist für ihre Plattform erscheinen.“ – David Sondermann | macinplay
• MIC001: Maclites und die Stimme aus DIE HOPPE SHOW
• “Man nutzt diese Marktmacht aus und verliert zwangsläufig den Charme des sympathischen Außenseiters.” | Thomas Stadler
• „Wer seine Ziele aber über alle Hürden hinweg verfolgt, der kann im Web auch Erfolge feiern und Geld verdienen.“ – Sören Eisenschmidt
• „Ich halte nichts davon, mir meine Moralvorstellung und Meinungsbildung von einem Unternehmen diktieren zu lassen.“ – Bettina Eisenschmidt

Aktualisiert am 18/11/2011

Tags: Datenschutz, Mac OS X, mac-sicherheit