Ein Bekannter fragt mich was die beste Antivirus software für den Mac sei.

Ich hab da ehrlich gesagt gar keine Ahnung , weil ich keine benutze und auch nicht glaube eine zu brauchen.

Bei Macwelt wird Bitdefender empfohlen... glaubt ihr das könnte man ihm empfehlen?

Ich hab ihm erstmal das kostenlose Avast empfohlen
https://www.avast.com/de-de/index#mac

Die unschädlichste ist die in macOS bereits integrierte! Die beste sitzt vor dem Bildschirm. Wenn man mag kann man noch die kostenlose Version von Malwarebytes nutzen. Wichtig ist da kein Upgrade zu machen, die kostenlose Version läuft nicht ständig im Hintergrund und ein scan wird eben bei Bedarf von Nutzer angestoßen, das reicht völlig.
Von allem anderen würde ich die Finger lassen.

Apple:

Das Urteil der MacWelt stimmt einigermaßen mit dem der Stiftung Warentest (Heft 3, 2025) überein.
Bei der MacWelt fehlt allerdings G Data Antivirus Mac. Das Programm hat bei der Stiftung Warentest auf Grund der hohen Gewichtung der Schutzwirkung die beste Gesamtnote erhalten. In den Punkten Handhabung und Rechnerbelastung schneidet dort jedoch Bitdefender besser ab. Insgesamt landet Bitdefender (Gesamtnote 1,7) knapp hinter G Data (Gesamtnote 1,6) und knapp vor Avast, AVG und Avira (Gesamtnote 1,8) und dann Norton (Gesamtnote 1,9).

Danke, das ist doch hilfreich.

Ich sitze seit 1997 vor Macs und habe noch nie eine Antivirus-Software benötigt.
Die paar Male, die ich rein Interesse halber solche Software ausprobiert habe, war der Nutzen gleich Null.
In meinen Augen ist das überflüssiger Kram auf dem Mac.
Aber jeder wie er will.

Stiftung Warentest hat halt ihre Testmethoden - über den Sinn dieser Programme sagen die nichts aus.

Die Stiftung Warentest berichtet, man habe überhaupt nur 15 für den Test der Funktion geeignete Schädlinge auftreiben können. Für Test auf Windows wurden 30.000 genutzt.
Bitdefender bietet jedoch zudem einen Phishing-Schutz für die Browser Safari, Firefox und Chrome. G Data Antivirus Mac lässt den Browser Safari aus.

Manchmal verstehe ich Kommentare einfach nicht. Niemand will das. Mein Bekannter hat sich auf ihm unklare Weise einen Virus (oder was auch immer) eingehandelt. Ich weiß dazu nichts. Natürlich ist er verunsichert und fragt um Rat.

Ich könnte ihm auch sagen das ich das, seit dem ich 2007 am Mac bin, noch nie hatte.. bringt ihn aber auch nicht weiter.
Ich vermute das er eben manchmal komischen links in emails folgt oder suspekte Apps lädt... aber ich weiß es nicht. Er befindet sich auch in einem entfernten Land und ich habe kein besonderes Interesse jetzt stundenlang per remote session nachzuforschen woher der virus kam.

Vielleicht gibt es einfach Menschen für die so eine Software sinnvoll ist.
Daher sind mir AnNtworten mit Empfehlungen oder guten Testberichten lieber als solche.

Frag deinen Bekannten, ob er in Safari > Einstellungen > Website > Mitteilungen eine Mitteilung für "Systemdienst" (oder ähnliche Bezeichnung) aktiviert hat. Diese Pseudo-Virus-Warnungen sind weit häufiger als echte Malware. Hierfür muss er lediglich auf der falschen Seite Mitteilungen akzeptiert haben und nicht Sicherheitsmechanismen für die Installation von Schadsoftware ausgehebelt haben.

Für diesen Bericht zum Testergebnis der Stiftung Warentest habe ich eine negative Stimme erhalten. Habe ich das Ergebnis des Tests falsch wiedergegeben?

