Seite 1 von 1

Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 12:10
von kate
Ich werde hier so langsam alle meine Artikel zum Thema reinschreiben. Die werden nochmal ein wenig korrigiert wo nötig und ergänzt.

Jede Rubrik erhält ein eigenes Posting und kann ggfs. durch Hinweise von euch ergänzt werden, die ich dann dort einpflege.

An dieser Stelle will ich eine Linksammlung posten, die dort jeweils weiter ins Detail gehen, als ich das in meinen Hinweisen mache. Meine Hinweise sollen mehr eine leichter verständliche Orientierung bieten, ohne dass grosse Vorkenntnisse benötigt werden.

Diese Linksammlung verweist auf hauptsächlich englischsprachige Webseiten und Artikel, deren Inhalte ich teilweise in meinen Texten als Quelle benutzt habe, um sie dann im Deutschen vereinfacht zu verwenden. Ich sammele hier diese URLs damit man sich dort weiter umschauen kann. Ich habe darauf verzichtet meine Texte mit Links zu spicken damit sie einfacher werden, Inhalte und Textbausteine habe ich teilweise selbst übersetzt, teilweise kopiert, teilweise selbst geschrieben. Alle Urheberrechte liegen bei den jeweiligen Autoren, ich habe das alles meistens aus der Quellenliste passend zusammengetragen.
Einiges habe ich auch eher didaktisch selbst erstellt um den Zugang zum Thema einfacher zu machen.
Die Linksammlung ist bei weitem nicht vollständig und wer etwas findet was hier gut reinpasst kann mir den Link gerne posten.

Linksammlung:

Apple Plattformsicherheit - https://support.apple.com/de-de/guide/s ... elcome/web
Schnelle Sicherheitsmaßnahmen für iOS, iPadOS und macOS - https://support.apple.com/de-de/102657

Schützen der Mac-Informationen durch Verschlüsselung - https://support.apple.com/de-de/guide/m ... h40593/mac
Informationen zum verschlüsselten Speicher auf dem neuen Mac - https://support.apple.com/de-de/118277

Daten auf deinem Mac mit FileVault schützen - https://support.apple.com/de-de/guide/m ... h11785/mac

iCloud security and privacy overview - https://support.apple.com/de-de/102651

EFF Surveillance Self-Defense Guide - https://ssd.eff.org

iOS, The Future Of macOS, Freedom, Security And Privacy In An Increasingly Hostile Global Environment - https://gist.github.com/iosecure/357e72 ... 54e736670d

macOS Security Guide - https://github.com/drduh/macOS-Security ... e#imessage

Patrick Wardle's Objective-See blog - https://objective-see.org/blog.html
Reverse Engineering macOS blog - https://reverse.put.as

The macOS Phishing Easy Button: AppleScript Dangers - https://duo.com/blog/the-macos-phishing ... pt-dangers

Sentinel Blog - https://www.sentinelone.com/blog/macos- ... nterprise/

Das macOS Security Compliance Project NIST - https://github.com/usnistgov/macos_security

Wie man Malware für mac macht: https://www.blackhat.com/docs/us-15/mat ... r-OS-X.pdf

Anwendungsfirewall
Firewall für macOS Lulu - https://objective-see.org/products/lulu.html
Firewall für macOS LittelSnitch - https://www.obdev.at/products/littlesnitch/index.html
Firewall für macOS RadioSilence - https://radiosilenceapp.com

IP-Firewall
GUI für die IP Firewall pf-Firewall im macOS kernel - https://murusfirewall.com/murus/

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 12:30
von kate
Sicherheitsmassnahmen für iOS und macOS und was Sicherheit da bedeutet!

Was ist für uns in dem Zusammenhang eigentlich Sicherheit?
Wie steht es generell um unsere Datensicherheit und wieso fühlen wir uns an Stellen unsicher wo man gut geschützt ist und wieso fühlen wir uns sicher an Stellen wo wir das Messer am Hals haben?

Fangen wir mal allgemeinverständlich ganz flapsig an.

Sicherheit bedeutet nicht, sich in eine Ritterrüstung einschweissen zu lassen. Denn da drin verhungert und erstickt man. Das ist dann das, was Menschen so spontan als 100% Sicherheit ansehen. Nach kurzer Überlegung wird dann klar, dass Sicherheit in allen Fällen ein Kompromiss sein muss. Wieso?

Wenn man in einem sicheren Gebäude sitzt und arbeitet, und dort wertvolle Dinge aufbewahrt, fühlt man sich dann sehr sicher. Bis es brennt und die Feuerwehr nicht rein kommt und man von aussen zuguckt, wie drinnen die Geldbündel und der van Gogh verbrennen. So wird das also nix.

Man hängt dann für die Feuerwehr an der Haupttür ein kleines Kistchen an die Fassade und den Schlüssel dazu kriegt die Feuerwehr. Kistchen ist 20 Euro und der Schlüssel da drin ist für eine 10k € Schliessanlage? Wow. So also auch nicht.

Dann anders, vorne gibt es Wehrtürme aus denen brennendes Pech strömt, dazu einen Wassergraben mit Krokodilen drin, Fallgatter mit Stahlspitzen und eine Klappbrücke. Da rein und raus zu kommen ist langwierig, umständlich und gefährlich. Also im täglichen Rein/Raus der absolute Hass in Dosen. Aber der Burgherr verlangt das. Deswegen nutzen die Burgbewohner eine Leiter auf der Rückseite.

Das haben die Wikinger gesehen und deswegen wachte der Bugherr ohne Kopf auf, trotz der Krokodile. Das ist also auch nicht so gut. Sicherheit ist also immer ein Kompromiss zwischen Sicherheitsmassnahmen und Behinderung des Alltags durch die Massnahmen. Man kann, bei von Menschen abgesicherten Dingen, immer davon ausgehen, dass die Eigentümer gesicherter Dinge als erstes selbst ihren Schutz sabotieren, weil Schutz lästig und nervig ist.

Am Anfang aller Betrachtungen von Sicherheit von wertvollen Dingen steht deswegen eine Überlegung darüber, welche Wertgegenstände man wo hat, und mit welcher Intensität und Entschlossenheit interessierte Leute diese Wertgegenstände stehlen wollen. Das ist nicht das gleiche wie seine Wertgegenstände nach Wert einzustufen. Manche Diebe wissen um den Wert mancher trivial erscheinender Dinger besser als man selbst.

Am Anfang steht also erstmal, dass man was lernt und sich die Kenntnisse verschafft, überhaupt zu wissen welche Gefahren wo, und vom wem, auf welche Art, drohen können.

Damit muss man ja nicht von Null aus anfangen. Den Löwenanteil haben ITler des NIST bereits abgearbeitet. Mit macOS als Beispiel. Das haben die gemacht um macOS und Apple Rechner für den Betrieb in US-Behörden zu qualifizieren.

Das NIST ist das National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53, Security and Privacy Controls for Information Systems and Organizations, Revision 5.
Dabei handelt es sich um ein Projekt der US-Bundesregierung: Sicherheitsspezialisten des National Institute of Standards and Technology (NIST), National Aeronautics and Space Administration (NASA), Defense Information Systems Agency (DISA), und Los Alamos National Laboratory (LANL).

Deren URL habe ich oben in der Linksammlung gepostet. Im Folgenden beziehe ich mich stark auf deren Texte und Vorarbeiten.

Keine Panik!
Wir gehen das jetzt so an wie versprochen.

Ich benutze und kopiere hier im Folgenden verschiedene Quellen in Auszügen oder Abschnitten damit ich nicht alles selbst neu erfinden muss, darunter viel von der EFF(auch oben in der Linksammlung). Ich verweise nicht überall ausdrücklich auf die genaue Stelle, gebe aber oben alle Quellen an, die ich benutzt habe. Deswegen beanspruche ich auch keinerlei Autorenrechte an meinem Text. Dazu wird da zu viel Zeugs aus fremden Quellen drin sein. Ausserdem darf jeder Tippfehler und Editierfehler behalten die man so finden kann. Es gibt viele gute Bücher zu dem Thema, die alle viel besser und fehlerfreier sind als ich. Das hier wird so eine Art Versuch eines Readers-Digest.

Wie ich schon da oben angedeutet habe, ist das gefährlichste und unzuverlässigste Element der Sicherheit(Datensicherheit, Computersicherheit) der Bediener, Benutzer, Besitzer.

Besitzer: Mein superteures Laptop!! kein Kratzer! Immer diese Fingerabdrücke! Nur am Stahlseil mit Sicherung betreiben!

Bediener: Ich tippe da nur einen Text ab, Hauptsache die Tastatur is cool, ach? Huch!! Was'n das für'n Fenster? Hab ich das jetzt als E-Mail geschrieben? Ohne zu speichern? Kann ja nicht sein, das is'n Textfeld innem Browser? Wieso geht das nicht zu speichern? Wieso is das jetzt nicht innem Backup???

Benutzer: Einloggen? Lästiger Scheiss und überhaupt, an den Rechner kommt ja keiner, immer ohne Passwort, einfach RETURN drücken und machen!!

Allen diesen Leuten sind wir schon begegenet. Und es gibt noch viel schlimmere.

Mancher sorgt sich nur um seine teure Hardware, mancher nur um sein Geschreibsel und andere sind Hallodris und sorgen sich um nix als Bequemlichkeit.

Schön.

Was kann denn einen Dieb hier interessieren?
Hardware. Klauen und verticken. Sonst noch was?
Ach ja! ran an's Onlinekonto! Ran an's Paypal Konto!

Was für ein Schaden kann denn da entstehen? Rechner weg, Daten weg, Arbeit weg, aktuelle Dateien weg, aktuelle Software weg, teure Softwarepakete weg. Also das können etliche Tausender sein.

Aber ist das alles?

Nö. Mit den Kontakten und URLs zu deiner Arbeit, deinem Privatleben, deinen Kindern, Verwandten, lieben Menschen, Arbeitgeber, deinem eigenen Business kann man: Weitere Einbrüche begehen, neue Opfer finden, Erpressung betreiben, Identitätsdiebstahl betreiben um schlimmere Straftaten vorzubereiten und zu tarnen.
Der Diebstahl kann über deine Urlaubsfotosammlung hinaus gehen. Oft ist ein Opfer auch Mittel zum Zweck. Leute stehlen deine Daten oder deinen Rechner nicht nur, weil sie dich mit deinem OnlyFans Account erpressen wollen. Die wollen einfach nur gucken, ob sie nicht etwas finden, was ihnen den Einbruch bei deinem Arbeitgeber ermöglicht oder erleichtert.

Ausser deinem persönlichen Schaden kann es auch andere Leute schädigen und ganze Organisationen. Besonders solche an die man kaum mal bewusst denkt.

Es ist also wichtig, mal bewusst drüber nachzudenken, wie gross denn die Angriffsfläche wirklich ist, statt nur gefühlt zu behaupten, dass da nix wichtiges drauf ist, was man nicht eh in einem Backup hat.

Bevor man also versucht die Finessen von Verschlüsselungstechniken zu verstehen, zu kritisieren, und als ungenügend sicher zu verwerfen, muss man die eigene Nase mal feste packen. Fester. Jetzt also wirklich. Feste packen.
Ja, das was du da gerade an der Hand hast ist in der Regel derjenige, der es Gaunern leicht macht.

Das muss man sich im Folgenden immer mal wieder in Erinnerung rufen.

Soviel Präambel muss sein. Als nächstes machen wir einen kurzen Ausflug in die Basics. Die kennt jeder. Die kennt jeder? Nö. Wir lesen ja immer wie genau solche Basics immer wegdiskutiert werden. "Ich brauch' kein Backup!" bis zu "Wozu soll ich ein Update einspielen, das macht Apple ja nur um mich nur noch mehr gängeln zu können".

Wenn du so ein Volltrottel bist, liest du das hier wahrscheinlich sowieso nicht, aber sollte das Schicksal dich hier irgendwie hingeführt haben, dann rate ich dir wegzugehen. Nicht nur weil es bald anstrengend wird, sondern auch, weil ich gnadenlos Volltrottel beleidigen werde, solltest du einer sein und Kommentare dazu hier lassen. Das wird echt unangenehm.

Nach dieser Warnung jetzt erstmal die Basics:

Es gibt allgemein bewährte Sicherheitspraktiken:
(Wenn man die ignoriert: selber schuld!)

Wissen wer einem womöglich an den Kragen will: Bedrohungsmodell

Was versuchst du zu schützen und vor wem? (Lange Liste! Das wird kein EInzeiler)
Ist der Gegner eine Behörde mit drei Buchstaben, ein neugieriger Lauscher im Netzwerk, oder eine entschlossene Hass-Gruppe von WhatsApp "Freunden", die eine Kampagne gegen dich plant? Mitarbeiter? Familienmitglieder? Deine Vereinsfreunde? Nachbarn? Gelegenheitsdiebe im Internet?
Erkenne Bedrohungen und verschaffe dir das Wissen, wie die Angriffsfläche für diese Angreifer reduziert werden kann.
Halte das System und die Software auf dem neuesten Stand!

Führe regelmäßig Patches für das Betriebssystem und die gesamte installierte Software durch.
macOS-Systemaktualisierungen können in den Einstellungen abgeschlossen und auf automatische Installation eingestellt werden.
Man kann auch das Befehlszeilenprogramm softwareupdate verwenden.
Abonniere Mailinglisten mit Ankündigungen wie Apple security-announce.
Prüfe ob alle sicherheitsrelevanten Updates von Apple geladen sind. (Geht mit beispielsweise der App SilentKnight)
Verschlüssele sensible Daten.
Zusätzlich zur FileVault Volume-Verschlüsselung sollte der integrierte Kennwortmanager verwendet werden, um Kennwörter und andere sensible Daten zu schützen.

Sicherstellen der Datenverfügbarkeit

Erstelle regelmäßig Sicherungskopien der Daten und sei bereit, diese im Falle einer Kompromittierung wiederherzustellen.
Verschlüssele lokal, bevor die Backups auf unverschlüsselte externe Medien oder in die „Cloud“ kopiert werden; aktiviere alternativ eine Ende-zu-Ende-Verschlüsselung, wenn der Cloud-Anbieter dies unterstützt.
Überprüfe die Backups, indem du regelmäßig auf sie zugreifst.

Vorsichtig klicken

Letztlich hängt die Sicherheit eines Systems von den Fähigkeiten seines Administrators/Benutzers ab.
Bei der Installation neuer Software ist Vorsicht geboten; installiere nur von offiziellen Quellen, die die Entwickler auf ihrer offiziellen Website/Github/etc. angeben. Lasse dich nicht von ähnlich aussehenden Webseiten täuschen.
Lasse dich nicht von Sonderangeboten verlocken gefälschte Software zu laden.
Klicke keine Links in E-Mails an, egal ob Werbemails oder die vom offiziellen Account des amerikanischen Präsidenten oder Nachrichten deiner Bank mit eingebetteten Bildern und Links.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 12:48
von kate
Phishing - oder wie man dich reinlegt deine eigene Sicherheit zu torpedieren!

Phishing

Auf dem Weg zur Verbesserung der digitalen Sicherheit wird man möglicherweise auf bösartige Akteure stoßen. Wenn ein Angreifer eine E-Mail (oder eine Textnachricht oder eine Nachricht in einer App) oder einen Link sendet, der unschuldig aussieht, aber in Wirklichkeit bösartig ist, nennt man das „Phishing“.

Ein Phishing-Angriff erfolgt in der Regel in Form einer Nachricht, die dazu verleiten soll,:

auf einen Link zu klicken
ein Dokument zu öffnen
Software auf dem Gerät zu installieren
Benutzernamen und Ihr Kennwort auf einer Website einzugeben, die den Anschein der Seriosität erweckt

Phishing-Angriffe zielen in der Regel darauf ab, dich zur Preisgabe deiner Kennwörter zu verleiten oder zur Installation von Malware zu bewegen. Angreifer können dann diese Malware verwenden, um dein Gerät fernzusteuern, Informationen zu stehlen oder dich auszuspionieren.

Obwohl es hier hauptsächlich über E-Mail-Phishing geht, sind die Techniken nicht auf E-Mail beschränkt. Sie können auch über das Telefon, per SMS oder in Apps mit Chat-Funktionen funktionieren.

Phishing nach Passwörtern

Phisher versuchen, zur Herausgabe deiner Passwörter zu verleiten, indem sie einen irreführenden Link schicken. Webadressen in einer Nachricht scheinen ein Ziel zu haben, führen aber zu einem anderen. Auf deinem Computer kannst du die Ziel-URL normalerweise sehen, wenn man den Mauszeiger über den Link bewegt. Links können aber auch mit „ähnlichen Buchstaben“ oder mit Domänennamen, die nur einen Buchstaben von den legitimen Domänennamen abweichen, getarnt werden und damit auf eine Webseite leiten, die scheinbar so zu einem genutzten Dienst wie Gmail oder Dropbox führt.

Diese gefälschten Anmeldebildschirme sehen oft so legitim aus, so dass es verlockend ist, Benutzernamen und Passwort einzugeben. Dann werden die Anmeldedaten zum Angreifer geschickt. Und man hat sich selbst reingelegt und Halunken die Tür geöffnet.

Bevor man also ein Passwort eingibt, sollten man einen Blick auf die Adressleiste des Webbrowsers werfen. Dort wird der echte Domänenname der Seite angezeigt. Wenn er nicht mit der Seite übereinstimmt, bei der du dich einzuloggen glaubst, Stopp!

Ein Firmenlogo auf der Seite zu sehen, bedeutet nicht, dass sie echt ist. Jeder kann ein Logo oder Design auf seine eigene Seite kopieren, um jemand zu täuschen. Jeder kann die HTML Daten einer echten Webseite kopieren und für eigene Zwecke benutzen! Wenn etwas aussieht wie eine Webseite der Bundesregierung, kann es Verarsche, oder eine kriminelle Webseite sein. Also genau hinschauen!

Weil so eine Fälschung Mühe macht, gibt es beim genaueren Hinschauen schon hin und wieder Auffälligkeiten z.B. sprachlicher Natur. Aber ein Tippfehler ist noch kein Beleg. Allerdings sind fehlende Rechtschreibung und falsche Grammatik oft auffällige Hinweise!

Einige Phisher verwenden Websites, die wie bekannte Webadressen aussehen, um zu täuschen: https://wwwpaypal.com/ ist etwas anderes als https://www.paypal.com. Ähnlich verhält es sich mit https://www. paypaI.com (mit einem großen „i“ anstelle eines kleinen „L“) im Gegensatz zu https://www.paypal.com.

Viele Menschen verwenden URL-Verkürzungen, um lange URLs leichter lesen oder tippen zu können, aber diese können auch dazu verwendet werden, bösartige Ziele zu verstecken. Wenn man eine verkürzte URL wie einen t.co-Link von Twitter erhält, versuche sie in https://www.checkshorturl.com/ einzugeben, um zu sehen, wohin sie wirklich führt.

Traue auch dem Absender einer E-Mail nicht. Es ist leicht, E-Mails so zu fälschen, dass sie eine falsche Absenderadresse enthalten. Das bedeutet, dass die Überprüfung der scheinbaren E-Mail-Adresse des Absenders nicht ausreicht, um zu bestätigen, dass eine E-Mail wirklich von der Person gesendet wurde, von der sie zu stammen scheint.

