MacOS-Firewall: Aktivieren oder nicht?
Wer Windows kennt, weiß: Ohne Software-Firewall sollte man das System nicht benutzen. Glücklicherweise hat Windows inzwischen selbst ein entsprechendes Tool an Bord. Unter MacOS ist das nicht anders: Es gibt auf dem Mac eine eingebaute Firewall – allerdings solltet Ihr diese nur in bestimmten Fällen aktivieren.
MacOS-Firewall aktivieren: So geht's
Bevor wir mit dem Pro und Contra MacOS-Firewall loslegen, zunächst ein klassischer Tutonaut-Ratgeber: Ihr könnt die MacOS-Firewall jederzeit ein- und ausschalten, wie es Euch beliebt.
- Öffnet zunächst die Systemeinstellungen und wählt hier den Punkt "Sicherheit".
- Wählt nun den Reiter "Firewall" und klickt unten auf das Schloss-Symbol, um die Einstellung zu entsperren.
- Gebt Euer Administrator-Passwort ein und klickt auf "Schutz aufheben".
- Nun könnt Ihr die MacOS-Firewall mit einem Klick auf "Firewall aktivieren" einschalten. Das war es auch schon: Die Firewall ist aktiv.
- Zum Deaktivieren klickt Ihr einfach auf "Firewall deaktivieren".
- Ein Klick auf "Firewall-Optionen" erlaubt Euch, die Einstellungen zu verfeinern. Hier könnt Ihr zum Beispiel bestimmten Programmen die Annahme eingehender Verbindungen untersagen oder Programme aus der Liste löschen. Ihr könnt auch einfach alle eingehenden Verbindungen blockieren oder sogar den sogenannten "Tarnmodus" aktivieren. Normalerweise reicht es aber aus, alles zu lassen, wie es ist.
MacOS-Firewall: Sinnvoll oder nicht?
Die MacOS-Firewall ist wie bereits gesagt eine Software-Firewall, die nichts anderes tut, als eingehende Verbindungen zu blockieren. Das bedeutet zum Beispiel, dass Ihr sie nicht verwenden müsst, wenn Ihr ausgehende Verbindungen blocken möchtet, denn da hat sie keinerlei Funktion für. Wenn Ihr verhindern wollt, dass ein Programm "nach Hause telefoniert", ist die MacOS-Firewall also die denkbar schlechteste Lösung. In diesem Fall könnt Ihr ein Tool wie Little Snitch (kostenpflichtig, 47,25 Euro) verwenden: Dieses dient als Firewall und blockiert auch ausgehende Verbindungen. Alternativ gibt es auch das kostenlose LuLu, das allerdings erst in XCode kompiliert werden muss.
Die MacOS-Firewall kann Anwendungen behindern
Allerdings hat die MacOS-Firewall trotzdem durchaus ihre Existenzberechtigung. Einerseits, weil sie einfach brav im Hintergrund mitläuft, andererseits, weil sie kaum Systemressourcen verbraucht. Zwar ist sie standardmäßig deaktiviert, das dient jedoch primär der Sicherstellung, dass jede App problemlos Kontakt mit dem Internet herstellen kann. In der Tat kann die MacOS-Firewall nämlich Spiele oder andere Anwendungen blockieren, sodass zum Beispiel keine Online-Games möglich sind. Sollte sie deshalb immer aus bleiben?
An oder aus – was denn jetzt?
Jein. Funktional bietet die MacOS-Firewall im Grunde keinen Unterschied zu den integrierten Firewalls, die auf den allermeisten Routern zu finden sind. Von daher könnt Ihr sie immer dort aus lassen, wo ein solcher Router zwischen Euch und dem Internet hängt, etwa auf Eurem Desktop-Mac zuhause oder in der Firma. Überall dort, wo der Rechner direkt gegenüber Fremden und dem Internet exponiert ist – in Internet-Cafés, öffentlichen WLANs oder auch, wenn er direkt an einem DSL-, LTE- oder Kabelmodem hängt, solltet Ihr die Firewall hingegen anschalten und über die Optionen die nötigen Ausnahmen definieren. In meinem Fall bedeutet das, dass die Firewall am iMac, der ja hinter der FritzBox steht, immer aus ist, am Macbook Air hingegen, das ich viel im öffentlichen Raum nutze, immer an.
"Alle eingehenden Verbindungen blockieren" sinnvoll?
Falls Ihr im öffentlichen Raum unterwegs seid, könnt Ihr zusätzlich "Alle eingehenden Verbindungen blockieren" oder sogar den "Stealth-Modus" anschalten. Ersteres macht die Firewall für eingehende Verbindungen dicht, lässt aber Standard-Anwendungen durchkommen. Dadurch ist zum Beispiel die Nutzung von Diensten wie DHCP, Bonjour oder VPN per IPSec weiterhin möglich. Die meisten anderen Dienste – Dateifreigabe, VNC oder Musikfreigabe werden hingegen gesperrt. Eingehende Verbindungen dieser Art werden geblockt, der anfragende Dienst erhält eine Fehlermeldung. Dadurch ist die Funktionalität des Macs gegebenenfalls massiv eingeschränkt, weshalb Ihr die Funktion nur nutzen solltet, wenn Ihr Euch in wirklich unsicheren Gefilden befindet (etwa auf einem Hacker-Kongress in einem Schurkenstaat^^).
Was ist der Stealth-Modus?
Der Stealth-Modus erweitert die Verbindungsblockade um "typische Hackertools" wie Ping. Er macht den Rechner wie einen Stealth-Bomber im Netzwerk für solche Programme "unsichtbar": Er reagiert gar nicht beziehungsweise nur mit einer Fehlermeldung auf eingehende Verbindungen. Dadurch kann es sein, dass weitere Dienste abeschnürt werden, die auf diese Art der Verbindung angewiesen sind. Der Stealth-Modus ist übrigens umstritten: Durch die Nichtreaktion kommuniziert der Mac im Zweifel, dass er sich im Stealth-Modus befindet. Angreifer könnten das nutzen, um dazu passende Attacken zu fahren.
Die MacOS-Firewall: Ein Panzer aus Zuckerwatte?
Ist die MacOS-Firewall also sinnlos? Nun: Das sollte jeder für sich entscheiden. Wichtig ist, dass es sie gibt und dass sie bei Bedarf aktiviert werden kann. Gegenüber dem Betrieb ohne Firewall hat sie in jedem Fall einen deutlichen Sicherheitsvorteil, den sich User mit nur wenig zusätzlicher Systemlast und ohne Zusatzkosten erkaufen können. Unter dem Strich kann sie, solange sie nicht im Blockade- oder Stealth-Modus läuft, auch problemlos einfach mitlaufen. Grundsätzlich ist die Personal Firewall des Macs aber nur ein "Sicherheits-Goodie". In der Wikipedia steht folgender kluger Vergleich:
Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Automobils vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Fahrer nicht zu schützen vermag. Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen vorsichtig zu fahren.
Es mag wie beim Autofahren Szenarien geben, in denen der "Gurt" stört – aber in den allermeisten Fällen hat er deutlich mehr Vorteile als Nachteile!