Manche Leute finden es anscheinend ehrenrührig, wenn für macOS zusätzliche Virenschutz-Programme empfohlen werden. Den in macOS eingebauten Virenschutz hat das Testinstitut aufgrund der tiefen (und ich füge hinzu: undurchsichtigen) Integration ins System nicht extra getestet im Unterschied zum Windows Defender (letzter Platz im Test für Windows). Die Tester sind allerdings zur Ansicht gelangt, dass auch im Fall macOS die Extra-Programme einen besseren Schutz bieten.

Und woher weiß er das ohne Virenscanner? Die meisten Leute fallen auf Betrugsseiten oder Apple-Push-Nachrichten herein, die einen angeblichen Virenbefall melden. Dazu braucht man nur eine Tippfehler-Domain anzusteuern. Wer so etwas sehen will, muss zum Beispiel nur "appel.com" statt "apple.com" eintippen.

In macOS ist ab Werk bereits die Antiviren-Software "XProtect" von Apple eingebaut. Die beste Empfehlung ist, keinen zweiten Virenscanner zu installieren.

Der beste Antivirus für Mac ist KEIN Antivirus.

Wer nur mal seinen Mac checken möchte, kann den kostenlosen Intego VirusBarrier Scanner verwenden, ohne gleich die riskanten Überwachungsprozesse mit erweiterten Rechten zu installieren. Eine Vollüberwachung des Systems sollte man nur dann installieren, wenn sie vom Arbeitgeber oder einer Versicherung vorgeschrieben ist und das integrierte XProtect & Co. nicht anerkannt wird.

Falls jemand CleanMyMac nutzt, da ist auch ein Scanner (Moonlock) drin und die Dauerüberwachung lässt sich deaktivieren. Dafür würde ich es aber nicht extra anschaffen. Ich habe es im Setapp-Abo mit drin, nutze aber nichts von dem permanenten Kram.

Solche Art von Kommentar ist genauso sinnvoll wie die Aussage "Ich schnalle mich im Auto nicht an, weil ich noch nie einen Unfall hatte". Oder "Ich schließe meine Wohnungstür nicht ab. Es ist ja noch niemand eingebrochen."

Das lässt sich nicht beantworten oder wenn, dann nur mit viel Spekulation.
Wenn Dein Bekannter seinen Mac privat und solo benutzt, benötigt er keinen Virenschutz. Das bereits empfohlene Malewarebytes kann nützlich sein um versehentliche Klicks ungeschehen zu machen.
Sollte Dein Bekannter in Regelmäßigem Austausch mit Windows-Usern sein oder sogar beruflich Office-Dateien und ähnliches durch die Weltgeschichte senden, könnte ein Virenschutz vor unliebsamen Überraschungen bei Geschäftspartnern oder sogar Kunden schützen. Es sollte dann ein Virenschutz sein, der sich sehr differenziert einstellen lässt. Bei uns läuft deswegen ESET.
Ist der Mac des Bekannten in ein Firmennetz integriert, sollte es bereits eine Software geben, die alles abriegelt. Das geht über Virenschutz weit hinaus.
Und selbst diese Einteilung ist nur grob und hat nur eine sinnvolle Anwendung, nämlich wenn Dein Bekannter gleich in die erste Kategorie fällt.

Prinzipiell: macOS aktuell halten
Privat: Malwarebytes
Enterprise: Jamf Protect

Verstehe deinen Punkt, aber er hat ja nicht gesagt, dass er bislang keinen Virenbefall hatte. 😁 Evtl. hat er es auch nicht mitbekommen.

Selbst unter Windows ist eine Thrid-Party Software mittlerweile nur noch Ballast und Geldschneiderei. Sowohl unter macOS als auch Windows reichen die integrierten Lösungen vollkommen aus. Mit Drittanbieter Software machst du dir im Worst-Case nur ein weiteres Einfallstor auf weil das Software ist welche mit erhöhten Rechten arbeiten muss ob "ordentlich" zu funktionieren und kann durch eigene Lücken eher zur Bedrohung als zum Schutz werden.

Ohne das Einsatzszenario zu kennen ist die Aussage einfach nur gefährlich.
Sie mag für gut informierte, technikaffine Menschen zutreffen aber nicht für den normalen Privatnutzer und schon gar nicht im Firmenumfeld.

