Auf einer meiner Arbeitsstellen betreue ich mehrere Rechner (Windows und Mac); unter anderem einen iMac und einen Mac mini 2018. Bei letzterem schlägt das Einspielen des letzten Sicherheitsupdates fehl: Das Update lässt sich zwar herunterladen, beim eigentlichen Installieren werde ich aber darauf hingewiesen, dass zur Installation eine Internetverbindung notwendig wäre (was insofern etwas bizarr ist, da ich das Update ja via Internetverbindung heruntergeladen habe). Alle anderen Updates laufen problemlos durch.
Mich beschleicht der Verdacht, dass das vielleicht etwas mit dem T2-Chip zu tun haben könnte? Beim iMac gab es keine Probleme mit der Installation.
Die Netzwerkumgebung ist nicht ganz unproblematisch: viele Ports sind vernagelt und der ganze Verkehr geht über einen hausinternen Proxy. Außerdem ist Sophos installiert.
Ist es bekannt, ob T2-Rechner bei Sicherheitsupdates auf irgend einem Port "nach Hause telefonieren"? Gibt es andere Möglichkeiten, das Update zu installieren? (Klar, den Rechner nach Hause mitzunehmen wäre eine Möglichkeit - aber eigentlich müsste das doch auch so gehen?)

gacki
Warum schnappst du dir nicht einen der dortigen „Netzwerker“ und läßt den die Firewalls etc. beobachten. Der müßte ja sehen können, das da ein / dein Gerät raus will und wohin.

Aussage der Administratorin: Wenn ich wüsste, welcher Port benötigt würde, würde sie ihn ggf. temporär freischalten...
Mir geht es ja auch darum, herauszufinden, wa da eigentlich passiert und warum.

Das Firmware-Update für den T1/T2-Chip ist nicht Bestandteil des Standalone-Installers, sondern wird extra heruntergeladen, schreibt Howard Oakley zum Beispiel in diesem Bericht vom Sommer 2019 .

Hier gibt es einen Übersicht-Artikel.

Sie sollte sich vllt. mal nach einem anderen Job umsehen oder sich einlesen wie Wireshark funktioniert. Jeder halbwegs gute*r Netzwerkadministrator*in kann sich ansehen, welche Verbindungen ein Client im Netzwerk öffnet.

Und um festzustellen ob es tatsächlich am LAN liegt, einfach den Stecker raus und das Update über WLAN und Handy Hotspot anstossen.

PS: Um welches Sicherheitsupdate geht es genau ?

Danke, das ist interessant.
Ich hatte nach der Fehlermeldung des Installers gesucht und nichts sinnvolles gefunden.

Wir sind öffentlicher Dienst. Wenn ich Software installieren möchte, muss ich das immer auf die Tippeltappeltour machen, weil die Autorisierungsserver vieler Anbieter aus unserem Netzwerk nicht erreichbar sind. Es könnte sein, dass das sogar Vorgaben des Ministeriums sind.
Wir haben auch ein WLAN, bei dem aber der Zugang zu unserer eigenen Website gesperrt ist (danke, Sophos!). Dafür funktioniert dort aber Spotify, was wiederum im LAN nicht geht...

Das letzte. Genaue Daten dazu kann ich vermutlich erst am Donnerstag rausfinden.

Wenn dabei auch HTTPS-Verbindungen umgelenkt werden, sind vermutlich Pseudo-Zertifikate im Spiel. Eine solche Konfiguration wird von macOS erkannt und automatisch als "Man-in-the-Middle"-Angriff eingestuft.

Falls diese Vermutung stimmt, lehnt macOS die Installation ab, weil dieses Netzwerk zu unsicher ist, nicht etwa, weil es zu stark abgesichert wäre. Aber ohne weitere Informationen kann man nur spekulieren.

Ja, ich versuche mal, dort weitere Details herauszufinden.
Mich irritiert, dass diese Einstufung als "Man-in-the-Middle"-Angriff dann aber nur für bestimmte Updates getroffen würde - alle anderen Updates liefen problemlos durch (Safari, App Store usw.).

gacki
Vielleicht, weil ein Update des T2 von Apple als wesentlich „kritischer“ eingestuft wird. Wenn da beim Update Schindluder getrieben wird, ist die Hardware kompromittiert. Das würde Apple sicher garnicht mögen und verhindert dann eben das Update.

Also: Es handelt(e) sich um das "Sicherheitsupdate 2021-002" für Mojave.
Laut Beschreibung ist ja die einzige relevante Änderung für Mojave eine neue sudo-Version; und dafür dann 1,6 GB...
Na schön.
Das Update ließ sich von besagtem Mac Mini auch manuell von (also nicht aus Softwareupdate heraus) komplett laden. Installation schlug aber wieder fehl. Hrmpf.
Da ich mir den Zirkus mit dem Netzwerk gerade nicht geben wollte und es ja ein eher kleiner Rechner ist, habe ich ihn kurzerhand nach Hause mitgenommen und das Update dort eingespielt. Anscheinend wurde in der Tat bei Beginn des Updateprozesses noch mal weiteres Material nachgeladen. Danach lief das Update dann problemlos durch.

Ich finde diese Trennung trotzdem irritierend, zumal sie ein "remote update" von Rechnern, die nicht an einem öffentlichen Netz hängen, praktisch unmöglich macht. Darüber hinaus finde ich die Fehlermeldung alles andere als hilfreich.

Die Security-Updates sind kumulativ. Deshalb der große Umfang beim Download auch bei kleinen Änderungen. Bei Big Sur sind die Download-Mengen selbst bei kleinen Änderungen unter Umständen noch viel größer aus zusätzlich ganz anderen Gründen.

Vorweg: Ich habe kein Gerät mit T1- oder T2-Chip.
Bei meinem MacBookAir6,2 wurde die Boot-ROM-Version durch das Security-Update 2021-002 für Mojave nicht geändert, wohl aber ein paar Wochen vorher bei dem Update 2021-001.

Und sogar in dem Install.log für mein MacBook Air wird die Anforderung an die Mindestversion der iBridge-Firmware der T2-Geräte angegeben und die Erfüllung pro forma geprüft, obwohl es den Chip ja nicht hat. Der Eintrag lautet zum Beispiel: “bridgeOS: Minimum bridge version requirement satisfied (18.16.14345.5.1,0), skipping search for bridgeOS update”.

Es wäre aufschlussreich zu erfahren, ob sich bei deinem MacMini mit dem jüngsten Update die Version des BridgeOS geändert hat.

Howard Oakley verfolgt die Änderungen der Firmware. Hier der für Mojave und Catalina zutreffende Link .

Leider gibt er in dem Text für jedes Modell nur jeweils die jüngste verfügbare Version an. Die Historie kann man allenfalls anhand der Kommentare zu dem im Oktober 2019 begonnenen Artikel herausfinden. Ich habe mir nur die Historie für mein MacBook Air und ein noch älteres MacBook Pro notiert.