Benötige ich eine Anti-Viren-Software für meinen Mac?

25. Juli 2022 10:00 Uhr - Redaktion

Die im Titel aufgeworfene Frage gehört zu den Klassikern unter Mac-Anwendern, vor allem - aber nicht nur - bei Einsteigern. Wer beispielsweise von Windows zu macOS wechselt und jahrelang den Betrieb einer Anti-Viren-Lösung eines Drittherstellers gewohnt war, tendiert meist dazu, eine solche Software auch auf dem Apfelrechner zu installieren. Doch ist das wirklich nötig oder überhaupt sinnvoll?

Einleitung

Das Thema Computer-Sicherheit ist wichtiger denn je und zugleich sehr komplex. Wir können an dieser Stelle keine einfache Empfehlung "Ja" oder "Nein" geben, jede Nutzerin und jeder Nutzer muss die eingangs gestellte Frage für sich selbst beantworten. Dabei soll dieser Artikel eine kleine Hilfestellung sein, indem wir den aktuellen technischen Stand der Dinge näher beleuchten.

Angemerkt sei, dass der Sammelbegriff "Virus" das komplette Spektrum an Schadsoftware (Malware) meint, d. h. Viren, Trojaner, Spyware, Ransomware und so weiter. Der Einfachheit halber verwenden wir den Begriff in diesem Artikel hin und wieder.

Es gibt Schadsoftware auch für den Mac

Der Mythos, es gäbe keine "Viren" (gemeint ist Malware aller Art) für den Mac, hält sich hartnäckig. Das Gegenteil ist der Fall, und das bereits seit Jahrzehnten. Schon immer gab es Schadsoftware für macOS, im Zuge der wachsenden Verbreitung des Apple-Rechners (installierte Basis: mehr als 100 Millionen aktiv genutzte Geräte weltweit, Tendenz laut Apple steigend) wird die Plattform zunehmend ein Ziel für Malware-Attacken. Regelmäßig berichten Sicherheitsforscher von Neuentdeckungen. Es gibt Risiken auch auf dem Mac.

macOS verfügt serienmäßig über einen integrierten Malware-Schutz

Mac-Neulingen - und nicht selten auch erfahrenen Anwendern - ist meistens nicht bekannt, dass macOS serienmäßig über integrierte Anti-Malware-Mechanismen verfügt. Apple stellt diese Funktionalität nicht in den Vordergrund, sondern weist lediglich in Support-Dokumenten (zum Beispiel hier) und im PDF "Sicherheit der Apple-Plattformen" darauf hin. Aus diesem Grund können viele Anwender mit dem Begriff "XProtect" nichts anfangen.

XProtect bezeichnet den in macOS integrierten Schadsoftware-Schutz. XProtect führt beim Starten von Programmen und beim Empfang aktualisierter XProtect-Definitionen Malware-Scans durch - zusätzlich ab macOS Catalina 10.15 auch im Hintergrund im laufenden Betrieb (meist während Zeiten geringer Systemauslastung). Bekannte Malware wird blockiert und entfernt. Mit regelmäßig aktualisierten Definitionen sorgt Apple dafür, dass neue Bedrohungen aufgespürt werden können. Neue Definitionen werden automatisiert ohne Mitteilung und ohne Zutun des Anwenders eingespielt (standardmäßige Systemeinstellung).

Apple hält den Malware-Schutz für macOS Sequoia 15 und ältere Versionsreihen aktuell. Zu beachten ist, dass Apple vor einiger Zeit ein verbessertes XProtect-System implementiert hat, das für macOS Catalina 10.15 und neuere Systemversionen verfügbar ist.

Inzwischen soll XProtect laut Apple auch unbekannte Schadsoftware erkennen können. Vom Hersteller heißt es dazu: "Darüber hinaus enthält XProtect eine fortschrittliche Engine zur Erkennung unbekannter Malware auf der Grundlage von Verhaltensanalysen. Informationen über Malware, die von dieser Engine erkannt wurde, einschließlich der Software, die letztendlich für das Herunterladen der Malware verantwortlich war, wird dazu verwendet, um die XProtect-Signaturen und die macOS-Sicherheit zu verbessern."

 
macOS Monterey
 
macOS: XProtect erkennt und entfernt Mac-Schadsoftware.
Bild: Apple.

