Viren, Hacker, Trojaner, Phishing – Schadsoftware gibt es auch am Mac!
Bei unseren Inhouse-Schulungen stellen wir immer wieder fest, dass besonders Mac-Anwender recht leichtsinnig mit dem Thema Computersicherheit umgehen. Kaum einer hat einen Virenscanner installiert, viele wissen nicht einmal, ob sie eine Firewall eingerichtet haben. Dabei sind viele Anwender täglich stundenlang ununterbrochen mit dem Internet verbunden – oftmals ist der Rechner sogar nachts online. Diese langen Onlinezyklen bieten Hackern optimale Bedingungen, Schwachstellen an einem System ausfindig zu machen.
Richtig ist, es gibt nur sehr wenige Mac-Viren. Und richtig ist auch, dass das OS-X-Betriebssystem besser vor Viren und Schadprogrammen geschützt ist als vergleichsweise Windows. Dennoch kann es vorkommen, dass ein Mac-Anwender eine E-Mail weiterleitet oder eine Datei verbreitet, in der ein Schadprogramm enthalten ist. Und in diesem Fall kann es durchaus passieren, dass der Versender/Weiterleiter für den beim Empfänger entstehenden Schaden haften muss.
Genauso mit der Firewall. Ein Bekannter von uns wunderte sich über ständigen Festplattenzugriff. Auch der Traffic schoss in die Höhe. Unbekannte hatten das System gehackt und den Mac übernommen. Seine gesamten Daten wurden scheinbar kopiert, auf dem Mac fanden sich Unmengen an Fremddaten. Vermutlich wurde er auch ausspioniert, Zugangsdaten zu Ebay, Amazon, Webmail-Programmen etc. entwendet. Eine Neuinstallation des Systems und die Änderung aller Zugangsdaten war die Folge.
Auch die NSA-Affäre hat bei vielen Anwendern zu einer merkwürdigen Reaktion geführt: „Wenn die NSA schon alles über mich weiß, dann nützt ein Schutz ja sowieso nichts.“ Die NSA liest vielleicht Ihre E-Mails, aber sie bucht kein Geld von Ihrem Konto ab und versucht auch nicht, Ihre Kreditkartendaten an Kriminelle zu verkaufen.
Mac-Anwender sollten also das Thema Sicherheit nicht auf die leichte Schulter nehmen. Auf den folgenden Seiten finden Sie einige Tipps, wie Sie Ihr System sicherer machen und auf Schwachstellen überprüfen.
Zunächst einige generelle Sicherheitstipps:
Öfters mal offline: Deaktivieren Sie Ihren Internetzugang, wenn Sie ihn nicht benötigen, auch zwischendurch, beispielsweise in der Mittagspause. Besonders nachts sollten Sie offline gehen und den Rechner nicht unnötig am Netz lassen. Diese langen Onlinezyklen bieten Hackern optimale Bedingungen, Schwachstellen an einem System ausfindig zu machen.
Internet- und Mailsoftware aktualisieren: Viele Anwender sind noch mit alten Browsern unterwegs, auch veraltete Mailprogramme werden vielerorts eingesetzt. Verwenden Sie nur aktuelle Internet- und Mailsoftware, Flash, Java und andere Zusatzprogramme sollten immer in der aktuellsten Version verwendet werden. Auch das PDF-Format kann Schadcode beinhalten, daher sollten auch der Acrobat Reader und Professional immer aktuell gehalten werden.
Hardware-Firewall: Wer über eine DSL-Leitung am Internet angeschlossen ist, der sollte über die Anschaffung einer Hardware-Firewall nachdenken, zusätzlich zur Software-Firewall. Besonders für Firmen, die mehrere Rechner ans Netz bringen, sind solche preiswerten Firewall-Router Pflicht. Aber Achtung, einfach auspacken und anschließen reicht hier in der Regel nicht aus, diese Firewall-Router müssen oftmals noch individuell über eine Browser-Oberfläche eingerichtet werden.
