Häufig gestellte Fragen zu Mac OS X und iOS Inhaltsverzeichnis

Dieser Bereich ist noch neu und jetzt in Arbeit.

Brauche ich ein Antiviren-Programm für meinen Mac?

Kurze Antwort: Nein.

Lange Antwort: Der Name ist schon irreführend. Gemeint sind mit Antiviren-Programmen in der Regel Anti-Malware-Programme, denn sie versuchen nicht nur Viren zu erkennen, sondern Malware allgemein. Meint man jedoch wirklich Viren und nicht allgemein alle Arten von Schad-Software, dann sollte man wissen, warum OS X weniger anfällig gegen Viren ist als Windows.

AV-Programme können ihre Aufgabe nicht lösen, egal ob sie sich nur auf Viren oder auf Schad-Programme im Allgemeinen konzentrieren, denn man kann von keinem unbekannten Programm sagen, ob es schädlich ist oder nicht. Das ist ein bekanntes und nachgewiesen unlösbares Problem der Informatik.

Das Einzige, was funktioniert, ist das Wiedererkennen von bekannter Malware. Unterscheidet sich jedoch auch nur ein einziges Bit zwischen der untersuchten Software und der bekannten Malware, kann man keine Aussage mehr treffen. Diese Funktion, Wiedererkennung bekannter Malware, erledigt OS X seit einiger Zeit mit einem eingebauten Mechanismus. Die dort bekannten Schädlinge kann man sich mit WallsOfTroy anschauen.

Auf zusätzliche wirksamere Wege von OS X, um Schädlinge aufzuhalten, wie Whitelisting, Mandatory Access Control (Sandboxing) und signierten Code, bin ich schon im dedizierten Antivirus-Artikel eingegangen. Ein Teil davon ist Gatekeeper. Zum Glück sind Gatekeeper und XProtect keine AV-Software.

AV-Software verspricht nicht nur etwas, was sie nicht halten kann, sondern gefährdet selbst den Rechner, da sie einerseits mit ihren weitreichenden Eingriffsrechten die Angriffsoberfläche erhöht und andererseits sehr häufig katastrophale Fehler macht. Mit anderen Worten: Antivirus-Programme sind schädlich. Und alles, was sinnvoll gegen Schädlinge getan werden kann, ist in OS X bereits eingebaut.

Selbst die fähigsten Apple-Hacker halten AV-Software auf dem Mac für unsinnig.

Für eine weitergehende Ausführung des Themas, habe ich OS X: Antivirus-Nonsens – nutzlos und gefährlich geschrieben.

Brauche ich ein Antiviren-Programm für mein iPhone oder iPad?

Kurze Antwort: Nein.

Lange Antwort: iOS läßt nur von Apple geprüfte Programme zu. Veränderungen an den Programmen sind nicht möglich, weil Dritt-Software keinen Code nachladen, sich also nicht selbst verändern kann, und auch keine Schreibrechte außerhalb ihrer Sandbox hat, also keine anderen Programme verändern kann. Es wird nur korrekt signierter Code ausgeführt, und eventuelle Änderungen daran leicht erkannt. Die Gültigkeit von signiertem Code wird auch im Hauptspeicher überprüft. Nur unveränderter, geprüfter Code, ist ausführbar.

AV-Software ist auf iOS auch überhaupt nicht möglich, weil sie wie alle anderen Dritt-Programme gar nicht außerhalb ihres Bereichs lesen und schreiben kann. Um AV-Software auf iOS möglich zu machen, müßte man das System unsicherer machen. AV-Software ist auf iOS sinnlos, nicht machbar und wäre selbst ein Sicherheitsrisiko.

Wer allerdings seinem Gerät einen Jailbreak verpaßt, dem kann man nicht helfen, denn damit werden zwangsläufig sämtliche Sicherheits-Features von iOS außer Kraft gesetzt.

