Sicherheitsgrundregeln für MacOS-User
10 Maßnahmen, die jeder Mac-Nutzer selbst umsetzen kann — als Mindestschutz gegen die häufigsten Angriffe. Kein IT-Studium erforderlich.
CIS Apple macOS Benchmark (Jan. 2025) | Apple Plattform Security Guide 2025 | NIST SP800-63B | macOS Sequoia / Sonoma
↑ 28 %
Mehr macOS-Malware-Varianten 2024 vs. Vorjahr
≠ Immun
Mac ist nicht unverwundbar - Angriffe nehmen zu
L1
CIS Benchmark Level 1 - für alle Nutzer geeignet
ca. 2h
Einmaliger Aufwand für alle 10 Maßnahmen
macOS & Apps aktuell halten - automatisch
Automatische Updates für macOS und alle Apps aktivieren. Updates nicht dauerhaft aufschieben — Apple patcht kritische Lücken oft innerhalb von Tagen nach Bekanntwerden.
macOS erhält regelmäßig Sicherheits-Updates, die aktiv ausgenutzte Schwachstellen schließen. Der CIS Apple macOS Benchmark (Level 1) fordert explizit, automatische Updates aktiviert zu lassen. Apps aus dem Mac App Store erhalten ebenfalls automatische Aktualisierungen — aber nur wenn aktiviert. Für Software außerhalb des App Stores (z.B. Chrome, Firefox, Office) müssen Updates separat geprüft werden.
- Systemeinstellungen → Allgemein → Softwareupdate → "Automatisch auf Updates prüfen" aktivieren
- Alle Optionen darunter aktivieren: macOS-Updates, App-Store-Updates, Sicherheitspatches
- "Sofortige Sicherheitspatches" (Rapid Security Response) aktiviert lassen
- App Store: Systemeinstellungen → Allgemein → Softwareupdate → App-Updates → automatisch
FileVault aktivieren - alle Daten verschlüsseln
FileVault verschlüsselt die gesamte interne SSD/HDD. Bei Verlust oder Diebstahl sind alle Daten für Unbefugte unlesbar — auch ohne das macOS-Passwort zu kennen.
Ohne FileVault kann jeder mit physischem Zugang im Target Disk Mode oder nach Ausbau der SSD alle Daten im Klartext lesen. Apple Silicon Macs (M1/M2/M3/M4) haben zwar Data Protection integriert, aber FileVault ergänzt dies um eine vollständige Volume-Verschlüsselung. Der CIS Benchmark stuft FileVault als Level-1-Pflicht ein. Auf Apple-Silicon-Macs ist der Performance-Impact bei FileVault faktisch null.
- Systemeinstellungen → Datenschutz & Sicherheit → FileVault → Einschalten
- Wiederherstellungsschlüssel sicher aufbewahren — ausdrucken und sicher lagern, NICHT auf demselben Mac
- Alternativ: Apple-ID-Wiederherstellung aktivieren (Unternehmensumgebung: institutioneller Schlüssel empfohlen)
macOS Firewall aktivieren und absichern
Die eingebaute macOS-Firewall ist standardmäßig deaktiviert. Aktivieren — sie blockiert unerwünschte eingehende Verbindungen und ist im CIS Benchmark Level 1 als Pflicht gelistet.
Die macOS Application Firewall filtert eingehende Netzwerkverbindungen pro Anwendung. "Tarnmodus" (Stealth Mode) verhindert, dass der Mac auf Netzwerk-Scans (Ping, Port-Scan) antwortet — besonders in öffentlichen WLANs wichtig. Die Firewall ersetzt keinen Router-Schutz, ist aber eine wichtige zusätzliche Schicht — insbesondere im Homeoffice und in Gast-WLANs.
