Start

Die Einstellungskarte Systemsicherheit

Programmintegrität

Auf der Einstellungskarte Programme haben Sie bereits den Punkt Sicherheitsprüfung kennengelernt, mit dem verschiedene Aspekte eines Programms unter Sicherheitsgesichtspunkten untersucht werden konnten.

Auf der Einstellungskarte Systemsicherheit können Sie einen bestimmten Teil dieser Prüfung, nämlich denjenigen, der auf der digitalen Versiegelung von Programmcode (Codesigning) beruht, für eine große Zahl von Programmen gleichzeitig durchführen, z.B. für das gesamte System-Volume. Hiermit ist es möglich, die gesamte Sicherheitssituation eines Computers schnell einzuschätzen.

Die Prüfung berücksichtigt die folgenden Punkte:

Diese Massenprüfung ist auf Programme für die grafische Oberfläche beschränkt. Sie können im Rahmen einer solchen Prüflaufs keinen ausführbaren Code für die Befehlszeile, oder andere versiegelte Komponenten, wie z.B. Disk Images, prüfen.

Alle Programme des Systems können auf Wunsch überprüft werden
Alle Programme des Systems können auf Wunsch überprüft werden
  1. Öffnen Sie den Karteireiter Programmintegrität auf der Einstellungskarte Systemsicherheit.
  2. Ziehen Sie den Ordner mit den Programmen, die Sie prüfen möchten, aus dem Finder in das Feld Oberster Ordner zur Prüfung. Sie können auch den Knopf […] drücken, um zum Ordner zu navigieren oder auf die weiße Fläche klicken und den UNIX-Pfad des Objektes eingeben.
  3. Drücken Sie den Knopf Prüfen.

Sie können nicht nur einen Ordner, sondern auch ein ganzes Volume zur Prüfung auswählen. Die Massenprüfung wird automatisch auf ein einzelnes Volume begrenzt, auch wenn es Verweise auf andere Volumes enthält.

Die Prüfung kann sehr lange Zeit benötigen, je nach dem, wie viele Programme enthalten und wie groß diese sind. Besonders große Programme, wie z.B. Xcode oder aufwändige Computerspiele können die Prüfung stark verzögern. Während die Massenprüfung läuft, können Sie den Knopf Stopp im Wartefenster betätigen, um die Prüfung abzubrechen.

Aus technischen Gründen können angefangene Prüfvorgänge nicht in allen Fällen sofort beendet werden, wenn Sie den Stopp-Knopf drücken. TinkerTool System führt angefangene Prüfungen möglicherweise noch im Hintergrund zu Ende, was den Mac noch für einige Zeit belasten kann, verwirft aber dann die Ergebnisse. Um laufende Prüfungen wirklich sofort abzubrechen, müssen Sie das Programm nach Drücken von Stopp beenden.

Nach dem Ende aller Prüfungsschritte wird das Endergebnis in einer Tabelle angezeigt. Es werden alle Programme mit Namen aufgelistet und die oben genannten Aspekte der Prüfung in den hinteren drei Spalten mit Symbolen gekennzeichnet:

Als Symbole werden verwendet:

Wenn Sie eine Zeile der Ergebnistabelle auswählen, werden Details über das Programm und die Prüfung angezeigt. Über das Lupensymbol können Sie das jeweilige Programm im Finder anzeigen lassen. Die Zeile Entdecktes Problem gibt bei einem Fehlschlag der Prüfung an, welche Ursache dazu geführt hat, dass die Prüfung nicht bestanden wurde.

Sie können für das ausgewählte Programm auch den Knopf Schließen und volle Sicherheitsprüfung für gewähltes Programm durchführen drücken, um das Programm automatisch auf der Karte Programme zu öffnen und dort ausführlich prüfen zu lassen.

Durch Anklicken des Knopfes Textbericht können Sie eine Kopie der Ergebnistabelle in Textform erhalten. Der Bericht kann ausgedruckt werden oder Sie können ihn im Rich Text Format in eine Textdatei exportieren.