Anmelde-Passwort: Zunächst sollte als einfachste Sicherheitsmaßnahme immer ein Zugangspasswort am Rechner eingerichtet sein. Wer seinen Rechner ohne Passwortschutz einrichtet, handelt grob fahrlässig!
Automatische Anmeldung: Die Unsitte, die „Automatische Anmeldung“ aus Bequemlichkeit einzurichten, ist leider weit verbreitet. Deaktivieren Sie die automatische Anmeldung.
Standard-Benutzer einrichten: Viele Mac-Anwender arbeiten als „Admin“. Damit haben sie umfangreiche Rechte, können Programme installieren etc. Dies ist nicht immer zwingend notwendig. Sicherer ist es, einen „Standard-Benutzer“ einzurichten und den Admin wirklich nur dann zu nutzen, wenn administrative Arbeiten am Rechner anstehen. Mitarbeiter sollten generell über keine Admin-Rechte verfügen, hier reichen in der Regel immer die Rechte des Standard-Benutzers.
Gast-Zugang deaktivieren: Deaktivieren Sie den Gast-Zugang, wenn er nicht zwingend benötigt wird.
Die Rechteverwaltung am Mac finden Sie in den Systemeinstellungen unter Benutzer und Gruppen (1). Die Firewall, die wir auf der nächsten Seite besprechen, erreichen Sie über Sicherheit (2). Mit dem Schloss (3) können Sie zunächst die Optionen freischalten. Unter „Anmeldeoptionen“ (4) können Sie die automatische Anmeldung deaktivieren, darunter mit einem Klick auf das Pluszeichen (5) einen Standard-Benutzer einrichten. Verzichten Sie wenn möglich auf die Anmeldung und Arbeit als Admin (6), arbeiten Sie stattdessen als Standard-Benutzer.
Als Minimum sollte die OS-X-Firewall eingerichtet sein. Sie erlaubt zwar nur wenige Einstellungen, reicht aber für viele Anwender sicher aus. Bedenken sollten Sie jedoch, dass die OS-X-Firewall nur Zugriffe von außen unterbindet. Programme, die „nach hause funken“, werden von ihr nicht kontrolliert.
Klicken Sie in den Systemeinstellungen oben auf das Häuschen „Sicherheit“ (2).
Anschließend sehen Sie, ob und wie die Firewall eingeschaltet ist (7). Ist sie ausgeschaltet, ist das ein ganz schlechtes Zeichen! Schließen Sie die Einstellungen frei (8) und klicken Sie auf „Firewall-Optionen“. Jetzt wird es ein bisschen kniffelig. Für einen Arbeitsrechner, auf dem in der Regel nicht herumgespielt wird, können Sie „Alle eingehenden Verbindungen blockieren“ anklicken (9).
Wichtig: Allerdings kann es jetzt passieren, dass bestimmte Programme, beispielsweise die Creative Cloud oder iTunes, nicht mehr korrekt arbeiten, da sie keine Infos aus dem Web empfangen können, am besten Sie probieren das gleich nach dem Einrichten der Firewall aus. Deaktivieren Sie in diesem Fall „Alle eingehenden Verbindungen blockieren“ wieder und aktivieren Sie stattdessen „Signierter Software erlauben…“ (10). Mit dem Pluszeichen darüber können Sie zusätzlichen Programmen, die nicht signiert sind, ebenfalls erlauben, Daten zu empfangen. Auch den „Tarnmodus“ darunter können Sie aktivieren.
Mehr Infos zur OS-X-Firewall finden Sie hier:
Eine Firewall soll aber nicht nur vor Angriffen von außen schützen. Viele auf dem Mac oder PC installierten Programme übertragen Daten ungefragt und ungesichert „nach Hause“. Will man auch dies kontrollieren oder unterbinden, reicht die Mac-Firewall oft nicht aus. Für relativ wenig Geld bieten Software-Hersteller wie ESET, Intego, Norton und andere (Links unten) zusätzliche Sicherheitsprogramme an, die oftmals auch gekoppelt sind mit Virenscannern und weiteren Sicherheitsfunktionen. So schützt die Norton-Software beispielsweise auch vor Phishing-Angriffen.