- Systemeinstellungen → Netzwerk → Firewall → Einschalten
- "Optionen" → "Stealth-Modus aktivieren" → aktivieren
- "Alle eingehenden Verbindungen blockieren" nur aktivieren, wenn bekannt ist, was das bedeutet (blockiert auch freigegebene Dienste)
Nur vertrauenswürdige Apps installieren - Gatekeeper nutzen
Gatekeeper prüft jede App auf Apple-Signatur und Notarisierung. Niemals den GKE-Schutz dauerhaft deaktivieren oder Apps aus unbekannten Quellen via "Trotzdem öffnen" starten.
macOS blockiert standardmäßig nicht-notarisierte Apps. Das ist eine starke Schutzschicht — Malware, die sich als legitime App tarnt, wird oft abgefangen. Viele Angriffe auf Macs laufen über gefälschte Software-Downloads (z.B. gefälschte Updates für Flash, VLC oder Meeting-Tools). Niemals den Gatekeeper mit sudo spctl --master-disable dauerhaft ausschalten.
- Systemeinstellungen → Datenschutz & Sicherheit → "App-Downloads erlauben von": App Store und identifizierte Entwickler
- Software nur aus dem Mac App Store oder von offiziellen Hersteller-Websites installieren
- Kein "Crack", kein "Keygen", keine DMG-Dateien von zufälligen Websites
- Bei "nicht verifizierter Entwickler"-Warnung: nachforschen, bevor man trotzdem öffnet
Passwortmanager + einzigartiges Passwort pro Dienst
Kein Passwort zweimal verwenden. Passwortmanager einrichten — er generiert und speichert starke, einzigartige Passwörter. Nur das Master-Passwort selbst merken.
macOS bringt seit Sequoia den integrierten Passwords-App mit, die auf iCloud Keychain basiert und gut für Apple-Nutzer funktioniert. Alternativ sind Bitwarden (plattformübergreifend, open source) oder 1Password weit verbreitet. NIST SP 800-63B empfiehlt Passphrasen aus mehreren zufälligen Wörtern anstelle komplexer Zeichensalate.
- macOS-Bordmittel: Programme → Passwörter (macOS Sequoia) oder Systemeinstellungen → Passwörter
- Plattformübergreifend: Bitwarden (kostenlos, open source) — funktioniert auch auf Windows und Android/iOS
- Master-Passwort: Passphrase aus 4+ zufälligen Wörtern (z.B. "Birne-Wolke-Stuhl-Nebel")
- Leak-Check: haveibeenpwned.com — eigene E-Mail-Adresse prüfen
Zwei-Faktor für Apple ID und alle wichtigen Konten
Die Apple ID ist der Master-Schlüssel zum Mac — FileVault-Wiederherstellung, iCloud, App Store, Find My. Zwei-Faktor-Authentifizierung (2FA) ist hier besonders kritisch.
Eine kompromittierte Apple ID ermöglicht Angreifern potenziell das Remote-Löschen des Macs via Find My, den Zugriff auf iCloud-Backups und alle gespeicherten Passwörter. Apple bietet seit Jahren 2FA über vertrauenswürdige Geräte an. Für alle anderen wichtigen Dienste (E-Mail, Banking, Google) eine Authenticator-App verwenden — besser als SMS.
- Apple ID: Systemeinstellungen → [dein Name] → Anmeldung und Sicherheit → Zwei-Faktor-Authentifizierung
- Andere Konten: Apple Passwords-App unterstützt TOTP-Codes (Zahnrad-Icon → "Bestätigungscode einrichten")
- Alternativ: Microsoft Authenticator oder Aegis (Android) als dedizierte TOTP-App
- Priorität: Apple ID, E-Mail, Banking, Google, Microsoft-Konto
Automatische Sperre + Passwort sofort beim Aufwachen
Bildschirmschoner oder Ruhezustand sofort mit Passwort schützen. Beim Verlassen des Macs: Control+Command+Q drücken. Touch ID macht schnelles Entsperren komfortabel.
Ein ungesperrter Mac ermöglicht in Sekunden physischen Zugriff auf alle Daten, Browser-gespeicherte Passwörter und laufende Sitzungen. Im Büro, im Café oder Zuhause bei Besuch ist das ein reales Risiko. Der CIS Benchmark fordert explizit, dass der Bildschirmschoner mit Passwort sofort nach dem Start aktiv ist.