Spearphishing

Die meisten Phishing-Angriffe werfen ein weites Netz aus. Ein Angreifer kann E-Mails an Hunderte oder Tausende von Personen senden, die vorgeben, ein spannendes Video, ein wichtiges Dokument, eine Versandbenachrichtigung oder eine Rechnung zu haben.
Oft wird das mit einer Sprache kombiniert, die autoritär, amtsdeutsch, offiziell und bedrohlich daher kommt. Einschüchterung lenkt ab, schürt Panik, löst reflexartige Reaktionen und Angst aus. Lasse dich nicht vom Ton der Nachricht einschüchtern!!

Manchmal werden Phishing-Angriffe aber auch gezielt auf der Grundlage von Informationen durchgeführt, die der Angreifer bereits über eine Person hat. Dies wird als „Spearphishing“ bezeichnet. Stelle dir vor, du bekommst eine E-Mail von Onkel Boris, die angeblich Bilder von seinen Kindern enthält. Da Boris tatsächlich Kinder hat und die E-Mail aussieht, als stamme sie von seiner Adresse, öffnest du das. Wenn man die E-Mail öffnet, ist ein PDF-Dokument angehängt.

Wenn man die PDF-Datei öffnet, zeigt sie vielleicht sogar Bilder von Boris' Kindern an, installiert aber auch unbemerkt Malware mit der du ausspioniert wirst. Nicht Onkel Boris hat diese E-Mail geschickt, sondern jemand, der weiß, dass es einen Onkel Boris gibt (und dass er Kinder hat). Das PDF-Dokument, auf das du geklickt hast, hat deinen PDF-Reader gestartet, aber einen Fehler in dieser Software ausgenutzt, um seinen eigenen Code auszuführen.

Es zeigt nicht nur ein PDF-Dokument an, sondern lädt und installiert auch Malware. Diese Malware könnte deine Kontakte abrufen und aufzeichnen, Passworte stehlen, weiterleiten was die Kamera und das Mikrofon deines Geräts sieht und hört. Bankdaten abgreifen, den Rechner komplett übernehmen und den Rechner als Mittel für kriminelle Aktivitäten benutzen, die dann zunächst auf dich zurück fallen, während der Angreifer anonym bleibt.

Eine andere Form des Spearphishings ist das Voice-Phishing, bei dem sich ein Angreifer als eine bestimmte Zielperson ausgibt, und sogar so weit geht, eine KI-Kopie von einer bekannten Stimme zu erstellen. Wenn sich die Stimme ungewöhnlich anhört, oder um ungewöhnliche Dinge wie Geld bittet, bitte den Angreifer, seine Identität auf andere Weise zu bestätigen (z. B. indem er etwas erzählt, das nur ihr beide wissen könnt, oder eine Nachricht von einem anderen Konto sendet) oder dich einfach mal telefonisch zurück ruft.

Die beste Möglichkeit, sich vor Phishing-Angriffen zu schützen, ist, niemals auf Links zu klicken oder Anhänge zu öffnen. Aber dieser Ratschlag ist für die meisten Menschen unrealistisch.

Gerade PDFs sind keineswegs so sicher wie das allgemein angenommen wird. Das liegt an der Natur von PDFs, die diverse Inhalte unterschiedlicher Art enthalten können, die man von aussen kaum erkennen kann.

Wie man sich gegen einen Phishing-Angriff wehren kann - Gegenmassnahmen!

Halte Software auf dem neuesten Stand!

Phishing-Angriffe, bei denen Malware eingesetzt wird, beruhen oft auf Software-Fehlern, um die Malware auf deinen Computer zu bringen. Sobald ein Fehler bekannt wird, veröffentlicht der Softwarehersteller normalerweise ein Update, um ihn zu beheben. Das bedeutet, dass ältere Software mehr öffentlich bekannte Fehler aufweist, die zur Installation von Malware genutzt werden könnten. Software auf dem neuesten Stand halten, verringert das Malware-Risiko.

Verwende einen Passwort-Manager!

Passwort-Manager, die Passwörter automatisch ausfüllen, behalten den Überblick darüber, zu welchen Websites diese Passwörter gehören. Während ein Mensch leicht durch gefälschte Anmeldeseiten getäuscht werden kann, lassen sich Passwort-Manager nicht auf die gleiche Weise austricksen. Wenn du einen Passwort-Manager verwendest (einschließlich des integrierten Passwort-Managers im Browser oder iOS/macOS) und dieser sich weigert, ein Passwort automatisch auszufüllen, solltest du zögern, und die Website noch einmal überprüfen.

Besser noch: Verwende zufällig generierte Passwörter, so dass man gezwungen sind, sich auf das automatische Ausfüllen zu verlassen, und es weniger wahrscheinlich ist, dass du dein Passwort auf einer gefälschten Anmeldeseite eingibst. Beachte aber, dass Websites ihre Anmeldeseiten ändern können (und dies auch tun), und dass dies manchmal dazu führen kann, dass das automatische Ausfüllen nicht mehr richtig funktioniert, selbst bei seriösen Websites. Im Zweifelsfall einfach die Anmeldeseite einer Website direkt über den Browser aufrufen, und nicht auf einen Link in einer Nachricht klicken!

Überprüfe E-Mails und Textnachrichten!

Eine Möglichkeit, um festzustellen, ob es sich bei einer E-Mail oder Textnachricht um einen Phishing-Angriff handelt, besteht darin, über einen anderen Kanal bei der Person nachzufragen, von der die Nachricht angeblich stammt. Wenn die E-Mail oder Textnachricht angeblich von deiner Bank stammt, klicke nicht auf die Links! Rufen stattdessen die Bank an oder öffne denBrowser und gib die URL der Website der Bank ein. Wenn der Onkel Boris einen seltsam aussehenden E-Mail-Anhang schickt, schicke ihm eine SMS und frage ihn, ob er Bilder von seinen Kindern geschickt hat, bevor man die E-Mail öffnet.

Öffne verdächtige Dokumente in Google Drive! (oder etwas ähnlichem)

Manche Menschen erwarten, dass sie Anhänge von unbekannten Personen erhalten. Journalisten zum Beispiel erhalten häufig Dokumente von Quellen. Aber es kann schwierig sein, zu überprüfen, ob ein Word-Dokument, eine Excel-Tabelle oder eine PDF-Datei nicht bösartig ist.

In diesen Fällen sollten man nicht auf die heruntergeladene Datei doppelklicken. Lade das stattdessen auf Google Drive oder einen anderen Online-Dokumentenleser hoch. Dadurch wird das Dokument in ein Bild oder eine HTML-Datei umgewandelt, was mit ziemlicher Sicherheit verhindert, dass es Malware installiert.

Man kann auch nicht vertrauenswürdige Links und Dateien an VirusTotal senden, einen Online-Dienst, der Dateien und Links mit verschiedenen Antivirenprogrammen vergleicht und die Ergebnisse meldet. Dies ist nicht narrensicher - Antivirenprogramme versagen oft bei der Erkennung neuer Malware oder gezielter Angriffe - aber es ist besser als nichts.

Beachte jedoch, dass jede Datei oder jeder Link, den man auf eine öffentliche Website wie VirusTotal oder Google Drive hochladen kann, von jedem eingesehen werden kann, der für dieses Unternehmen arbeitet, oder möglicherweise von jedem, der Zugang zu dieser Website hat, wie im Fall von VirusTotal. Wenn es sich bei den in der Datei enthaltenen Informationen um sensible oder vertrauliche Mitteilungen handelt, ziehe eine Alternative in Betracht !

Sei vorsichtig bei Anleitungen per E-Mail !

Manche Phishing-E-Mails geben vor, von einer Computer-Support-Abteilung oder einem Technologieunternehmen zu stammen, und fordert dazu auf, Passwörter zu nennen, einem „Computerreparateur“ Fernzugriff auf deinen Computer zu gewähren oder eine Sicherheitsfunktion des Geräts zu deaktivieren. Diese E-Mails haben oft einen eindringlichen Ton und versuchen, durch Angst oder vorgetäuschte Autorität zu etwas zu verleiten.

In einer E-Mail wird z. B. behauptet, dass dein E-Mail-Postfach voll ist, oder dass der Computer gehackt wurde, um zu erklären, warum dies notwendig ist. Sei besonders vorsichtig, bevor du jemandem technische Daten gibst oder technische Anweisungen befolgst, wenn du nicht absolut sicher sein kannst, dass die Quelle der Anfrage echt ist. Die meisten Unternehmen werden sich nicht an dich wenden, um Fehler zu beheben. Sie schicken allenfalls eine Benachrichtigung über eine bevorstehende Änderung oder eine Datenüberschreitung sowie einen Link zu einer öffentlichen Dokumentation.

Wenn jemand eine verdächtige E-Mail oder einen verdächtigen Link schickt, nicht anklicken und nicht öffnen, bis die Situation mit den oben genannten Tipps entschärft ist und man sicher sein kann, dass sie nicht bösartig ist.

Deaktiviere externe Bilder in der E-Mail-Software!

Bilder innerhalb einer E-Mail können verwendet werden, um zu verfolgen, wer eine E-Mail wann geöffnet hat. Wahrscheinlich sind dir diese Bilder in Marketing-E-Mails schon oft begegnet, aber sie können auch beim Phishing nützlich sein. Anstatt also zuzulassen, dass jedes Bild in jeder E-Mail geladen wird, sollte dein E-Mail-Client - egal ob es sich um eine Anwendung wie Outlook oder einen Dienst wie Gmail handelt - auf „Vor der Anzeige externer Bilder fragen“ einstellen.

Ist diese Option aktiviert, muss man in jeder E-Mail auf eine Option klicken, um Bilder zu laden. Einige E-Mail-Anwendungen bieten auch andere Maßnahmen zum Schutz der Privatsphäre, wie z. B. die Mail-Anwendung von Apple, die standardmäßig alle Bilder aus der Ferne lädt, es sei denn, man schaltet das aus.

Vor einer Weile wurde eine Sicherheitslücke bekannt, die schon beim reinen Anzeigen eines entsprechend präparierten Bildes in einer E-mail, eine Malware geladen hat, die den ganzen Rechner übernehmen konnte! Das ist zwar selten, aber diese Sicherheitslücken kommen vor.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 13:11
von kate
Wie man sein iPhone verschlüsselt und sichert

Das Verschlüsseln der Daten auf dem iPhone ist nur wenige Klicks entfernt, aber man sollte dabei auch noch einiges beachten. Da viele deiner Daten wahrscheinlich auch online gespeichert werden (wie z.B. deine E-mails), ist es auch wichtig zu verstehen, wie dieser Online-Speicher funktioniert, und man sollte die Aktivierung zusätzlicher Sicherheits-Funktionen in Betracht ziehen, mit denen diese Daten besser geschützt werden.

Wenn man ein iPhone oder iPad hat, kann man den Inhalt des Geräts durch Verschlüsselung schützen. Das gilt auch für'n Mac. Das bedeutet, dass jemand, der physischen Zugriff auf das Gerät erhält, auch das Benutzerpasswort/Code benötigt, um die darauf gespeicherten Daten zu entschlüsseln, einschließlich Kontakten, Sofortnachrichten oder SMS, Anrufprotokolle und E-Mails.

Moderne Apple-Geräte verschlüsseln ihre Inhalte standardmäßig mit verschiedener Wirksamkeit, je nachdem, welche Gerätegeneration man besitzt und in welchem Zustand sich dasTelefon befindet (z. B. ob es gesperrt oder entsperrt ist, oder ob es gerade aus einem ausgeschalteten Zustand gebootet wurde). Das gilt auch für Macs sinngemäss.

iPhones mit einem Apple-Prozessor haben als Teil des Prozessors Hardware verbaut, die dafür sorgt, dass nicht nur schnell ver- und entschlüsselt werden kann, sondern auch die Daten beim Booten, im Betrieb und beim Austausch der Daten möglichst gesichert bleiben.
Das ist eine Eigenschaft, die Intel-Macs nur in geringerem Umfang bieten und erst seit dem Umstieg auf Apple Prozessoren bei den Macs ist ein deutlich erhöhtes Schutzniveau möglich, das dem von iPhones gleich kommt.

Intel-Macs sind angreifbarer, da die Hardware in dem Fall einfach eine grössere technische Angriffsfläche für verschiedene Angriffstechniken bietet, gegen die Apple nichts tun kann, ohne die Hardware zu tauschen.
Insofern sind iPhones von der Seite her gut ausgestattet aber auch keine absolut sicheren Tresore. Nicht nur eifersüchtige Menschen möchten dein iPhone auslesen, sondern auch Firmen, Polizei, Steuerfahndung, soziale Netzwerke, Diebe, Überwachungsstaaten uvam.

Die besten Tools zum Knacken von gut gesicherten iPhones werden zur Zeit von israelischen Firmen angeboten, und zwar als Kombination von Hardware und Softwaretools. Generell ist es wichtig deine Geräte vor Fremdzugriffen zu schützen, weil der physische Kontakt mit dem Gerät gute Möglichkeiten bietet deine Sicherheit zu untergraben, vom Gerätediebstahl mal ganz abgesehen.

Daher ist es generell eine riskante Sache sein iPhone(oder MacBook oder so) mal kurz auf dem Tisch eines Cafés mit offenem WLAN liegen zu lassen um mal kurz Zucker zu holen.

Um zu verhindern, dass jemand Daten durch physischen Diebstahl des Geräts erlangt, muss die Verschlüsselung aktiviert und mit einem Passwort(Code) verknüpft werden, den nur man selbst kennt.

Apple kann den Strafverfolgungsbehörden bei einem aktivierten Passcode nicht helfen, Informationen zu extrahieren: „Bei allen Geräten, auf denen iOS 8.0 und spätere Versionen laufen, ist Apple nicht in der Lage, eine Extraktion von iOS-Gerätedaten durchzuführen, da die von den Strafverfolgungsbehörden typischerweise gesuchten Daten verschlüsselt sind und Apple nicht im Besitz des Verschlüsselungsschlüssels ist. Alle iPhone 6 und spätere Gerätemodelle werden mit iOS 8.0 oder einer neueren Version von iOS hergestellt“. Einige Strafverfolgungsbehörden besitzen aber möglicherweise andere Möglichkeiten, um auf die Daten auf dem Telefon zuzugreifen, ohne die Unterstützung von Apple zu benötigen.

Möglicherweise hast du beim Kauf des iPhones einen Passcode eingerichtet (6-stellige Nummer?). Wenn man sich jedoch dagegen entschieden hat, oder es ändern möchte, wie man sein Gerät entsperrt, kann das unter „Einstellungen“ > „Face (oder Touch) ID & Passcode“ erledigt werden. Hier kannst du eine Entsperrungsmethode einrichten, oder die biometrische Anmeldung zugunsten eines Passcodes deaktivieren, indem du die Option „iPhone entsperren“ unter „Face (oder Touch) ID verwenden für“ deaktivierst.

Wenn man will, kann man auch die Anforderungen für den Passcode ändern, den das Telefon verwendet. Öffne „Einstellungen“ > „Face (oder Touch) ID & Passcode“ und tippe auf „Passcode ändern“ (es wird „Passcode festlegen“ angezeigt, wenn bei der Ersteinrichtung des Telefons kein Passcode aktiviert wurde). Wenn du aufgefordert wirst, deinen neuen Passcode einzugeben, tippe auf „Passcode-Optionen“ und man hat die Wahl zwischen verschiedenen numerischen Längen oder einem alphanumerischen Code (sowohl Buchstaben als auch Zahlen).

Ein ungesichertes iPhone ist wie eine Einladung es zu stehlen und eine Einladung deine Daten abzugreifen!

Wie iCloud-Daten verschlüsselt werden
Wenn du ein Apple-Gerät verwendest, ist die Wahrscheinlichkeit groß, dass zumindest einige Daten in Apples Cloud-Dienst, der iCloud genannt wird, gespeichert sind. Dabei kann es sich um eine Vielzahl von Informationen handeln, von Kontaktlisten und App-Dateien, bis hin zu einem vollständigen Backup des iPhones. Ein Teil dieser Daten ist standardmäßig Ende-zu-Ende-verschlüsselt - das heisst, das nur du die Möglichkeit hast, die Daten zu entschlüsseln, nicht Apple -, ein anderer Teil ist nicht derartig gesichert.

Apple bezeichnet seine iCloud-Verschlüsselungskategorien als „Standard Data Protection“ oder „Advanced Data Protection“. Standard ist eine Art der Verschlüsselung, die standardmäßig aktiviert ist, während „Advanced“ eine Funktion ist, die man optional einschalten kann und sollte!

Was „Standard-Datenverschlüsselung“ bedeutet

Standard-Datenschutz bedeutet, dass ein Großteil der in iCloud gespeicherten Daten mit Verschlüsselungsschlüsseln gespeichert wird, auf die Apple Zugriff hat. Die Verschlüsselungsschlüssel deiner Geräte werden auf den Servern von Apple gespeichert, sodass Apple diese Daten bei Bedarf entschlüsseln kann.

Das bedeutet, dass das Unternehmen dir auch helfen kann, dein Kennwort wiederherzustellen, wenn du es vergessen hast. Auch bei der Standard-Datenverschlüsselung werden einige Daten Ende-zu-Ende verschlüsselt, darunter potenziell private Informationen wie Journal-Daten, Gesundheitsdaten, Wallet-Pässe und alle Passwörter, die im integrierten Passwort-Manager gespeichert sind.

Die Standard-Datenverschlüsselung verschlüsselt jedoch weder ein iCloud-Backup des Geräts noch das Backup von Unterhaltungen in Nachrichten Ende-zu-Ende. Das bedeutet, dass Apple Zugang zur Verschlüsselung der Schlüssel hat, um diese potenziell sensiblen Daten zu entschlüsseln.

Was bedeutet „Advanced Data Protection“

Advanced Data Protection ermöglicht eine Ende-zu-Ende-Verschlüsselung von Daten, die bei Standard Data Protection nur während der Übertragung und auf den Servern von Apple verschlüsselt werden. Mit anderen Worten: Nur Du hast jetzt die Kontrolle über die Verschlüsselungsschlüssel und Apple hat keinen Zugriff mehr auf diese Daten. Das bedeutet auch, dass Apple nicht helfen kann, den Zugang zum Konto wiederherzustellen sollte man die Codes verlieren oder vergessen. Der erweiterte Datenschutz umfasst viele wichtige Informationen, darunter das iCloud-Backup (einschließlich des Backups von Nachrichten), iCloud Drive, Fotos, Notizen, Erinnerungen und mehr.

Mit aktivierter Advanced Data Protection sind Backups und die wichtigsten Dateien Ende-zu-Ende-Verschlüsselt, wodurch die Dateien besser gegen Massenüberwachung, abtrünnige Apple-Mitarbeiter oder potenzielle Datenlecks geschützt sind. Der Nachteil ist, dass Apple nicht helfen kann, diese Daten wiederherzustellen, wenn du den Zugriff auf dein Konto oder die Geräte, auf denen die Schlüssel gespeichert sind, verlierst.
Um sich dagegen zu schützen, ermöglicht Apple, einen Wiederherstellungsschlüssel zu erstellen, den man selbst speichert, oder man kann einen Wiederherstellungskontakt zuweisen, eine vertrauenswürdige Person, die dann einen Code weitergeben kann, mit dem wieder Zugang zum Konto erhalten werden kann. Der Wiederherstellungskontakt kann nicht auf deine iCloud-Daten zugreifen!

