Die Sicherheitsrichtlinien von Bresink-Software-Updater

Sicherheitsarchitektur

Wenn Sie Bresink-Software-Updater zum ersten Mal starten, integriert sich das Programm automatisch in das Sicherheitsmodell von macOS. Dies ist notwendig, da das Programm benutzt werden kann, um kritische Vorgänge in macOS durchzuführen, zum Beispiel um Betriebssystemdateien zu ändern oder sogar zu löschen. Nur verantwortliche Systemverwalter, die den jeweiligen Computer warten, sollten das Recht für solche Aktionen haben.

Um einen hohen Sicherheitsstandard zu garantieren, arbeitet Bresink-Software-Updater zweigeteilt: Das normale Hauptprogramm mit der grafischen Oberfläche koordiniert alle Vorgänge. Es führt außerdem alle Arbeiten durch, für die keinen besonderen Berechtigungen erforderlich sind. Sobald jedoch ein sogenannter privilegierter Vorgang ausgeführt werden muss, also eine besondere, mit Berechtigungen geschützte Operation, wie zum Beispiel ein alte Programmkopie zu überschreiben, die in einem geschützten Ordner liegt, hält das Programm an, macht auf den bevorstehenden Vorgang aufmerksam, und prüft, ob der aktuelle Benutzer sich als Systemverwalter ausweisen kann. Wenn dies der Fall ist, wird die Arbeit fortgesetzt und die entsprechende privilegierte Operation kann starten.

Der privilegierte Vorgang wird jedoch nicht vom Hauptprogramm selbst abgearbeitet. Eine zweite Komponente, das privilegierte Hilfsprogramm, übernimmt diese Arbeit, indem es über einen geschützten, abhörsicheren Kanal den Auftrag des Hauptprogramms entgegen nimmt. Selbst wenn es einem unbefugten Angreifer gelingen würde, das Hauptprogramm zu manipulieren, kann es keine kritischen Schadfunktionen im Computer auslösen, weil es dazu nicht berechtigt ist. Nur die privilegierte Komponente, die von macOS überwacht wird und besonders geschützt ist, hat diese technische Möglichkeit. Es findet also eine Trennung der Benutzerrechte statt. Das Hilfsprogramm wird in diesem Zusammenhang auch als Sicherheitskomponente bezeichnet.

Kann sich der aktuelle Benutzer nicht als Systemverwalter ausweisen, wird der privilegierte Vorgang abgewiesen und die Ausführung verweigert. Sie erhalten in der grafischen Oberfläche den Hinweis, dass die anstehende Aktion aus Berechtigungsgründen nicht fortgeführt werden konnte.

Genehmigung der Sicherheitskomponente

Apples Richtlinien erfordern es, dass ein Administrator den automatischen Start der Sicherheitskomponente genehmigt, bevor Bresink-Software-Updater genutzt werden kann, da die Sicherheitskomponente Dienste für alle Benutzer gleichzeitig erbringt. Solche Programme werden von Apple als Hintergrundobjekt bezeichnet.

Die Sicherheitskomponente wird von macOS automatisch gestartet, wenn Sie Bresink-Software-Updater starten. Sie läuft nicht im Hintergrund, wenn Bresink-Software-Updater nicht läuft.

Die Genehmigung kann auf zwei Arten erteilt werden, entweder beim ersten Start des Programms oder jederzeit über das Programm Systemeinstellungen. Beim ersten Start ist der normale Ablauf wie folgt:

1. Starten Sie Bresink-Software-Updater zum ersten Mal. Das Programm öffnet sein Bedienungsfenster nicht, sondern zeigt stattdessen einen Assistenten an, der Sie durch alle erforderlichen Schritte leitet, die Sicherheitskomponente zu genehmigen.
2. macOS blendet über die Mitteilungszentrale rechts oben eine Anfrage ein, ob Sie ein neues Hintergrundobjekt zulassen möchten. Wählen Sie in diesem Dialog Optionen > Erlauben.
3. Bestätigen Sie über das Kennwort eines Administrators, dass Sie dies für alle Benutzer erlauben.
4. Bresink-Software-Updater entfernt sein Hinweisfenster und startet die volle Bedieneroberfläche.

In älteren Versionen von macOS kann während des allerersten Starts des Programms ein Neustart des Computers erforderlich sein. Leider wird dieser Schritt von Apple erzwungen.

