Start

Die Einstellungskarte Systemsicherheit

Die Einstellungskarte Systemsicherheit steht nur zur Verfügung, wenn macOS 10.13 High Sierra oder höher eingesetzt wird.

Programmintegrität

Auf der Einstellungskarte Programme haben Sie bereits den Punkt Sicherheitsprüfung kennengelernt, mit dem verschiedene Aspekte eines Programms unter Sicherheitsgesichtspunkten untersucht werden konnten.

Auf der Einstellungskarte Systemsicherheit können Sie einen bestimmten Teil dieser Prüfung, nämlich denjenigen, der auf der digitalen Versiegelung von Programmcode (Codesigning) beruht, für eine große Zahl von Programmen gleichzeitig durchführen, z.B. für das gesamte System-Volume. Hiermit ist es möglich, die gesamte Sicherheitssituation eines Computers schnell einzuschätzen.

Die Prüfung berücksichtigt die folgenden Punkte:

Diese Massenprüfung ist auf Programme für die grafische Oberfläche beschränkt. Sie können im Rahmen einer solchen Prüflaufs keinen ausführbaren Code für die Befehlszeile, oder andere versiegelte Komponenten, wie z.B. Disk Images, prüfen.

Alle Programme des Systems können auf Wunsch überprüft werden
Alle Programme des Systems können auf Wunsch überprüft werden
  1. Öffnen Sie den Karteireiter Programmintegrität auf der Einstellungskarte Systemsicherheit.
  2. Ziehen Sie den Ordner mit den Programmen, die Sie prüfen möchten, aus dem Finder in das Feld Oberster Ordner zur Prüfung. Sie können auch den Knopf […] drücken, um zum Ordner zu navigieren oder auf die weiße Fläche klicken und den UNIX-Pfad des Objektes eingeben.
  3. Drücken Sie den Knopf Prüfen.

Sie können nicht nur einen Ordner, sondern auch ein ganzes Volume zur Prüfung auswählen. Die Massenprüfung wird automatisch auf ein einzelnes Volume begrenzt, auch wenn es Verweise auf andere Volumes enthält.

Die Prüfung kann sehr lange Zeit benötigen, je nach dem, wie viele Programme enthalten und wie groß diese sind. Besonders große Programme, wie z.B. Xcode oder aufwändige Computerspiele können die Prüfung stark verzögern. Während die Massenprüfung läuft, können Sie den Knopf Stopp im Wartefenster betätigen, um die Prüfung abzubrechen.

Aus technischen Gründen können angefangene Prüfvorgänge nicht in allen Fällen sofort beendet werden, wenn Sie den Stopp-Knopf drücken. TinkerTool System führt angefangene Prüfungen möglicherweise noch im Hintergrund zu Ende, was den Mac noch für einige Zeit belasten kann, verwirft aber dann die Ergebnisse. Um laufende Prüfungen wirklich sofort abzubrechen, müssen Sie das Programm nach Drücken von Stopp beenden.

Nach dem Ende aller Prüfungsschritte wird das Endergebnis in einer Tabelle angezeigt. Es werden alle Programme mit Namen aufgelistet und die oben genannten Aspekte der Prüfung in den hinteren drei Spalten mit Symbolen gekennzeichnet:

Als Symbole werden verwendet:

Wenn Sie eine Zeile der Ergebnistabelle auswählen, werden Details über das Programm und die Prüfung angezeigt. Über das Lupensymbol können Sie das jeweilige Programm im Finder anzeigen lassen. Die Zeile Entdecktes Problem gibt bei einem Fehlschlag der Prüfung an, welche Ursache dazu geführt hat, dass die Prüfung nicht bestanden wurde.

Sie können für das ausgewählte Programm auch den Knopf Schließen und volle Sicherheitsprüfung für gewähltes Programm durchführen drücken, um das Programm automatisch auf der Karte Programme zu öffnen und dort ausführlich prüfen zu lassen.