- Systemeinstellungen → Datenschutz & Sicherheit → Allgemein → "Passwort erforderlich": Sofort (nach Ruhezustand)
- Systemeinstellungen → Bildschirmschoner → Beginnen nach: 5 Minuten
- Kurzschluss sperren: Control + Command + Q — sofortige Sperre
- Touch ID einrichten für bequemes Entsperren ohne langen Passwort-Eingriff
Time Machine + externe/Cloud-SIcherung nach der 3-2-1-Regel
Time Machine ist Apples eingebautes Backup-System — einfach, automatisch und effektiv. Ergänzt durch eine zweite Kopie (Cloud oder weitere externe Disk) nach der 3-2-1-Regel.
Ransomware auf macOS existiert — bekannte Varianten wie ThiefQuest/EvilQuest (2020) oder neuere macOS-spezifische Loader zeigen, dass der Mac kein Sonderfall ist. Time Machine-Backups auf dauerhaft angeschlossenen Platten schützen nicht vollständig vor Ransomware, weil verbundene Laufwerke ebenfalls verschlüsselt werden können. Mindestens eine Offline- oder Cloud-Kopie ist deshalb wichtig.
- Systemeinstellungen → Allgemein → Time Machine → Backup-Disk hinzufügen
- Nach dem Backup: externe Platte trennen — schützt vor Ransomware
- Cloud-Option: iCloud Drive (für Dokumente), Backblaze (vollständiges System-Backup, günstig)
- Restore einmal testen: Time Machine öffnen → Datei wiederherstellen
App-Berechtigungen prüfen - Kamera, Mikrofon, Standort
macOS zeigt welche Apps Zugriff auf Kamera, Mikrofon, Kontakte, Kalender und Standort haben. Regelmäßig prüfen und nicht benötigte Berechtigungen entziehen.
macOS hat ein starkes Berechtigungssystem — aber nur dann, wenn man es auch nutzt. Viele Apps sammeln mehr Daten als nötig. Besonders Browser-Erweiterungen sind ein häufiges Angriffsziel: Sie haben weitreichenden Zugriff auf alle besuchten Webseiten inklusive Banking und Passwort-Eingabefelder. Der CIS Benchmark empfiehlt, Location Services und Camera/Mic-Zugriff auf das notwendige Minimum zu beschränken.
- Systemeinstellungen → Datenschutz & Sicherheit → jeden Bereich durchgehen: Kamera, Mikrofon, Standort, Kontakte, Kalender
- Apps, die keinen nachvollziehbaren Grund für den Zugriff haben: Berechtigung entziehen
- Browser-Erweiterungen minimieren: Safari/Chrome-Einstellungen → Erweiterungen → alle nicht genutzten entfernen
- Datenschutz & Sicherheit → Vollständiger Festplattenzugriff → nur explizit vertrauenswürdige Apps
Links und Anhänge aus E-Mails kritisch hinterfragen
Kein Link aus unerwarteten E-Mails anklicken. Absenderadresse genau prüfen — nicht nur den Anzeigenamen. Gatekeeper und Notarisierung schützen nicht vor allem — das eigene Urteilsvermögen ist die letzte Verteidigungslinie.
Der häufigste Angriffsvektor auf Macs ist Social Engineering: gefälschte Updates ("Ihr Flash Player ist veraltet"), manipulierte Kalender-Einladungen, Phishing-Mails die täuschend echt nach Apple-Kommunikation aussehen. Angreifer wissen, dass Mac-Nutzer oft ein falsches Sicherheitsgefühl haben — und nutzen das aus. KI ermöglicht mittlerweile perfekt formulierte, personalisierte Phishing-Mails ohne Rechtschreibfehler.
- Echte Absenderadresse prüfen: In Mail.app Absender anklicken → vollständige Adresse prüfen
- Niemals Zugangsdaten auf Seiten eingeben, die über E-Mail-Link aufgerufen wurden — direkt tippen
- Keine Kalender-Einladungen von Unbekannten annehmen (verbreiteter Spam-Vektor auf Apple-Geräten)
- Safari zeigt die echte Domain in der Adressleiste — immer prüfen, auch bei optisch echten Seiten
- Dringende Aufforderungen ("Apple-ID gesperrt!", "Sofort handeln!") sind fast immer Phishing