Sie können die Genehmigung auch jederzeit über das Programm Systemeinstellungen erteilen. Führen Sie die folgenden Schritte durch:

In macOS 15 Sequoia:

1. Beenden Sie Bresink-Software-Updater, falls es läuft.
2. Starten Sie Systemeinstellungen.
3. Öffnen Sie Allgemein > Anmeldeobjekte.
4. Suchen Sie Bresink-Software-Updater in der Liste Im Hintergrund erlauben.
5. Stellen Sie sicher, dass der Schalter bei diesem Eintrag eingeschaltet ist.

In macOS 26 Tahoe:

1. Beenden Sie Bresink-Software-Updater, falls es läuft.
2. Starten Sie Systemeinstellungen.
3. Öffnen Sie Allgemein > Anmeldeobjekte & Erweiterungen.
4. Suchen Sie Bresink-Software-Updater in der Liste App-Hintergrundaktivitäten.
5. Stellen Sie sicher, dass der Schalter bei diesem Eintrag eingeschaltet ist.

Bestätigen eines privilegierten Vorgangs

Um die erwähnte, von macOS überwachte Bindung zwischen Hauptprogramm und privilegierter Komponente aufzubauen, fragt macOS beim ersten Start von Bresink-Software-Updater nach der Berechtigung, ein Hilfsprogramm einrichten zu dürfen. Wurde das spezielle Vertrauensverhältnis zwischen Hauptprogramm und Hilfsprogramm aufgebaut, übernimmt ab da an Bresink-Software-Updater die Steuerung der Sonderrechte. Für das Überprüfen der Berechtigung, einen geschützten Vorgang ausführen zu dürfen, gelten folgende Regeln:

Aus Sicherheitsgründen können nur diejenigen Benutzer einen privilegierten Vorgang in Bresink-Software-Updater aufrufen, für die der Punkt Der Benutzer darf diesen Computer verwalten in der Benutzerverwaltung von macOS eingeschaltet ist. Solche Benutzer werden auch als Administratoren bezeichnet. Dieses Sonderrecht ist die Standardeinstellung für denjenigen Benutzer, dem der Computer gehört und der ihn eingerichtet hat.

Das Programm liest Ihr Kennwort nicht mit: Weder das Hauptprogramm noch die privilegierte Komponente sind direkt an der Kennworteingabe und an der Überprüfung dieses Kennworts beteiligt. Beide Vorgänge werden ausschließlich durch macOS vorgenommen, so dass Ihr Kennwort nicht mitgelesen werden kann. Erst nachdem macOS Ihre Identität überprüft hat, wird das Ergebnis dem Programm mitgeteilt.

Die vorgenannte Regel gilt für die Freigabe privilegierter Vorgänge, jedoch nicht für andere Anmeldevorgänge, die ebenso mit Kennworten geschützt sein können. Wenn das Programm sich bei Server-Diensten oder anderen Computern im Netzwerk anmelden muss, kann es aus technischen Gründen erforderlich sein, dass das Programm das Kennwort in diesem Fall vorübergehend selbst entgegennehmen muss. In solch einem Fall werden Sie vorher ausdrücklich auf diesen Umstand hingewiesen.

Auf Computern mit Touch ID kann die Überprüfung auch per Fingerabdruck erfolgen: Ist Ihr Computer mit Apples Fingerabdrucklesegerät Touch ID ausgestattet, kann die Überprüfung Ihrer Identität wahlweise auch per Fingerabdruck erfolgen. Wie in macOS üblich, können Sie jederzeit wählen, ob Sie sich per Kennwort oder per Fingerabdruck identifizieren möchten.

Eine Bestätigung gilt jeweils für den laufenden Vorgang und auf Wunsch fünf (5) Minuten für weitere Vorgänge: In einigen Fällen muss Bresink-Software-Updater mehrere privilegierte Einzeloperationen schnell hintereinander ausführen, um einen bestimmten Ablauf zu erreichen, z.B. muss oft eine geschützte Datei gelöscht und dann eine neue Datei in einem geschützten Ordner angelegt werden. Das Programm ist darauf ausgelegt, solche zusammengesetzten Vorgänge als Einheit zu behandeln, auch wenn diese intern als zwei einzelne Operationen verarbeitet werden, die unterschiedliche Rechte erfordern. Sie müssen sich nur einmal und nicht zweimal identifizieren. Aber auch mehrere nicht zusammengehörende Vorgänge führen nicht immer zu einer erneuten Kennworteingabe: Falls zwischen einem privilegierten Vorgang und Ihrer letzten Bestätigung im Programm weniger als fünf Minuten liegen, wird auf eine erneute Überprüfung Ihrer Identität verzichtet.