Speicherplatz

In neueren Versionen von macOS kommt es regelmäßig zu Verwirrung bei Anwendern, wie viel Speicherplatz auf einem bestimmten Volume tatsächlich frei und belegt ist. Diese Verwirrung hat mehrere Ursachen:

  1. Programme können verschiedene Definitionen von Maßeinheiten bei der Angabe von Speicherplatz verwenden, ohne dies korrekt zu markieren. So kann 1 Kilobyte je nach Definition entweder 1.024 Byte oder 1.000 Byte darstellen. Apple hat die Richtlinien für die Angaben von Speicher in den letzten Jahren mehrfach geändert. Ausführliche Hinweise hierzu finden Sie im Kapitel Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.

  2. Programme können den Speicherplatz aus Sicht des Benutzers (Finder) oder aus technischer Sicht (Festplattendienstprogramm) anzeigen. Der Finder sieht beispielsweise Speicherplatz, der für die Ablage von Lokalen Time Machine-Schnappschüssen belegt wird, als frei an. Dies soll dem Benutzer signalisieren, dass der hierfür genutzte Speicher bei Bedarf vollautomatisch vom Betriebssystem freigegeben werden könnte, wenn er für etwas anderes benötigt wird. Ausführliche Informationen zu lokalen Time Machine-Schnappschüssen finden Sie im Kapitel Die Einstellungskarte Time Machine.

  3. Moderne Dateisysteme können spezielle Abbuchungstechniken für die Verwaltung von Speicher verwenden, bei denen Kapazitäten mehrfach gezählt werden, obwohl sie in Wirklichkeit nur einmal vorhanden sind.

Apples Dateisystem APFS gehört zu diesen modernen Dateisystemen. Es unterstützt unter anderem die folgenden, heute üblichen Techniken, die zu Verwirrung bei Speicherplatzangaben führen können:

Wenn ein Volume APFS nutzt, kann daher die Frage nach freiem Speicherplatz möglicherweise gar nicht mehr so einfach beantwortet werden.

Freier Speicherplatz kann bei modernen Dateisystemen unterschiedlich definiert sein
Freier Speicherplatz kann bei modernen Dateisystemen unterschiedlich definiert sein

TinkerTool System kann die verschiedenen Sichten auf Speicherplatz, die von macOS unterstützt werden, für jedes Volume anzeigen:

  1. Öffnen Sie den Karteireiter Speicherplatz auf der Einstellungskarte Systemsicherheit.
  2. Wählen Sie das gewünschte Volume mit dem Aufklappmenü Volume aus.

Die verschiedenen Definitionen von belegten und freiem Speicher werden nun in einer Tabelle dargestellt, ebenso wird die physische Gesamtkapazität genannt. Unterhalb der Tabelle finden Sie bei Verwendung von APFS einen entsprechenden Warnhinweis. Beachten Sie beim Vergleich mit anderen Programmen, dass die korrekte Maßeinheit für die Anzeige von Speicher wie gewünscht in TinkerTool System eingestellt ist, siehe auch Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.

Was Apple unter „Bereinigung“ versteht, um den löschbaren Speicher wiederzugewinnen, ist nicht genau definiert.

EFI-Firmware

Um einen Computer zu starten und ein Betriebssystem zu laden, muss es ein weiteres Programm, eine Art Minibetriebssystem geben, das diese Aufgabe übernimmt. Dieses Programm muss fest in den Computer eingebaut sein und wird daher Firmware genannt. So fest ist diese Software allerdings nicht in der Hardware verankert, ansonsten könnte sie selbst nicht aktualisiert und an technische Weiterentwicklungen angepasst werden. Sie wird daher in einem speziellen, elektrisch löschbaren Speicher festgehalten, ähnlich wie Flash-Speicher. Apple aktualisiert die Firmware in regelmäßigen Abständen ohne besondere Hinweise, als Nebenaufgabe wenn auch Updates des „normalen“ Betriebssystems installiert werden.

Die Firmware ist durch mehrere Maßnahmen gegen Manipulationen geschützt. Trotzdem ist es mit etwas krimineller Energie machbar, auch in der Firmware bösartige Programme, wie z.B. Spionagefunktionen unterzubringen. Solche Angriffe auf den Computer sind schwer zu entdecken, da die Firmware im Normalbetrieb ja immer als fest eingebaut und unveränderlich gilt.