Die Bordmittel sind stets ausreichend. Der Rest sind klare und einfach formulierte Instruktionen und sauber aufgesetzte (Adblocker und automatisches Cookie-Management) und konfigurierte Systeme (was darf Mitteilungen senden Browser nicht).

Meine Eltern, um die 80 und nicht die Bohne technikaffin, lassen sich weder von dubiosen Anrufen über das Ohr hauen, fallen nicht auf Phishing herein und bewegen sich sicher im Netz.

Der Widersinn dieser Aussage ist hoffentlich klar?

Der Widersinn ist das aus dem Kontext gerissene Zitat.

Das ist genau das Problem an solch Schlangenöl-Software. Die läuft mit systemrechten und öffnet häufig Tore, welche ohne diese Art Software noch nicht einmal vorhanden wären.
Lasst die Finger von dem Zeug und prüft, wie schon erwähnt, in den Einstellung für z.B. Safari oder anderen Web-Browsern, ob sich eine Panik-Webseite in den Mitteilungen bzw. Push-Nachrichten eingenistet hat. Diese dann entfernen und Ruhe ist.

Welcher Kontext? Du sagst die Bordmittel reichen immer (stets) aus und nennst direkt dahinter Bedingungen bzw. Ergänzungen. Dies im Zitat nicht zu erwähnen verfälsch die Aussage nicht.
Alles was Du nennst betrifft genau die ... oder die, die von solchen tatkräftige Unterstützung haben. Gratulation für oder besser an Deine Eltern, wenn sie zu einer der Gruppen gehören oder zumindest den Kopf einschalten. Es gibt aber genügend User, die Kaufen ein Laptop bei MM oder Aldi, schalten es an und dann passiert genau gar nichts mehr. Keine Einstellungen, keine Updates, Software irgendwo her und schon gar kein Patchmanagement. Eine vernünftige Endpoint Security, die einem wenigsten sagt, dein Adobe Reader ist veraltet oder das Betriebssystem, oder überleg dir, ob du diesen Link anklickst, kann hier hilfreich sein.

Ernsthaft?

Die Systeme können nur einen gewissen Schutz bieten, der mit den Bordmitteln ausgeschöpft ist. Zusätzlicher Schutz mit Hilfe von Antiviren-Programmen geht damit einher, diesen Programmen diverse Rechte einräumen zu müssen, die wiederum vorher nicjt dagewesene Angriffsvektoren öffnen. Und ein von dir beschriebener User soll es also erfassen, wenn das System irgendwas faselt, man solle diese und jede Einstellung vornehmen?

Der eine Teil ist das System selbst mit seinem Schutz. Das reicht auf der Eben des Systems stets. Der andere Teil ist das Hirn des Nutzers. Ohne geht es nicht und gegen diese Schwachstelle hilft auch keine zusätzliche Software, diese schafft mehr Probleme, öffnet das System und wiegt den Nutzer in trügerischer Sicherheit.

Nur Aufklärung und einfache Regeln vervollständigen den Schutz.

Beispiele:

Niemals wird eine Bank oder ein Händler von sich aus nach dem Password fragen. Außer man hat es selbst angestoßen, z. B. über die Password-vergessen-Funktion.

Ist man sich unsicher, nie den Link in der Mail anklicken, sondern immer über das Lesezeichen des Browsers aufrufen, einloggen und falls irgendwas sein sollte, wird ein Hinweis erscheinen.

Sog. Schockanrufe: Rückfrage bei den Kindern oder Enkeln, ob es wirklich einen Unfall gab oder ob sich wirklich die Handynummer geändert hat.

Nur bei bekannten Händlern bestellen. Bei Amazon besser „Verkauf und Versand von Amazon“ anklicken oder immer Prime anklicken, wenn man es hat.

Damit hat man 99% der Fälle abgedeckt und ein nicht technikaffiner Senior bleibt sicher. Und ich denke, nun habe ich auch dich genug aufgeklärt, kein Schlangenöl zu verwenden. Es ist zwar dein Rechner, den du ggf. unsicherer machst, aber dennoch.

100% Schutz gibt es nicht.