Screenshot 2 zeigt eine Firewall-Warnung, wenn eine verdächtige Internetseite angesurft wurde, Screenshot 1 eine Firewall-Info, wenn ein Programm Internetzugriff verlangt. Bei bekannten Programmen kann man den Zugriff „Zulassen“, bei unbekannten sollte man den Zugriff zunächst „Blockieren“. In den Firewall-Einstellungen kann man dies später auch wieder rückgängig machen.
Antivirus-Programme und professionelle Firewalls gibt es eine ganze Reihe, alle bieten eine kostenlose Testversion.
https://www.eset.com/de/home/fuer-smartphones-und-tablets/fuer-mac-os/
Wenn Sie Ihre Firewall, ob nun Hardware, OS-X-intern oder von Drittanbietern gekauft, eingerichtet haben, dann sollten Sie sie testen. Dazu mehr auf der nächsten und übernächsten Seite.
PS: Wer sich bereits einen Router von AVM zugelegt hat oder diesen beim DSL-Anschluss inklusive hatte, der sollte zudem schauen, ob er von einer gefährlichen Sicherheitslücke betroffen ist: Infos auf SPIEGEL-ONLINE
Testen Sie Mac und PC regelmäßig auf Sicherheit
Ob Ihre Firewall richtig konfiguriert ist, können Sie hier testen:
GRC ShieldsUP: https://www.grc.com/x/ne.dll?bh0bkyd2
Klicken Sie dort zunächst auf den Button „Proceed“ in der Bildschirmmitte, anschließend auf „Common Ports„.
Jetzt prüft GRC Ihre Firewall, das Ergebnis sollte für alle Ports STEALTH lauten. Lediglich der Port 113 kann als „Closed“ angezeigt werden (keinesfalls sollte er als OPEN angezeigt werden!). Sind andere Ports sichtbar (also Closed statt Stealth), könnte das zum Problem werden, denn in der Regel sollte Ihr System „von außen“ möglichst unsichtbar sein. Denn Ports, die der Hacker nicht sehen kann, kann er auch nicht so leicht angreifen.
Aus Platzgründen haben wir den Screenshot gekürzt, GRC testet wesentlich mehr Ports. Weiter geht es auf der kommenden Seite mit dem Thema Virenscanner.
Wie eingangs gesagt: Computerviren für den Mac sind recht selten und nicht sehr verbreitet. Dennoch sollten Sie ein Anti-Virus-Programm einsetzen, denn wenn Sie eine virenverseuchte PC-E-Mail oder PC-Datei vom Mac aus weiterleiten, dann können Sie zur Virenschleuder werden, ohne es zu merken und ohne sich selbst zu infizieren. Auch schützen viele Antivirus-Programme nicht nur vor Viren, sondern auch vor Maleware, Trojanern und Phishing-Angriffen. Antivirus-Programme und professionelle Firewalls gibt es eine ganze Reihe, alle bieten eine kostenlose Testversion. Links dazu unten.
Virenscanner gefahrlos testen mit den EICAR-Daten
Wenn Sie einen Virenscanner nutzen, dann können Sie auch diesen testen. Das EICAR (European Institute for Computer Antivirus Research) stellt dazu eine Testdatei bereit. Diese Datei ist den Virenscannern bekannt und sie wird als Virus identifiziert, die Datei selbst ist aber völlig harmlos.
Klicken Sie hier http://2016.eicar.org/85-0-Download.html
Unten auf der Webseite (also nicht hier, sondern auf der Eicar-Seite) sehen Sie eine Reihe von anklickbaren Links.
eicar.com (1) simuliert eine Webseite, auf der Schadcode versteckt ist. eicar_com.zip (2) simuliert eine verseuchte Zip-Datei.
Ein guter Virenscanner meldet nach einem Klick auf den Link, dass der Zugriff veweigert wurde (1). Lädt man eine virenverseuchte Zip-Datei herunter, wird die Datei unmittelbar nach dem Download gelöscht (2). Wenn Sie die Daten laden und entpacken können, ohne dass es eine Warnmeldung gibt, dann sollten Sie Ihre Konfiguration dringend überprüfen!
