macOS 10.15 Catalina: Neue Sicherheitsfeatures bescheren Nutzern mehr Aufwand

Es liegt in der Natur der Sache, dass die Absicherung von Computersystemen stets mit gewissen Einschränkungen verbunden ist. Diese Regel gilt selbstverständlich auch für Apple. Die verbesserten Sicherheitsfeatures von macOS 10.15 Catalina bringen daher nicht nur einen erhöhten Schutz vor Schadsoftware mit sich, sondern bescheren unter Umständen sowohl Anwendern als auch Entwicklern mehr Aufwand.


Beglaubigung von Apps
Augenfälligstes Beispiel hierfür ist die sogenannte App Notarization. Zwar bleibt auch macOS 10.15 Catalina ein offenes System, welches Apps beliebigen Ursprungs ausführt, allerdings legt Apple die Hürden zukünftig deutlich höher. Um den Gatekeeper ohne weiteres passieren zu können, müssen Apps ab Januar 2020 von Apple beglaubigt sein. Vor dieser Zertifizierung prüft das Unternehmen, ob ein zur Notarization eingereichtes Programm unzulässige Routinen enthält, also etwa Malware. Apps, welche diesen Check nicht durchlaufen haben, können zwar weiterhin auf einem Mac installiert werden, der Nutzer muss aber zusätzliche Schritte unternehmen, um sie auszuführen.

Zustimmung des Nutzers erforderlich
Darüber hinaus schränkt Apple die Verwendung bestimmter Teile des Systems durch Apps weiter ein. Ähnlich wie bereits in iOS müssen Programme vor der Nutzung beispielsweise der Spracherkennung um Erlaubnis bitten. Gleiches gilt für den Zugriff auf etliche Ordner, zu den geschützten Bereichen gehören etwa die Verzeichnisse für Dokumente und Downloads, aber auch der Desktop sowie Netzlaufwerke und Cloud-Speicher. Will eine App Benachrichtigungen senden, muss der Nutzer dies ebenfalls ausdrücklich erlauben.

Installation von Apps wird aufwendiger
Sowohl der Download als auch Installation und Ausführung einer App erfordern durch das Zusammenspiel dieser Maßnahmen vom Anwender weitere Schritte. Das beginnt bereits beim Herunterladen eines Programms: Der jeweiligen Domain muss ausdrücklich der Zugriff auf den Download-Ordner gestattet werden. Vor der ersten Ausführung meldet sich wie bislang bereits der Gatekeeper und bittet um die Erlaubnis, die App zu starten. Ab Januar 2020 kommt noch ein weiterer Schritt hinzu, dann müssen nicht von Apple beglaubigte Apps in den Systemeinstellungen ausdrücklich freigegeben werden. Alle Programme, also auch notarisierte, sind zudem verpflichtet, vor dem Zugriff auf Geräte wie Kamera und Mikrofon sowie bestimmte Ordner die Zustimmung des Anwenders einzuholen.

Besserer Schutz vor Schadsoftware
Insgesamt wird macOS dank dieser Maßnahmen zukünftig besser vor Schadsoftware geschützt. Ob die Nutzung des Betriebssystems durch die zusätzlichen Sicherheitsfunktionen unbequemer und damit weniger komfortabel wird, stellt sich allerdings erst heraus, wenn die App Notarization zu Beginn des kommenden Jahres ihre volle Wirkung entfaltet. Ist ein System jedoch einmal eingerichtet und sind kaum noch weitere Programme zu installieren, wird man von den mit macOS 10.15 Catalina eingeführten Einschränkungen vermutlich nicht mehr allzu viel merken.

Kommentare

Tomboman10.10.19 10:34
Ich hab so ein Gefühl, dass ich bis .4 warten darf bis alle meine Logic Plugins geupdatet sind.