Es gibt immer noch einige Datentypen, die nicht in die erweiterte Datensicherung einbezogen sind. Dabei handelt es sich vor allem um Daten, die auf bereits bestehenden Standards basieren, darunter Kalender, Kontakte und iCloud Mail. Diese werden weiterhin mit dem Standard-Datenschutz gespeichert. Apple besitzt auch weiterhin einige Metadaten über Backups, iCloud Drive-Dateien, Fotos, Notizen, Lesezeichen und Nachrichten.

Ebenso unterstützen nicht alle Apps, die iCloud zum Synchronisieren oder Sichern von Daten verwenden, den erweiterten Datenschutz, und man muss sich möglicherweise direkt an den Entwickler einer App wenden, um zu erfahren, wie die App Daten speichert. Dies kann für bestimmte Arten von Apps, wie z. B. eine App für Notizen oder Protokolle, wichtiger sein als für andere, wie z. B. eine App zum Speichern von Rezepten.

Ende-Zu-Ende Verschlüsselt sind bei aktivierter Option dafür folgende DFatentypen und Dateien:
Wifi Passworte
Wallet Pässe
W1 und H1 Bluetooth Schlüssel
Sprachmemos
Siri Kürzel
Siri Info
Bildschirmzeit
Safari Bookmarks
Safari
Erinnerungen
Photos
Bezahlmethoden
Passworte und der Schlüsselbund
Notizen
iCloud Nachrichten
Karten
Journal Daten
iCloud Mail
iCloud Drive
iCloud Backup
Gesundheitsdaten
Kontakte
Kalender
Apple Card Transaktionen

Wie Daten bei der gemeinsamen Nutzung oder Zusammenarbeit gesichert werden

Wenn Sie eines der Apple Tools für die Zusammenarbeit verwenden, um Daten mit anderen zu teilen, gibt es einige Dinge zu beachten, wenn es um die Ende-to-Ende-Verschlüsselung geht.

Der erweiterte Datenschutz wird für freigegebene Inhalte beibehalten, solange sie mit einer anderen Person geteilt werden, die den erweiterten Datenschutz aktiviert hat. Wenn du einen freigegebenen iCloud Drive-Ordner, freigegebene Notizen oder eine freigegebene iCloud-Fotomediathek verwendest, müssen alle Teilnehmer den erweiterten Datenschutz aktiviert haben, damit die Freigabe funktioniert!!
Wenn du zum Beispiel einen iCloud Drive-Ordner mit jemandem teilen und beide den erweiterten Datenschutz aktiviert haben, bleibt dieser Ordner Ende-zu-Ende-verschlüsselt. Bei der Freigabe von Dateien wird jedoch nicht angezeigt, ob die Person, mit der man Dateien teilt, den erweiterten Datenschutz aktiviert hat.

Wie weiter oben schon mehrfach gesagt, ist gute Sicherheit leider auch immer mit zusätzlicher Arbeit und zusätzlicher Unbequemlichkeit verbunden und man muss mehr kommunizieren und abstimmen, ganz zu schweigen davon, dass man sich gut informieren muss und Sachen verstehen muss, damit man eine informierte und kluge Entscheidung treffen kann, wie man das Handhaben will und damit nicht einfach auf ein trügerisches und vielleicht dummes Bauchgefühl hört.

Wenn man jedoch irgendeine Form der iWork Zusammenarbeit verwendet, z. B. die Zusammenarbeit mit anderen an einem Dokument in Pages oder Numbers, sind diese Dateien nicht Ende-zu-Ende-verschlüsselt. Wenn man eine Datei oder einen Ordner mit der Option „Jeder mit dem Link“ aus einer App wie „Dateien“ oder „Fotos“ freigibt, sind diese Dateien ebenfalls nicht mehr Ende-zu-Ende-verschlüsselt. In diesen Fällen wird der Standard-Datenschutz verwendet.

Also aufpassen! Ein mit anderen geteilten Pages Dokument ist also nicht mit dem besten Schutz versehen, den man haben kann. aber das Teilen verhindert, dass eine durchgehende Ende-zu-Ende Verschlüsselung möglich ist, denn wer von den Teilnehmern sollte da die Gewalt über die Schlüssel denn bekommen? Das geht also so nicht.

Der erweiterte Datenschutz - Superschutz ist möglich!
Die erweiterte Datensicherheit kann von einem iPhone, iPad oder Mac aus aktiviert werden, und sie gilt dann für alle anderen Apple-Geräte, die man besitzt.

Bevor man den erweiterten Datenschutz aktivieren kann, muss man einige Schritte durchführen: Aktiviere die Zwei-Faktor-Authentifizierung für deinen Apple-Account, falls man das noch nicht getan hat, und aktualisiere alle Apple-Geräte (mindestens auf iOS 16.3, iPadOS 16.3, macOS 13.2, tvOS 16.3, watchOS 9.3, oder neuer. Wenn du ältere Geräte mit dem iCloud-Konto verbunden hast, für das du den erweiterten Datenschutz aktivieren willst, und diese nicht aktualisiert werden können, sollte man die Aktivierung von Advanced Data Protection vorerst noch einmal überdenken. Im Folgenden wird erläutert, warum das so ist, und eine alternative Vorgehensweise vorgeschlagen. Wenn man aktualisieren kann, kann man wie folgt vorgehen, um die Ende-zu-Ende-Verschlüsselung zu aktivieren:

Die Aktivierung des erweiterten Datenschutzes!
Systemeinstellungen auf dem Mac) > „Ihr Name“ > iCloud > Erweiterter Datenschutz > Account-Wiederherstellung. Hier wird eine von zwei Optionen für eine Wiederherstellungsmethode angeboten. Damit kann man den Zugriff auf dein Konto wiederherstellen, da Apple dabei nicht helfen kann. Man muss mindestens eine Wiederherstellungsmethode wählen, kann aber auch beides tun:

Wiederherstellungskontakt: Hierbei handelt es sich um einen Freund oder ein Familienmitglied, der/das ein Apple-Gerät besitzt und bei Bedarf helfen kann, wieder Zugang zum Konto zu erhalten. Diese Person hat keinen Zugriff auf die Daten, kann aber einen Wiederherstellungscode senden, mit dem man sich wieder einloggen können. Man kann die Person bei Bedarf auch wieder aus diesem Menü entfernen.

Wiederherstellungscode: Dies ist ein 28-stelliger Code, mit dem man bei Bedarf wieder auf sein Konto zugreifen kann. Apple erhält keine Kopie dieses Codes. Wenn du ihn verlierst, kannst du den Zugang zu deinem Apple-Konto für immer verlieren. Wenn man sich für diese Methode entscheidet, muss man den Schlüssel ein paar Mal eintippen, also schreibe ihn auf!!
Gehe zurück zu den Einstellungen (oder Systemeinstellungen auf dem Mac) > „Ihr Name“ > iCloud Erweiterter Datenschutz > Kontowiederherstellung und tippe auf „Erweiterten Datenschutz einschalten“ und folge den Anweisungen. Man muss die PIN des Telefons und den Wiederherstellungsschlüssel eingeben, falls diese Wiederherstellungsmethode gewählt wurde.

Sobald der erweiterte Datenschutz eingerichtet ist, muss man sich weiter keine Sorgen darum machen, es sei denn, man versucht, ein neues Gerät einzurichten, das mit einer älteren Version des Betriebssystems ausgeliefert wurde (in diesem Fall muss man den erweiterten Datenschutz möglicherweise vorübergehend deaktivieren), man ist ggfs. gezwungen eine Kontowiederherstellung durchführen, oder man muss über einen Browser auf iCloud-Daten zugreifen. Wenn man regelmäßig auf Daten von iCloud.com zugreifen will, geht man zu Einstellungen > „Ihr Name“ > iCloud und tippt auf "Zugriff auf iCloud-Daten im Web," um den Zugriff zu aktivieren, wenn man ihn benötigt.

Aber Achtung!! Wenn man ein älteres Gerät besitzt, das nicht auf iOS 16.3 oder neuer aktualisiert werden kann, ist die Aktivierung des erweiterten Datenschutzes nur möglich, wenn man seine Apple ID von diesem Gerät entfernt. In vielen Fällen wird das Gerät dadurch unbrauchbar. Wenn man beispielsweise ein älteres Apple TV hat, das nicht aktualisiert werden kann, kann man dann nicht mehr mit der Apple ID auf den App Store zugreifen und Netflix, Hulu und viele andere Apps nicht mehr nutzen.!!

Apple sollte diesen Prozess vereinfachen und den Nutzern die Möglichkeit geben, sich für den erweiterten Datenschutz anzumelden, ohne die Apple ID von älteren Geräten zu entfernen, auch wenn das bedeutet, dass der Zugang zu bestimmten Sharing-Funktionen wie iCloud Drive oder Apple Fotos gesperrt wird. Das ist aber aktuell nicht der Fall. Man muss sich also entscheiden, ob man damit zu Gunsten des besseren Schutzes leben kann.

Wie gesagt, wenn man Krokodile im Burggraben halten muss, kann man da drin dann nicht gleichzeitig Goldfische halten, weil es mühsam ist dafür ein Extrabecken einzubauen, das dann ohne Krokodilschutz wäre. Es ist manchmal echt mühsam.

Es ist aber noch nicht alles verloren. Für einige Geräte, wie z. B. ein Apple TV oder ein älteres MacBook, gibt es eine Abhilfe nämlich, eine zweite Apple ID zu erstellen und sie dann als Familienmitglied in der Familienfreigabe zuzuweisen. Dadurch sollten viele Abonnements oder App Store-Downloads weitergegeben werden, aber dieses Gerät erhält dann keinen Zugriff auf die Art von Daten, die in der erweiterten Datensicherung enthalten sind. So kann man beispielsweise nicht auf die Fotobibliothek zugreifen, aber man kann immer noch auf ein Netflix-Abonnement zugreifen, für das man über Apple bezahlt (wenn man für keine Abonnements über Apple bezahlt, muss man sich keine Sorgen machen). Die Einrichtung dieser Funktion kann sehr mühsam sein. Dieser Workaround funktioniert leider nicht für Geräte, die stärker auf synchronisierte Daten angewiesen sind, wie z. B. eine Apple Watch.

Weil Sicherheit und Datenschutz lebendige Konzepte sind ist es oft mühselig dabei mitzuhalten.



Wie funktioniert diese Verschlüsselung? Ein Quantencomputer hackt das doch sowieso?

Bei diesem Thema gibt es unzählige Missverständnisse und sogar Verschwörungstheorien, so dass man kaum alles dazu sagen und erklären kann, was helfen würde den Haufen an Unsinn und Falschmeldungen zu beseitigen.

Ich halte das mal kürzer und erspare die Mathematik der Kryptografie, will aber einige Fakten mal der Reihe nach aufführen.
Apple benutzt nach eigener Aussage für alle seine Verschlüsselungen von Dateien einen standardisierten Kryptostandard.
Der heisst AES für Advanced Encryption Standard. Also so viel wie Fortschrittlicher Verschlüsselungsstandard. Dessen Methodik und Aufbau kann man öffentlich einsehen.
Wie immer kann man einige Details dazu bei Wiki finden: https://de.wikipedia.org/wiki/Advanced_ ... n_Standard

Apple benutzt von diesem Standard die Variante mit der längsten Schlüssellänge von 256 Bit. Grundsätzlich kann man sagen, dass ein Kode um so sicherer ist, je länger die Schlüssellänge ist und je komplexer die Verschlüsselungsmethode ist.
Beides zusammen trägt dazu bei, den zu treibenden Aufwand für ein reines Erraten des Schlüssels in gigantische Grössen zu treiben. Es handelt sich bei AES um eine offizielle US-Amerikanische Verschlüsselungsmethode, die zugelassen ist, um geheime offizielle Dokumente des Staates zu verschlüsseln. Das ist also kein Spielzeugkram oder irgendwie eine Apple-Entwicklung mit undurchsichtigem Aufbau und dubioser Sicherheit.

Als die USA einen neuen Standard brauchten haben sie eine öffentliche Ausschreibung gemacht und ausgerechnet die Belgier haben diese Ausschreibung gegen harte US-Konkurrenz gewonnen. Seit 2000 ist AES dann offiziell übernommen worden. Man kann also davon ausgehen, dass die Methode viele Vorteile hat, wenn die US-Regierung ausgerechnet eine europäische/belgische Verschlüsselungsmethode aussucht, obwohl man wegen der europäischen Herkunft Sicherheitsbedenken geäussert hatte.

Seither haben Leute natürlich aus eigenem Interesse und im Auftrag daran gearbeitet den Code zu knacken und eine Methode zu finden, die es möglich macht schneller Daten zu entschlüsseln als durch systematisches Ausprobieren. Das Ausprobieren ist auch für sehr schnelle moderne Computer eine Aufgabe, an der die bisher ersticken, weil es Jahrzehnte oder Jahrhunderte dauert bis man da einmal Erfolg hat. Bei der nächsten Datei geht das dann wieder von vorne los.

Deswegen gibt es raffinierte mathematische Methoden das zu verkürzen, indem man die Struktur der Verschlüsselungsmethode an sich benutzt, um weniger ausprobieren zu müssen. Das ist in den letzten 25 Jahren aber niemandem gelungen. Es gibt bisher eine Methode, die den Probieraufwand reduziert, aber immer noch unrealistisch lange Rate- und Probierzeiten erforderlich macht.

Wer für seine Daten mehr kryptografische Sicherheit haben will als sie für Staatsgeheimnisse benutzt wird, kann das recht einfach machen: Seine Datei(en) einfach lokal separat nochmal mit einem Verschlüsselungsprogramm verarbeiten. Das was Apple macht kommt dann einfach nochmal oben drauf.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 16:24
von kate
Zusätzliche Sicherheit: Lockdown-Modus auf dem iPhone/iPad und/oder Mac aktivieren

Was ist der Abriegelungsmodus?
Der Abriegelungsmodus ist eine optionale Einstellung für iPhone, iPad und Macs, die Personen mit hohem Risiko vor bestimmten Arten von digitalen Bedrohungen schützen soll. Er ist auf allen Geräten verfügbar, auf denen iOS 16, iPadOS 16, macOS 13 und neuer ausgeführt werden können.

Entwickler von Malware und Spyware, die auf Apple-Geräte abzielen, konzentrieren sich in der Regel auf bestimmte Schwachstellen in den Plattformen, häufig solche, die die gemeinsame Nutzung von Daten, Kommunikationstools oder grundlegende Dateiformate verwalten. Einige Arten von Angriffen können wahrscheinlich auch durch die Aktivierung des Lockdown-Modus vereitelt werden.

Wie jede Sicherheitssoftware bietet auch der Lockdown-Modus nicht immer perfekten Schutz vor jeder Bedrohung, aber er hat sich in der Vergangenheit in einer Reihe von Fällen als nützlich erwiesen, insbesondere in Kombination mit der Anwendung von Software- und Sicherheitsupdates.

Der Lockdown-Modus hat sich als nützlich für Journalisten, Menschenrechts- und Demokratieaktivisten und Regierungsmitarbeiter erwiesen, die Gefahr laufen, durch Spionageprogramme ausspioniert zu werden. Er ist auch bei der Teilnahme an Protesten nützlich, da er die 2G-Mobilfunkunterstützung deaktiviert, was dazu beiträgt, dass unverschlüsselte Kommunikation nicht von Mobilfunksimulatoren abgefangen wird.

Der Sperrmodus schützt allerdings nicht, wenn jemand physischen Zugang zum Telefon hat. Achte darauf, dass ein sicheres Passwort und Passwörter für deine Geräte verwendet werden!

Wenn der Sperrmodus aktiviert ist, verliert dein Gerät eine Reihe von Funktionen, die häufig von bestimmten Arten von Spyware oder anderen bösartigen Programmen genutzt werden. So werden beispielsweise viele Anhänge in der Nachrichten-App blockiert, der Standort wird aus allen Fotos entfernt, die man teilt, und eingehende FaceTime-Anrufe von Personen, die nicht in Ihren Kontakten sind, werden blockiert.

Für manche Menschen wird die Aktivierung des Sperrmodus das Gefühl, ein iPhone oder iPad zu verwenden, erheblich verändern und möglicherweise bestimmte Funktionen, die man regelmäßig nutzt, deaktivieren. Es gibt viele kleine Änderungen, die du vielleicht zunächst gar nicht bemerkst, wie z. B. die Deaktivierung des automatischen Ausfüllens von SMS-Zwei-Faktor-Authentifizierungscodes durch den Lockdown-Modus.

Eine Website könnte allerdings "sehen", dass du den Sperrmodus verwendest, was ein zusätzlicher Fingerabdruck sein könnte. Ob es sich für dich lohnt, hängt von deinem Sicherheitsplan ab, davon, wie du das Gerät verwendest und auf welche Funktionen man ggfs. angewiesen ist.

Hier sind einige der Änderungen, die nach der Aktivierung des Lockdown-Modus auftreten:

Änderungen beim App- und Web-Browsing
Web-Browsing: Einige Webtechnologien wie Just-in-Time-JavaScript und WebAssembly sind deaktiviert, was zu Problemen führen kann und einige Websites seltsam aussehen lässt. Auch Webschriftarten sind deaktiviert, wodurch sich das Erscheinungsbild vieler Websites und Anwendungen ändert, und auf einigen Websites werden Bilder möglicherweise vollständig blockiert.

Nachrichten: Die meisten Arten von Nachrichtenanhängen sind blockiert, mit Ausnahme von Bildern, Videos und Audio. Dies kann einige wichtige Teile der Nachrichten-App deaktivieren, wie z. B. die Standortfreigabe und das Teilen von animierten GIFs, und es ändert die Informationen, die man sofort sehen kann, wenn man Geld mit Apple Cash sendet. Linkvorschauen sind deaktiviert, und man erhält nicht einmal einen klickbaren Link, wenn jemand einen sendet, sondern nur Text, den man kopieren und dann erst in einen Browser einfügen muss

FaceTime: Eingehende FaceTime-Anrufe werden blockiert, es sei denn, die Person befindet sich in den Kontakten oder man hat bereits mit ihr telefoniert. Die meisten zusätzlichen Funktionen, wie Live Photos, sind deaktiviert.

Fotos: Wenn man Fotos freigibt, werden die Standortinformationen automatisch ausgeschlossen. Freigegebene Alben funktionieren nicht mehr, und neue Einladungen werden blockiert.
Einige Apple-Dienste sind deaktiviert: Game Center und Einladungen zur Verwaltung eines Hauses in der Home-App sind deaktiviert.

Änderungen im Hintergrund
Konfigurationsprofile können nicht installiert werden: Konfigurationsprofile können nicht installiert werden, und dein Gerät kann auch nicht für ein neues Geräteüberwachungsprogramm angemeldet werden, während es sich im Sperrmodus befindet (wie es manchmal von Arbeitgebern oder in der Schule verlangt wird). Wenn du jedoch bereits ein Konfigurationsprofil installiert hast, bleibt es installiert.
Änderungen bei der drahtlosen und Mobilfunkverbindung: Die 2G-Mobilfunkunterstützung ist deaktiviert. Das Gerät verbindet sich auch nicht automatisch mit unsicheren Wi-Fi-Netzwerken, wie z. B. passwortlosen Netzwerken, die man in Cafés oder Flughäfen findet.