Das Geschäftsmodell von Virensoftware beruht darauf, den Nutzer wegen drohender Unsicherheit zu alarmieren. Wenn das System sauber läuft, sieht der Nutzer keinen Grund, sein Abo zu verlängern. Also warnen die Scanner regelmäßig (und recht grell) vor angeblichen Bedrohungen, veralteten Einstellungen oder „ungeschützten" Bereichen. Nicht weil die Gefahr real ist, sondern weil Stille schlecht fürs Geschäft ist.
Disclaimer: Das bezieht sich vor allem auf Consumer-Software.

Danke aber ich arbeite mit einem Mac. Wie schon in meinem ersten Kommentar ausgeführt halte ich für Privatpersonen einen separaten Virenschutz am Mac auch nicht für sinnvoll. Bei meinem Kommentar zu deus-ex ging es um Windows. Dort arbeitet eine gute Endpoint Security auch nicht mehr gegen das System und den eingebauten Schutz (früher musste man den teilweise abschalten) er wird ergänzt.

Hallo Gemeinde,
gibt es eine umfassende Übersicht, welche Einstellungen für Safari bei iOS zu empfehlen sind?
Würde gern einmal optimal einstellen bzw. prüfen.
(Zusätzlich laufen bei mir 1Blocker und Hush.)

Danke im Voraus.

Klare Empfehlung: clamxav.com
Ich habe in den letzten zwei Jahrzehnten diese Virenschutzlösung bei ca. 2000 bis 3000 Mac´s im Einsatz gehabt und bisher noch nichts besseres für macOS gefunden. Der Großteil der angebotenen Lösungen, welche ich sonst getestet habe, macht in der ein- oder anderen Form Probleme und ist ressourcenintensiv.
ClamX AV ist leichtgewichtig, resourcenschonend, günstig und macht genau und nicht mehr oder weniger, was es soll - macOS und Windows Schadsoftware finden und in Quarantäne stellen, wo sie dann gelöscht werden kann.
Es ist leider ein Irrglaube, dass XProtect alleine den Mac vollständig schützt bzw. noch schlimmer - es keine Schadsoftware für macOS gibt. Mein Rekord war einmal ein MacBook Pro mit sage und schreibe 56 Stk. verschiedener Schadsoftware, welche ClamX AV dann problemlos entfernen konnte. Der Anwender hatte Sein MacBook zuvor Seinem Sohn über das Wochenende ausgeborgt.... XProtect erkennt u.a. keine Windows Schadsoftware, welche zwar unter macOS keine Gefahr darstellt, bei Weitergabe von entsprechend betroffenen Dateien an Windows-Anwender, insbesondere im Unternehmenseinsatz, ist hier aber im Schadensfall ggf. die unternehmerische Sorgfaltspflicht verletzt und kann im Worst Case zu rechtlichen Problemen führen. Ich würde niemals einen gewerblich genutzten Mac ohne guten Virenschutz betreiben.
Last but not least: Die OpenSource Engine ClamAV, auf welcher ClamX AV basiert, hatte Apple sogar selbst bei OSX Server im Einsatz bzw. war Bestandteil des Paketes.

Also das bezweifle ich ein wenig. Hast Du die dann auch alle untersucht? Das kann dann ja nur Absicht gewesen sein. Oder das Schlangenöl halt massenweise false positives angezeigt.

Solange ich mich bei uns mit diesem Thema auch administrativ befasse, hat es dieses Zeug noch nie, wirklich noch nie geschafft, etwas vorher zu melden. Immer nur dann, wenn die Mustererkennung zugeschlagen hat. Also hinterher.

Bin nicht 100% sicher, wie du das meinst, aber AV greift immer nur "hinterher". Bestenfalls werden durch Heuristiken Abwandlungen von bekannter Schadsoftware, die aber ebenfalls bereits "drauf ist" (=hinterher) entdeckt. Letztendlich muss AV immer durch neue Signaturen aktualisiert werden. Sie hinken also immer hinterher.

Ansonsten, wenn du "vorher" was entdecken willst, bewegst du dich in einer anderen Kategorie, wie bspw. IDS und Threat/Tactics Detection.

