macOS Sequoia 15: Erstmaliges Starten nicht notarisierter Programme nur noch per Systemeinstellungen

08. Aug. 2024 12:00 Uhr - Redaktion

Eine weitere Gängelung des mündigen Nutzers oder lediglich ein paar Mausklicks mehr? An einer kleinen Änderung, die Apple in macOS Sequoia 15 vorgenommen hat, scheiden sich mal wieder die Geister. Konkret geht es um das Ausführen von Anwendungen, die von Apple nicht notarisiert wurden. Diese können bis einschließlich macOS Sonoma 14 bequem per Finder-Kontextmenübefehl "Öffnen" (Rechtsklick aufs Programmsymbol oder Linksklick mit gedrückter Ctrl-Taste) gestartet werden, unter Umgehung der Sicherheitsfunktion Gatekeeper. Dies betrifft nur das erstmalige Öffnen, anschließend ist der normale Start per Doppelklick möglich.

Alternativ kann nicht notarisierte Software auch über die Systemeinstellungen (Datenschutz & Sicherheit) freigeschaltet werden. Was ändert sich nun in macOS Sequoia 15? Der Weg über den Finder entfällt, d. h. das erstmalige Starten von nicht notarisierten Programmen ist beginnend mit macOS 15 nur noch über die Systemeinstellungen möglich. Unter dem Strich sind es ein paar Klicks mehr plus die Eingabe des Admin-Kennworts (ist beim Öffnen via Finder nicht nötig). Die grundsätzliche Möglichkeit, nicht notarisierte Software zu nutzen, besteht auch in macOS 15 weiter.

Apple gab die Änderung in dieser Woche auf der hauseigenen Entwickler-Webseite bekannt. In der Mitteilung heißt es: "In macOS Sequoia können Benutzer nicht mehr mit gedrückter Ctrl-Taste Gatekeeper übergehen, um Software zu öffnen, die nicht korrekt signiert oder notariell beglaubigt ist. Sie müssen Systemeinstellungen > Datenschutz und Sicherheit aufrufen, um die Sicherheitsinformationen für Software zu überprüfen, bevor sie diese ausführen können.

Wenn Sie Software außerhalb des Mac App Store vertreiben, empfehlen wir Ihnen, Ihre Software zur notariellen Beglaubigung einzureichen. Der Apple Notarisierungs-Service scannt automatisch Ihre mit der Entwickler-ID signierte Software und führt Sicherheitsprüfungen durch. Wenn Ihre Software für den Vertrieb bereit ist, wird ihr ein Ticket zugewiesen, um Gatekeeper mitzuteilen, dass sie notariell beglaubigt wurde, damit die Kunden sie ohne Bedenken ausführen können."

 
macOS Sequoia
 
macOS Sequoia 15: Öffnen nicht notarisierter Apps nur noch per Systemeinstellungen.
Bild: Apple.

 

Anzumerken ist in diesem Zusammenhang: Das Ausführen von Programmen, die nicht von Apple notarisiert wurden, ist grundsätzlich mit einem höheren Sicherheitsrisiko verbunden, da die Notarisierung eine Prüfung auf bekannte Schadsoftware umfasst. Praktisch jeder seriöser Softwarehersteller notarisiert seine Software, schlichtweg allein deshalb, weil der normale Nutzer im Regelfall gar nicht weiß, wie er die Anwendung sonst öffnen soll.

Anders ist die Situation im Open-Source-Bereich gelagert: Viele Programmierer, die ehrenamtlich ein Programm anbieten und entwickeln, sehen es schlichtweg nicht ein, für den Notarisierungsservice 99 US-Dollar pro Jahr (Standardgebühr für Teilnahme am Entwicklerprogramm) an Apple zu zahlen. Durchaus verständlich: Wer opfert schon seine Freizeit für die Bereitstellung einer hilfreichen App, um dann noch Geld an einen der reichsten Konzerne der Welt zu überweisen, nur damit dieser seinen Segen gibt?

Bis heute weigert sich Apple, Open-Source-Projekten eine kostenfreie Notarisierung der Apps zu ermöglichen. Daher wird es auch künftig etliche quelloffene Programme geben, die nur unter der Umgehung von Gatekeeper ausgeführt werden können. Da die Quelltexte öffentlich einsehbar sind, ist hier Transparenz gewährleistet. Anders bei Closed-Source-Software: Hier sollte, mangels Quelltextveröffentlichungen, auf die Nutzung nicht signierter Programme verzichtet werden.

Und abschließend: Auch von Apple signierte Mac-Software kann theoretisch - bis dato unbekannte - Malware enthalten, heimlich Daten sammeln, unbekannte Sicherheitslücken ausnutzen oder anderweitig ihr Unwesen treiben. Zumal Gatekeeper in der Vergangenheit schon mehrfach ausgetrickst wurde. 100%ige Sicherheit gibt es nicht.