Tipp: Mac vor Zugriff schützen

Tipps

Frage: Mir ist aufgefallen, dass ich durch Löschen der Datei /var/db/.AppleSetupDone im Target-Disk-Modus einfach einen neuen Admin-Account anlegen kann. Damit habe ich Zugriff auf alle Daten. Ist das nicht eine krasse Sicherheitslücke? Wie kann ich meinen Mac vor Fremdzugriff absichern?

Mac & i antwortet: Den von Ihnen geschilderten Trick haben wir schon mehrfach als Lösungsvorschlag erwähnt, für den Fall, dass man sich nach einem Upgrade von macOS nicht mehr mit seinen Accounts anmelden kann. Eine klaffende Sicherheitslücke stellt er nicht dar, denn Sie haben bereits in den von Ihnen genannten Single-User- und Target-Disk-Modi vollen Zugriff auf die Daten aller Accounts. Dies gilt auch, wenn Sie den Mac von einem USB-Stick starten.

Sobald eine Person physischen Zugang zu Ihrem Mac hat, kann sie alles Erdenkliche mit Ihrem Mac anstellen. Wollen Sie das verhindern, sollten Sie die Festplattenverschlüsselung FileVault im gleichnamigen Reiter der Systemeinstellung „Sicherheit“ einschalten. Dann kann niemand ohne Eingabe des Entschlüsselungs-Passworts auf die Daten zugreifen.

Wollen Sie zudem verhindern, dass jemand den Target-Disk-Modus nutzt oder von einem USB-Stick startet, müssen Sie das Firmware-Kennwort setzen: Starten Sie Ihren Mac dazu neu und halten Sie solange das Kürzel Cmd+R gedrückt, bis das Apple-Logo erscheint. Sie gelangen dann nach etwas Wartezeit in den Wiederherstellungs-(Recovery-)Modus von macOS.

Im Recovery-Modus kann man ein Firmware-Passwort definieren, das den Mac vor dem Zugriff Dritter schützt.

Führen Sie dort den Befehl „Firmware-Passwortdienstprogramm“ im Menü „Dienstprogramme“ aus (auf dem iMac Pro: „Dienstprogramme/Startsicherheit-Dienstprogramm“). Klicken Sie in dem erscheinenden Fenster auf „Firmware-Passwort aktivieren“ und geben Sie ein Passwort ein. Führen Sie nach Klicken auf „Passwort festlegen“ einen Neustart durch.

Sie werden nur dann nach dem Firmware-Passwort gefragt, wenn Sie den Mac von einem anderen Laufwerk oder in den Wiederherstellungs-Modus booten wollen.

Beachten Sie, dass auch das Firmware-Passwort kein perfekter Schutz ist. Bei Macs mit austauschbarem RAM lässt sich das Kennwort mit etwas Aufwand zurücksetzen: Der potenzielle Angreifer muss dazu die RAM-Bestückung ändern und dreimal das NVRAM zurücksetzen.

(lbe)

Integriert von Heise Security – www.heisec.de