Sie sehen also, Sicherheit am Mac ist eine wichtige Angelegenheit.
Wer täglich viele Stunden online ist, viel surft, viele Daten erhält und verschickt, der sollte sich unbedingt mit einer Firewall und einem Virenscanner schützen. Ein gehacktes oder infiziertes System kostet wesentlich mehr Zeit und Geld als die Konfiguration und Anschaffung einer Sicherheitssoftware. Antivirus-Programme und professionelle Firewalls gibt es eine ganze Reihe, alle bieten eine kostenlose Testversion.
https://home.sophos.com/en-us/download-mac-anti-virus.aspx
https://www.eset.com/de/home/fuer-smartphones-und-tablets/fuer-mac-os/
Filevault
Jeder Anwender, der einen Mac hat, sichert seinen Mac mit einem Passwort und glaubt seine Daten im Falle eines Verlustes oder Diebstahls somit sicher.
Aber weit gefehlt. Zum einen lässt sich die Festplatte einfach ausbauen und in einen anderen Mac einbauen – und schon hat man Zugriff auf die Daten darauf. Und was viele Mac-Anwender nicht wissen: Das Mac-Passwort lässt sich problemlos zurücksetzen. Und das ohne Hacker-Tools – eine Installations-DVD oder ein Recovery-Image reichen aus …
Mit Filevault können Sie Ihre Festplatte wirksam verschlüsseln, mit dem Tool „Firmware-Passwort“ verhindern, dass jemand bei Ihrem Mac das Passwort zurücksetzt.
Laufwerke verschlüsseln mit Filevault
Wenn Sie die Daten auf Ihrer Mac-Festplatte schützen wollen, dann sollten Sie zunächst „Filevault“ aktivieren. Damit wird der Inhalt Ihrer Festplatte verschlüsselt.
Wechseln Sie zunächst in die Systemsteuerung, klicken Sie dort auf Sicherheit.
Anschließend entsperren Sie die Funktion unten links, dann klicken Sie auf Filevault. Im nächsten Fenster starten Sie Filevault, Ihre Festplatte wird dann verschlüsselt.
Notieren Sie auf einem Zettel, nicht auf Ihrer Festplatte, den Wiederherstellungsschlüssel. Diesen brauchen Sie, wenn Sie die Platte einmal entschlüsseln müssen, beispielsweise, wenn Sie die Festplatte in einen anderen Mac einbauen.
Zur täglichen Arbeit an Ihrem verschlüsselten Mac brauchen Sie den Wiederherstellungsschlüssel nicht, hier reicht das Anmeldepasswort. Durch die Verschlüsselung wird der Mac eventuell etwas langsamer.
Externe Platten und USB-Sticks verschlüsseln
Back-ups Ihrer nun verschlüsselten Mac-Festplatte sind ebenfalls verschlüsselt. Aber Sie können auch externe Festplatten und sogar USB-Sticks verschlüsseln. Dazu brauchen Sie das „Festplatten-Dienstprogramm“ aus dem Ordner Dienstprogramme. Hier können Sie die Festplatte auswählen und dann unter Löschen (Festplatte sollte leer sein oder die Daten gesichert!) auswählen: „Mac OS Extended, Groß-Kleinschreibung, Journaled, Verschlüsselt“.
Im anschließenden Dialog vergeben Sie ein starkes Kennwort. Zukünftig, wenn diese Festplatte oder der USB-Stick an einen Mac angeschlossen wird, wird das Passwort verlangt. Die Daten sind verschlüsselt und sicher.
Firmware-Passwort
Jeder Anwender, der einen Mac hat, sichert seinen Mac mit einem Passwort und glaubt seine Daten im Falle eines Verlustes oder Diebstahls somit sicher.