Oder ich muss Catalina gleich überspringen 🙈
+1
Maniacintosh
Maniacintosh10.10.19 10:35
Und früher witzelte man über Windows: „Die haben den Mauszeiger bewegt. Klicken Sie OK, um die Änderung wirksam werden zu lassen.“

Bei der Get a Mac-Kampagne hat man Windows damals genau wegen so etwas selbst auf die Schippe genommen und nun sind wir auf dem Mac auch bald so weit. 😕

Kann man das alles eigentlich auch abschalten? 100% Sicherheit wird man auf einem IT-System sowieso nie haben und für jeden Ordner einzeln die Rechte freizugeben, geht mir dann ehrlich gesagt deutlich zu weit. Bisher kam ich auch ganz gut ohne die übertriebene Sicherheit klar...
+13
MikeMuc10.10.19 10:37
Die Nachfrage ob die Website xy einen Download starten darf bekomme ich hier unter 10.13.6 aber seit einigen Tagen auch. Das find ich prinzipiell auch ok.
Ich bin aber gespannt, ob es wirklich gegen „drive by“ Downloads hilft wie sie gerne auch beim MacKeeper vorkommen. Wer sich den einfängt, der klickt bei sowas sicher auch einfach auf erlauben ohne nachzudenken... und dann ist der Dialog vergebens und nervt den großen Rest nur noch auf Dauer.
+3
NikNik10.10.19 10:38
Passend dazu: und
-3
Maniacintosh
Maniacintosh10.10.19 10:43
Hier übrigens noch der Link zu dem Apple-Spot vor einigen Jahren:
+7
strellson10.10.19 10:44
Tomboman
Ich hab so ein Gefühl, dass ich bis .4 warten darf bis alle meine Logic Plugins geupdatet sind.

Oder ich muss Catalina gleich überspringen 🙈

Einige Plug-Ins werden wahrscheinlich nie geupdatet. Und bei meinem 4 Waves Plug-Ins bin ich auch schon aus dem Update-Plan raus. Ich seh allerdings auch keinen Grund mein Musiksystem auf Catalina zu updaten.
+1
Wiesi
Wiesi10.10.19 10:52
Tomboman
Oder ich muss Catalina gleich überspringen 🙈

Das nützt nichts: Beim nächsten großen Update kommt alles nur noch schlimmer.

Merke: Nur ein unbedienbares System ist wirklich sicher.
Everything should be as simple as possible, but not simpler
+2
Urkman10.10.19 10:53
MikeMuc
Die Nachfrage ob die Website xy einen Download starten darf bekomme ich hier unter 10.13.6 aber seit einigen Tagen auch.

Safari 13?
+4
dsieb10.10.19 10:55
Wie im Text auch schon erwähnt, wenn man erst einmal sein Setup an Programmen installiert hat, wird man davon ja nur bei seltenen neu Installationen etwas merken.

Für Benutzer, die sich ansonsten wenig Gedanken um die IT Sicherheit machen, finden ich den Schritt sehr gut, dass gefragt wird, ob eine App/Programm z.B. auf die Kamera oder Mikrofon zugreifen darf. Dann kommen dort ggf. auch mal die Überlegungen, muss dieses Programm generell die Berechtigung haben diese Funktion zu benutzen.
+6
Deichkind10.10.19 11:00
Urkman
MikeMuc
Die Nachfrage ob die Website xy einen Download starten darf bekomme ich hier unter 10.13.6 aber seit einigen Tagen auch.

Safari 13?
Speziell wohl seit 13.02.
+2
maculi
maculi10.10.19 11:02
Es geht dabei ja nicht nur um absichtlich böswillige Programmierer, sondern einfach auch um Idioten, die sich nicht an irgendwelche Vorgaben von Apple halten. Ich sag nur google und chrome:
Sowas wäre womöglich unter Catalina nicht möglich gewesen.

Wiesi das ist die eine Möglichkeit, die andere ist, den Rechner wann immer es geht im offline-Modus zu betreiben. Wie praktikabel das ist muss jeder für sich entscheiden.
+1
Garak
Garak10.10.19 11:26
Also, ich habe rund die Hälfte meiner rund 100 Programme für den Festplattenzugriff in den Sicherheitseinstellungen aufnehmen müssen, damit die überhaupt starten bzw. auf ihre Libraries, Datenbanken, Einstellungen usw. zugreifen dürfen. Z.B. konnte Steam nicht auf die installierten Programme zugreifen bzw. updaten. Und diese Programme stürzten beim Start ab, weil sie nicht auf ihre Verzeichnisse und Dateien zugreifen durften.