 

Die Architektur von macOS ist sehr gut gegen Bedrohungen abgesichert

Apple hat in den letzten Jahren intensiv daran gearbeitet, das Mac-Betriebssystem besser gegen Schadsoftware abzusichern. Inzwischen läuft das Kernsystem von macOS auf einem schreibgeschützten, kryptografisch signierten Volume. Selbst wenn sich eine bislang unbekannte Malware einen Weg auf den Mac bahnen sollte, wäre das Kernsystem in seinem geschützten Bereich davon nicht betroffen. Apple beschreibt die grundlegenden Sicherheitsmechanismen wie folgt:

"Ein entscheidender Aspekt für die Apple-Sicherheit ist das sichere Starten (Secure Boot); dieser Ansatz verhindert, dass das System während des Systemstarts durch Schadsoftware infiziert wird. Der sichere Startvorgang beginnt in der Hardware und erstellt mithilfe der Software eine 'Chain of Trust', bei der jeder Schritt überprüft, ob der nächste Schritt ordnungsgemäß funktioniert, bevor die Steuerung übergeben wird.

Der technisch anspruchsvolle Laufzeit­schutz in macOS arbeitet tief im Inneren des Mac, um das System vor Malware zu schützen. Das beginnt mit der Integration von Antivirus-Software nach Branchen­standard, um Malware zu blocken und zu entfernen. Technologien wie XD (Execute Disable), Speicher­verwürfelung (Address Space Layout Randomization, ASLR) und Systemintegritäts­schutz (System Integrity Protection, SIP) erschweren es Malware, Schaden anzurichten. Außerdem sorgen sie dafür, dass Prozesse mit Root-Berechtigung keine kritischen Systemdateien ändern können."

Mit jeder neuen macOS-Hauptversion verstärkt Apple den Schutz gegen Bedrohungen weiter. So gibt es seit Ventura 13 einen neuen, optionalen Lockdown-Modus, der sich speziell gegen Spionagesoftware richtet. Durch Aktivierung des Blockierungsmodus werden die Abwehrvorkehrungen des Gerätes weiter verstärkt und bestimmte Funktionen streng eingeschränkt. Das reduziert die Angriffsfläche, die von zielgerichteter Spionagesoftware ausgenutzt werden könnte, drastisch. Mit Sonoma 14 wurde die iMessage-Kontaktschlüsselbestätigung eingeführt, die sicherstellen soll, dass Nutzer mit den beabsichtigten Personen kommunizieren.

 
macOS Sicherheit
 
macOS: Das Kernsystem läuft isoliert und ist gegen Malware geschützt.
Bild: Apple.

 

Apples Schutzmechanismen erkennen keine Windows-Malware

XProtect erkennt ausschließlich Mac-Schadsoftware, jedoch keine Windows-Malware. Dies ist ein wichtiger Punkt, den es vor allem im geschäftlichen Umfeld zu beachten gilt, wenn regelmäßig Dateien mit anderen Firmen ausgetauscht werden und die Empfänger (auch) Windows-Rechner einsetzen. Hierbei besteht die Gefahr, dass versehentlich und unwissentlich verseuchte E-Mail-Anhänge an Windows-Nutzer weitergegeben werden.

Allerdings ist es heutzutage so, dass bei allen seriösen Providern serverseitig ein Malware-Scan bei E-Mail-Attachements erfolgt - in Unternehmen ist das der De-facto-Standard. Auch bei Cloud-Diensten gehören derartige Schutzmechanismen inzwischen zum guten Ton. Außerdem verfügt das Microsoft-Betriebssystem ebenfalls über integrierte, serienmäßig eingeschaltete Anti-Malware-Mechanismen (Windows Defender), die beispielsweise lokal per USB-Stick weitergegebene Dateien scannen und gegebenenfalls Alarm schlagen.

Versehentlich weitergegebene Windows-Malware wird also spätestens vom Microsoft-Betriebssystem erkannt, wenn nicht bereits vorher auf Server-Ebene.