Aber weit gefehlt. Zum einen lässt sich die Festplatte einfach ausbauen und in einen anderen Mac einbauen, und schon hat man Zugriff auf die Daten darauf. Und was viele Mac-Anwender nicht wissen: Das Mac-Passwort lässt sich problemlos zurücksetzen. Und das ohne Hacker-Tools – eine Installations-DVD oder ein Recovery-Image reichen aus …
Mit Filevault können Sie Ihre Festplatte wirksam verschlüsseln, mit dem Tool „Firmware-Passwort“ verhindern, dass jemand bei Ihrem Mac das Passwort zurücksetzt.
Zurücksetzen des Passwortes verhindern mit „Firmware-Passwort“
Mit dem Apple-Tool „Firmware-Passwort“ verhindern Sie, dass jemand bei Ihrem MacBook oder iMac das Passwort ändert und sich so Zugang zu Ihrem Mac verschafft. Denn bei jedem Mac geht das ganz einfach, entweder über die Installations-DVD oder, wenn eine Recovery-Partition vorhanden ist, über das Terminal. Je nach OS-X-Version gibt es da unterschiedliche Methoden, bei Bedarf einfach mal googeln.
Wer also seinen Mac davor schützen will, dass bei einem Diebstahl der Dieb das Passwort ändert und sich so Zugang zu den Daten verschafft, der muss das Firmware Passwort einrichten bzw. aktivieren.
Achtung: Jetzt kommt es darauf an, welche OS-X-Version Sie verwenden. Nutzen Sie noch eine ältere Version, bspw. 10.6 oder davor, die Sie von DVD installiert haben bzw. wo noch eine Installations-DVD dabei war, dann müssen Sie „von DVD booten“. Legen Sie dazu die Mac-OS-Installations-DVD ins Laufwerk und starten Sie den Mac neu. Drücken Sie dazu die Taste „C“.
Bei neueren Macs, die mit einer „Recovery-Partition“ kommen, drücken Sie beim Start die Tasten cmd+R gleichzeitig, so lange, bis der Fortschrittsbalken zu sehen ist.
Im Menü der Installationsroutine können Sie nun auswählen: „Firmware-Passwortdienstprogramm“.
Klicken Sie im Dialog auf „Firmware-Passwort aktivieren“ und vergeben Sie ein sicheres Passwort. Notieren Sie dieses Passwort und verstecken Sie den Zettel an einem sicheren Ort! Sollten Sie tatsächlich einmal das Passwort zu Ihrem Mac vergessen, können Sie nun ohne dieses Firmware-Passwort nicht mehr auf Ihre Daten zugreifen.
Die Platte/-n ist/sind nun mit Filevault verschlüsselt, der Mac und die Firmware durch Passwort geschützt. Ein Dieb hat keine Chance, Ihre Daten auszulesen.
Vorsicht: Spear-Phishing-Tricks mit Subdomains
Derzeit sind sehr viele E-Mails im Umlauf, mit denen Kriminelle versuchen, an Zugangsdaten verschiedener Art zu gelangen. Dabei nutzen die Kriminellen gehackte Webseiten und legen dort Subdomains an. Diese Subdomains sehen dann auf den ersten Blick aus wie echte Domains, beispielsweise vom Internetanbieter Strato.
Das perfide dabei: Die Verbrecher versenden ihre Mails nicht willkürlich, wie beispielsweise „normale“ Spam-Emails. Vielmehr suchen sie sich einen „Hebel“, um ihre Mail glaubwürdig erscheinen zu lassen.
So erkennen Sie Phishing-Tricks mit Subdomains
Zunächst einmal brauchen die Kriminellen einen Anhaltspunkt, der die Mail glaubwürdig macht: Die Domain Cleverprinting.de wird beim Internetanbieter Strato gehostet. Diese Information lässt sich einfach herausfinden, beispielsweise über www.denic.de. Die Webseite Cleverprinting.de selbst ist mit WordPress erstellt, diese Info steht im Quelltext der Webseite. Im Cleverprinting-Online-Shop steht unsere Bankverbindung, offen sichtbar für jedermann.
Mit ein wenig Recherche lassen sich also sehr schnell Angriffspunkte ausmachen. Jetzt senden die Kriminellen eine E-Mail, die von der Aufmachung und vom Absender durchaus echt aussieht.