So aktiviert man den Sperrmodus
Das Aktivieren des Sperrmodus ist keine dauerhafte Option. Es dauert zwar einige Zeit, ihn ein- und auszuschalten, weil man sein Gerät jedes Mal neu starten muss, wenn man die Einstellung ändert, aber man kann das so oft tun, wie man will. Das bedeutet, dass man den Sperrmodus aktivieren kann, wenn man sich in einer bestimmten Situation befinden, z. B. bei einer Demonstration, was nützlich ist, da 2G deaktiviert wird, und ihn dann wieder deaktivieren kann, wenn man wieder sicher zu Hause ist.

Aktiviere den Abriegelungsmodus auf einem iPhone oder iPad:
Öffne die App „Einstellungen“, dann „Datenschutz und Sicherheit“ > „Abriegelungsmodus“ und tippe auf „Abriegelungsmodus einschalten“.
Tippe auf Einschalten & Neustart, gib deinen Passcode ein und warte bis das Gerät neu gestartet ist.
Um den Sperrmodus zu deaktivieren, denselben Anweisungen folgen, aber stattdessen „Sperrmodus ausschalten“ wählen .

Falls man eine Apple-Watch mit diesem Gerät verbunden hat wird die ebenfalls automatisch in den Sperrmodus versetzt.

Aktiviere den Lockdown-Modus auf einem Mac:
Öffnedie Systemeinstellungen und wähle dann in der Seitenleiste die Option Datenschutz und Sicherheit.
Klicke auf Abriegelungsmodus und dann auf Einschalten.
Klicke auf Abriegelungsmodus einschalten und gib das Kennwort ein.
Klicke auf Einschalten und Neustart und warte, bis der Computer neu gestartet ist.
Um den Sperrmodus zu deaktivieren, befolge dieselben Anweisungen, wähle jedoch stattdessen „Sperrmodus deaktivieren“.

Falls man mehrere Apple-Geräte hat kann es sein, dass man den Hinweis erhält auf diesen Geräten ebenfalls den Sperrmodus zu aktivieren. Man kann das dann machen oder nicht, je nachdem welche Bedürfnisse man hat.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 16:25
von kate
Verfolgung durch Smartphones - Hunderte Millionen Personen werden verfolgt und Daten meistbietend versteigert.

Die Technologie, die diese umfangreiche Datenerfassung möglich macht, sind natürlich die in Android und iOS sowie in den Apps, die auf diesen Betriebssystemen laufen, eingebauten Tracking-Mechanismen. Android weist jedem Gerät standardmäßig eine eindeutige Werbe-ID zu und macht sie jeder App zugänglich, die über Standortberechtigungen verfügt. iOS hingegen hält seinen „Identifier for Advertisers“-Tracker privat, gibt aber jeder installierten App die Möglichkeit, den Zugriff darauf zu beantragen.

Einige Apps erhalten die Erlaubnis, auf den Standort eines Telefons zuzugreifen, und verkaufen den Standort des Geräts dann an Datenbroker. Die Daten können auch über das Ökosystem der Webwerbung zugänglich gemacht werden. Während eine werbegestützte Seite geladen wird, führt das Werbenetz in Echtzeit eine Auktion durch, um eine personalisierte Anzeige an den Höchstbietenden zu verkaufen. Eine wichtige Information, die die Bieter für die Festlegung des Preises verwenden, ist - man hat es sich schon gedacht - der Standort des Geräts, auf dem der Browser läuft. Werbetreibende generieren zusätzliche Einnahmen, indem sie diesen Verlauf an Anbieter wie Location X (Babel Street) verkaufen. Das sind Firmen, die Datenbanken zur Verfolgung von Personen unterhalten und Zugriff darauf verkaufen, nicht nur an Behörden, sondern auch an Firmen und Privatpersonen, die als Firmen auftreten. Also praktisch jeden.

Sich wehren

Es gibt mehrere Einstellungen, die Telefonbenutzer wählen müssen, um die ständige Weitergabe ihres Standorts zu unterbinden. Für Android- und iOS-Nutzer besteht der erste Schritt darin, zu überprüfen, welche Apps derzeit die Erlaubnis haben, auf den Standort des Geräts zuzugreifen. Dies kann unter Android unter Einstellungen > Standort > App-Standortberechtigungen und unter iOS unter Einstellungen > Datenschutz und Sicherheit > Standortdienste erfolgen.

Beide Betriebssysteme zeigen eine Liste von Apps an und geben an, ob der Zugriff immer, nie, nur während der Verwendung der App oder jedes Mal nach der Erlaubnis gefragt werden soll. In beiden Fällen kann der Nutzer auch wählen, ob die App den genauen Standort bis auf wenige Meter genau, oder nur einen grobkörnigen Standort anzeigen soll.

Für die meisten Nutzer ist es sinnvoll, einer App für Verkehrsmittel oder Karten den Zugriff auf den genauen Standort des Nutzers zu gestatten. Für andere Arten von Anwendungen - z. B. solche für Fotos, Internet-Musikboxen in Bars und Restaurants - kann es hilfreich sein, den ungefähren Standort zu kennen, aber ihnen einen präzisen, feinkörnigen Zugriff zu gewähren, ist wahrscheinlich übertrieben. Und für andere Anwendungen gibt es keinen Grund, dass sie den Standort des Geräts kennen. Abgesehen von einigen wenigen Ausnahmen gibt es kaum einen Grund, warum Apps immer Zugriff auf den Standort haben sollten.

Es überrascht nicht, dass Android-Nutzer, die die aufdringliche Standorterfassung blockieren möchten, mehr Einstellungen ändern müssen als iOS-Nutzer. Als Erstes muss man auf Einstellungen > Sicherheit und Datenschutz > Werbung zugreifen und „Werbe-ID löschen“ wählen. Ignoriere dann umgehend die lange, beängstigende Warnung von Google und klicke unten auf die Schaltfläche zum Bestätigen der Entscheidung. Wenn man diese Einstellung nicht sieht ist das gut ! Das bedeutet, dass die bereits gelöscht sind. Google stellt hier eine Dokumentation zur Verfügung.

iOS gibt Apps standardmäßig keinen Zugriff auf die „Kennung für Werbetreibende“, Apples Version der eindeutigen Tracking-Nummer, die iPhones, iPads und AppleTVs zugewiesen wird. Apps können jedoch ein Fenster mit der Aufforderung anzeigen, die Einstellung zu aktivieren. iPhone-Benutzer können dies unter Einstellungen > Datenschutz & Sicherheit > Tracking überprüfen. Dort werden alle Apps angezeigt, die die Erlaubnis haben, auf die eindeutige ID zuzugreifen. Dort sollten die Nutzer auch die Schaltfläche „Apps erlauben, Tracking anzufordern“ deaktivieren. In den iOS-Einstellungen für Datenschutz und Sicherheit sollten Nutzer zu Apple Advertising navigieren und sicherstellen, dass "Personalisierte Werbung" ausgeschaltet ist.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 17:14
von kate
Browser, DNS, VPN, Sicherheit und Datenschutz ?! - iOS und macOS

Hier werden verschiedene Technologien aufgeführt und ein wenig erläutert, die das sichere und private Surfen verhindern oder beeinträchtigen. Technologien und ihre Probleme werden in diesem Abschnitt aufgeführt, Abhilfemassnahmen, oder Vorschläge in den folgenden Abschnitten danach.

Tracking komplett zu verhindern ist fast unmöglich!
Es ist immer wichtig das im Sinn zu behalten.

Aber es ist möglich Löcher zu stopfen. Normalerweise ist man es selbst, der das aber grundlegend sabotiert. Wie ganz zu Anfang gesagt, ist es aber auch eine Abwägung zwischen unbequemem Aufwand und Sicherheit. Die Unbequemlichkeit ist oft eben das, was letztlich dazu führt, dass die Wikinger dir im Bett Guten Morgen sagen. Aber auch die selber einbetonierten abgeschlagenen Sektflaschen auf der Mauerkrone und eine strikte Sicherheitspolitik werden unterminiert wenn man den Schlüssel zur Tür unter die Fussmatte legt.

Wenn man z.B. bei mehreren Diensten gleichzeitig angemeldet ist, ist es fast unmöglich, Daten zu schützen. Nehmen wir zum Beispiel einen Benutzer, der angemeldet ist bei:

Gmail (E-Mail)
&
Facebook (soziale Medien)

Wenn du bei Gmail angemeldet sind, kann man Google Analytics, Double Click (ein Google-eigener Dienst) und mehrere andere große Werbenetzwerke nicht effektiv blockieren. Dies geschieht, da Google das gesamte Ökosystem kontrolliert - Suche, YouTube, Maps, E-Mail usw. Das bedeutet, dass Google jedes Mal, wenn man nach einem Begriff sucht, sofort weiß, wer du bist, welchen Suchbegriff du eingegeben hast und auf welche(n) Link(s) in den Suchergebnissen du möglicherweise geklickt hast. Ähnlich verhält es sich, wenn man seine Urlaubsroute über Google Maps plant: Google weiß dann genau, wohin man fährt. Über die Google-Dienste hinaus verfolgt Google dich mit DoubleClick und GoogleAnalytics im gesamten Web. Jetzt weiß Google nicht nur alles über deine Suchanfragen, E-Mails und Reisepläne, sondern auch über jede Website, die du besuchst, wie du dorthin gelangt bist und wohin du als nächstes gehen wirst.
Das liegt auch daran, dass unglaublich viele Webseiten GoogleAnalytics eingebunden haben, weil das ihre Suchbarkeit und Findbarkeit erhöht. Wer zwischendurch andere Webseiten besucht verstärkt daher in der Regel nur die Details des Profils.

In ähnlicher Weise wirst du über die „Gefällt mir“-Schaltfläche von Facebook im gesamten Web verfolgt. Jedes Mal, wenn du eine Website (oder eine einzelne Seite) mit einer „Gefällt mir“-Schaltfläche besuchst, sendet Facebook die URL an sich selbst zurück. Wenn du zu diesem Zeitpunkt bei Facebook angemeldet bist verfügt Facebook auch über deine Authentifizierungsdaten, die es Facebook ermöglicht, viele deiner Surfgewohnheiten direkt mit deinem ganz persönlichen Benutzerkonto zu verknüpfen.

Wenn du in diesem Beispiel versuchen würdest, die Tracker von Facebook und Google zu blockieren, würdest du zwar das Tracking stoppen, aber gleichzeitig würdest du die Sitzungen, die du mit Facebook und Google Mail geöffnet hast, unterbrechen.

Google und Facebook wurden in diesem Beispiel verwendet, da sie mit zu den beliebtesten Diensten im Internet gehören/gehörten. Die gleichen Probleme treten jedoch bei jedem Dienst auf, der Werbung mit anderen Funktionen kombiniert.

Dieses Problem kann durch die Verwendung mehrerer Browser wirksam entschärft werden und bietet die Möglichkeit eines echten Datenschutzes. Benutze mehrere Browser für unterschiedliche Dienste und Konten! Aber vermische die nicht! Nutze G-mail auf FireFox, nutze Chrome für deine Route. Nutze Safari für was anderes. Lösche die Cookies und andere Daten und den Cache wenn du G-Mail auf Safari startest. Aber besser, man mixt nie.

Da wird dann schon klar, dass Tracking auch eine Sache der Disziplin ist. Und wer ist schon durchgehend so diszipliniert? Kaum jemand. Also ist das vielleicht auch eher nur eine theoretische Möglichkeit. Immerhin ist es machbar und kein Fiebertraum.



HTTP (Nicht-SSL) Browsing

Regel 1: Das Internet ist kein sicherer oder freundlicher Ort.
Standardmäßig ist die Kommunikation zwischen deinem Webbrowser und den Webservern, mit denen du Kontakt aufnimmst, nicht verschlüsselt (HTTP). Dadurch wird dein gesamter Webverkehr offengelegt für:

Deinen ISP (Telekom, Vodafone, etc. )
Jeder in dem Café/der Bibliothek/der Universität, der deinen Internetzugang bereitstellt
Jeder, der den Verkehr zwischen deinem Provider und deinem Zielserver überwachen kann
Außerdem kann jeder, der sich zwischen dir und deinem Zielserver befindet, deinen Datenverkehr verändern, einschließlich der Einspeisung bösartiger Inhalte, die deine Privatsphäre und Sicherheit gefährden können.

ISPs haben in der Vergangenheit gezeigt, dass sie dies für mobile Benutzer tun. Darunter sehr grosse Anbieter.

HTTP ist ein solches Sicherheitsproblem, dass damals Mozilla HTTP zugunsten von HTTPS abgeschafft hat. Es gibt zwar immer noch HTTP Seiten, aber es werden immer weniger. Dennoch, Obacht!

Um dieses Problem zu entschärfen und eine sichere, verschlüsselte Kommunikation zu ermöglichen, muss HTTPS verwendet werden. Dadurch wird die Kommunikation zwischen deinem Webbrowser und den Webservern, mit denen du in Kontakt bist, verschlüsselt.

HTTP(S)-Cookies

Cookies werden von Websites verwendet, um Benutzer sowohl für legitime, als auch für nicht legitime Zwecke zu verfolgen. Zu den rechtmässigen Zwecken gehören die Authentifizierung angemeldeter Benutzer, die Speicherung von Benutzereinstellungen usw.

Zu den nicht legitimen Verwendungszwecken gehört die Verfolgung von Nutzern im gesamten Web mit Hilfe von eindeutig identifizierbaren Cookie-Werten. Für große Werbenetzwerke wie Google Analytics, die auf vielen Websites einen Tracking-Code installiert haben, ermöglicht dieser eindeutige Cookie-Wert die Verfolgung und gezielte Ansprache auf fast jeder von dir besuchten Website.

Eine beliebte und wirksame Methode zur Eindämmung von Werbetreibenden, die dich über Cookies verfolgen, ist die Blockierung von Drittanbieter-Cookies. Unter 3rd-Party-Cookies versteht man in diesem Zusammenhang Websites, die außerhalb der von dir besuchten Website geladen werden. Wenn du zum Beispiel https://macsofa.net besuchst, wird macsofa.net zur ersten Partei. Werbeträger, die macsofa.net dynamisch lädt, werden von seiner eigenen Infrastruktur geladen, was wir nicht tun, aber könnten. Diese separate Infrastruktur wird als „Drittanbieter“ betrachtet, und wenn der Browser so eingestellt ist, dass Cookies von Drittanbietern blockiert werden, kann man die Wirksamkeit der Werbetreibenden erheblich verringern. Es gibt Anleitungen für alle Browser, wie man dies tun kann.

Javascript

Javascript wird zur dynamischen Erstellung und Bereitstellung von Webinhalten verwendet. Wie HTTP-Cookies hat Javascript viele legitime Verwendungszwecke, aber es stellt auch die Technologie bereit, die für den Betrieb von Werbenetzwerken von Drittanbietern erforderlich ist, und ist eine notwendige Komponente für viele Browser-Exploits. Also dem Einbruch und dem Tracking.

Die vollständige Deaktivierung von Javascript verbessert sowohl die Sicherheit als auch die Privatsphäre, verhindert jedoch, dass viele Websites korrekt funktionieren. Das Sofa funktioniert ohne JavaScript nicht. Die Funktionalität setzt in vollem Umfang auf Javascript. Fast alles was man sieht, nutzt und verändert, hat eine Komponente, die auf Javascript setzt. Eine Website in gewohnten Umfang zu realisieren ist eigentlich bei den meisten interaktiven Webseiten heutzutage nur mit Javascript möglich. Interaktivität lässt sich eben anders kaum umsetzen. Das ist der Grund weswegen die Deaktivierung von JavaScript die Funktion von fast allen Webseiten heute zerstört.


HTML5 - Lokale Speicherung

HTML5 ist die neueste Version und aktuell „der Standard“ der HTML-Spezifikation. HTML heisst die Sprache, in der ein Server deinem Browser mitteilt wie die Seite aussehen soll, die er dir schickt. Eine ihrer Funktionen, die Bedenken hinsichtlich des Datenschutzes hervorgerufen haben, ist die Möglichkeit für Websites, „HTML5-Datenbanken“ zu erstellen. Diese Datenbanken ähneln den HTTP-Cookies, werden aber nicht in denselben Datenspeichern aufbewahrt und ermöglichen die Speicherung viel größerer und flexiblerer Datenmengen.

HTML5 birgt auch die Gefahr des Canvas Fingerprinting. Wie später besprochen wird, ist dies etwas, gegen das sich das Tor Browser Bundle (TBB) speziell verteidigt und gegen das andere Browser keinen Schutz bieten. Fingerprinting ist generell eine Technik, die die individuellen Einstellungen eines Browsers, deiner Hardware und deiner Websoftware benutzt, um zu versuchen daraus eine individuelle Kennung von dir zu erstellen. Das wird im Folgenden noch mehrfach vorkommen.


WebRTC

WebRTC ist eine Technologie, die direkte Interaktionen zwischen Browsern ermöglicht, die zuvor mit anderen Standards nicht möglich waren.

Bei WebRTC wurde ein ernsthaftes Datenschutzproblem festgestellt. Dieses Problem ermöglicht es Websites, die lokale IP-Adresse eines Benutzers zu erkennen. Dies ist Teil eines Browser Exploitation Frameworks. Das wird in Baukästen zur Erstellung von Einbruchswerkzeugen benutzt.

Die Möglichkeit für Websites, die lokale IP-Adresse eines Benutzers zu ermitteln, ist ein großes Problem, da dies eine eindeutige Identifizierung von Benutzern hinter Routern, NATs, VPN und möglicherweise Tor ermöglicht.

In nicht-technischer Hinsicht bedeutet dies, dass nicht mehr jedes Mitglied einer Familie aus demselben Netzwerk zu kommen scheint (z. B. dem drahtlosen Router zu Hause), sondern, dass Werbetreibende eine ganz bestimmte Eigenschaft des Systems jedes Nutzers bestimmen können, um ihn eindeutiger zu verfolgen. Also können sie deine Tochter, deinen Freund, dein Kleinkind usw. individuell erkennen und zwar an Hand der lokalen IP des jeweiligen Geräts das sie benutzen, kombiniert mit eher individuellen Eigenschaften und Einstellungen des jeweils benutzten Browsers.

Man kann überprüfen, ob dein aktueller Browser anfällig ist, indem du diese Website besuchst. Wenn die deine lokale IP oder deine VPN-IP sehen, musst du die Ratschläge in diesem Leitfaden befolgen.
https://diafygi.github.io/webrtc-ips/

Falls du in den drei Rubriken

Your local IP addresses:
Your public IP addresses:
Your IPv6 addresses:

Irgendwelche Adressen siehst solltest du in deinem Browser mal neue Einstellungen vornehmen, deinen Browser updaten, oder generell überlegen ob du noch aktuelle Software benutzt.


Browser-Fingerprinting

Obwohl es sich hierbei nicht um eine Technologie handelt, ist die Möglichkeit für Dritte, deinen Fingerabdruck zu erstellen, d. h. deinen Browser eindeutig zu identifizieren, in hohem Maße von der Installation bestimmter Browsertechnologien abhängig.
Cookies einzuschränken und Tracker zu blockieren, um deine Privatsphäre zu schützen, ist normal. Die Werbetreibenden wollen dem jedoch nicht nachkommen und entwickelten stattdessen eine Reihe von Fingerprinting-Methoden, die sich Attribute zunutze machen, die für den durchschnittlichen Benutzer nur sehr schwer zu ändern sind.