Speicherplatz

In neueren Versionen von macOS kommt es regelmäßig zu Verwirrung bei Anwendern, wie viel Speicherplatz auf einem bestimmten Volume tatsächlich frei und belegt ist. Diese Verwirrung hat mehrere Ursachen:

  1. Programme können verschiedene Definitionen von Maßeinheiten bei der Angabe von Speicherplatz verwenden, ohne dies korrekt zu markieren. So kann 1 Kilobyte je nach Definition entweder 1.024 Byte oder 1.000 Byte darstellen. Apple hat die Richtlinien für die Angaben von Speicher in den letzten Jahren mehrfach geändert. Ausführliche Hinweise hierzu finden Sie im Kapitel Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.

  2. Programme können den Speicherplatz aus Sicht des Benutzers (Finder) oder aus technischer Sicht (Festplattendienstprogramm) anzeigen. Der Finder sieht beispielsweise Speicherplatz, der für die Ablage von Lokalen Time Machine-Schnappschüssen belegt wird, als frei an. Dies soll dem Benutzer signalisieren, dass der hierfür genutzte Speicher bei Bedarf vollautomatisch vom Betriebssystem freigegeben werden könnte, wenn er für etwas anderes benötigt wird. Manche Programme unterscheiden ausdrücklich zwischen „freien“ und „verfügbarem“ Speicher, wobei „verfügbar“ dann als „frei plus löschbar“ definiert ist. Ausführliche Informationen zu lokalen Time Machine-Schnappschüssen finden Sie im Kapitel Die Einstellungskarte Time Machine.

  3. Moderne Dateisysteme können spezielle Abbuchungstechniken für die Verwaltung von Speicher verwenden, bei denen Kapazitäten mehrfach gezählt werden, obwohl sie in Wirklichkeit nur einmal vorhanden sind.

Apples Dateisystem APFS gehört zu diesen modernen Dateisystemen. Es unterstützt unter anderem die folgenden, heute üblichen Techniken, die zu Verwirrung bei Speicherplatzangaben führen können:

Wenn ein Volume APFS nutzt, kann daher die Frage nach freiem Speicherplatz möglicherweise gar nicht mehr so einfach beantwortet werden.

Freier Speicherplatz kann bei modernen Dateisystemen unterschiedlich definiert sein
Freier Speicherplatz kann bei modernen Dateisystemen unterschiedlich definiert sein

TinkerTool System kann die verschiedenen Sichten auf Speicherplatz, die von macOS unterstützt werden, für jedes Volume anzeigen:

  1. Öffnen Sie den Karteireiter Speicherplatz auf der Einstellungskarte Systemsicherheit.
  2. Wählen Sie das gewünschte Volume mit dem Aufklappmenü Volume aus.

Das System-Volume ist intern in einen Nur-Lese-Teil, einen Schreib-/Lese-Teil und ein Update-Schnappschuss-Volume aufgespalten. Dies wird in der Regel von macOS verborgen und alle drei Volumes teilen sich den gleichen Speicherplatz, so dass sie nur als einzelnes Volume im Aufklappmenü präsentiert werden.

Die verschiedenen Definitionen von belegten und freiem Speicher werden nun in einer Tabelle dargestellt, ebenso wird die physische Gesamtkapazität genannt. Unterhalb der Tabelle finden Sie bei Verwendung von APFS einen entsprechenden Warnhinweis. Beachten Sie beim Vergleich mit anderen Programmen, dass die korrekte Maßeinheit für die Anzeige von Speicher wie gewünscht in TinkerTool System eingestellt ist, siehe auch Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.

Was Apple unter „Bereinigung“ versteht, um den löschbaren Speicher wiederzugewinnen, ist nicht genau definiert.

Sie können sich allerdings über den Knopf Dienste einblenden, die löschbaren Speicher freigeben die Liste derjenigen Systemdienste anzeigen lassen, die sich im Moment bei macOS angemeldet haben, um bei Bedarf löschbaren Plattenplatz freigeben zu können.

