Auf der Einstellungskarte Programme haben Sie bereits den Punkt Sicherheitsprüfung kennengelernt, mit dem verschiedene Aspekte eines Programms unter Sicherheitsgesichtspunkten untersucht werden konnten.
Auf der Einstellungskarte Systemsicherheit können Sie einen bestimmten Teil dieser Prüfung, nämlich denjenigen, der auf der digitalen Versiegelung von Programmcode (Codesigning) beruht, für eine große Zahl von Programmen gleichzeitig durchführen, z.B. für das gesamte System-Volume. Hiermit ist es möglich, die gesamte Sicherheitssituation eines Computers schnell einzuschätzen.
Die Prüfung berücksichtigt die folgenden Punkte:
Diese Massenprüfung ist auf Programme für die grafische Oberfläche beschränkt. Sie können im Rahmen einer solchen Prüflaufs keinen ausführbaren Code für die Befehlszeile, oder andere versiegelte Komponenten, wie z.B. Disk Images, prüfen.
Sie können nicht nur einen Ordner, sondern auch ein ganzes Volume zur Prüfung auswählen. Die Massenprüfung wird automatisch auf ein einzelnes Volume begrenzt, auch wenn es Verweise auf andere Volumes enthält.
Die Prüfung kann sehr lange Zeit benötigen, je nach dem, wie viele Programme enthalten und wie groß diese sind. Besonders große Programme, wie z.B. Xcode oder aufwändige Computerspiele können die Prüfung stark verzögern. Während die Massenprüfung läuft, können Sie den Knopf Stopp im Wartefenster betätigen, um die Prüfung abzubrechen.
Aus technischen Gründen können angefangene Prüfvorgänge nicht in allen Fällen sofort beendet werden, wenn Sie den Stopp-Knopf drücken. TinkerTool System führt angefangene Prüfungen möglicherweise noch im Hintergrund zu Ende, was den Mac noch für einige Zeit belasten kann, verwirft aber dann die Ergebnisse. Um laufende Prüfungen wirklich sofort abzubrechen, müssen Sie das Programm nach Drücken von Stopp beenden.
Nach dem Ende aller Prüfungsschritte wird das Endergebnis in einer Tabelle angezeigt. Es werden alle Programme mit Namen aufgelistet und die oben genannten Aspekte der Prüfung in den hinteren drei Spalten mit Symbolen gekennzeichnet:
Als Symbole werden verwendet:
Wenn Sie eine Zeile der Ergebnistabelle auswählen, werden Details über das Programm und die Prüfung angezeigt. Über das Lupensymbol können Sie das jeweilige Programm im Finder anzeigen lassen. Die Zeile Entdecktes Problem gibt bei einem Fehlschlag der Prüfung an, welche Ursache dazu geführt hat, dass die Prüfung nicht bestanden wurde.
Sie können für das ausgewählte Programm auch den Knopf Schließen und volle Sicherheitsprüfung für gewähltes Programm durchführen drücken, um das Programm automatisch auf der Karte Programme zu öffnen und dort ausführlich prüfen zu lassen.
Durch Anklicken des Knopfes Textbericht können Sie eine Kopie der Ergebnistabelle in Textform erhalten. Der Bericht kann ausgedruckt werden oder Sie können ihn im Rich Text Format in eine Textdatei exportieren.
In neueren Versionen von macOS kommt es regelmäßig zu Verwirrung bei Anwendern, wie viel Speicherplatz auf einem bestimmten Volume tatsächlich frei und belegt ist. Diese Verwirrung hat mehrere Ursachen:
Programme können verschiedene Definitionen von Maßeinheiten bei der Angabe von Speicherplatz verwenden, ohne dies korrekt zu markieren. So kann 1 Kilobyte je nach Definition entweder 1.024 Byte oder 1.000 Byte darstellen. Apple hat die Richtlinien für die Angaben von Speicher in den letzten Jahren mehrfach geändert. Ausführliche Hinweise hierzu finden Sie im Kapitel Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.