Bei der Kontaktaufnahme zwischen deinem Browser und einem Server fragt der Server nach etlichen Eigenschaften deines Browsers und deiner Hardware. Das ist nicht nur sinnvoll, sondern auch notwendig, damit der Server die Inhalte passend zu den Fähigkeiten deines Systems, deines Browsers und deiner Hardware ausliefern kann. Es nützt z.B. nichts, wenn der Server deinem Browser MP4 Videos ausliefert, obwohl deine Hardware das innerhalb deines Browsers nicht darstellen kann. Dein Browser kann z.B. auch bestimmte Schriften und bestimmte Sprachen und bestimmte Kodierungen und andere nicht. Das alles wird dazu verwendet ein Profil zu erstellen, das fast so individuell wie du selbst ist. Man braucht also kein Passfoto von dir. Es genügt zur Identifizierung dein individuelles Profil deines Browsers. Zumindest manchmal.

Ein Werbeblocker

Unter dem Gesichtspunkt der Sicherheit ist bösartige Werbung eine der größten Bedrohungen für normale Endnutzer. Aus der Sicht des Datenschutzes sind Werbetreibende die größte Bedrohung für die Privatsphäre im Internet. Sie verfolgen jede Bewegung, die du auf fast jeder Website machst, und setzen dann alle Ihre Daten im Hintergrund in Beziehung, um sehr persönliche Profile deines Verhaltens und Aktionen zu erstellen.
Um die Gefahren für die Sicherheit und die Privatsphäre zu vermeiden, die Online-Werbung darstellt, kann man einen Werbeblocker installieren.

WebRTC-Blockierung

Wie bereits oben erwähnt, stellt WebRTC ein großes Problem für den Datenschutz dar, da es dazu missbraucht werden kann, die interne IP-Adresse der Nutzer auszuspähen. Dies ist sehr nützlich für Werbetreibende, die sehr eindeutige Identifikationsmerkmale für Nutzer entwickeln wollen. Es kann auch missbraucht werden, um Benutzer zu deanonymisieren, die VPNs und/oder Tor verwenden, um ihre wahre Identität zu verbergen.
Bei jedem Browser ist die Deaktivierung von WebRTC anders. Teilweise schwierig. Man sollte sich für seine eigene Browserversion genau informieren.


Ändere deine Suchmaschine

Wenn du bezüglich der Sicherheit und des Datenschutzes weitergehende Bedürfnisse hast, musst du deine Suchmaschine überdenken. Selbst wenn du den Tor-Browser benutzt, verfolgen die großen Suchmaschinen (Du weisst, wer sie sind) immer noch deine Suchbegriffe und versuchen, dich durch das Setzen von Cookies und anderen Daten eindeutig zu identifizieren.

Um hier Abhilfe zu schaffen, solltest du eine datenschutzfreundliche Suchmaschine verwenden. Eine beliebte Option ist z.B. DuckDuckGo, aber auch andere.
DuckGoGo z.B. protokolliert deine Suchanfragen nicht in einer Weise, die zu dir zurückverfolgt werden kann.


Verhindern von DNS-Lecks

Das Domain Name System (DNS) wird verwendet, um textuelle Namen eines Dienstes (z. B. macsofa.net) in eine IP-Adresse aufzulösen. Dieser Vorgang ist notwendig, damit der Browser mit Servern kommunizieren kann. Leider ist DNS nicht datenschutzfreundlich, und selbst wenn man andere hier beschriebene Techniken verwendet, kann das Durchsickern von DNS-Anfragen ein großes Datenschutzproblem darstellen.

Wenn man z. B. eine HTTPS-Website über bestimmte Krebsbehandlungen oder psychische Erkrankungen besucht, kann dein Internetdienstanbieter nicht feststellen, welche Seite du genau besucht hast, aber wenn du die DNS-Server deines Internetdienstanbieters verwendest, was in der Regel die Standardmethode ist, weiss dein Internetdienstanbieter, dass du eine bestimmte Website besucht hast, weil du zuerst deren Namen abgefragt hast. Auch wenn er also nicht die genaue Seite kennt, die du besucht hast, so weiss er doch, welche Website du besucht hast. Dies ist ein offensichtliches Problem für den Datenschutz. Um deine DNS-Abfragen geheim zu halten, hast du mehrere Möglichkeiten.

Zunächst gibt es mehrere öffentliche DNS-Server, die keine Anfragen protokollieren. Welche das aktuell sind musst du recherchieren.

Eine weitere Möglichkeit ist die Verwendung eines VPN-Clients, der DNS-Tunneling unterstützt. Dies bietet die gleichen Datenschutzvorteile wie VPNs im Allgemeinen, die im Abschnitt VPN beschrieben sind.

Und schließlich kannst du ein System wie TAILs benutzen, das alle DNS-Anfragen durch Tor leitet. Die Tor-Dokumentationsseite beschreibt dieses Problem und die Lösung im Detail.



Was ist mit „Private Browsing“?

„Privates Surfen“ ist eine Funktion, die von allen modernen Browsern angeboten wird, um die Privatsphäre zu schützen, indem keine Daten auf deinem lokalen System (Browserverlauf, Cookies usw.) und im Netzwerk aufgezeichnet werden, wenn sich der Browser im privaten Modus befindet. Leider hört sich dieser Modus sicherer an, als er tatsächlich ist.

Warum nicht TBB (Tor-Browser-Bundle) oder TAILs(https://tails.net/index.de.html) für das gesamte Browsing verwenden?

Es gibt zwei Probleme mit diesem Ansatz.

Das erste ist, dass böswillige Exit Nodes, die letzten Server, die deine Daten im Tor-Netzwerk durchlaufen, bevor sie das Internet erreichen, böswillig deinen nicht-HTTPS-Datenverkehr ausspähen und verändern können. Da viele Webseiten immer noch eine authentifizierte Nutzung ohne striktes HTTPS erlauben, vertraust du die Sicherheit deines Kontos den Tor-Exit-Nodes an - was du nicht tun solltest. Es gibt eine Reihe von Hinweisen auf bösartige Exit Nodes.

Weil jeder sich als Teil des Tor Netzwerkes beteiligen kann, sind etliche Teilnehmer auf diesem Netzwerk durchaus dubios und versuchen das Netzwerk durch eigene teilnahme zu sabotieren. Das sind Privatpersonen als auch national agierende Gruppen oder Institutionen.

Das zweite Problem beim authentifizierten Surfen mit Tor ist, dass es so aussieht, als würdest du von überall auf der Welt surfen, wenn du Tor benutzt. Das ist ein großer Vorteil aus Sicht der Privatsphäre und der Anonymität, aber es wird mit ziemlicher Sicherheit dazu führen, dass du auf deinen Bank-, Gesundheits- und anderen Webseiten, auf denen sensible Daten gespeichert sind, ausgesperrt wirst. Außerdem ist es eine starke Sicherheitsmaßnahme für diese Websites, zu wissen, aus welchen geografischen Regionen du dich normalerweise anmeldest, um zu erkennen, wenn dein Konto von einem Angreifer auf der anderen Seite der Welt kompromittiert wird.


Verwendung virtueller privater Netzwerke (VPN)

Ein VPN ermöglicht es einem Benutzer, seine Netzwerkverbindungen durch ein fremdes Netzwerk zu tunneln. Das fremde Netzwerk leitet den Datenverkehr dann an das gewünschte Ziel weiter.

VPNs können immense Vorteile in Bezug auf Sicherheit und Datenschutz bieten, da die Verbindung vom Computer des Benutzers zum VPN-Server verschlüsselt wird, was verhindert, dass Personen in offenen drahtlosen Netzwerken sowie der Internetanbieter des Benutzers herausfinden können, wo der Benutzer surft. Der Benutzer ist auch vor IP-Adressen-basiertem Tracking geschützt, da Webserver den Benutzer als von der externen IP-Adresse des VPNs kommend ansehen und nicht als die tatsächliche IP-Adresse des Benutzers.

Die Verwendung von VPNs ist nicht nur auf Desktops und Laptops, sondern auch auf mobilen Geräten von Vorteil. Auf mobilen Geräte gelten viele der beschriebenen Technologien gegen Sicherheit und Datenschutz eben auch. Mobile Geräte sind außerdem durch gefälschte Basisstationen und betrügerische drahtlose Zugangspunkte gefährdet, die die Internetverbindung des Geräts überwachen und stören.

Auswahl eines VPN-Anbieters

Es gibt viele vertrauenswürdige VPN-Anbieter.
Bevor du dich für einen VPN-Anbieter entscheidest, solltest du VPN-Anbieter-Tests lesen. Du kannst auch mehrere VPN-Anbieter im Wechsel verwenden.

VPN-Software & Ausfälle

Ein häufiges „Problem“ von VPN-Softwareanwendungen ist, dass sie bei Serviceproblemen „ausfallen“ können. Offenes Versagen“ bedeutet, dass eine Aktion fortgesetzt werden kann, wenn ein Fehler auftritt, während ‚geschlossenes Versagen‘ bedeutet, dass alle Aktionen verweigert werden, bis das Problem behoben ist.
In Computernetzwerken ist ein gängiges Beispiel ein Netzwerksicherheitsüberwachungsgerät, das im Falle eines Fehlers „ausfällt“, wodurch das Netz einem Risiko ausgesetzt wird, der Datenverkehr aber weiterhin durchlaufen kann. Wenn das Gerät „ausfällt“, wird der gesamte Netzwerkverkehr blockiert, bis das Gerät wieder ordnungsgemäß funktioniert. Viele Unternehmen ziehen es vor, ungeschützt zu arbeiten, anstatt den gesamten Betrieb einzustellen.

Bei VPN-Software bedeutet „failing open“, dass deine Verbindungen nicht mehr über das VPN geleitet werden, sondern direkt mit dem Internet verbunden werden. Je nach deinem Bedrohungsmodell und deinem aktuellen Standort kann dies ein inakzeptables Risiko darstellen. Bevor du eine bestimmte VPN-Software verwendest, solltest du in der Dokumentation nachlesen, ob sie offen oder geschlossen ausfällt, und deine Entscheidung entsprechend treffen.

VPN oder TOR

Geheimdienste vieler Länder überwachen Tor und seine Benutzung. Es ist auch bekannt, dass Downloads des Tor-Browser-Pakets ebenfalls von vielen Geheimdiensten überwacht wird. Es wird angenommen, dass Benutzer, die Tor benutzen, stärker überwacht werden als andere.

Bei der Entscheidung zwischen Tor und einem VPN gibt es sowohl technische als auch politische Entscheidungen zu treffen. Wenn du in einem Land lebst, dessen Internet stark überwacht wird, und in dem du mit rechtlichen Schritten rechnen musst, wenn du die Filter umgehst, dann musst du Tor mit Vorsicht benutzen.

VPNs können an solchen Orten auch überwacht werden und werden es auch, aber VPNs sind oft schwieriger zu entdecken als Tor, das leicht an den Rechnern zu erkennen ist, mit denen man sich verbindet, um sich mit dem Tor-Netzwerk zu verbinden.

Aus technischer Sicht bietet Tor eine viel größere Anonymität als ein VPN, vorausgesetzt, der Überwacher befindet sich nicht auf staatlicher Ebene. Bei einem VPN musst du deinem VPN-Anbieter sehr viel Vertrauen entgegenbringen, da ein böswilliger, oder kooperativer VPN-Anbieter deinen Datenverkehr überwachen, protokollieren und manipulieren kann. Bei Tor ist das Hauptproblem der böswillige Ausgangsknoten, wie bereits beschrieben. Dies kann durch HTTPS stark abgeschwächt werden.

Allgemeine Sicherheitspraktiken

Verwende einen Passwort-Manager

Passwort-Manager bieten eine hohe Passwortsicherheit, da sie sichere Passwörter generieren und diese dann für alle besuchten Websites speichern. Dadurch wird dein Kennwort nicht nur nach einem Datenbank-Dump weniger leicht knackbar, sondern du hast auch für jede Website ein eindeutiges Kennwort - eine starke Maßnahme im Vergleich zur Sicherheitslage der meisten Menschen.

Aktiviere überall die Zwei-Faktor-Authentifizierung

Zusätzlich zu sicheren Passwörtern sollten überall, wo es möglich ist, die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Fast jeder seriöse Dienst bietet diese Option inzwischen an, und wenn du sensible Daten in einem Konto hast, in dem 2FA nicht möglich ist, solltest du den Dienst wechseln und deine Daten entfernen.
2FA ist eine starke Sicherheitsmaßnahme, da nicht nur dein Kennwort für die Anmeldung erforderlich ist (ein Faktor), sondern auch ein zweiter Faktor, auf den Angreifer nicht so leicht zugreifen können - z. B. ein Code, der über eine SMS and einTelefon gesendet wird, oder ein Code, der in einer mobilen Anwendung generiert wird. Dieser zusätzliche Schritt entschärft Angriffe, nachdem dein Passwort gestohlen wurde, oder wenn Angreifer versuchen, dich über eine Skriptschwachstelle zur Anmeldung bei einem Dienst zu zwingen.

Nur bei aktuell genutzten Websites anmelden

Bei der Anmeldung bei sensiblen Websites, darfst du dich immer nur bei einer Website anmelden. Wenn du mehrere Bankkonten bei verschiedenen Unternehmen hast, melde dich nur bei einem an, logge dich aus, wenn du fertig bist, und melden dich dann beim nächsten an. Dadurch wird verhindert, dass eine Skripting-Schwachstelle auf einer Bank-Website Daten kompromittiert, oder Aktionen in deinem Namen auf der anderen Website durchführt. Wende das in derselben Logik auf jede andere Website an, von der du nicht willst, dass deine Daten gestohlen werden.

Wer wissen will was der genutzte Browser so alles an Daten hergibt kann folgendes Werkzeug benutzen: https://browserleaks.com
Ist allerdings in Englisch und die technischen Details sind auch nicht für jeden verständlich. Immerhin kann man damit spielen und schauen ob eigene Einstellungen im Browser eine Auswirkung haben und ggfs. wo.

Für Safari sollte man von den Standardeinstellungen sowohl unter macOS, als auch iOS ein wenig abweichen.
In Safari > Einstellungen > Datenschutz > Erweitert sollte folgender Haken EIN sein: Erweiterten Tracking- und Identifizierungsschutz verwenden und dahinter im Menü sollte „in allen Browsing Aktivitäten“ gewählt sein.
Die Haken darunter sollten AUS sein. Mit dem Haken bei „Alle Cookies“ blockieren“ kann man sich besser schützen, sich aber auch aus wichtigen Webseiten aussperren.

Natürlich geht das auch alles noch besser, aber wie gesagt: Man muss dann mehr wissen, mehr verstehen und sich strikter daran gewöhnen seine Routinen zu ändern, und ständig bei Aktionen nachzudenken, und zu reagieren. Ganz zu schweigen davon seine Firewallregeln ständig an seine Nutzung anzupassen. Das ist dann für uns Normalbenutzer zu umständlich und führt dazu, dass man einfach auch simple Regeln nicht mehr beachtet.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 17:16
von kate
DNS Sicherheit

DNS ist der Dienst im Internet, der Namen wie macsofa.net in die IP des Servers umwandelt. Nur mit der IP kann dein Rechner dann eine Anfrage an unser Forum senden.
Dazu ruft dein Browser, dein E-Mail Programm, dein FTP Programm usw. für jeden Namen einen Server auf, der diese Umwandlung kann.
Da diese Anfragen an die DNS Server unverschlüsselt sind, können diese Anfragen nicht nur von den DNS-Servern und den Geräten und Servern dazwischen empfangen werden, sondern auch von jedem anderen Computer, der auf solche Anfragen hören kann. Das kann z.B. auch ein böswilliger Rechner im gleichen Netzwerk sein, beispielsweise ein Mensch zwei Tische weiter im Café, ein Teilnehmer in der gleichen Konferenz wie du, Leute in deiner Umgebung im gleichen WLAN, oder auch Leute im gleichen Ethernet.

Daher besteht prinzipiell die Chance, dass irgendjemand, irgendein Server im Internet, einfach auf diese Anfragen an Stelle eines „echten“ DNS Servers antwortet.
Das an sich wäre ja keine wirkliche Gefährdung, nur dass diese DNS-Antworten dich und deinen Rechner anstelle von macsofa.net auf eine speziell präparierte Seite leiten können, indem du eine falsche IP bekommst, was dann eine Seite mit Malware sein kann.

Aber prinzipiell gibt einem jeder DNS Server auch die IPs von bekannten Malwareservern, Werbungsservern usw. Es wäre doch schön, wenn die DNS Anfragen nicht nur abhörsicher wären, damit keiner erfährt wo du hin surfst, sondern auch noch an Hand bekannter Müll-Listen die Auflösung von Namen von bekannten Müll-Servern erst gar nicht vor nimmt, so dass deine Webseiten keine Werbung von solchen Müll-Servern mehr zeigt und auch nicht auf Server mit bekannter Malware verlinken kann. Es findet also in gewissem Umfang auch eine mögliche „Säuberung“ statt wenn man das will.

Dazu müssen natürlich Voraussetzungen erfüllt sein:

- es muss einen DNS Server geben, der verschlüsselte Anfragen entgegen nimmt und verschlüsselt beantwortet und die Anfrage weder speichert noch weiter leitet.
- dein Rechner darf seine DNS Anfragen nicht mehr, wie sonst, einfach so an deinen Provider oder dein Netzwerk weiter leiten. Er muss diesen sicheren DNS statt dessen benutzen.
- dein Rechner muss fähig sein seine DNS Anfrage so zu verschlüsseln, dass die unterwegs sicher bleibt.

Bis vor wenigen Jahren hat Apple aber genau den letzten Punkt nicht gemacht. Das hat sich aber geändert.

Ab iOS 14 und Big Sur unterstützt Apple DNS über HTTPS

iOS 14 ( und höher) und MacOS Big Sur (und höher) haben endlich Unterstützung für DNS über HTTPS und DNS über TLS Standards - auch bekannt als verschlüsseltes DNS - hinzugefügt. Das sind zwei unterschiedliche Verfahren mit denen die Anfragen an den DNS verschlüsselt werden können.

Allerdings ist es nicht so ganz trivial dem macOS und iOS beizubringen, dass es einen geeigneten DNS Server ausschliesslich für alle Anfragen verwenden soll und wie es die Anfrage verschlüsseln soll. Es gibt dafür kein GUI. Früher musste man dafür extra Software installieren und komplex per Terminal konfigurieren und administrieren. Statt dessen kann man aber etwas verwenden das sich „Profile“ nennt. Das sind einfach XML Dateien, also im Grunde reine Text Dateien, die einem die ganze Arbeit abnehmen.
Man kann solche Profile mit Apples MDM erstellen, oder von Hand schreiben. Damit man weder das eine noch das andere selbst machen muss, kann man einfach solche Profile von anderen Leuten nutzen, die diese Arbeit schon erledigt haben.
Ein solches „Profil“ kann man in macOS und iOS einfach in den Systemeinstellungen importieren. Dann ist das bereits alles. Mehr braucht man nicht. Die Software ist bei den moderneren macOS und iOS eben schon dabei.

Aber welche DNS Server kann man verwenden, was können die, sind die vertrauenswürdig und wer macht diese Profile für mich???