Eine Bestätigung wird nicht mit anderen Programmen geteilt: Wenn Sie Bresink-Software-Updater Ihre Identität bestätigt haben, um einen privilegierten Vorgang auszuführen zu können, gilt diese Bestätigung nur für das Programm selbst, jedoch nicht für andere Programme. Auch dies ist strenger als die üblichen Sicherheitsregeln in macOS, die es zulassen würden, innerhalb von fünf Minuten nach der Kennworteingabe auf weitere Bestätigungen in allen Programmen der gleichen Anmeldesitzung zu verzichten.

Momentane Einschränkungen in macOS

Bresink-Software-Updater hält sich streng an die aktuellen Vorgaben von Apple für das Bereitstellen von privilegierten Sicherheitskomponenten. Leider sind die neuesten Techniken, die Apple zur Realisation vorschreibt, nicht immer ausgereift. Das kann im Detail von der macOS-Version abhängen, die Sie einsetzen. Im Moment gelten insbesondere folgende Einschränkungen:

• Es sollte sich nur ein einziges Exemplar des Programms auf Ihrem Computer befinden. Sie sollten es vermeiden, beim Start des Programms mehrere Versionen oder mehrere Kopien auf Ihrem Mac zu haben. Nur Sicherheitskopien auf Time Machine-Volumes sind zulässig.

• Während Sie den Mac starten, muss macOS das Programm auf dem Start-Volume „sehen“ können. Es sollte sich also im Ordner Programme des Start-Volumes oder einem Unterordner davon befinden.

In manchen Versionen von macOS können weitere Einschränkungen bestehen. Ausführliche Informationen finden Sie möglicherweise auch im Kapitel Wichtige technische Hinweise.

Entfernen alter Generationen der Sicherheitskomponente

Bresink-Software-Updater weist eine lange Geschichte auf und hat mit seiner Sicherheitsarchitektur bereits viele Generationen des Betriebssystems geschützt. Da Apple die Vorgaben und Techniken für diesen Aspekt des Systems häufig geändert hat, kann es in der Vergangenheit erforderlich gewesen sein, die Sicherheitskomponente auf eine komplett neue Technik umzustellen. Sie müssen sich in der Regel nicht darum kümmern. Das Programm weist Sie jeweils darauf hin, falls eine Aktualisierung erforderlich ist und führt dann die notwendigen Schritte selbst durch.

Es kann jedoch Fälle geben, in denen sich eine aktualisierte Sicherheitskomponente so stark von den Vorgängerversionen unterscheidet, dass sie mit diesen nicht kompatibel ist und sie aus technischen Gründen nicht vollautomatisch entfernen kann. Es bleibt also eine veraltete Version des privilegierten Hilfsprogramms im System zurück, auch wenn das Hauptprogramm gelöscht oder aktualisiert wurde. Dies stört normalerweise nicht, da macOS diese Programme nur bei Bedarf startet. Sie können sich jedoch dazu entscheiden, diese alten Komponenten zu löschen, um einen möglichen Missbrauch zu verhindern und Ihren Computer aufzuräumen.

Bresink-Software-Updater unterstützt dies mit einer speziellen Wartungsfunktion, die nach alten Hilfsprogrammen sucht und diese auf Wunsch entfernen kann. Führen Sie hierzu folgende Schritte durch:

1. Starten Sie Bresink-Software-Updater falls es noch nicht läuft.
2. Wählen Sie den Menüpunkt Programm > Alte Sicherheitskomponenten bereinigen ….

Es erscheint ein Fenster wie im abgebildeten Beispiel. Die Tabelle listet alle Komponenten auf, die theoretisch aus alten Versionen des Programms vorhanden sein könnten. Fett markierte Komponenten sind tatsächlich vorhanden und werden als entfernbar ausgewiesen. Sie können eine oder mehrere dieser Komponenten auswählen und den Knopf Bereinigen drücken, um diese zu löschen. Sollten Komponenten unerwartet noch in Benutzung sein, wird dies automatisch erkannt. Solche Hilfsprogramme können erst dann gelöscht werden, wenn Sie das zugehörige Programm beenden.