Die Mail enthält eine Aufforderung, sich im Kundenkonto einzuloggen und die dort hinterlegten Daten zu überprüfen und ggf. zu aktualisieren. Dazu enthält die Mail auch gleich einen Link zum einloggen.
Geht man jetzt mit der Maus über den Link, dann steht dort auch zunächst
Man könnte also glauben, dass der Link tatsächlich zu Strato führt. Der Link geht aber noch weiter:
Und joulixarboxy . com, das ist die eigentliche Domain, das Ziel des Links. login.strato.de ist nur eine Subdomain auf der Domain joulixarboxy . com.
In einigen Fällen verstecken die Kriminellen die echte Domain noch weiter hinten im Link, beispielsweise so:
Zudem enthält die Mail auch noch weitere Links und E-Mail-Adressen, die durchaus echt sind. So soll die Glaubwürdigkeit der Mail erhöht werden.
Loggt man sich mit seinen Zugangsdaten auf der gefälschten Webseite ein, erhält man eine Meldung, alles sei OK. Aber die Kriminellen haben jetzt die Zugangsdaten zu Strato, WordPress – oder der Bankverbindung…
Bevor Sie also in einer E-Mail auf einen Link klicken, sollten Sie sich immer das genaue Ziel dieses Links ansehen. Auch wenn die Mail von einem Absender stammt, mit dem Sie tatsächlich eine Verbindung haben.
Die nächste Stufe des Spear-Phishings: Gezielte Kontaktaufnahme mit Mitarbeitern
Es geht natürlich noch raffinierter. Sie betreiben einen Online-Shop. Kriminelle bestellen etwas bei Ihnen. Die Kriminellen erhalten eine Bestellbestätigung, ggf. eine Rechnung. Hier sind dann oft weitere Angaben ersichtlich, die nicht auf der Webseite stehen: Sachbearbeiter mit E-Mail-Adresse, Paypal-Konto, weitere Ansprechpartner in anderen Abteilungen. Die Kriminellen können sich jetzt direkt an einen Mitarbeiter wenden und zusätzlich noch Bezug auf „echte“ geschäftliche Abläufe nehmen. E-Mails, die von einem vermeintlichen Kunden, Geschäftspartner (oder sogar Kollegen aus einer anderen Abteilung) kommen werden ja wohl keine gefährlichen links enthalten…
Gefälschte Logins, Trojaner, Maleware
Neben gefälschten Logins werden durch die manipulierten Links auch oft Schadprogramme unbemerkt heruntergeladen. Ein Virenscanner ist hier eventuell hilfreich – auch am Mac!
Ob Ihr Rechner sicher ist, das können Sie leicht testen:
Gehen Sie auf diese Webseite und laden Sie eine der Eicar-Test-Dateien herunter. Diese sind harmlos, werden aber von Virenscannern ans Virus erkannt:
http://2016.eicar.org/85-0-Download.html
Und bei Heise können Sie sich eine harmlose E-Mail zusenden lassen, die ebenfalls eine Virus-Testdatei enthält:
https://www.heise.de/security/dienste/emailcheck/virendummies/eicar/
Strafverfolgung meistens zwecklos
Die Internetkriminalität wird in den kommenden Jahren noch ein enormes Ausmaß annehmen. Denn die Kriminellen haben in vielen Fällen keine Strafverfolgung zu befürchten. Die Angriffe erfolgen meist über das Ausland, wobei wiederum gehackte Webseiten und Rechner verwendet werden, die ebenfalls im Ausland stehen: Eine russischer Hacker hackt sich in einen Rechner in Italien und versendet von dort Phishing-Mails nach Deutschland. Die Kette lässt sich natürlich noch erweitern, der Weg des Hackers noch stärker verschleiern. Eine Strafanzeige läuft hier schnell in leere.
Neben technischen Hilfsmitteln wie Virenscannern sind Firmen jedoch aufgefordert, die Mitarbeiter zu sensibilisieren und ggf. zu schulen. Phishing-Mails werden immer raffinierter und sind oft nicht ohne weiteres von echten Mails zu unterscheiden.