Das Problem haben Leute im Internet auch gehabt und stellen passende Lösungen umsonst für alle bereit. Es gibt leider nicht wahnsinnig viele kostenlos nutzbare, verschlüsselte DNS Server, aber es gibt sie. Es sind Server von Firmen, Organisationen oder auch Staaten. An dem Punkt passiert das, was man sonst auch machen muss: Man muss an einem gewissen Punkt jemandem Vertrauen. Hast du bisher deinem ISP vertraut, musst du nun den Betreibern dieser DNS Server vertrauen, falls du das nutzen möchtest.

Paul Miller hat sich darum gekümmert und auf GITHUB seine DNS-Liste und die dazu passenden Profile mit Anleitung veröffentlicht. Man kann sich also einen sicheren DNS Server aussuchen, wählen ob man „nur“ DNS Dienst haben will, oder auch gefiltertes DNS ohne Malware-Server und Werbe-Server. Auch kann man sich aussuchen, ob man lieber die Verschlüsselung mittels HTTPS oder TLS haben will.

Erläuterungen auf Englisch: https://paulmillr.com/posts/encrypted-dns/

Profile und Server: https://github.com/paulmillr/encrypted-dns

Aber es gibt da doch einige Dinge, die man wissen muss:
Ab iOS & iPadOS 15.5 werden Wi-Fi Captive Portale in Cafés, Hotels und Flughäfen von Apple von den eDNS (Encrypted DNS)-Regeln befreit, nutzt also nicht den sicheren DNS, um die Authentifizierung zu vereinfachen. Das ist eine gute Nachricht. Es gibt aber noch einige andere Probleme:

- eDNS wird deaktiviert durch: Little Snitch & Lulu, VPN, der Einsatz von 3rd Party VPN oder Firewalls kollidiert mit dem sicheren DNS bis Apple das gelöst hat
- Ein Teil des Datenverkehrs ist von eDNS ausgenommen: Terminal / App Store, Chrome, vermutlich weil Chrome den Google DNS nutzt.
- Wenn man noch mehr Privatsphäre braucht: verschlüsselte DNS über TOR ansehen

Wenn man sein Profil gewählt und erfolgreich in seine Systemeinstellungen übernommen hat, kann man z.B. mit https://www.dnscheck.tools prüfen, ob die DNS Anfragen auch wirklich nur noch über den gewählten sicheren DNS Server laufen. Ich persönlich benutze privat einen deutschen Server.

Wie man so ein runtergeladenes Profil in seine Systemeinstellungen übernimmt erklärt Apple hier:
Für einen Mac - https://support.apple.com/de-de/guide/m ... h35561/mac
Für ein iPhone - https://support.apple.com/de-de/guide/i ... 493b19/ios

Abgesehen von dieser Möglichkeit bietet die Software LittleSnitch (Link ganz oben im Thread in der Linkliste) auch verschlüsselte DNS an, wenn man also den Einsatz einer Firewall mit DNS Sicherheit verbinden möchte wird man dort fündig.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 25. Okt 2024, 17:19
von kate
Datensicherung

Alle Computernutzer, vom Heimanwender bis zum professionellen Informationssicherheitsbeauftragten, sollten
wichtigen Daten auf ihren Desktops, Laptops, Servern und sogar mobilen Geräten sichern, um sie vor Verlust oder Beschädigung zu schützen. Das Speichern einer einzigen Sicherungsdatei reicht möglicherweise nicht aus, um deine Informationen zu schützen. Um die Chancen zu erhöhen, verlorene oder beschädigte Daten wiederherzustellen, sollte man die 3-2-1 Regel befolgen.
Regel:
3 - Bewahre von jeder wichtigen Datei 3 Kopien auf: 1 primäre und 2 Sicherungskopien.
2 - Bewahre die Dateien auf 2 verschiedenen Datenträgern auf, um sie vor verschiedenen Arten von Gefahren zu schützen.
1 - Bewahre 1 Kopie an einem anderen Ort auf (z. B. außerhalb deines Hauses oder der Geschäftsräume).

Fernsicherung - Cloud-Speicher
Breitband-Internetdienste haben die Cloud-Speicherung für eine Vielzahl von Computernutzern zugänglich gemacht. Kunden von Cloud-Diensten nutzen das Internet, um auf einen gemeinsamen Pool von
Computerressourcen (z. B. Netzwerke, Server, Speicher, Anwendungen und Dienste) zuzugreifen.

Vorteile:
Fernsicherungsdienste können dazu beitragen, deine Daten gegen einige der schlimmsten Szenarien zu schützen,
wie Naturkatastrophen oder kritische Ausfälle lokaler Geräte aufgrund von Malware. Außerdem kann man mit Cloud-Diensten jederzeit auf Daten und Anwendungen zugreifen, wo immer eine Internetverbindung ist.
Man muss also nicht in Netzwerke, Server und andere Hardware investieren.
Je nach Bedarf kann man mehr oder weniger Cloud-Dienste erwerben, und der Dienstanbieter verwaltet diese transparent.

Einige Anbieter können auch die Einhaltung gesetzlicher Vorschriften im Umgang mit sensiblen Daten erleichtern, was für kleine Unternehmen von Vorteil sein kann.

Nachteile:
Die Abhängigkeit der Cloud vom Internet kann die Kommunikation zwischen dir und der Cloud verzögern.
Außerdem gibt es keine universellen Standards, Plattformen oder Sprachen für Cloud Computing, so dass man
möglicherweise an einen Anbieter gebunden ist. Die physische Verteilung von Cloud-Daten über viele
geografisch verteilten Servern kann bei einigen Organisationen, insbesondere bei solchen, die
mit sensiblen Daten umgehen, Probleme mit der Rechtsprechung und fairen Informationspraktiken bereiten. Cloud-Kunden haben wenig oder gar keine Kenntnis von der Cloud-Infrastruktur ihres Dienstanbieters oder deren Zuverlässigkeit, und die Nutzer geben den größten Teil ihrer Kontrolle über ihre eigenen Daten ab.

Sicherheit:
Anbieter von Cloud-Diensten können Nutzerdaten oft verschlüsseln, was es Angreifern erschwert, auf
kritischen Informationen zuzugreifen.

Wissen über die Sicherheitspraktiken des Cloud-Anbieters:

Gemeinsam genutzte Clouds speichern deine Daten zusammen mit den Daten vieler anderer Nutzer in derselben Cloud-Infrastruktur, was ein Sicherheitsrisiko darstellt.
Bevor man kritische Daten einem Cloud-Anbieter anvertrauen, sollten man den Dienstvertrag und die Vereinbarung über die Sicherheitspraktiken kennen und akzeptieren können. Um die Sicherheit der Daten in der Cloud zu erhöhen, sollte man nach einem Cloud-Service-Anbieter suchen, der deine Daten mit bewährten Verschlüsselungsalgorithmen verschlüsselt, wie z. B.
Advanced Encryption Standard (AES) oder Blowfish; Deine Daten über eine Secure Socket Layer
(SSL)-Verbindung überträgt, bewährte Praktiken für die Netzwerksicherheit befolgt, wie z. B. die Verwendung von Firewalls
; physischen Schutz der Hardware hat, die deine Daten speichert, verarbeitet und überträgt; und
verhindert, dass deine Daten zu anderen Kunden in der Cloud durchsickern.

Interne Laufwerke:
Festplattenlaufwerke speichern Daten auf einer sich drehenden Magnetplatte, die von einem beweglichen Lese-/Schreibkopf gelesen wird oder einer SSD, die ein schneller, Halbleiterspeicher ist.
Fast alle Desktop- und Laptop-Computer verwenden für ihre internen Datenspeicher SSDs, es gibt aber auch noch Festplatten, zum Speichern der meisten Informationen, die man zum Betrieb benötigt, sowie die primären Arbeitsdateien des Benutzers.

Sekundäre Systeme und Backup-Server:

.. speichern ebenfalls Daten meist und immer noch auf auf internen Festplatten.
Man kann Festplatten mit einer Vielzahl von Speicherkapazitäten kaufen, von einigen Dutzend Gigabyte
Daten bis hin zu mehreren Terabyte. Der Preis pro Gigabyte Speicherplatz auf Festplatten ist nach wie vor niedriger
als der von einigen Solid-State-Speichermedien SSDs. Da Festplattenlaufwerke und SSDs wiederbeschreibbar sind, kann man mit ihnen Rolling Backups verwenden, eine Methode, bei der die Sicherungsdateien automatisch und regelmäßig
mit den neuesten Versionen der Primärdateien aktualisiert werden.

Vorteile:
Die Aufbewahrung von Kopien der Primärdatei und Sicherungskopien auf derselben internen Festplatte ermöglicht es
Sicherungsdateien schnell zu aktualisieren und eine einfache Dateistruktur beizubehalten, ohne ein weiteres
Speichergerät.

Nachteile:
Rolling Backups können jede Beschädigung oder Malware in den Primärdateien unbemerkt auf die
Sicherungsdateien übertragen. Schlimmer noch: Wenn deine interne Festplatte beschädigt, gestohlen oder beschädigt wird, kann man sowohl die Primär- als auch die Sicherungsdateien verlieren. Außerdem verwendet der Computer ständig die interne Festplatte.
Je mehr Sicherungsdateien man dort speichert, desto weniger Speicherplatz steht dem Computer zur Verfügung.
Und schließlich variiert die Lebensdauer von Festplatten und auch SSDs.

Sicherheit:
Auf der internen Festplatte oder SSD gespeicherte Sicherungsdateien sind genauso anfällig für Beschädigungen und Verfälschungen wie die Primärdateien. Außerdem sind interne Speichermedien nur so sicher wie die Computer, auf denen sie gespeichert sind. Man kann Festplatten und SSDs verschlüsseln, um unbefugten Zugriff auf gespeicherte Daten zu verhindern.
Aber die Daten können durch elektromagnetische Fehlfunktionen gelöscht und die Festplatte unbrauchbar gemacht werden
und eine SSD kann ebenfalls durch elektrische Fehlfunktionen die Daten verlieren und zerstört werden.
Daher verschlüsselt man besser den Inhalt des Laufwerks, sichert den Computer physisch (verschliessen) und nutzt Firewalls und Antivirenprogrammen.

Wechselbare Speichermedien:
Speichermedien, die du an deinen Computer anschließen und von ihm trennen kannst, sind eine vielseitigere
Sicherungsoption als die internen Medien deines Computers.
Die physische Trennung der Backups vom Computer schützt die Daten sowohl vor Online-Angreifern als auch vor Stromstößen.

Vorteile:
Wechseldatenträger sind eine flexible Alternative zur Datenspeicherung, da sie meist tragbar sind und auf den meisten Computern funktionieren. Außerdem sind sie in einer Vielzahl von Speicherkapazitäten und Preisen erhältlich, so dass man
das Gerät finden kann, das deinen Bedürfnissen und deinem Budget entspricht.

Nachteile:
Die Tragbarkeit macht Wechseldatenträger praktisch, aber auch anfällig für Verlust oder Diebstahl.
Rolling Backups können Korruption und Malware von den Primärdateien auf die Backups übertragen.

Sicherheit:
Im Gegensatz zur Fernspeicherung hat man bei Wechseldatenträgern die direkte Kontrolle über Ihre Daten.
Das bedeutet jedoch, dass man selbst für den Schutz dieser Daten verantwortlich ist, insbesondere wenn man sie auf Reisen mitnimmt Um die Sicherheit deiner Wechseldatenträger zu erhöhen, solltest du sie mit einem Kennwort schützen, und deine Daten verschlüsseln. Wenn möglich; schließe sie nur an Systeme an, die die empfohlenen Praktiken zur Netzwerksicherheit befolgen, wie z. B. die Verwendung von Firewalls und Antivirenprogrammen.

Arten von Wechselspeichermedien
Externe Festplattenlaufwerke
Externe Festplatten entsprechen den internen Festplatten, sind aber tragbar und einfach zu installieren.
Sie sind immer noch anfällig für physische Schäden und Entmagnetisierung und sind sperriger als Solid-State
Speicher mit ähnlicher Kapazität.

Solid-State-Speicher SSD
Solid-State-Speicher, auch bekannt als Flash-Laufwerke, USB-Flash-Laufwerke, Thumb-Laufwerke, SD- und Micro-
SD-Karten, Speichersticks und Solid-State-Laufwerke (SSD) , bilden das Herzstück vieler tragbarer Speichermedien
einschließlich der meisten digitalen Musikplayer und Smartphones. Im Gegensatz zu Festplattenlaufwerken enthalten Solid State Medien keine beweglichen Teile, wodurch sie klein sind, Stößen standhalten und schnell auf Daten zugreifen können.
Verwende für die Datenspeicherung in erster Linie Plug-and-Play- Laufwerke und -Karten.
USB-Laufwerke sind klein genug, um in eine Tasche zu passen, und sind mit den meisten Computern kompatibel.

Solid-State-Medien sind pro Gigabyte meist immer noch teurer als Festplattenlaufwerke, obwohl sich der Preisunterschied stetig verringert hat. Das Schreiben von Daten auf ein Solid-State-Gerät verschleißt es schließlich, obwohl moderne Gerätesteuerungen die Lebensdauer der Medien verlängern. Viele SSDs und sogar USB-Sticks können über einen integrierten Passwortschutz und eine Datenverschlüsselung gesichert werden!

Auswahl der besten Sicherungsoption
Bevor man sich für eine Datensicherungsoption entscheidet, sollte man die Vorteile und Risiken der einzelnen Medien,
seine finanziellen Ressourcen und seine Bedürfnisse kennen, wie z. B. die Menge der zu sichernden Daten, den Schutz für
sensiblen Daten (Kundendaten, persönlich identifizierbare Informationen oder persönliche Gesundheitsdaten
und die Zugänglichkeit der Daten (permanente Archivierung, temporäre Backups und rollierende
Backups).
Privatanwender, die eine relativ geringe Menge an persönlichen Daten speichern, sollten in Erwägung ziehen, die primären
Dateien auf dem Medium des Computers aufbewahren und mindestens zwei Sicherungskopien auf einem Solid-State-Speicher speichern, oder auf einem entfernten Speicher.
Privatpersonen oder kleine Unternehmen, die große Mengen nicht sensibler Daten speichern wollen, sollten
erwägen, Arbeitsdateien auf ihren Festplatten oder Servern aufzubewahren, mit mindestens zwei Sicherungskopien auf
separaten Servern, optischen Medien mit hoher Kapazität, Festkörperspeichern mit hoher Kapazität, oder Cloud-Speichern. Wenn die gespeicherten Daten sensibel sind, sollte man die Risiken von Cloud-Speicher sorgfältig abwägen, die Daten separat verschlüsseln und alle Speichermedien physisch sicher aufbewahren.

Große Unternehmen oder Organisationen sollten erwägen, eine Sicherungskopie vor Ort und eine weitere
entweder über einen separaten Datendienst (z. B. einen Cloud-Service-Anbieter oder Remote-Server
Backup) oder auf den unternehmenseigenen externen Servern zu sichern
Unabhängig davon, für welche Sicherungsoptionen man sich entscheidet, sollte man die 3-2-1-Regel für Backups befolgen:
3 - Bewahre von jeder wichtigen Datei 3 Kopien auf: 1 Hauptkopie und 2 Sicherungskopien.
2 - Bewahre die Dateien auf 2 verschiedenen Datenträgern auf, um sie vor verschiedenen Arten von Gefahren zu schützen.
1 - Bewahre 1 Kopie an einem externen Ort auf (z. B. außerhalb Ihres Hauses oder Ihrer Geschäftsräume).

Re: Sicherheit auf iOS und macOS

Verfasst: Sa 26. Okt 2024, 10:59
von Macmacfriend
Perfekt – danke! :)

Re: Sicherheit auf iOS und macOS

Verfasst: Sa 26. Okt 2024, 14:22
von kate
Bin offen für weitere Fragen und Anregungen zum Thema.

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 11:55
von kate
Jemand interessiert an Erklärungen zu VPN und Firewalls? Wie issen da so die Stimmung?

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 12:00
von Henry
Im Prinzip ja, aber ich bin mit den vorherigen Erklärungen noch lange nicht durch. Ich würde es für mich dann später abrufen.

Liebe Grüße, Henry

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 12:52
von Macci
Ja bitte.

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 12:56
von Macmacfriend
Genau, immer feste druff! :) Ich schreib’ solche How-to auch immer ungefragt. ;)

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 13:36
von Swissorion
Ja gerne Feuerwände würden sehr interessieren.

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 19:33
von Stromer
Ich hätte Interesse an Hardware-Firewalls.

Re: Sicherheit auf iOS und macOS

Verfasst: So 27. Okt 2024, 21:56
von donald
bittegerne!

Re: Sicherheit auf iOS und macOS

Verfasst: Di 29. Okt 2024, 12:56
von kate
VPN - Virtuelles Privates Netzwerk

Generell ist sowohl der Transportmechanismus an sich, als auch der Inhalt von Datenverkehr über Netzwerke, insbesondere über das Internet, eine öffentlich einsehbare Angelegenheit.

Machen wir uns mal kurz klar was das genau heisst:

Alle Nachrichten, die in ungeschützter Form ausgetauscht werden, sind von fast jedem auf der Welt lesbar, während der Übertragung änderbar und auf dem Weg vom Sender zum Empfänger löschbar.
Das betrifft jeden Datenverkehr. Jeden.

Motivation - Privatsphäre/Sicherheit

Unser privater Alltag ist auch aus scheinbar belanglosen Dingen und Nachrichten zusammen gesetzt. Fasst man aber tausende und zehntausende Belanglosigkeiten zusammen, erhält man Informationen darüber, was grössere Bevölkerungsgruppen machen, wollen, denken und privat halten wollen.

Unser Alltag als Mitglieder von Firmen, Institutionen oder Behörden oder bestimmten Gruppierungen wird umso transparenter je mehr unsere Nachrichten untereinander bekannt und ausgewertet werden. Dabei ist es völlig uninteressant welchen Wert, oder welche Bedeutsamkeit wir unseren Nachrichten selbst beimessen. Niemand interessiert sich für ein einzelnes Luftmolekül. Aber es wird interessant wie sich viele Luftmoleküle in unserem Autoreifen, oder Fahrradreifen verhalten, dieses kollektive Verhalten ist sogar ggfs. gefährlich oder existenziell.
Auch der Transfer von wertvollen Daten, wie z.B. Bankverbindungen, Geldtransfer, Behördendaten (wenn du einen neuen Ausweis beantragst z.B. )u.ä. sind interessant. Auch Meinungsäusserungen und daraus resultierendes Verhalten ist interessant, einerseits weil Leute meinen könnten du könntest deren Ziele und Ansichten teilen und ggfs. ein wertvolles Mitglied deren Gruppierung sein, oder andere Leute könnten feststellen, dass du seltsame Ansichten hast, die das Leben und die Sicherheit vieler Menschen gefährden könnten.
Wenn man eine Firma hat, dann will man bestimmt nicht, dass jeder deine Kontoauszüge liest, deine Kundenliste liest und deine Verträge und deine Steuerbescheide, nicht? Auch deine Firmengeheimnisse, deine Patente, deine Technologien, deine vertrauliche Korrespondenz mit besonderen Kunden usw. ….