Systemprotokoll auf verdächtige Benutzeraktivität prüfen

Um die Sicherheit eines Mac zu gewährleisten, der öffentlich zugreifbar ist, kann es hilfreich sein, das Systemprotokoll automatisch auf Einträge durchsuchen zu lassen, die sich auf das Identifizieren von Benutzern oder das Freischalten privilegierter Vorgänge beziehen. Tritt hier eine Häufung ungewöhnlich vieler Fehlschläge (beispielsweise die Eingabe von falschen Kennworten) auf, ist zu vermuten, dass Einbruchsversuche auf dem Computer stattgefunden haben. Öffentlich zugreifbar kann hierbei heißen, dass sich Tastatur und Bildschirm (in der klassischen Datentechnik Konsole genannt) nicht an einem überwachten Ort befinden, z.B. in einem Arbeitsraum einer Schule. Es kann aber genauso heißen, dass geschützte Dienste, für die eine Anmeldung eines Benutzers erforderlich ist, aus dem lokalen Netzwerk oder aus dem Internet erreichbar sind.

TinkerTool System kann das vorhandene Systemprotokoll bezüglich der folgenden Vorgänge auswerten:

Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Wie lange Einträge im Systemprotokoll gespeichert bleiben, ist nicht vorhersagbar. Dies hängt von der jeweiligen Betriebssystemversion, individuellen Einstellungen, der Verwendung von Wartungsfunktionen und dem vorhandenen Speicherplatz ab. Anmeldungen bei FileVault finden außerhalb von macOS statt und sind deshalb in der Regel nicht im Protokoll enthalten.

Das Systemprotokoll lässt sich auswerten, um mögliche Einbruchsversuche zu erkennen
Das Systemprotokoll lässt sich auswerten, um mögliche Einbruchsversuche zu erkennen

Um die Auswertung zu starten, wählen Sie bei Suche nach den gewünschten Punkt aus und drücken Sie dann auf den Knopf Prüfen. Die Suche kann einige Zeit in Anspruch nehmen, je nach dem wie groß das vorhandene Protokoll ist. Das Ergebnis wird in einem herausgleitenden Fenster dargestellt.

Die Übersichten werden durch Originalauszüge aus dem Systemprotokoll gebildet. Sie enthalten deshalb in der Regel Einträge in englischer Sprache, die von der jeweiligen macOS-Version abhängen.

EFI-Firmware

Auf Macs mit Apple-Chip ist diese Funktion nicht vorhanden, aber auch nicht notwendig. Solche Macs sind speziell gegen Manipulation der Firmware geschützt.

Um einen Computer zu starten und ein Betriebssystem zu laden, muss es ein weiteres Programm, eine Art Minibetriebssystem geben, das diese Aufgabe übernimmt. Dieses Programm muss fest in den Computer eingebaut sein und wird daher Firmware genannt. So fest ist diese Software allerdings nicht in der Hardware verankert, ansonsten könnte sie selbst nicht aktualisiert und an technische Weiterentwicklungen angepasst werden. Sie wird daher in einem speziellen, elektrisch löschbaren Speicher festgehalten, ähnlich wie Flash-Speicher. Apple aktualisiert die Firmware in regelmäßigen Abständen ohne besondere Hinweise, als Nebenaufgabe wenn auch Updates des „normalen“ Betriebssystems installiert werden.

Die Firmware ist durch mehrere Maßnahmen gegen Manipulationen geschützt. Trotzdem ist es mit etwas krimineller Energie machbar, auch in der Firmware bösartige Programme, wie z.B. Spionagefunktionen unterzubringen. Solche Angriffe auf den Computer sind schwer zu entdecken, da die Firmware im Normalbetrieb ja immer als fest eingebaut und unveränderlich gilt.

Aus Sicherheitsgründen überprüft Apple in neueren Betriebssystemversionen regelmäßig, ob die Firmware noch intakt und unverändert ist. Hierzu werden Blockprüfsummen aller jemals ausgelieferten Firmware-Versionen für die jeweiligen Macintosh-Baureihen per Internet zur Verfügung gestellt und mit Prüfsummen der vorgefundenen Firmware verglichen. Solche Prüfläufe finden unsichtbar im Hintergrund statt und melden sich nur, falls eine Abweichung gefunden werden sollte. Eine Beispielwarnung ist untenstehend gezeigt.

macOS führt regelmäßige Integritätsprüfungen automatisch durch. Mögliche Probleme werden wie hier angezeigt.
macOS führt regelmäßige Integritätsprüfungen automatisch durch. Mögliche Probleme werden wie hier angezeigt.

