Schutz vor Malware in macOS
Apple betreibt einen Prozess für die Bedrohungsanalyse, der Malware schnell erkennt und blockiert.
Die drei Abwehrstufen
Die Abwehr von Malware ist in drei Stufen strukturiert:
1. Starten oder Ausführen von Malware verhindern: App Store oder Gatekeeper in Kombination mit Beglaubigung
2. Ausführen von Malware auf Kundensystemen blockieren: Gatekeeper, Beglaubigung und XProtect
3. Ausgeführte Malware entfernen und bereinigen: XProtect
Die erste Abwehrstufe ist darauf ausgelegt, die Verteilung von Schadprogrammen zu unterbinden und selbst ihre einmalige Ausführung zu verhindern – dieses Ziel haben der App Store sowie Gatekeeper in Kombination mit der Beglaubigung.
Die nächste Abwehrstufe soll sicherstellen, dass Malware beim Auftreten auf einem Mac schnell erkannt und blockiert wird – sowohl um ihre Ausbreitung zu stoppen als auch um alle Mac-Systeme zu bereinigen, auf denen sie bereits Fuß gefasst hat. XProtect ergänzt diese Abwehrstufe zusätzlich zu Gatekeeper und zur Beglaubigung.
Schließlich entfernt und bereinigt XProtect Schadprogramme, die ausgeführt werden konnten.
Zusammen tragen diese Abwehrmechanismen, die unten detaillierter beschrieben werden, zum optimalen Schutz vor Viren und Schadprogrammen bei. Darüber hinaus stehen (insbesondere auf einem Mac mit Apple Chips) weitere Abwehrmechanismen zur Verfügung, die den potenziellen Schaden von ausgeführter Malware begrenzen. Der Abschnitt App-Zugriff auf Benutzerdaten schützen enthält Informationen dazu, wie macOS dazu beitragen kann, Benutzerdaten vor Malware zu schützen. Der Abschnitt Integrität des Betriebssystems enthält Informationen dazu, wie macOS die Aktionen einschränken kann, die Malware auf einem System ausführen kann.
Beglaubigung
Die Beglaubigung ist ein von Apple bereitgestellter Malware-Überprüfungsdienst. Entwicklungsteams, die Apps für macOS außerhalb des App Store bereitstellen möchten, müssen ihre Apps im Rahmen des Bereitstellungsprozesses zur Überprüfung einreichen. Apple überprüft diese Software auf bekannte Malware und stellt ein Beglaubigungsticket aus, sofern keine Malware entdeckt wird. Üblicherweise heften Entwicklungsteams dieses Ticket an ihre App an, sodass Gatekeeper sie verifizieren und starten kann – auch offline.
Außerdem kann Apple ein Sperrungsticket für Apps ausstellen, die als schädlich bekannt sind – auch dann, wenn sie zu einem früheren Zeitpunkt bereits einmal beglaubigt wurden. macOS überprüft regelmäßig, ob neue Sperrungstickets vorliegen, sodass Gatekeeper über die neuesten Informationen verfügt und den Start solcher Dateien blockieren kann. Durch diesen Prozess können schädliche Apps schnell blockiert werden, da die Hintergrundupdates sehr viel öfter erfolgen als jene zur Bereitstellung neuer XProtect-Signaturen. Darüber hinaus kann dieser Schutz sowohl auf Apps, die bereits beglaubigt wurden, als auch auf solche Apps angewendet werden, bei denen noch keine Beglaubigung erfolgte.
XProtect
macOS enthält eine integrierte Antivirustechnologie namens XProtect für die signaturbasierte Erkennung und Entfernung von Schadprogrammen. Das System verwendet YARA-Signaturen – ein Werkzeug für die signaturbasierte Erkennung von Malware, das von Apple regelmäßig aktualisiert wird. Apple überwacht Malware-Neuinfizierungen und -Verläufe und aktualisiert die Signaturen automatisch und unabhängig von System-Updates, um einen Mac vor Malware-Infizierungen zu schützen. XProtect erkennt und blockiert die Installation unbekannter Malware automatisch. Unter macOS 10.15 (oder neueren Versionen) führt XProtect immer dann eine Prüfung auf bekannte bösartige und schädliche Inhalte durch, wenn:
eine App zum ersten Mal gestartet wird,
eine App (im Dateisystem) verändert wurde,
XProtect-Signaturen aktualisiert werden.