Wer jetzt denkt, dass nur Interesse an den Inhalten existiert liegt falsch. Es besteht auch sehr grosses Interesse an den Metadaten wie z.B. wer redet da mit wem, und wo sind Sender und Empfänger, welche Pfade nimmt die Nachricht und welche Geräte werden da benutzt, welche andere Geräte sind dort in der Nähe, welche andere Personen, Haushalte, Gebäude, Einrichtungen sind da? Wann findet das statt und gibt es Zeichen in welcher Verfassung die Leute sind, die da Nachrichten austauschen.
Die Interessenten haben also gewissermassen ein sehr grosses Interesse an allem was da passiert. Und die Interessen sind vom Typ „privat“ bis zu „national“ und vom Typ „kriminell“ bis zum Typ „neugierig, gierig“.

Für die Privatsphäre ist es völlig unwichtig ob man sexuellen Spass mit jemand über das Internet hat, oder ob man Flüche und Beleidigungen mit Verwandten per E-Mail austauscht. oder ganz intime Dinge mit dem Anwalt. Das geht niemanden etwas an. Wenn man aber zu den Leuten gehört, die seitens ihres Staates verfolgt werden, und mit Repressalien rechnen müssen, oder anderweitig bedroht sind, dann ist es von existenzieller Bedeutung, dass niemand die Details abhören kann, die solche Menschen austauschen.
Dazwischen gibt es allerlei interessierte Seiten, die womöglich dein Profil interessant finden und dich für ihre Zwecke einspannen wollen. Schuldendienste, Kreditvermittler, Finanzdienstleister, Versicherungen, Schufa, Ämter, Immobilienvertreter, Ausforscher aller Art. Und ja, auch gewöhnliche Scammer und Diebe.

Jetzt stellen wir uns kurz vor es gäbe kein Internet und man würde alles auf Postkarten und Briefen versenden und in den Poststellen könnte sich jeder bedienen und mal lesen was da so steht und Adressen verfälschen und den Brief im Kuvert austauschen und allerlei anderen „Schabernack“ treiben. Jeder kann deine privaten Dinge lesen und damit Blödsinn oder etwas Gemeines veranstalten. Unangenehm?
Die Motivation ist also klar: Privatsphäre schützen, Wertvolle Daten abschirmen, Sicherheit, Datensicherheit.


VPN

Das ist ein Sammelbegriff für eine Konstruktion aus Methoden verschiedener Technologien, um zu verhindern, dass deine Daten beim Passieren von Netzwerken abgehört, infiltriert, verfälscht werden, und bis zu dir zurück verfolgt werden können.

Damit man die Leistungsfähigkeit eines VPN abschätzen kann, muss man sich kurz vor Augen halten wie der digitale Datenverkehr grundsätzlich funktioniert.

Daten werden in digitaler Form kodiert, also bestehen sie in Rechnern und innerhalb von Netzen aus digitalen Bits. Das sind erstmal nur logische Einheiten. Also Nullen und Einsen, oder ja und nein. Die werden zu Mustern zusammengesetzt und die Art wie man Worte, Bilder usw. zu solchen Folgen von digitalen Bits umwandelt und zurück wandelt ist eine reine Sache der Übereinkunft. Beispiel: Ich vereinbare mit euch, dass im Folgenden die Bitfolge 11011 bedeutet, dass ich vermutlich schon wieder ein Komma vergessen habe.
Das ist ganz einfach eine Vereinbarung. Wenn wir jetzt noch mehr solcher Bitmuster und dazu eine Übereinkunft über die Bedeutung ausmachen, nennt man das Kodierung. Praktischerweise legt man dann eine Tabelle an, die Bitmuster mit ihrer Bedeutung verknüpft und die wir dann benutzen können.

Wenn ich jetzt eine solche Bitfolge an jemanden sende, z.B. mit einer Taschenlampe, als Folge von An/Aus entsprechend den Nullen und Einsen, dann muss ich irgendwie aufpassen, dass klar wird, wann so eine Bitfolge anfängt und wo sie aufhört. Ausserdem kann es ja sein, dass ich mich beim Blinken mal vertue oder die Taschenlampe wackelt, oder gerade etwas zwischen mich und den Empfänger gerät. Dafür muss man also Vorkehrungen treffen und vereinbaren wie man das handhabt, also z.B. durch andere Blinkzeichen klar machen, dass man etwas wiederholt, oder fragt ob etwas wiederholt werden kann und dass man etwas korrigiert nochmal sendet. Das ist also wie in jeder Unterhaltung. Man fragt nach, verhaspelt sich, korrigiert sich, sagt es nochmals anders usw. Damit man das jeweils erkennen kann vereinbaren wir also eine Reihe von speziellen Blinkzeichen (Bitfolgen) , die eigentlich nichts mit unserem Gespräch und dessen Inhalt zu tun haben, aber den Fluss des Austausches steuern helfen. Es ist ggfs. auch notwendig, dass nicht nur einer sendet, sondern dass das im Wechsel erfolgen kann, damit man etwas nachfragen könnte. Es geht aber auch ohne.

Bei diesem Beispiel kann man schon sehen, dass es Kommunikation gibt, die nur in eine Richtung gehen kann, dass es aber auch beidseitige geben kann, und dass diese Formen jeweils Zeichen haben müssen, also passende Bitfolgen, die dafür sorgen, dass klar wird was beabsichtigt ist und Verhalten und Verständnis steuern. Ausserdem muss man zusehen, dass man Zeichen (Bitfolgen) so gestaltet, dass sie praktisch handhabbar sind, wie z.B. dass sie nicht ewig lang sind.

Es gibt also Zeichen für die Steuerung des Gesprächs und Zeichen für den Inhalt. In der digitalen Welt heissen die Formen der Steuerung oft „Protokoll“. Das ist eine Handlungsanweisung und eine vereinbarte Methode wie man sich gegenseitig mitteilt dass bestimmte Dinge gemacht werden sollen, wie z.B. Anhalten der Kommunikation und die letzten Worte nochmal zu senden, weil die unverständlich waren. Ausserdem regelt man mit der Vereinbarung eines Protokolls auch wann eine Kommunikation startet, wann sie beendet ist uvam.

Der Inhalt des Gesprächs in Form von Bitfolgen ist einfach eine Form von Textkodierung, die Art wie man die Kommunikation dieses Textes steuert ist ein Protokoll. Es ist immer wichtig, dass Sender und Empfänger sich auf die gleiche Kodierung und auf die gleichen Protokolle geeinigt haben.

Wenn man jetzt loslegt und anfängt den „Faust“ in einem Rutsch rüber zu blasen ist das sehr problematisch, denn falls etwas zwischendrin nicht verstanden wurde, oder nicht angekommen ist, dann muss man mit dem ganzen Buch nochmal von vorne anfangen. Das ist also furchtbar unpraktisch und blockiert die Kommunikation länger als notwendig. In einem Netzwerk werden die auszutauschenden Informationen anders gehandhabt. Sie werden in handlich kleine Pakete vor dem Senden zerlegt.

In Netzwerken, egal ob mittels Taschenlampen, Glasfasern, Kupferkabeln oder Trommeln, können sich grundsätzlich ja auch mehrere Teilnehmer unterhalten und das wird so lange gut gehen, wie man eindeutig die verschiedenen Nachrichten jeweils einem Empfänger und Sender zuordnen kann. Bei jeder Nachricht und bei jedem Paket von Bitfolgen muss man also eine Methode einsetzen, die es erlaubt zu wissen, wohin das Paket geht und von wo es kommt. Wenn die Nachricht aus vielen Paketen besteht ,werden die entweder zeitlich hintereinander oder logisch hintereinander gesendet, es kann ja sein, dass unverstandene Pakete nochmals gesendet werden und damit zeitlich in der falschen Reihenfolge beim Empfänger eintreffen.

Man erfüllt diese Anforderungen dadurch, dass jedes Datenpaket eine zusätzliche Reihe an Daten angehängt bekommt, die sagen zu welchem Zeitpunkt das Paket abgesendet wurde, ob es zu einer Reihe von Paketen gehört, die in eine bestimmte Reihenfolge gehören, und welches Paket innerhalb der Reihe es ist. Dazu kommt noch die Information von welchem Absender es kommt und für welchen Empfänger es bestimmt ist. Dann noch eine Markierung, die ggfs. darum bittet dieses Paket nochmals zu senden, eine Information wie lange und gross das Paket ist, und ob es zwischendurch bei der Übertragung aus Platzgründen nochmals in Unterpakete zerlegt wurde, oder ob das gar nicht zerlegt werden darf.

Die eigentliche Datenübertragung besitzt also ein weiteres Protokoll, das notwendig wird, um sicher zu stellen, dass möglichst alles in der richtigen Reihenfolge, vollständig und verständlich vom Sender zum Empfänger kommt.
Auch für diese Zusatzinformationen, also sowas wie der Aufkleber auf dem Paket, muss man sich auf eine Kodierung einigen, also vorher ausmachen welche Bitfolgen welche Bedeutung haben sollen, um diesen Austausch mittels Datenpaketen zu organisieren.

Insgesamt funktioniert das Internet mit recht vielen solchen Kodierungen und Protokollen. Das schlägt sich in einer gewissen Komplexität des Aufbaus der Datenpakete nieder. Weil das ganze auch ein historischer Prozess ist, und abhängig von den Einsatzzwecken mehr als ein Protokoll für bestimmte Abläufe existiert, werden auch oft noch Angaben auf dem Paketaufkleber untergebracht welche Protokolle hier gewählt wurden, was die weitere Handhabung und den Transport der Pakete beeinflusst. Im Internet sind etwa 20 Protokolle, die für verschiedene Sachen eingesetzt werden, wichtig. In einem LAN kommen nochmal ein Dutzend dazu.

Wenn man sich also mit einem Rechner mit einem Netzwerk verbindet, ist man mit diesem „Ohr“ im Netzwerk und lauscht auf alles. Alle Datenpakete im Netzwerk werden von deinem Rechner „gesehen“ oder "gehört". Wenn du willst nimmt er Datenpakete entgegen. Wenn du willst, dann zeigt er den Inhalt der Pakete auch an. Das kann jeder. Er kann auch viele Pakete empfangen und deren Inhalt zusammen setzen. Dabei muss man sich klar machen, dass das NICHT so ist wie einen Brief zu empfangen. Wenn man einen Brief empfängt, dann ist der aus dem Postnetz weg, wer ein Datenpaket empfängt hört nur mit, die Musik ist einfach meist weiter da im Raum.
Und: Alles ist derartig öffentlich, dass absolut jeder alles mithören kann, auch wenn es insgesamt eine wilde und unharmonische Kakophonie ergibt.
Zumindest gilt das für das Netzwerk mit dem man gerade verbunden ist. Sitzt man hinter einem Router, einem Gateway, einem Server, einem Gateway (Glasfasermodem, FritzBox, etc. ) wird durch das dazwischen geschaltete Gerät ein Teil des Netzes dahinter abgeschirmt. Nicht unbedingt in beide Richtungen.

Nochmal als Zusammenfassung: Nachrichten über ein Netzwerk zu verschicken ist ein Prozess, der deine Inhalte in Pakete zerlegt, die Pakete werden mit Adressaufklebern und Versandinformationen und Barcodes versehen und Handhabungsanweisungen für die Zwischenstationen und den Empfänger kodiert, mit weiteren Infos versehen wie man das Paket handhaben soll, was ggfs. in welcher Menge an Inhalt es transportiert, und mit welchen Verfahren man es aufmachen, zumachen, weiterleiten oder wegwerfen kann.
Dazu gibt es Vereinbarung darüber wie diese Pakete jeweils verarbeitet und transportiert werden sollen und das wird ebenfalls auf dem Etikett vermerkt. Alles das ist Teil der Verpackung und deine Daten sind dann drin verkapselt. Und jeder kann alles das anschauen. Sogar Etiketten überkleben und mit Filzstift was draufkritzeln und angehängte Daten löschen und durch andere ersetzen. Alles möglich.


Wenn man also fremde Eingriffe und fremdes Interesse umgehen möchte, muss man mehrere Dinge versuchen zu erreichen:

-Der Postweg darf deine Paketinhalte nicht lesen können, also wissen was der Inhalt ist
-Der Postweg darf nicht wissen wer du bist und wo du wohnst
-Der Postweg darf nicht beeinflussen können wohin deine Datenpakete gehen und von wem sie kommen und auch deren Namen und Adressen darf er nicht wissen.
-Der Postweg darf nicht unbemerkt Datenpakete vernichten können

Das alles hat den grossen Vorteil, dass man nicht identifiziert und verfolgt werden kann, wenn man kommuniziert, und dass der Inhalt der Kommunikation privat bleibt, also nur einem selbst und dem Empfänger bekannt ist.



Wie das Internet funktioniert (ohne ein VPN)

Dein Internetdienstanbieter (ISP) verbindet dein Gerät mit dem Internet, sodass alle Daten zwischen deinem Gerät und den Servern (z. B. Websites), mit denen man sich im Internet verbindet, über die Server des ISP fliessen. Jedem Gerät im Internet wird eine eindeutige Nummer, die so genannte IP-Adresse, zugewiesen.
Wenn man die URL einer Website in die Adressleiste eins Browsers eingibt, sendet der Browser eine so genannte DNS-Anfrage an den Internetdienstanbieter und fragt nach der korrekten computerfreundlichen IP-Adresse, mit der man sich verbinden möchte.

DNS ist vergleichbar mit einem großen Telefonbuch, das URLs wie „macsofa.net“ der entsprechenden IP-Adressen zuordnet. Sobald der Browser die richtige IP-Adresse vom Internetanbieter erhalten hat, stellt er eine Verbindung mit der Website (oder einer anderen Internetressource) her.
Deine IP Adresse und die IP Adresse der Webseite sind öffentlich lesbar auf jedem Datenpaket das zwischen dir und der Webseite ausgetauscht wird.

Was dein ISP davon sehen kann
Dein Internetanbieter (z. B. Telekom, Vodafone ) kennt die IP-Adresse des Routers, den man verwenden, und weiss, zu welchem Konto er gehört. Er weiß auch, welche Websites du besuchst , da fast alle Internetanbieter weltweit die von ihnen bearbeiteten DNS-Anfragen protokollieren (zusammen mit einem Zeitstempel, wann du die Anfrage gestellt hast).
Selbst wenn dein Internetdienstanbieter die DNS-Abfrage nicht durchführt (z. B. wenn du die IP-Adresse manuell eingegeben oder einen DNS-Dienst eines Drittanbieters genutzt hast), kann er die DNS-Anfrage sehen, da diese in der Regel nicht verschlüsselt ist.

In den letzten Jahren gibt es immer mehr DNS-Dienste von Drittanbietern, die die an sie gerichteten DNS-Anfragen tatsächlich verschlüsseln. Das ist zwar gut, aber der Internetdienstanbieter kann trotzdem sehen, welche Website man besucht, denn selbst wenn die DNS-Anfrage verschlüsselt ist, sind die IP-Zielinformationen, die für die korrekte Weiterleitung erforderlich sind, nicht verschlüsselt. Dennoch hat das Vorteile wie ich weiter oben beschrieben hatte.

HTTPS ist ein Verschlüsselungsprotokoll, das die Verbindung zwischen einer Website und deinem Gerät sichert. Die Verwendung von HTTPS ist zunehmend zur Norm geworden und nicht mehr die Ausnahme, die sie noch vor wenigen Jahren war. Das verhindert, dass dein ISP auch noch sehen kann welche Inhalte du an die Website sendest oder von ihr empfängst.

Was Websites sehen können
Websites können die letzte IP-Adresse in der Verbindungskette zwischen deinem Gerät und dem Webserver sehen. Ohne VPN ist dies die eindeutige IP-Adresse, die dein Internetanbieter deinem Router zugewiesen hat.
Websites protokollieren diese Informationen routinemäßig zusammen mit Zeitstempeln, Häufigkeit und Dauer der Besuche, um zu verstehen, wie die Website genutzt wird und wie sie funktioniert. Sollte die Polizei einen bestimmten Nutzer dieser Website identifizieren müssen, kann sie einfach den Internetanbieter bitten, den Kunden zu identifizieren, dem er diese IP-Adresse zugewiesen hat.

Die Identifizierung einer Person auf diese Weise ist natürlich recht ungewöhnlich. Manchmal ist dafür sogar rechtlicher Zwang erforderlich, obwohl die meisten Internetdiensteanbieter gerne freiwillig mit legitimen Anfragen der Strafverfolgungsbehörden zusammenarbeiten. Ausserdem setzen Webseiten noch andere Formen des Profilings und der Standortidentifikation ein, die mit dem VPN ausgehebelt werden. Das wurde weiter oben schon beschrieben.

Aber auch ohne eine eindeutige Identifizierung über deine IP-Adresse verrät deine IP-Adresse den Websites, in welchem Land du dich befindest, und wahrscheinlich sogar in welcher Stadt. Dies ist der Tatsache zu verdanken, dass Internetdienstanbieter IP-Adressen in der Regel in Blöcken an Privatnutzer in der gleichen geografischen Umgebung vergeben, und die Datenbanken, in denen diese IP-Blöcke vergeben wurden, sind öffentlich zugänglich.
Kurz gesagt, das Internet wurde nicht für den Schutz der Privatsphäre geschaffen, also sollte man auch keine erwarten, wenn man es so nutzt, wie es ist.


Mit einem VPN

Wenn man eine VPN-App auf seinem Gerät verwendet, stellt sie eine verschlüsselte Verbindung zu einem VPN-Server her. Diese Verbindung wird über das Internet hergestellt (Man benötigt also weiterhin den ISP) und wird oft als „VPN-Tunnel“ bezeichnet.
Diese Verbindung sieht von aussen betrachtet aus wie eine gewöhnliche Verbindung zu einem Webserver, geht also wie jede Anfrage an einen Webserver durch Firewalls, Router, Gateways, Filter etc. durch. Zumindest ist das so bei den meisten sicheren VPN Anbietern. Anbieter mit anderen EIgenschaften sollte man nur wählen wenn man genauer Bescheid weiss, was man tut und erreichen will.

Dieser VPN-Server deines VPN Anbieters bearbeitet also alle DNS-Anfragen und fungiert als Vermittler zwischen deinem Gerät und dem Internet, der die Daten an die richtigen Ziele weiterleitet.

Was dein ISP mit einem VPN sehen kann
Dein Internetdienstanbieter kann sehen, dass du mit einer IP-Adresse verbunden bist, die zu einem Server gehört. Er wird nicht automatisch wissen, dass es sich um einen VPN-Server handelt, aber es braucht keinen Sherlock Holmes, um es herauszufinden, da es die einzige IP-Adresse ist, mit der du verbunden erscheinst.
Was er nicht sehen kann, sind Websites oder andere Internetressourcen, mit denen man sich über den VPN-Server verbinden. Das liegt daran, dass der VPN-Server DNS-Anfragen bearbeitet und deine Daten an die richtige IP-Adresse weiterleitet.

Der Internetdienstanbieter kann auch den Inhalt deiner Daten (einschließlich IP-Zieldaten und DNS-Abfragen) nicht sehen, da alle Daten zwischen deinem Gerät und dem VPN-Server verschlüsselt werden.
Wenn man also ein VPN verwendet, kann dein Internetdienstanbieter nicht sehen, welche Websites du besuchst, und er kann den Inhalt der Daten nicht sehen (selbst wenn kein HTTPS verwendet wird). Dasselbe gilt für WiFi-Hacker, Betreiber öffentlicher WiFi-Router oder andere Personen, die normalerweise in der Lage sein könnten, die Daten auf dem Weg zwischen deinem Gerät und dem Zielort zu sehen.