Um auswertbare Ergebnisse zu erhalten, muss immer von einem nicht kompromitierten System aus gescanned werden. Das kann bei privat eine Boot CD (bei Wintel z.B. Desinfec’t) sein, oder aber auch ein Server *von dem* aus gescanned wird. Insoweit macht der Scanner auf einem Serverbetriebssystem Sinn - nicht, um den Server zu schützen sondern Ressourcen, die unter seiner Verwaltung stehen.
Die Installation eines scanners auf der zu schützenden Maschine selber vergrößert Codebasis, Angriffsfläche, hebelt Systemschutzmechanismen aus und hat Null Wert, da man bei einer Kompromitierung den Ergebnissen nicht trauen kann.
Zudem: Bei den "richtigen" bösen Sachen kann der Virus selber noch erkannt werden, der jedoch in aller Regel unbekannte Teile nachlädt, die sich einer Erkennung selbst mit heuristiken entziehen.

Eine Boot-CD? Gab's überhaupt einen Mac mit CD-Laufwerk? Ich kenne nur welche mit DVD und Desinfect gab es nur in der ersten Fassung auf CD. Selbst DVD ist da schon lange Geschichte. Aber was nützt das bei einem modernen Mac?

Virenscanner taugen auch extern gebootet nicht dazu, um sicher sagen zu können, dass ein System frei von Infektionen ist. Er taugt aber dazu, einen Befall zu erkennen, und das gelingt auch Scannern, die direkt auf dem Gerät laufen. Wegen deiner genannten Gründe eignen sie sich schlechter als extern gestartete, doch ein Großteil der Malware versteckt sich nicht.

Sorry für die Ungenauigkeit. Ich habe eine USB-Festplatte, die emuliert ein optisches USB-LW mit den images, die auf der Platte sind. Da ist bei mir alles wie clonezilla, gparted usw. drauf, ich achte da nicht so drauf, ob man das, wenn man brennen würde nun CD/DVD/BluRay ist.

Alles klar, habe ich mir fast gedacht. Und das funktioniert mit Macs?

Wenn du den Bootprozess mit "getürktem" CD/DVD/BluRay-LW meinst:
Ja, in aller Regel ziehe ich immer mal mit clonezilla die Platte 1:1 ab. Gerade bei meinen Alt-Gurken mit Bastel-NVME-SSD mit Bootcamp und so ist das ganz hilfreich alles zusammen zu haben.

Ich dachte eigentlich an aktuelle Macs. Die können normalerweise ja nicht mal Systeme booten, die auf einem anderen Mac erstellt wurden (falsche Signatur).

Das sehe ich anders. Wenn mir jemand einen Gurt für den Fernsehsessel verkaufen will, mit dem Hinweis, dass ja irre viele Menschen bereits aus Fernsehsessel gekippt sind, dann werde ich skeptisch. Wer ihn hingegen im Auto ablehnt ist ein Idiot.

Ich habe etwa 25 Jahre Apple-Anwender betreut und zeitweise bei einem namhaften Entwickler gearbeitet. Probleme im Zusammenhang mit „Viren“ hatten immer nur die Leute, die „Virenschutz“ sehr, sehr wichtig nahmen. Vor allem haben Virenschutzanwendungen auch schon mal einen Rechner bis zum Stillstand ausgebremst (was in einer Produktionsumgebung eher lästig ist).

Apples eigenes Abwehrsystem funktioniert offensichtlich sehr gut. Und ansonsten gilt, nicht alles glauben was man sieht, und nicht auf alles klicken was sich anbietet.

Wenn auf der Straße vor einem schäbbigen Kellerabgang ein heruntergekommener Anzug steht und mir mit Überschwang unaufgefordert erzählt, das ich der 1.000.000ste Passant heute bin, der hier vorbeikommt, und ich hätte einen Ferrari gewonnen, und ich möge doch bitte eben mal mit ihm in den Keller mitkommen, und dort meine Ausweis kopieren, dann lächele ich den Typen doch nicht an und sage „klar, einen Ferrari wollte ich schon immer haben!“

Hilfreich wäre eine ständig aktualisierte Übersicht aller „echten“ Schadsoftware und Angriffe. Ansonsten ist das Verhältnis 15 zu 30.000 doch auch schon eine Ansage, oder?

Das sind Weisheiten der Vergangenheit. macOS an sich kann nicht kompromittiert werden, da es auf einem versiegelten Nur-Lese-Medium liegt. Ein moderner Mac würde dagegen einen bootbaren Virenscanner als Schad-Software ansehen und sich weigern, davon zu starten.