Wenn XProtect bekannte Malware erkennt, wird sie blockiert und in den Papierkorb gelegt. Danach werden Benutzer:innen im Finder benachrichtigt. Benutzer:innen werden möglicherweise aufgefordert, Malware-Beispiele mit Apple zu teilen, damit die macOS-Sicherheit erhöht werden kann. Bei Zustimmung lädt XProtect nur die ausführbare Malware hoch, oder, falls die App Teil eines App-Pakets ist, das gesamte Paket. Sonst wird nichts geteilt.
Hinweis: Die Beglaubigung schützt effektiv vor bekannten Dateien (oder Datei-Hashes) und kann auf Apps angewendet werden, die bereits zu einem früheren Zeitpunkt geöffnet wurden. Die signaturbasierten Regeln von XProtect sind allgemeiner als bestimmte Datei-Hashes gefasst und können so auch Varianten entdecken, die Apple noch nicht bekannt sind. XProtect scannt nur Apps, die entweder geändert wurden oder das erste Mal gestartet werden.
Sollten sich tatsächlich einmal Schadprogramme auf einem Mac einschleichen, bietet XProtect auch die Technologie, um derartige Infizierungen zu beheben und zu bereinigen. Das Tool enthält eine Engine, die Infektionen basierend auf Updates, die automatisch von Apple bereitgestellt werden, bereinigt. (Diese Updates sind Teil der automatischen Updates von Systemdatendateien und Sicherheitsupdates.) Es entfernt Schadprogramme nach dem Empfang aktualisierter Informationen und prüft regelmäßig auf Infektionen. XProtect startet den Mac nicht automatisch neu. Darüber hinaus enthält XProtect eine fortschrittliche Engine zur Erkennung von unbekannter Malware auf der Grundlage von Verhaltensanalysen. Informationen über die von dieser Engine entdeckte Malware einschließlich Informationen darüber, welche Software sie ursprünglich heruntergeladen hat, wird zu Optimierung der XProtect-Signaturen und der Sicherheit von macOS verwendet.
Automatische XProtect-Sicherheitsupdates
Apple gibt die Updates für XProtect automatisch heraus – basierend auf den neuesten Informationen über aktuelle Bedrohungsszenarien. Standardmäßig prüft macOS täglich, ob derartige Updates verfügbar sind. Aktualisierungen für die Beglaubigung werden über die CloudKit-Synchronisierung bereitgestellt und erfolgen sehr viel öfter.
Reaktion von Apple auf die Entdeckung neuer Schadprogramme
Wenn neue Malware entdeckt wird, kann eine Reihe von Schritten ausgeführt werden:
Die zugehörigen Zertifikate der Entwickler-ID werden widerrufen.
Die Beglaubigung stellt die Sperrungstickets für alle Dateien (Apps und verknüpfte Dateien) aus.
XProtect-Signaturen werden entwickelt und veröffentlicht.
Außerdem werden diese Signaturen rückwirkend auf bereits beglaubigte Software angewendet. Alle Neuentdeckungen von Malware können zu einer oder mehreren bereits genannten Maßnahmen führen.
Schließlich leitet die Malwareerkennung im Laufe der folgenden Sekunden, Stunden und Tage eine Reihe von Schritten ein, um die bestmöglichen Schutzmaßnahmen für Mac-Benutzer:innen zu ergreifen.
Gatekeeper-Umgehung und XProtect-Ereignisse
macOS bietet Entwicklungsteams eine sichere API, die Endpoint Security API, damit sie sichere Software erstellen können. Auf einem Mac mit macOS 15 (oder neuer) können Entwicklungsteams von Drittanbietern nun Ereignisse erhalten, wenn Benutzer:innen Gatekeeper zur Ausführung eines Programms umgehen. Hierdurch können Entwicklungsteams diese Ereignisse zentral protokollieren. Für Sicherheitssoftware und Admins ist das besonders hilfreich, da es signalisiert, wenn nicht vertrauenswürdige Software an Endpunkten ausgeführt wird. Darüber hinaus können Benutzer:innen dieses Ereignis im integrierten macOS-Dienstprogramm „eslogger“ anzeigen.
Die Endpoint Security API bietet zudem Einblicke in die Malware-Erkennung von XProtect. Entwicklungsteams können Folgendes sehen:
Bestimmte von XProtect erkannte Dateien
Die mit dem Erkennungsereignis assoziierte XProtect-Signatur
Diese zusätzlichen Informationen können von Entwicklungsteams anderer Anbieter erfasst und für spätere Antworten auf Störfälle und zentrale Protokolle gesichert werden.