Aktivieren von strengeren Richtlinien für Verwalterautorisierung

In älteren Versionen des Programms gab es Sonderfälle bei der Genehmigung privilegierter Vorgänge, bei denen eine Anmeldung eines Benutzers mit Verwaltungsrechten aus Sicherheitsgründen nicht erlaubt war. Auf Wunsch können Administratoren dieses frühere, stärker eingeschränkte Verhalten wieder wirksam werden lassen.

Autorisierung in der laufenden Anmeldesitzung eines Benutzers, der keine Verwaltungsrechte hat

Ein Benutzer, der gerade nicht als Administrator bei macOS angemeldet ist, kann trotzdem privilegierte Vorgänge ausführen, falls er die Anmeldedaten eines Administrators kennt. Er braucht dazu die laufende Anmeldesitzung nicht zu unterbrechen. Falls diese Möglichkeit aus Sicherheitsgründen nicht gewünscht ist, kann ein Administrator dies sperren, indem er folgenden Befehl in die Kommandozeile des betroffenen Computers eingibt:

sudo defaults write /Library/Preferences/com.bresink.system.softwareupdater.plist MBSBlockAuthForNonAdminLogin -bool true

Rückfall von lokaler Benutzeridentifikation auf Administratoranmeldung mit Name und Kennwort

Um Benutzer als berechtigt für einen privilegierten Vorgang zu erkennen, verwendet das Programm eine Funktion von macOS, die als lokale Benutzeridentifikation bekannt ist. macOS überprüft hierbei die Identität des Benutzers durch ein Dialogfenster, das zur Eingabe von Name und Kennwort auffordert. Alternativ ist aber auch die Verwendung von Sicherheits-Hardware möglich, z.B. das Einlesen eines Fingerabdrucks per Touch ID oder die Verwendung einer Smartcard.

Es gibt Sonderfälle, bei denen macOS die lokale Benutzeridentifikation ablehnt und den Benutzer als unberechtigt zurückweist:

• Der Administrator hat ein leeres Kennwort und dies ist im laufenden Betriebssystem nicht generell verboten.
• Es sind gerade mehrere Benutzer bei macOS in einer Bildschirmsitzung angemeldet und der Administrator greift über die Funktion Schneller Benutzerwechsel oder über eine Netzwerkverbindung per Bildschirmfreigabe zu, aber er besitzt gerade nicht die „vorderste“ Bildschirmsitzung (am physischen Bildschirm), so dass nicht geklärt ist, wer gerade Zugriff auf Touch ID oder andere Sicherheits-Hardware hat. Dies wird in macOS als nicht-interaktive Situation bezeichnet.
• Es steht spezielle Hardware zur Benutzeridentifikation zur Verfügung, aber hierbei ist ein technisches Problem aufgetreten.

In solchen Fällen schaltet das Programm automatisch auf die herkömmliche Anmeldung eines Administrators über Name und Kennwort um. Falls diese Möglichkeit aus Sicherheitsgründen nicht gewünscht ist, kann ein Administrator dies sperren, indem er folgenden Befehl in die Kommandozeile des betroffenen Computers eingibt:

sudo defaults write /Library/Preferences/com.bresink.system.softwareupdater.plist MBSBlockLocalAuthFallback -bool true

Zusätzliche Hinweise zur Änderung der Sicherheitsrichtlinien

Beide oben genannten Richtlinien können unabhängig voneinander ein- oder ausgeschaltet werden. In der Regel tritt die Änderung beim nächsten Start des Programms in Kraft. Es kann allerdings besondere Betriebssituationen geben, in denen macOS die Aktivierung verzögert. Soll sichergestellt sein, dass die Änderung auf jeden Fall wirksam wird, ist zu empfehlen, den Computer neu zu starten.

Erst am Ende des Befehls darf die Eingabetaste gedrückt werden, auch wenn ein Befehl aus Platzgründen eventuell mehrzeilig angegeben ist. macOS fragt nach der Eingabe nach dem Kennwort des gerade angemeldeten Administrators. Dieses wird verdeckt eingegeben, erscheint also nicht auf dem Bildschirm.

Um das Verhalten wieder auf den Standard zurückzuschalten, können die folgenden Befehle verwendet werden:

sudo defaults delete /Library/Preferences/com.bresink.system.softwareupdater.plist MBSBlockAuthForNonAdminLogin

beziehungsweise

sudo defaults delete /Library/Preferences/com.bresink.system.softwareupdater.plist MBSBlockLocalAuthFallback