Nein, in dieser Situation überhaupt nicht. Es wäre schon ein Sicherheitsrisiko, wenn ein Rechner per Netzwerk alle Dateien eines anderen Rechner scannen könnte.

Mac OS X Server hat damals einen Virenscanner nur dann aktiviert, wenn das System unter anderem als Mail-Server konfiguriert war. ClamAV hat dann lediglich die ein- und ausgehenden E-Mails gescannt (was sinnvoll ist), sonst nichts.

Da hast du natürlich recht, aber in der Praxis sehe ich aus den verschiedensten Gründen immer wieder Maschinen, die nach dem Aufsetzen ein csrutil disable abbekommen.

Das alleine reicht nicht aus, um die Versiegelung des Startmediums abzuschalten.

Du meinst "Warning: Disabling SIP reduces your Mac's security, making it vulnerable to malicious code." ist Käse? Gut zu wissen.

Nein, er meint, dass unabhängig von SIP das Systemvolume bei Veränderung als ungültig betrachtet wird und nicht mehr booten wird. Ein gekipptes Bit macht die Signatur ungültig. Zudem bootet macOS ja kein normales Volume, sondern einen Snapshot. Den kann man normalerweise nicht verändern. SIP schützt Ordner auf dem Data-Volume. Natürlich kann sich ohne SIP Malware dann in systemweite Ordner verfrachten, aber den APFS-Snapshot mit macOS kann sie nicht verändern. Es ist in der Regel auch nicht nötig, macOS zu kompromittieren, die Malware-Szene hat sich längst darauf eingestellt und nutzt halt reguläre Wege oder Systemlücken. Wenn ich das Data-Volume eines vollverseuchten Systems löschen würde, wäre der Mac in der Regel virenfrei, ohne macOS neu aufspielen zu müssen.

Das kann ich aus meiner Windows-Vergangenheit bestätigen. Mir war ein Virenscanner wichtig, eben weil ich auf dubiosen Kanälen unterwegs war und gecrackter Software genutzt habe. Mit dem Mac und der guten UX kam dann aber auch der Sinneswandel, dass gute Software ihren Wert hat und Entwickler davon leben wollen. Da ich damals gute Software vor allem am UI gemessen habe, die meine Augen nicht beleidigt, fiel mir der Wandel leicht. Unter Windows fand ich damals viele Programme einfach nur schlimm. Ich kann mich schon gar nicht mehr an die vielen Kauf-FTP-Programme erinnern, die allesamt beschissen zu bedienen waren. Da habe ich echt nicht eingesehen, das zu bezahlen. Am Mac waren die popeligsten FTP-Programme schön gemacht und einfach zu bedienen – und man konnte Dateien mit einem beliebigen Editor direkt bearbeiten. Das ging unter Windows erst später (ich meine, EmFTP war der erste). Filezilla weckt auch am Mac immer noch Erinnerungen an die damalige Zeit. Gut, dass ich das nicht nutzen muss. In meinen ersten Mac-Jahren fand ich so viele Software "geil" gemacht, dass ich bei passender Funktionalität gar nicht mehr groß nachgedacht habe. Diese Momente sind seltener geworden. Ich glaube, der letzte größere Wow-Moment war Nova, das mich von VS Code befreit hat.

Nein, ist denn nicht mal ein Minimum an technischem Wissen vorhanden?

Das Abschalten von SIP führt dazu, dass die variablen Elemente des Systems, wie z.B. Konfigurationsdateien des Betriebssystems, und Daten im Hauptspeicher verwundbar werden, z.B. durch installierte Gerätetreiber.

Das Abschalten von SIP führt aber nicht dazu, dass irgendeine Datei des eigentlichen Betriebssystemumfangs (in Apple-Sprache: "Platform Binaries") durch einen Virus verändert werden könnte. Diese Daten sind noch einmal durch mehrere weitere, voneinander und von SIP unabhängig arbeitende Verfahren geschützt.