Und natürlich gilt auch hier wie überall: Daß Antivirus-Software nicht funktionieren kann, ist ein bekanntes und nachgewiesen unlösbares Problem der Informatik.

Mit normalem User arbeiten oder als Admin?

Kurze Antwort: Spätestens seit 10.7 Lion ist das Arbeiten als Admin-User vertretbar.

Admin ist nicht gleich Admin. Die üblichen anderen Systeme haben nichts, was den OS X Admins vergleichbar ist. Ein OS X Admin ist ein normaler User, der in /Applications Schreibrechte hat und sudo benutzen darf. Außerdem dürfen OS X Admins auf bestimmte Fragen des Systems antworten. Was bei anderen Systemen der Admin-User oder die Gruppe Admin ist, entspricht bei OS X dem User root und der Gruppe wheel.

Grundsätzlich ist es gut, wenn ein Programm mit nur den notwendigsten Rechten läuft. Dann kann es, wenn es durch einen Angriff oder einen Benutzerfehler gefährliche Aktionen ausführen möchte, nicht so viel Schaden anrichten.

Dieses Prinzip wird bei Unices wie Mac OS X schon immer beachtet. Anders bei Windows. Bis einschließlich Windows XP hat der typische Benutzer unter Windows Systemrechte, wodurch jedes Programm maximalen Schaden mit minimalem Aufwand anrichten kann. Ab Windows Vista besitzt der User weiter Systemrechte und zusätzlich normale Rechte. Windows-Programme verwenden meist die normalen Rechte des Benutzers, können jedoch auch auf seine Systemrechte, die er immer hat, ebenfalls zugreifen. Systemrechte sind unter anderem durch die "weiße Liste" in Windows jedem Programm sogar ohne Nutzer-Interaktion weiterhin möglich.

Ein Admin unter OS X besitzt im Gegensatz zu einem Windows-Admin keine Systemrechte. Ein Mac-Admin kann im Vergleich zum Normal-User in ein paar zusätzlich Verzeichnisse schreiben und darf per sudo den Benutzer wechseln. Das wurde mit 10.7 Lion weiter reduziert: Mac-Admins haben keine Schreibrechte mehr auf vorinstallierte Apps und Programme aus dem Mac App Store und auf das /Library Verzeichnis. Das ist gut, weil sie sonst versehentlich oder durch einen Angriff Programme verändern könnten, die alle User benutzen.

Per sudo wird der User gewechselt für einen einzelnen Shell-Befehl. Das ist analog zum schnellen Benutzerwechsel in der GUI. Der Admin-User bekommt dadurch kein einziges zusätzliches Recht. Der Mensch vor dem Rechner wechselt damit auf einen anderen User.

Ein OS X-Admin darf im Gegensatz zum normalen User die Installation von Programmen authorisieren. Das ist der Hauptgrund für die Existenz der Admin-Gruppe.

Unter dem Strich kommt es darauf an, ob OS X-Admin ein größeres Risiko im Falle eines Angriffs darstellt als ein normaler User. Wenn man als normaler User arbeitet, kann man ebenso auf Social Engineering hereinfallen und Name und Paßwort eines Admins eingeben, um eine Installation zu authorisieren. Die Schreibrechte im Dateisystem sind seit 10.7 Lion auch nicht wesentlich gefährlicher als beim normalen User. Allerdings sind für Terminal-Benutzer zwei Dinge zu beachten:

Erstens: Man sollte im Terminal den Punkt "Secure Keyboard Entry" aktivieren, damit Tastatur-Eingaben nicht abgegriffen werden können von anderen Programmen.