TinkerTool System kann eine solche Prüfung manuell starten, so dass die Integrität der Firmware sofort überprüft und sichergestellt werden kann. Führen Sie hierzu folgende Schritt durch:

  1. Öffnen Sie den Karteireiter EFI-Firmware auf der Einstellungskarte Systemsicherheit.
  2. Drücken Sie den Knopf Prüfen.

Das Endergebnis wird danach in einem Benutzerdialog angezeigt und eine Kopie auch noch einmal im Anzeigefenster festgehalten.

Die Integritätsprüfung für die Firmware kann auf Wunsch sofort wiederholt werden
Die Integritätsprüfung für die Firmware kann auf Wunsch sofort wiederholt werden

Nicht alle Macintosh-Modelle unterstützen diese Form der Firmware-Prüfung. In diesem Fall erhalten Sie von TinkerTool System einen entsprechenden Hinweis. Dies betrifft insbesondere die neuesten Baureihen, in denen der Computer durch einen unabhängigen Prozessor mit eigenem Betriebssystem (Apple BridgeOS) überwacht und geschützt wird, oder wenn es sich um einen Mac mit Apple-Prozessor handelt. In solch einem System darf macOS die Firmware nicht mehr lesen, aber erst recht nicht schreiben, so dass die Sicherheit auf anderem Wege gewährleistet ist.

Es kann passieren, dass Apple eine neue Version von macOS veröffentlicht, die eine neue Firmware installiert, aber keine aktualisierte Prüfsumme für diese Firmware enthält. In diesem besonderen Fall wird die Integritätsprüfung fehlschlagen. Solch ein Fehler löst allerdings üblicherweise eine interne Aktualisierung der Prüfsummenliste per Internet aus, falls die Option Systemeinstellungen > Softwareupdate > Weitere Optionen > Systemdatendateien und Sicherheitsupdates installieren eingeschaltet ist, was der Standard ist. Das heißt, falls Sie eine Integritätswarnung kurz nach einem Update von macOS sehen, wiederholen Sie die Integritätsprüfung nach ein paar Stunden, um zu testen, ob es sich um einen Fehlalarm gehandelt hat.

Ein falscher Alarm kann normal sein, wenn Sie unveröffentlichte Beta-Betriebssysteme testen.

Broadcom® Ethernet

Auf Macs mit Apple-Chip ist diese Funktion nicht vorhanden, aber auch nicht notwendig. Solche Macs sind speziell gegen Manipulation der Firmware geschützt.

Ethernet-Anschlüsse der Herstellers Broadcom zeichnen sich durch die Besonderheit aus, dass auch deren Firmware auf relativ einfache Weise veränderbar ist. Die Überwachung der Firmware ist deshalb auch für diese Fälle sicherheitskritisch.

Eine Integritätsprüfung ist auch für Ethernet-Firmware von Broadcom möglich
Eine Integritätsprüfung ist auch für Ethernet-Firmware von Broadcom möglich

TinkerTool System kann überprüfen, ob ein oder mehrere Ethernet-Anschlüsse von Broadcom in Ihren Mac eingebaut, bzw. extern angeschlossen sind. Falls ja, kann auch deren Firmware sofort auf mögliche Manipulationen getestet werden:

  1. Öffnen Sie den Karteireiter Broadcom® Ethernet auf der Einstellungskarte Systemsicherheit.
  2. Kontrollieren Sie in der angezeigten Tabelle, ob entsprechende Ethernet-Anschlüsse in Ihrem Computer vorhanden sind. Falls ja, drücken Sie den Knopf Prüfen.

Das Ergebnis der Prüfung wird nach ein paar Sekunden angezeigt. Falls mehrere Anschlüsse vorhanden sind, lässt sich jede Einheit im Bericht durch eine Nummer zuordnen, die PCI-Geräte-ID. Sie finden diese Nummer als hinteren Teil in der Spalte PCI-Geräte-ID in der Tabelle, so dass Sie den zugehörigen Netzwerkanschluss ablesen können.

macOS überprüft zurzeit nur Ethernet-Baugruppen des Herstellers Broadcom. Ethernet-Anschlüsse anderer Hersteller werden nicht getestet, besitzen in der Regel aber auch keine angreifbare Firmware.