SIP schützt Systempfade wie /System, /usr, /bin und blockiert das Laden von Kernel Extensions. Im Grunde eine Absicherung gegen kompromittiertes root. Die Vorstellung, dass man mit csrutil disable die Schleusen für Malware öffnet, geht an der Realität vorbei. Malware muss zunächst auf den Rechner gelangen, dort ausgeführt werden und root-Rechte erlangen. An keinem dieser Punkte spielt SIP eine Rolle, dafür sind Gatekeeper, XProtect und die Passwortabfrage zuständig. SIP ist die allerletzte Verteidigungslinie für den Fall, dass das alles schon schiefgegangen ist. Das macht es nicht überflüssig, aber die Apple-Warnung suggeriert einen Zusammenhang zwischen csrutil disable und Malware-Anfälligkeit, den es so nicht gibt.

Ach, weil ich gerade Zeit habe schreibe ich auch mal.

Die Frage ist eher, reicht das was man gemeinhin unter Anti-Viren-Software versteht heute noch aus?
Ich komme aus der Zeit als man MacAffee oder F-Prot auf einer bootfähigen DOS Diskette hatte, das reichte.
Lösungen auf dem Niveau haben Apple und Windoof heute an Board. Meiner Meinung nach reicht das, zusammen mit dem mitdenkenden(!) User aus.
Natürlich kann man immer noch eine externe Lösung drauf stülpen, aber der Effekt bleibt überschaubar. Es nach dem können die Warnungen die da kommen eher verunsichern.
Im Businessumfeld muss man mit ganz anderen Kleppern arbeiten. Da kommen Cloud gestützte Systeme wie CyberReason, ProofPoint usw. dazu, das nicht einfach auf Signaturen zielen sondern Abnormalitäten erkennen. Und solche Systeme werden noch miteinander kombiniert.
Sowas kann aber keiner zu Hause betreiben.

Das "Argument" ich brauche keine weitere Lösung weil hier ist noch nie was passiert höre ich auch gerne von Kunden die eine 10 Jahre alte Firewall betreiben und nur nicht gemerkt haben das ständig Daten abließen.

Um noch mal auf die ursprüngliche Frage von verstaerker zurückzukommen:

Schönes "schlimmes" Beispiel – gestern bei einer Kundin – "Avira AntiVirus" hatte sich mit sage und schreibe 7 LaunchAgents ins System gegraben, und dazu kamen noch einmal 4 weitere LaunchDaemons!

Alle diese Agents und Daemons schauten in die Avira AntiVirus App selbst oder eben /Library/Application Support/Avira.

Den gesamten Müll einmal sauber runtergeputzt, die Kiste neu gestartet und die Bedienung war erst einmal wieder halbwegs erträglich.

So etwas will man sich nicht ernsthaft freiwillig antun. So viel zu den "Testergebnissen" von Stiftung Warentest …

Jetzt das große ABER:

1) Weiter oben wurde es schon kurz erwähnt und ich würde dies definitiv bestätigen:

Die kostenfreie Version von "Malwarebytes" sollte man bei Verdacht auf jeden Fall mal installieren!



1x Festplattenvollzugriff erlauben, die Signaturen aktualisieren, die "14-Tage-Probeversion" (Vollversion) direkt deaktivieren und dann mal den Mac scannen (dauert keine 5 Minuten, eher nur ca. 1 Minute).

Punkte die aus meiner Sicht für das Tool sprechen:

1A) Die kostenfreie Version hat keinen das gesamte System ausbremsenden Echtzeit-Scanner aktiv. D.h. es sucht nur nach Malware, wenn man die App öffnet und einen Scan manuell startet.

1B) Das Teil sucht ausschließlich nach Mac-Malware, PUA (potentially unwanted applications) und so weiter und dies auch nur in ganz bestimmten Pfaden (und deshalb funktioniert der Scan auch so schnell).

Um es deutlich zu sagen: Windows-Malware spürt man damit in der kostenfreien Variante nicht auf! Das ist im Privatbereich aus meiner Sicht aber auch nicht nötig … im Business-Umfeld dagegen muss man das natürlich etwas differenzierter betrachten.

1C) Im Gegensatz zu vielen in der Windows-Welt führenden AntiVirus-Lösungen findet es eben auch Mac-only Zeugs, das weder von GData noch von Kaspersky und all den anderen "üblichen Verdächtigen" erkannt wird!