Und simple Skriptabläufe versagen: Utilities mussten berechtigt werden, damit sie auf die für sie erstellte Apple Skripte / Automator Workflows zugreifen dürfen. Automator muss berechtigt werden, um auf die von ihm erstellten Workflows / Apps zugreifen zu können. Die von Automator erstellten Apps / Workflows müssen für den Plattenzugriff berechtigt werden, damit sie laufen. Ich habe so über eine Stunde alleine damit zugebracht, Hazel wieder zum Laufen zu bekommen.

Eine wahre Glanzleistung.
+6
sierkb10.10.19 11:31
gnegg (09.10.2019): In defense of «macOS 10.15 Vista»

tyler.io (07.10.2019): macOS 10.15 Vista
I completely realize and wholeheartedly own-up to the fact that I’m a geek and a Mac power user above and beyond what normal muggles will ever experience, nonetheless, this is the first-run experience I was greeted to this afternoon after upgrading to Catalina.

Michael Tsai Blog (23.10.2019): Annoying Catalina Security Features
-2
sierkb10.10.19 11:32
Derweil:

Jeff Johnson (09.10.2019): Disclosure: macOS privacy protections bypass

Jeff Johnson (08.10.2019): What happened to the Mac bug bounty program?
-2
MikeMuc10.10.19 11:38
Urkman
MikeMuc
Die Nachfrage ob die Website xy einen Download starten darf bekomme ich hier unter 10.13.6 aber seit einigen Tagen auch.

Safari 13?
Ja, aktuell 13.02. Ob erst mit 13.02 kann ich nicht genau sagen.

Ansonsten hat garak die Situation schön beschrieben. "Wenn was nicht mehr klappt", dann erstmal prüfen, ob einem da wieder eine (blöde) Sicherheitseinstellung rein grätscht. Die Sicherheit ist schön und gut, nur wenn sie einen von der Erledigung der eigenen abhält hat irgendwas versagt.
+2
MacThomas57
MacThomas5710.10.19 12:12
Sicherheit ist ja gut, aber wenn man zum x-mal das gleiche Passwort (zB die Apple-ID für Programme von Apple) eingeben muss, wird die Aufmerksamkeit des Benutzers arg strapaziert!
+1
powermaki
powermaki10.10.19 12:31
Ich habe hier Catalina jetzt seit einiger Zeit im Einsatz und empfinde die Nachfragerei nicht als lästig. Ein bißchen spannend ist das sogar, denn plötzlich erfährt man Dinge, die einem so nie bewußt (gemacht) wurden. So habe ich nach ewiger Zeit mal wieder Thunderbird gestartet, nicht als Mail-Client, sondern als News-Group-Reader soll es herhalten. Da kam doch tatsächlich (sinngemäß) die zu bestätigende Nachfrage hoch, daß Thunderbird gerne auf die Tastatureingaben anderer Programme zugreifen möchte. Vielleicht habe ich in der Eile auch schnuddelig gelesen, aber verwundert war ich nur sehr kurz, denn mit einem Klick auf "Nicht erlauben" war der Drops für mich gelutscht.
Was mich aber wirklich an Catalina stört, ist die Tatsache, daß die Unterstützung des aptX(HD)-Codecs stillschweigend fallen gelassen wurde. Ich habe hier einen BT-Kopfhörer, der nicht AAC-fähig ist, vor dem Upgrade auf Catalina noch unter aptX angesteuert wurde und nun, nach dem Upgrade, nur noch unter SBC. Gruselig.
Habe ich eine Ankündigung verpaßt, die das verlautbaren ließ? Sollte dieser Umstand auch im Lichte irgendwelcher der Sicherheit zuträglichen Aspekte zu betrachten sein, die ich nur nicht begriffen habe?
+5
Radetzky10.10.19 13:21
Wir stellen selber Programme her, allerdings nicht mit XCode. Bis heute haben wir die Notarisierung noch nicht hinbekommen. Das ist alles so ....
0
Wiesi
Wiesi10.10.19 13:44
Wegen der ewigen Geheimniskrämerei von Apple, ist ein wohl organisiertes Sicherheitskonzept für mich als User nicht erkennbar. Es ist nicht einzusehen, warum ein Nutzer, einem Programm, dem er seit Jahren vertraut nun plötzlich alle möglichen Erlaubnisse erteilen soll und das jeweils einzeln Stück für Stück.

