Eine frisch installierte Mac-App darf zunächst herzlich wenig – macOS verbannt sie in einen individuellen Sandkasten. Darin können sie mit ihren eigenen Förmchen und Schäufelchen tun und lassen, was sie wollen. Doch um Informationen aus anderen Apps oder Systemkomponenten abzurufen oder Dateien anderswo als im App-eigenen Speicherbereich abzulegen, benötigt die Software eine Genehmigung. Apple nennt dies „App-Entitlement“ und speichert sie in der Signatur, welche ihr im Rahmen des App-Review-Prozesses verliehen wird. Welche Entitlements es gibt und wie man sie einsehen kann, erklärt Howard Oakley in einem Blog-Beitrag.


Diese Entitlements lassen sich drei Gruppen zuordnen: Die erste steht allen Apps zur Verfügung und erlaubt Zugriff auf allgemein zugängliche Ressourcen. Viele davon erfordern, dass Anwender der Nutzung explizit zustimmen. Deshalb fragen viele Programme beim ersten Start, ob sie den Standort abrufen, Informationen aus den Kontakten importieren oder die Kamera einschalten dürfen. Andere Entitlements müssen von Apple explizit freigegeben werden – ein Beispiel ist die Bildschirmfreigabe. Dann gibt es noch private Entitlements; diese stehen nur Programmen zur Verfügung, welche direkt von Apple stammen.

Entitlements einer App betrachten
Für den Nutzer einer App sind Entitlements zunächst unsichtbar – sie machen sich lediglich durch Abwesenheit bemerkbar, etwa wenn das Programm keine Dateien ablegen oder nicht auf Kalender zugreifen darf. Um nachzusehen, über welche Entitlements eine App verfügt, kann man das Terminal bemühen. So zeigt etwa der Befehl


die Entitlements von „Numbers“ an. Für eine benutzerfreundlichere Darstellung empfiehlt Oakley das kostenlose „Apparency“. Öffnet man ein Programm mit Apparency und klickt auf „Entitlements“ in der Werkzeugleiste, erscheint eine Liste mit sämtlichen Entitlements einer App.


Security, Developer und Private
Jedes Entitlement besteht aus einem Namen (Key) und einem Wert (Value). Der Name beginnt stets mit „com.apple.“ – was nach dem zweiten Punkt geschrieben steht, offenbart die Gruppe, zu welcher es zugeordnet ist:

- security steht für ein Standard-Entitlement, welches jeder Entwickler in seine App integrieren kann. In den meisten Fällen fragt macOS den Anwender, ob dieser die Nutzung dieser Daten für diese App erlauben will.
- developer sind Entitlements, welche Apple im Rahmen des Bewertungsprozesses für eine App bewilligt. Hier entscheidet also zunächst der App Review, ob ein Programm das jeweilige Entitlement für die beschriebenen Funktionen überhaupt benötigt. Lokal entscheiden Anwender in den meisten Fällen dann individuell, ob sie der Nutzung (etwa Bildschirmfreigabe) zustimmen.
- private stehen lediglich Apple selbst zur Verfügung. Nur Apps, welche vom Hersteller selbst kommen, dürfen diese integrieren. Oftmals fragen diese auch keine Nutzerfreigabe ab.

Funktionen nachschlagen
Viele Entitlements tragen „sprechende“ Namen. „com.apple.security.assets.read-write“ etwa regelt, ob das Programm Filme aus der Fotos-Mediathek lesen und schreiben darf. Apples Entwickler-Dokumentation erklärt Programmierern, wie sie mit Entitlements umgehen sollen. Wenn Unklarheiten trotz Apples Dokumentation fortbestehen, empfiehlt Oakley die von Jonathan Levin gepflegte Datenbank aller bekannten Entitlements. Ändern kann man die Freigabeeinstellungen einer App nicht mittels Apparency – individuelle Freigaben entzieht oder gewährt man in den Einstellungen unter „Datenschutz & Sicherheit“. Hier sind sie nach Freigabetyp sortiert: Eine App mit dem Entitlement „com.apple.security.personal-information.addressbook“ erscheint beispielsweise unter „Kontakte“.