Ganz vorn mit dabei u.a. die Krätze "MacKeeper". Finger weg davon! Ist reine Scareware! Und wird von Malwarebytes netterweise erkannt und in die Quarantäne verschoben.

1D) Vielen ist das gar nicht bewusst aber über die Jahre (insbesondere wenn man sein System immer wieder migriert hatte) hat sich dann manchmal doch etwas eingeschlichen.

Zum Beispiel wenn man in der Vergangenheit mal die erstbesten Treffer einer Google-Suche als "Lösungsvorschlag" akzeptiert hatte – Klassiker sind da dann u.a. verseuchte Installer von Quellen wie Softsonic & Co. …

Will sagen, "Treffer" mit unschönen Dingen wie z.B. OSX.SmoothOperator, OSX.Genieo oder auch Adware.OperatorMac usw. sind gar nicht soooooo selten!







Fairerweise muss man dazu sagen, das Malwarebytes (leider) auch nicht alles erkennt:

Vorsicht ist z.B. geboten bei Konfigurationsprofilen aus nicht vertrauenswürdigen Quellen, ebenso bei Safari-Erweiterungen. Das sind zwei Schwachpunkte, wo Malwarebytes noch besser werden könnte aus meiner Sicht.

Aber wie schon gesagt – Malwarebytes erkennt definitiv zuverlässiger macOS-spezifische Dinge als all die AV-Lösungen aus der Windows-Welt, die es ebenfalls für macOS gibt, und deshalb empfehle ich es immer wieder gern.

Es gibt außerdem eine kostenfreie Browser-Extension (Malwarebytes Browser Guard), auch die kann (je nach User und Surf-Verhalten) Sinn machen.

Und falls man etwas haben möchte, was z.B. auch die E-Mail-Anhänge usw. auf dem Mac durchsucht: Da reicht das ebenfalls kostenfrei erhältliche "Intego VirusBarrier Scanner" aus dem App Store völlig aus:



Die alten Hasen unter uns kennen Intego noch aus Mac OS 8 / Mac OS 9 Zeiten. Ok, das war schon immer etwas "Eye Candy" aber immerhin auf Apple Systeme spezialisiert. Und diese 'abgespeckte Version' ist auch recht zurückhaltend vom GUI und dem ganzen drum herum her, also halbwegs ok.

Um die Gefahrenkategorien bzw. Mengengerüste mal einzuordnen, die ich aus einem Cyber Security Vortrag mitnahm:
prozentual passieren die wenigsten Angriffe auf Systemebene (wie man sich Hacking stereotypischerweise vorstellt),
dann typische Malware/Viren-Geschichten zu denen ich mich leider nicht mehr erinnere,
aber der Grossteil (mehr als 95%, aber bleiben wir einfachheitshalber mal bei dem plakativen 95%-Wert) ist Social Engineering-basiert. Da helfen auch noch so gute AV Scanner, umfangreiche (Enterprise-) Lösungen und/oder OS-/Hardware-basierte Security dann auch nichts mehr.

Das wichtigste ist kontinuierliche Awareness (was dann zum "Kopf einschalten" führt, wie o.g.). Sicherlich tendieren einige oft dazu zu sagen "man bist du doof" (weil etwas (zumindest für den anderen) als offensichtlich erscheint), jedoch sollte man diesen Vorwurf nicht zu vorschnell fällen. Jeder kann mal auf einem falschen Fuss erwischt werden, wenn es auch mitunter unterschiedliche Qualitäten braucht für einen erfolgreichen Angriff im Individualfall. Und Angriffe können sehr perfide und ausgeklügelt sein. "Intelligente" Menschen kann es genauso treffen.

Natürlich gibt es auch weiterhin die echt schlecht gemachten Phishing-Emails (mit den diversen Storylines), aber es funktioniert weiterhin gut genug für Kriminelle (Nation State Angreifer lassen wir mal aussen vor) - warum? Auch Kriminelle operieren nach ökonomischen Prinzipien. Und (zumindest bis vor einigen Jahren zumindest noch) selbst mit schlecht gemachten Phishing-Emails lag die Erfolgsquote bei ca. 10%. Und das ist rentabel genug für den Aufwand.