Terminal Secure Keyboard Entry

Zweitens, und das betrifft nur Leute, die sudo im Terminal verwenden: Sudo hat standardmäßig einen Timeout von fünf Minuten. Den sollte man auf 0 setzen, damit man jedesmal sein Paßwort für sudo eingeben muß. Ansonsten muß ein bösartiges Programm nur auf sudo warten und kann danach ohne Paßwort fünf Minuten lang beliebige Shell-Befehle unter root absetzen. Dazu ändert man in /etc/sudoers die Zeile

Defaults env_reset

in folgende:

Defaults env_reset,timestamp_timeout=0

Wer sich mit dem Terminal und Unix-Kommandos auskennt, kann das mit "sudo visudo /etc/sudoers" tun. Der visudo Editor verhindert, daß man Syntaxfehler in sudoers abspeichert, und ist darum für diese Aufgabe sicherer als andere Editoren. Wenn man selbst nie sudo verwendet, braucht man natürlich hier gar nichts zu tun. Wenn man das Terminal nicht verwendet, dann erst recht nichts.

Wird der Rechner von mehreren Personen verwendet, sollten die weiteren Mitbenutzer des Rechners hingegen auf jeden Fall als normale User arbeiten.

Sind Mac OS X und iOS unterschiedliche Betriebssysteme?

Kurze Antwort: Nein.

Ein Blick auf die erste iPhone-Spezifikation nennt als Betriebssystem für das iPhone OS X:

iPhone powered by OS X

Technisch ist iOS ein OS X, bei dem die Maus-GUI gegen eine Touch-GUI ausgetauscht wurde. Außerdem sind einige Sachen weggelassen, die ein iPhone oder iPad nicht benötigt. Und es sind ein paar Sachen zusätzlich an Bord, die man auf dem Desktop nicht benötigt.

Aus Sicht eines Programmierers tauchen jeweils neue Techniken wie Sandboxing oder Autolayout prinzipiell in beiden OS X-Versionen auf: Mal zuerst auf der Touch-Version, mal zuerst bei der Desktop-Version, je nachdem, welche Zielplattform gerade ein Update bekommt.

iOS ist weder eine verkleinerte Version von OS X noch ein ganz anderes Betriebssystem; es ist Mac OS X, bestätigte Steve Jobs.

Und bei der Vorstellung des iPhones wurde gesagt: "iPhone runs OS X", denn das hat alles, was wir für das iPhone brauchen. Inklusive Applikationen der Desktop-Klasse und nicht das verkrüppelte Zeug, was auf anderen sogenannten Smartphones läuft:

Das Video zeigt Steve Jobs bei der Vorstellung des iPhones im Januar 2007.

Datensicherung / Backup: Warum und wie?

Datensicherung ist auf jeden Fall sinnvoll. Für Backups sollte man keine Partition auf derselben Platte verwenden, sondern eine zusätzliche Festplatte, da Plattenprobleme meist die ganze Platte betreffen. Am besten nimmt man eine externe Platte, damit das Backup bei einer Überspannung am Rechner nicht auch gegrillt wird. Die separate Aufbewahrung der Platte hilft bei Diebstahl oder Verlieren des Rechners.

Das systemeigene Time Machine von OS X macht keine simple 1:1 Kopie, damit es Zusatzfunktionen wie Änderungsverfolgung anbieten kann. Beim Wiederherstellen hatte ich schon gelegentlich mit einzelnen Dateien Probleme. Ich mache darum grundsätzlich alle paar Monate noch ein manuelle Kopie meines kompletten User-Verzeichnisses auf eine weitere externe Platte. Bereiche außerhalb des eigenen Benutzer-Ordners muß man nicht zwingend sichern, da diese sich auf andere Weise wiederbeschaffen lassen.

Sämtliche iOS-Geräte lasse ich über iTunes automatisch sichern, was seit einziger Zeit auch komfortabel über WLAN funktioniert. Außerdem verwende ich die iCloud-Funktion, mit der unter anderem alle Photos vom iPhone per Internet auch auf meinem Rechner landen und automatisch in den Datenbestand von iPhoto importiert werden.

Valid XHTML 1.0!

Besucherzähler


Latest Update: 03. October 2016 at 17:19h (german time)
Link: www.macmark.de/osx_faqs.php
Backlinks-Statistik deaktiviert; kann rechts im Menü eingeschaltet werden.