Aus Sicherheitsgründen überprüft Apple in neueren Betriebssystemversionen regelmäßig, ob die Firmware noch intakt und unverändert ist. Hierzu werden Blockprüfsummen aller jemals ausgelieferten Firmware-Versionen für die jeweiligen Macintosh-Baureihen per Internet zur Verfügung gestellt und mit Prüfsummen der vorgefundenen Firmware verglichen. Solche Prüfläufe finden unsichtbar im Hintergrund statt und melden sich nur, falls eine Abweichung gefunden werden sollte.

Die Integritätsprüfung für die Firmware kann auf Wunsch sofort wiederholt werden
Die Integritätsprüfung für die Firmware kann auf Wunsch sofort wiederholt werden

TinkerTool System kann eine solche Prüfung manuell starten, so dass die Integrität der Firmware sofort überprüft und sichergestellt werden kann. Führen Sie hierzu folgende Schritt durch:

  1. Öffnen Sie den Karteireiter EFI-Firmware auf der Einstellungskarte Systemsicherheit.
  2. Drücken Sie den Knopf Prüfen.

Das Endergebnis wird danach in einem Benutzerdialog angezeigt und eine Kopie auch noch einmal im Anzeigefenster festgehalten.

Nicht alle Macintosh-Modelle unterstützen diese Form der Firmware-Prüfung. In diesem Fall erhalten Sie von TinkerTool System einen entsprechenden Hinweis. Dies betrifft insbesondere die neuesten Baureihen, in denen der Computer durch einen unabhängigen Prozessor mit eigenem Betriebssystem (Apple BridgeOS) überwacht und geschützt wird. In solch einem System darf macOS die Firmware nicht mehr lesen, aber erst recht nicht schreiben, so dass die Sicherheit auf anderem Wege gewährleistet ist.

Es kann passieren, dass Apple eine neue Version von macOS veröffentlicht, die eine neue Firmware installiert, aber keine aktualisierte Prüfsumme für diese Firmware enthält. In diesem besonderen Fall wird die Integritätsprüfung fehlschlagen. Solch ein Fehler löst allerdings üblicherweise eine interne Aktualisierung der Prüfsummenliste per Internet aus, falls die Option Systemeinstellungen > App Store > Systemdatendateien und Sicherheits-Updates installieren eingeschaltet ist, was der Standard ist. Das heißt, falls Sie eine Integritätswarnung kurz nach einem Update von macOS sehen, wiederholen Sie die Integritätsprüfung nach ein paar Stunden, um zu testen, ob es sich um einen Fehlalarm gehandelt hat.

Broadcom® Ethernet

Ethernet-Anschlüsse der Herstellers Broadcom zeichnen sich durch die Besonderheit aus, dass auch deren Firmware auf relativ einfache Weise veränderbar ist. Die Überwachung der Firmware ist deshalb auch für diese Fälle sicherheitskritisch.

Eine Integritätsprüfung ist auch für Ethernet-Firmware von Broadcom möglich
Eine Integritätsprüfung ist auch für Ethernet-Firmware von Broadcom möglich

TinkerTool System kann überprüfen, ob ein oder mehrere Ethernet-Anschlüsse von Broadcom in Ihren Mac eingebaut, bzw. extern angeschlossen sind. Falls ja, kann auch deren Firmware sofort auf mögliche Manipulationen getestet werden:

  1. Öffnen Sie den Karteireiter Broadcom® Ethernet auf der Einstellungskarte Systemsicherheit.
  2. Kontrollieren Sie in der angezeigten Tabelle, ob entsprechende Ethernet-Anschlüsse in Ihrem Computer vorhanden sind. Falls ja, drücken Sie den Knopf Prüfen.

Das Ergebnis der Prüfung wird nach ein paar Sekunden angezeigt. Falls mehrere Anschlüsse vorhanden sind, lässt sich jede Einheit im Bericht durch eine Nummer zuordnen, die PCI-Geräte-ID. Sie finden diese Nummer als hinteren Teil in der Spalte PCI-Geräte-ID in der Tabelle, so dass Sie den zugehörigen Netzwerkanschluss ablesen können.

macOS überprüft zurzeit nur Ethernet-Baugruppen des Herstellers Broadcom. Ethernet-Anschlüsse anderer Hersteller werden nicht getestet, besitzen in der Regel aber auch keine angreifbare Firmware.