Warum könnte der Gatekeeper beim Erststart eines Programms die geforderten Privilegien nicht in einem einzigen Fenster auflisten, sodaß man sie dort abhaken kann, ohne die Systemeinstellungen zu bemühen? Warum muß man alle paar Minuten das gleiche Passwort angeben, obwohl man permanent angemeldet und aktiv ist?

Apple: Vor dem Reglementieren Gehirn einschalten.

Aber existiert überhaupt ein Konzept, in dem die notwendigen Privilegien mit den dazugehörigen Limiten typologisiert und aufgezählt sind? Natürlich müßte der Gatekeeper die dazu passende Schnittstelle haben.

sierkb: Es wer schön, wenn du zum (wohlorganisierten) Sicherheitskonzept einen Link finden könntest.
Everything should be as simple as possible, but not simpler
+1
orlitravel10.10.19 14:18
Wiesi
[...]
Warum könnte der Gatekeeper beim Erststart eines Programms die geforderten Privilegien nicht in einem einzigen Fenster auflisten, sodaß man sie dort abhaken kann, ohne die Systemeinstellungen zu bemühen?

Die Verantwortung dafür liegt nicht bei Apple, denn sie können nicht wissen welche Rechte ein Programm benötigt. Aber der Entwickler kann durchaus zum Programmstart alle Rechte abfragen. Es gibt viele iOS Apps die genau das beim ersten Start machen. Das gestylte Handling braucht demnach ein Update vom Hersteller. Da das Verfahren neu ist, braucht es noch Zeit zum Reagieren. Für eine Liste mit Haken bräuchte man dann aber in der Tat ein API von Apple.
+3
Moogulator
Moogulator10.10.19 14:30
Die "Idioten" sind leider aber auch Idealisten, die mal einen Editor für einen Synthesizer gebaut haben - die gehen da nicht oft dran und die haben nicht automatisch eine Registrierung bei Apple.

Die andere Art von Software ist die, dass es zB (ich bleib mal dabei) ein Synthesizer (Hardware) lange Zeit gebaut wurde und jetzt noch zu haben oder gerade nicht mehr, da bauen die keine Treiber mehr oder Editoren, dh - die fallen dann raus. Zudem sind gerade die gelegentlichen Entwickler nicht immer durchinformiert, welche neue Sache sich Apple wieder ausgedacht hat für dieses Jahr. Es ist halt ständig Bewegung drin, es ist daher auch nichts für immer - und das ist auch traurig, weil dadurch einiges an Musikhardware sterben müsste- Ich schreibe bewusst das als Musiker, weil das viele nicht wissen, die nur ihr YouTube und Office aufmachen und jedes OS liebend installieren.

Die positive Seite ist natürlich, dass man die bösen die eben mal so irgendwas bauen nicht reinlassen kann.

Wie immer hat diese Sache 2 Seiten.
Ich habe eine MACadresse!
+5
Wiesi
Wiesi10.10.19 17:32
orlitravel

Wenn die SW von Apple notarisiert ist, sollte Apple die benötigten Rechte eigentlich herausfinden und mit den Rechten, die der Entwickler (eigentlich) angeben muß, bzw. müsste, abgleichen. Nur Apple hat dazu offensichtlich weder Vorschriften noch eine Schnittstelle. Bei unnotarisierter SW liegt die Verantwortung allerdings beim Entwickler. Wenn der beim Nutzer keine Anforderung der Rechte in Auftrag gibt, dann sollte das Programm vom System mit einer Fehlermeldung beendet werden. Aber auch zu der Anforderung hat Apple m.W. keine Schnittstelle.

All dieses gehört zu einem wohlorganisierten Sicherheitskonzepts.
Everything should be as simple as possible, but not simpler
+1
Pixelmeister13.10.19 13:37
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.