Anti-Viren-Software von Drittherstellern kann ein Einfallstor für Angriffe sein

Wer eine Anti-Viren-Software eines Drittherstellers auf seinem Mac installiert, sollte sich bewusst sein, dass diese Software selbst ein Sicherheitsrisiko darstellen kann. Sie läuft ständig im Hintergrund und Sicherheitslücken in der Software oder andere Einfallstore durch schlampige Programmierung könnten von außen attackiert werden. Außerdem gräbt sich Anti-Viren-Software tief ins System ein, was zu Leistungseinbußen, Problemen bei macOS-Aktualisierungen und Inkompatibilitäten mit anderen Anwendungen führen kann. 

Anti-Viren-Software von Drittanbietern bietet meist zusätzliche Funktionen

Eine Sicherheitslösung eines Drittanbieters verursacht laufende Kosten in Form eines Abonnements. Der Funktionsumfang geht jedoch meist weit über den reinen Malware-Schutz hinaus. Häufig angebotene Zusatzfunktionen sind beispielsweise ein VPN-Dienst, ein Phishing-Schutz, ein Passwortmanager oder spezielle Mechanismen gegen Ransomware-Attacken. Vereinzelt werden kostenfreie Light-Versionen von Anti-Viren-Software angeboten, die sich ausschließlich um Schadsoftware kümmern, jedoch mit deutlich begrenztem Funktionsumfang und eingeschränktem Nutzen.

 
KnockKnock
 
KnockKnock: Sinnvolle Ergänzung zu den macOS-Bordmitteln.
Bild: Patrick Wardle.

 

Fazit

macOS bietet nach unserer Einschätzung ein von Haus aus hohes Sicherheitsniveau, das Apple mit jeder Version sukzessive anhebt. Gleichzeitig muss man sich aber bewusst sein, dass es einen 100prozentigen Schutz niemals geben wird - egal ob mit oder ohne Dritthersteller-Software. Wer auf die macOS-Bordmittel vertraut, kann sie mit kostenfreien Werkzeugen wie KnockKnock oder LuLu sowie unseren Sicherheits-Tipps verfeinern und optimal ausnutzen.

Letztendlich ist jede Nutzerin und jeder Nutzer für die eigenen Geräte selbst verantwortlich - eine Entscheidung können wir niemandem abnehmen. Es gibt viele User, die sich mit den Bordmitteln von macOS wohlfühlen und Apple in puncto Sicherheit vertrauen. Andere wiederum setzen bewusst auf Drittanbieter-Lösungen als zusätzliche Schutzebene, was natürlich auch vom Einsatzgebiet der Geräte abhängt. Bei rein privat genutzter Hardware fällt die Sicherheitsbewertung anders aus als in Agenturen, Büros und kleineren und mittleren Firmen. Der Umstand, dass Dritthersteller-Software ein Kostenfaktor ist und Probleme verursachen kann, sollte in der Betrachtung ebenfalls eine Rolle spielen.

Grundsätzliche Anmerkungen zum Abschluss

Mac-Malware kursiert meist auf dubiosen Web-Sites - in Form unscheinbarer Downloads, in denen die Schadsoftware unsichtbar für den Nutzer eingebettet ist. Schadsoftware landet nicht einfach durch Zauberhand auf Macs, es sind immer mehrere Nutzer-Interaktionen (Download, Entpacken, Installation, Start) erforderlich. Auch die Verteilung via E-Mail über Attachements ist ein häufiger Verbreitungsweg. Folgende Grundregeln sollten daher beachtet werden:

Software ausschließlich von den offiziellen Hersteller-Websites bzw. aus dem Mac-App-Store beziehen (nie Programme von Download-Portalen laden), dubiose Web-Sites grundsätzlich meiden oder ggf. sofort verlassen und niemals auf via Popup-Fenster erscheinende Download-Angebote von Web-Sites reagieren. Ebenso: Vorsicht beim Öffnen von E-Mail-Anhängen unbekannter/dubioser Absender (speziell bei Microsoft-Office-Dateien und PDFs) und nie per E-Mail erhaltene Installer öffnen. Und: Verfügbare Sicherheitsupdates für macOS umgehend einspielen, um das Risiko eines Malware-Angriffs über offene Sicherheitslücken zu reduzieren.

Artikel-Update (November 2022): Beschreibung der macOS-Sicherheitsfunktion XProtect aktualisiert.

Artikel-Update (Januar 2024): Aktualisierungen auf Grundlage von macOS Sonoma 14 vorgenommen.

Artikel-Update (Juli 2024): XProtect-Neuerungen ergänzt.