Was Websites sehen
Wenn man ein VPN verwendet, ist die letzte IP-Adresse in der Verbindungskette zwischen deinem Gerät und dem Webserver die des VPN-Servers. Der VPN-Server schirmt daher deine echte IP-Adresse vor den von dir besuchten Websites ab, die nur die IP-Adresse des VPN-Servers sehen können.
Neben den eindeutigen Vorteilen für den Datenschutz ist diese Funktion eines VPNs auch nützlich, um deinen geografischen Standort zu verschleiern, da man scheinbar von dem Ort aus auf das Internet zugreift, an dem sich der VPN-Server befindet.

Was der VPN-Server sieht
In vielerlei Hinsicht übernimmt der VPN-Anbieter die Rolle deines Internetanbieters. Er bearbeitet DNS-Anfragen und kann die IP-Adressen überwachen, die man besucht.
Obwohl die Verbindung zwischen deinem Gerät und dem VPN-Server durch das VPN verschlüsselt wird, ist die Verbindung zwischen dem VPN-Server und den von dir besuchten Websites nicht verschlüsselt. Das bedeutet, dass der VPN-Server (wie normalerweise auch Ihr Internetanbieter) den Inhalt vom Datenverkehr einsehen kann, der nicht durch HTTPS geschützt ist.
Es ist daher von entscheidender Bedeutung, einen VPN-Dienst zu wählen, der vertrauenswürdig und sicher ist und trotzdem auch noch HTTPS-verschlüsselte Websites zu benutzen.


Auswahl eines vertrauenswürdigen VPN Anbieters

• Im Gegensatz zu den meisten Internetanbietern darf der Anbieter keine Protokolle darüber führen, die deine Privatsphäre gefährden könnten.
• Die eingesetzte Software sollte vollständig geprüft und quelloffen sein, so dass jeder sie überprüfen kann.
• Der Anbieter sollte seinen Sitz in einem Land haben, das keine Verbindungen zu der von den USA geführten Massenüberwachungsallianz Five Eyes hat und strengste Datenschutzgesetze haben.
• Der Anbieter sollte nur die sichersten VPN-Protokolle , mit starker Verschlüsselung und Forward Secrecy einsetzen
• Die Software sollte DNS-Leckschutz bieten, um sicherzustellen, dass DNS-Abfragen ausschließlich vom VPN Anbieter durchgeführt werden. Der IPv6-Leckschutz stellt sicher, dass keine Daten außerhalb des VPN-Tunnels weitergeleitet werden.


Die Software

Um ein VPN benutzen zu können benötigt man also eine Software, teilweise ist sie Bestandteil deines Betriebssystems ( macOS?) aber in der Regel benötigt man ein optimales Bündel an Software zum Verschlüsseln, Transportieren, Tunneln usw. der abgesicherten Datenpakete, so dass man aus praktische Gründen auf die vom VPN Anbieter angebotene Software zurückgreifen kann. Jeder VPN Anbieter bietet da unterschiedliche Optionen an und bündelt in seiner Software verschiedene Protokolle, bzw. Bündel von Protokollen an.
Man sollte darauf achten, dass die eingesetzten Verschlüsselungen ebenfalls hochwertig sind. Mindestens AES-256 sollte machbar sein, besser ist auch gut. Was AES-256 ist habe ich in vorangegangenen Kapiteln erklärt.

Was ist ein VPN-Protokoll?
Ein VPN-Protokoll ist eine Reihe von Anweisungen, die verwendet werden, um eine sichere Verbindung zwischen zwei Computern (Deinem Gerät und dem VPN-Server) herzustellen. Es gibt verschiedene VPN-Protokolle, aber ein gutes VPN sollte OpenVPN, IKEv2 und WireGuard unterstützen.

OpenVPN - Ein erprobtes VPN-Protokoll, das immer noch weithin als das letzte Wort in Sachen VPN-Sicherheit gilt.

IKEv2 - Ein moderneres VPN-Protokoll, das schnell ist und von Experten als sicher angesehen wird.

L2TP/IPsec - Obwohl es als von der NSA kompromittiert gilt, wird dieses Protokoll unter den meisten Umständen immer noch als recht sicher angesehen. Es wurde jedoch durch das überlegene IKEv2 abgelöst.

PPTP - Ein äußerst unsicheres Protokoll, das von einigen Anbietern aus Kompatibilitätsgründen weiterhin unterstützt wird.

WireGuard - Ein sehr neues VPN-Protokoll, das zwar schnell und sicher ist (zumindest theoretisch), aber noch experimentell ist.

Wird ein VPN mein Internet verlangsamen?
Ja, aber nicht zu sehr. Das Ver- und Entschlüsseln der Daten erfordert Rechenleistung, was theoretisch die Internetverbindung verlangsamen kann. In der Praxis können sogar moderne Smartphones der unteren Leistungsklasse die VPN-Verschlüsselung ohne spürbare Verlangsamung bewältigen.
Ein größeres Problem ist die Entfernung, über die die Daten übertragen werden. Wenn man die Verbindung zu einem VPN-Server herstellt, wird eine weitere „Etappe“ auf dem Weg zurückgelegt, was unweigerlich zu einer Verlangsamung führt. Dies gilt insbesondere dann, wenn sich der VPN-Server, mit dem man sich verbindet, auf der anderen Seite der Welt befindet.
Wenn man jedoch eine Verbindung zu einem VPN-Server in der Nähe herstellt (z. B. irgendwo in Europa, wenn man in Europa wohnt), ist es unwahrscheinlich, dass man eine Verlangsamung feststellen wird.

Re: Sicherheit auf iOS und macOS

Verfasst: Fr 1. Nov 2024, 13:37
von kate
Firewall

Firewall heisst wortwörtlich soviel wie Brandmauer. Um welche Art Feuer es da geht, und was das für eine Mauer ist, wird gleich klar werden.

Aber vorher muss ich kurz erklären wie Rechner und Netzwerkgeräte untereinander Kontakt aufnehmen, wie sie sich finden, „sehen“ und verbinden, und was bei so einer Verbindung passieren kann. Dazu ist es schlau das vorhergehende Kapitel über VPNs gelesen zu haben, weil ich da erklärt habe, wie Pakete im Netzwerk Daten austauschen können und ihren Weg finden.
Aber hier nochmal eine Zusammenfassung:

Die Kommunikation über ein Netzwerk benutzt Datenpakete für die Informationen. Teile der Datenpakete sind Informationen darüber von wem das Paket kommt, wo es hin soll, welche Art des Umgangs mit dem Datenpaket sinnvoll ist, welche Struktur das Datenpaket hat und mit welchen Protokollen der Austausch und die Kommunikation seitens des Senders und Empfängers geregelt wird.
Wenn man sich das mit den Paketen so vorstellt wie bei der Post, dann gibt es Briefe, Pakete, Päckchen, Postwurfsendungen, Briefe mit und ohne Absender, Pakete mit zerbrechlichem Inahlt und es gibt auch schwere Pakete und Kisten, die man nur mit einem Stapler ab- und aufladen kann. Alle diese „Pakete“ benötigen also im Umgang etwas andere Handhabungsmethoden, die bei Netzwerken Protokolle genannt werden.

Der Paketbote muss also an Hand des Aussehens, des Gewichts, des Formats und des Aufdruckes auf dem Paket erkennen können, ob er das Paket in den Briefkasten bekommt, an der Tür abgibt, nur gegen Vorzeigen des Ausweises dem Adressaten zustellen darf, gegen Quittung, ob er dazu eine Karre braucht, oder ob er das noch von Hand getragen bekommt. Für den Transport und für die Auslieferungsmodalitäten gibt es bei Briefen, Paketen usw. verschiedene Protokolle. Auch für die Auslieferung von Sendungen, die aus mehreren Teilen besteht, kommt ja ggfs. auch eine Teillieferung in Frage, oder eben nur eine gemeinsame Auslieferung. Bei Datenpaketen im Netzwerk ist das auch so.

Wenn man sich bei Datenpaketen mal anschaut wie sie adressiert sind, gibt es noch so’n paar Dinge, die auf Briefen nicht drauf sind. Das liegt daran, dass das Versenden und Empfangen nicht von mitdenkenden Personen gehandhabt wird, sondern automatisch von Hardware und Software erledigt wird.
Abgesehen davon ist die Sache mit der eindeutigen Adresse ganz anders als bei Briefen.

Ich mache mal ein Beispiel. Es ist übel vereinfacht und lässt wichtige Aspekte völlig ausser Acht damit es übersichtlicher wird.

Postbrief: An Kate, Poststrasse 18, Postleitzahl 0815 , Musterstadt in Musterland.
Datenpaketbrief: An IP Adresse von Kates Router, an IP Adresse von Kates Rechner, an Portnummer von Kates dazu passendem Programm

Mein Router bekommt seine IP Adresse ( die ist einzigartig auf der Welt und daher eindeutig als Adresse ) vom Internet-Service-Provider. Mein Router leitet Pakete, die von aussen auf die IP vom Router kommen, auf die interne IP Adresse meines Geräts in meinem Netzwerk in der Wohnung weiter, also auf mein MacBook. Deswegen heisst das TCP/IP Protokoll, es sind die beiden Protokolle, die sich um die Zustellung und den Transport von IP Datenpaketen kümmert.

Mein MacBook hört per WLAN auf den Datenverkehr und sobald ein Paket an Hand seiner IP angibt, dass es für das MacBook ist, dann erst wenn so ein Paket auf meinem MacBook angekommen ist, wird genauer geguckt welche Handhabungsanweisungen mit dem Datenpaket kommen. Dann wird der Teil des Datenpakets gelesen, der sagt welches Protokoll angewendet werden soll. Wenn es z.B. ein Datenpaket ist, das angibt, dass es mit dem HTTP Protokoll durch einen Browser weiter verarbeitet werden soll, wird es intern im Rechner an eine interne Adresse weiter geleitet, die man Port nennt.

Es gibt Vereinbarungen welche Ports eines Geräts für was zuständig sind. Die Ports sind durchnummeriert. Zum Beispiel ist der Port auf dem ein Webbrowser Daten empfängt und versendet der Port mit der Nummer 80. Wenn das Datenpaket zum Beispiel zur Kommunikation mit einem Mailprogramm gehört, wird es auf Port 25 geleitet. Anwendungen senden und empfangen über diese Ports. Anwendungen können mehrere Ports haben und nutzen, oft gibt es einen Port für das Senden und einen für das Empfangen.

Wenn man also die Kontrolle über diese Ports hat, hat man die Kontrolle über die Kommunikation der einzelnen Anwendungen, wie z.B. dem Webbrowser oder dem Mailprogramm. Ein Programm das genau diese Kontrolle ausübt wird Firewall genannt.

Genauer gesagt, es ist eine Firewall auf Anwendungsebene. Es ist die Kontrollinstanz und Brandmauer für womöglich gefährliche Kontaktaufnahme über die Ports. So einfach ist das.

Halt! Das alles findet ja erst in der Anwender-Software auf dem Rechner statt ! Um wirklich gefährliche Sachen abzuhalten kann man auch noch einen Schritt früher ansetzen. Da wo die Datenpakete gehört werden. Der Rechner hört auf Datenpakete und antwortet ggfs. darauf und leitet die intern weiter und das alles kann bereits gefährlich sein. Ein Programm, das bereits auf dieser Ebene erst gar nicht auf bestimmte oder einige, manche, oder alle Pakete „hört“ und ggfs. erst gar nicht empfängt, heisst auch Firewall, genauer gesagt ist das dann eine IP Firewall.

Grob gesagt, gibt es also zwei wichtige Typen von Firewalls, Anwendungsfirewalls und IP Firewalls, und meistens wird da kaum ein Unterschied gemacht und selten weiss ein Anwender was es eigentlich ist. Entsprechend oft gibt es da Verwechselungen und auch dumme Missverständnisse.

Bei den Firewalls, die man einfach mal so selber installieren kann, gibt es auch grosse Unterschiede darin, was die genau auf welche Weise kontrollieren.


Anwendungsschicht-Firewall in macOS

Es ist eine eingebaute, einfache Firewall, die nur eingehende Verbindungen blockiert. Diese Firewall ist nicht in der Lage, ausgehende Verbindungen zu überwachen oder zu blockieren.
Sie kann über die Option Firewall unter Netzwerk in den Systemeinstellungen gesteuert werden.

Computerhacker scannen Netzwerke, um Computer zu identifizieren, die sie angreifen können. Man kann Computer daran hindern, auf einige dieser Scans zu reagieren, indem man den Stealth-Modus verwendet. Dieser Tarnmodus schaltet bestimmte, sonst automatische Reaktionen des Rechners auf bestimmte IP Datenpakete ab. Wenn der Stealth-Modus aktiviert ist, reagiert der Computer nicht auf ICMP-Ping-Anfragen und antwortet nicht auf Verbindungsversuche von einem geschlossenen TCP- oder UDP-Port. Dadurch wird es für Angreifer schwieriger, den Computer zu finden.

Allerdings ist davon die Software ausgenommen, die mit dem macOS ausgeliefert wird, bzw. Software, die mit Root-Rechten arbeitet, oder direkt mit einem Apple-Zertifikat versehene Software. Derartige Software wird automatisch in eine sogenannte Whitelist aufgenommen, in der jene Anwendungen gelistet sind, für die die Firewall nicht gilt!

Anwendungen, die von einer gültigen Zertifizierungsstelle signiert sind, werden automatisch zur Liste der zulässigen Anwendungen hinzugefügt, ohne dass der Benutzer aufgefordert wird, sie zu autorisieren. Die in macOS enthaltenen Apps sind von Apple signiert und dürfen eingehende Verbindungen empfangen, wenn diese Firewall aktiviert ist. Da zum Beispiel "Musik" bereits von Apple signiert ist, ist dem Programm automatisch erlaubt, eingehende Verbindungen durch die Firewall zu empfangen.
Wenn man eine nicht signierte Anwendung ausführt, die nicht in der Firewall-Liste aufgeführt ist, wird ein Dialogfeld mit Optionen zum Zulassen oder Verweigern von Verbindungen für die Anwendung angezeigt. Wenn man „Zulassen“ wählt, signiert macOS die Anwendung und fügt sie automatisch zur Firewall-Liste der erlaubten Anwendungen hinzu. Wenn man „Verweigern“ wählt, fügt macOS die Anwendung zur Liste hinzu, verweigert aber eingehende Verbindungen, die für diese Anwendung bestimmt sind.

Diese Firewall heisst „socketfilterfw“ und man sieht sie nur in der Liste der Prozesse in der Aktivitätsanzeige des macOS. Wie der Name schon sagt, ist es eine Firewall, die, wie oben schon beschrieben, nur Kontrolle über eingehende Verbindungen zu bestimmten Ports und bestimmten Anwendungen ausübt. Wenn also Anwendungen selbst nach aussen telefonieren wollen können sie das immer tun.

Diese Art Firewall kann also nur vor einem Teil der möglichen Angriffsversuche von aussen schützen. Hat man bereits ein Problem auf dem Rechner, oder eine sicherheitsrelevante Schwachstelle in einem normalen Programm, hilft diese Firewall nicht. Dafür ist man mit einer einfachen Bedienung als Benutzer gesegnet und benötigt wenig Wissen. Bei einer Burg wäre das vergleichbar einer Drehtür im Haupttor, die jeden rauslässt und nur Lieferanten reinlässt.


Firewalls von Drittanbietern

In macOS hat Apple für Dritthersteller ein sogenanntes Framework eingeführt, das eine Schnittstelle anbietet eine eigene Firewall zu erstellen. Programme wie z.B. Little Snitch, Radio Silence und LuLu bieten ein gutes Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit.
Diese Programme sind in der Lage, eingehende und ausgehende Netzwerkverbindungen zu überwachen und zu blockieren. Sie können jedoch die Verwendung einer Closed-Source-Systemerweiterung erfordern, der man als Anwender dann natürlich vertrauen muss und die ggfs. selbst Ziel von Angriffen sein kann und/oder interne Sicherheitslücken haben könnte.

Weil die Anzahl der Möglichkeiten zum Zulassen/Blockieren von Netzwerkverbindungen überwältigend ist, kann man den Silent Mode mit zugelassenen Verbindungen verwenden und überprüft dann regelmäßig die Konfiguration, um ein Verständnis der Anwendungen und ihrer Aktivitäten zu erlangen.
Es ist erwähnenswert, dass diese Firewalls von Programmen, die als Root laufen, oder durch Schwachstellen im Betriebssystem umgangen werden können, aber sie sind es trotzdem wert, dass man sie hat - man sollte nur keinen absoluten Schutz erwarten.

Einige Schadprogramme löschen sich jedoch selbst und werden nicht ausgeführt, wenn Little Snitch oder eine andere Sicherheitssoftware installiert ist.
Allerdings führen diese Firewall Programme oft zur Verunsicherung der Anwender, die wegen der vielen Rückfragen seitens der Software, der hohen Zahl an ihnen unbekannten Prozessen und Programmen mit Netzwerkverbindungen und der entsprechend fehlenden Kenntnisse über deren Zweck, hilflos vor der Entscheidung stehen, ob man erlauben, oder verweigern sollte.
Da hilft nur ein gewisses Mass an Lernfähigkeit, oder der Einsatz von Wissen anderer, oder professionelle Hilfe.


Paketfilterung auf Kernel-Ebene

Eine hochgradig anpassbare, leistungsstarke, aber auch sehr komplizierte Firewall existiert im Kernel von macOS. Sie kann mit pfctl (einer Terminalanwendung ohne GUI) und verschiedenen Konfigurationsdateien kontrolliert werden.
pf kann auch mit einer GUI-Anwendung wie z.B. Murus gesteuert werden.
Es gibt viele Bücher und Artikel über das Thema pf-Firewall.
Wenn man nicht bereits mit der Paketfilterung vertraut ist, sollte man nicht zu viel Zeit mit der Konfiguration von pf verbringen. Es ist wahrscheinlich auch unnötig, wenn sich der Mac hinter einem NAT(Router, Gateway) in einem privaten Heimnetzwerk befindet.
Es ist möglich, die pf-Firewall zu verwenden, um den Netzwerkzugang zu ganzen Bereichen von Netzwerkadressen zu blockieren. Die Möglichkeiten von pf-Firewall sind sehr gross und sind nicht nur statisch, sondern auch ggfs. dynamisch, so dass diese Firewall sich schnell anpassen kann.
Diese Firewall greift unmittelbar auf der Ebene der Netzwerkfunktionen des Kernels, also fast unmittelbar hinter der Netzwerkhardware ein. Entsprechend anspruchsvoll ist der Umgang damit und erfordert gehöriges Wissen und auch Erfahrungen.
Es ist leichter das WLAN abzuschalten und das Netzwerkkabel zu ziehen um diese Seite komplett zu schliessen wenn man ohne Kenntnisse ist.
Wenn man mit der pf-Firewall lernen und üben möchte hilft ein GUI sehr viel. Es gibt einige GUIs dafür, die zum Teil sogar Freeware sind, die man dazu einsetzen kann. Murus, was schon oben erwähnt wurde, ist so ein GUI.
Was einem ein GUI allerdings nicht abnimmt, ist der Anwendung entsprechende Kenntnisse zu lernen.