Schutz vor Malware in macOS
Apple betreibt einen Prozess für die Bedrohungsanalyse, der Malware schnell erkennt und blockiert.
Die drei Abwehrstufen
Die Abwehr von Malware ist in drei Stufen strukturiert:
1. Verhinderung des Startens oder der Ausführung von Malware: App Store oder Gatekeeper in Kombination mit Beglaubigung
2. Blockieren der Ausführung von Malware auf Kundensystemen: Gatekeeper, Beglaubigung und XProtect
3. Entfernung und Bereinigung von ausgeführter Malware: XProtect
Die erste Abwehrstufe ist darauf ausgelegt, die Verteilung von Schadprogrammen zu unterbinden und selbst ihre einmalige Ausführung zu verhindern – dieses Ziel haben der App Store sowie Gatekeeper in Kombination mit der Beglaubigung.
Die nächste Abwehrstufe soll sicherstellen, dass Malware beim Auftreten auf einem Mac schnell erkannt und blockiert wird – sowohl um ihre Ausbreitung zu stoppen als auch um alle Mac-Systeme zu bereinigen, auf denen sie bereits Fuß gefasst hat. XProtect ergänzt diese Abwehrstufe zusätzlich zu Gatekeeper und zur Beglaubigung.
Schließlich entfernt und bereinigt XProtect Schadprogramme, die ausgeführt werden konnten.
Zusammen tragen diese Abwehrmechanismen, die unten detaillierter beschrieben werden, zum optimalen Schutz vor Viren und Schadprogrammen bei. Darüber hinaus stehen (insbesondere auf einem Mac mit Apple Chips) weitere Abwehrmechanismen zur Verfügung, die den potenziellen Schaden von ausgeführter Malware begrenzen. Der Abschnitt App-Zugriff auf Benutzerdaten schützen enthält Informationen dazu, wie macOS dazu beitragen kann, Benutzerdaten vor Malware zu schützen. Der Abschnitt Integrität des Betriebssystems enthält Informationen dazu, wie macOS die Aktionen einschränken kann, die Malware auf einem System ausführen kann.
Beglaubigung
Die Beglaubigung ist ein von Apple bereitgestellter Malware-Überprüfungsdienst. Entwickler, die Apps für macOS außerhalb des App Store bereitstellen möchten, müssen ihre Apps im Rahmen des Bereitstellungsprozesses zur Überprüfung einreichen. Apple überprüft diese Software auf bekannte Malware und stellt ein Beglaubigungsticket aus, sofern keine Malware entdeckt wird. Üblicherweise heften Entwickler dieses Ticket an ihre App an, sodass Gatekeeper sie verifizieren und starten kann – auch offline.
Außerdem kann Apple ein Sperrungsticket für Apps ausstellen, die als schädlich bekannt sind – auch dann, wenn sie zu einem früheren Zeitpunkt bereits einmal beglaubigt wurden. macOS überprüft regelmäßig, ob neue Sperrungstickets vorliegen, sodass Gatekeeper über die neuesten Informationen verfügt und den Start solcher Dateien blockieren kann. Durch diesen Prozess können schädliche Apps schnell blockiert werden, da die Hintergrundupdates sehr viel öfter erfolgen als jene zur Bereitstellung neuer XProtect-Signaturen. Darüber hinaus kann dieser Schutz sowohl auf Apps, die bereits beglaubigt wurden, als auch auf solche Apps angewendet werden, bei denen noch keine Beglaubigung erfolgte.
XProtect
macOS enthält eine integrierte Antivirustechnologie namens XProtect für die signaturbasierte Erkennung und Entfernung von Schadprogrammen. Das System verwendet YARA-Signaturen – ein Werkzeug für die signaturbasierte Erkennung von Malware, das von Apple regelmäßig aktualisiert wird. Apple überwacht Malware-Neuinfizierungen und -Verläufe und aktualisiert die Signaturen automatisch und unabhängig von System-Updates, um einen Mac vor Malware-Infizierungen zu schützen. XProtect erkennt und blockiert die Installation unbekannter Malware automatisch. Unter macOS 10.15 (oder neueren Versionen) führt XProtect immer dann eine Prüfung auf bekannte bösartige und schädliche Inhalte durch, wenn:
eine App zum ersten Mal gestartet wird,
eine App (im Dateisystem) verändert wurde,
XProtect-Signaturen aktualisiert werden.
Wenn XProtect bekannte Malware erkennt, wird die Software blockiert. Gleichzeitig wird der Benutzer benachrichtigt und ihm die Möglichkeit geboten, die Software in den Papierkorb zu legen.
Hinweis: Die Beglaubigung schützt effektiv vor bekannten Dateien (oder Datei-Hashes) und kann auf Apps angewendet werden, die bereits zu einem früheren Zeitpunkt geöffnet wurden. Die signaturbasierten Regeln von XProtect sind allgemeiner als bestimmte Datei-Hashes gefasst und können so auch Varianten entdecken, die Apple noch nicht bekannt sind. XProtect scannt nur Apps, die entweder geändert wurden oder das erste Mal gestartet werden.
Sollten sich tatsächlich einmal Schadprogramme auf einem Mac einschleichen, bietet XProtect auch die Technologie, um derartige Infizierungen zu beheben und zu bereinigen. Das Tool enthält eine Engine, die Infektionen basierend auf Updates, die automatisch von Apple bereitgestellt werden, bereinigt. (Diese Updates sind Teil der automatischen Updates von Systemdatendateien und Sicherheitsupdates.) Es entfernt Schadprogramme nach dem Empfang aktualisierter Informationen und prüft regelmäßig auf Infektionen. XProtect startet den Mac nicht automatisch neu. Darüber hinaus enthält XProtect eine fortschrittliche Engine zur Erkennung von unbekannter Malware auf der Grundlage von Verhaltensanalysen. Informationen über die von dieser Engine entdeckte Malware einschließlich Informationen darüber, welche Software sie ursprünglich heruntergeladen hat, wird zu Optimierung der XProtect-Signaturen und der Sicherheit von macOS verwendet.
Automatische XProtect-Sicherheitsupdates
Apple gibt die Updates für XProtect automatisch heraus – basierend auf den neuesten Informationen über aktuelle Bedrohungsszenarien. Standardmäßig prüft macOS täglich, ob derartige Updates verfügbar sind. Aktualisierungen für die Beglaubigung werden über die CloudKit-Synchronisierung bereitgestellt und erfolgen sehr viel öfter.
Reaktion von Apple auf die Entdeckung neuer Schadprogramme
Wenn neue Malware entdeckt wird, kann eine Reihe von Schritten ausgeführt werden:
Die zugehörigen Zertifikate der Entwickler-ID werden widerrufen.
Die Beglaubigung stellt die Sperrungstickets für alle Dateien (Apps und verknüpfte Dateien) aus.
XProtect-Signaturen werden entwickelt und veröffentlicht.
Außerdem werden diese Signaturen rückwirkend auf bereits beglaubigte Software angewendet. Alle Neuentdeckungen von Malware können zu einer oder mehreren bereits genannten Maßnahmen führen.
Schließlich leitet die Malwareerkennung im Laufe der folgenden Sekunden, Stunden und Tage eine Reihe von Schritten ein, um die bestmöglichen Schutzmaßnahmen für Mac-Benutzer zu ergreifen.