Programme können den Speicherplatz aus Sicht des Benutzers (Finder) oder aus technischer Sicht (Festplattendienstprogramm) anzeigen. Der Finder sieht beispielsweise Speicherplatz, der für die Ablage von Lokalen Time Machine-Schnappschüssen belegt wird, als frei an. Dies soll dem Benutzer signalisieren, dass der hierfür genutzte Speicher bei Bedarf vollautomatisch vom Betriebssystem freigegeben werden könnte, wenn er für etwas anderes benötigt wird. Ausführliche Informationen zu lokalen Time Machine-Schnappschüssen finden Sie im Kapitel Die Einstellungskarte Time Machine.
Moderne Dateisysteme können spezielle Abbuchungstechniken für die Verwaltung von Speicher verwenden, bei denen Kapazitäten mehrfach gezählt werden, obwohl sie in Wirklichkeit nur einmal vorhanden sind.
Apples Dateisystem APFS gehört zu diesen modernen Dateisystemen. Es unterstützt unter anderem die folgenden, heute üblichen Techniken, die zu Verwirrung bei Speicherplatzangaben führen können:
APFS benötigt keine Partitionierung mehr. Innerhalb eines APFS-Speicherbereichs können mehrere Volumes angelegt werden, ohne dass der Bereich in Partitionen unterteilt werden muss. (Ein von APFS verwalteter Bereich liegt jedoch selbst in einer Partition, einem sogenannten APFS-Container, damit er gegenüber den nicht von APFS verwalteten Bereichen abgegrenzt werden kann.) Die Volumes im Container können sich den Speicherplatz teilen, d.h. freie Blöcke müssen nicht fest einem Volume zugeordnet werden, sondern stehen potenziell jedem der Volumes zur Verfügung. Daraus ergibt sich, dass der freie Speicher nun mehrfach gezählt wird, von jedem Volume, der ihn nutzt. Betrachten Sie einen APFS-Container mit 250 GB, der 4 Volumes enthält: Wir haben nun 4 Volumes à 250 GB, also scheinbar 1.000 GB, obwohl real nur 250 GB vorhanden sind. Die Kapazität wird überbucht,was erst dann einen Konflikt auslöst, wenn jedes Volume tatsächlich sein zugewiesenes Maximum nutzen würde.
APFS unterstützt eine Schnappschussfunktion. Auf Wunsch kann sich das Dateisystem seinen Zustand zu einem bestimmten Zeitpunkt über das ganze Volume hinweg „merken“. Auf Knopfdruck kann dieser Zustand innerhalb von Sekunden wiederhergestellt werden. Es können beliebig viele dieser „eingefrorenen“ Zustände angelegt werden, so lange noch freie Kapazität vorhanden ist, um die jeweils alte und aktuelle Version aller Daten zu speichern. Technisch funktioniert die Schnappschussfunktion so, dass gelöschte oder überschriebene Versionen von Datenblöcken nicht mehr wirklich verworfen werden, sondern in ihrer früheren Fassung gespeichert bleiben. Beachten Sie, dass der hierfür verbrauchte Speicher nicht auf der Dateiebene sichtbar wird. Ein Volume verbraucht auf diese Weise mehr Platz als die Summe aller seiner momentan gespeicherten Dateien. Moderne Datensicherungsprogramme verwenden üblicherweise Schnappschüsse.
Wenn ein Volume APFS nutzt, kann daher die Frage nach freiem Speicherplatz möglicherweise gar nicht mehr so einfach beantwortet werden.
TinkerTool System kann die verschiedenen Sichten auf Speicherplatz, die von macOS unterstützt werden, für jedes Volume anzeigen:
Bei macOS Catalina oder höher ist das System-Volume intern in einen Nur-Lese-Systemteil und einen Schreib-/Lese-Datenteil aufgespalten. Beide teilen sich jedoch den gleichen Speicherplatz, so dass sie nur als einzelnes Volume im Aufklappmenü präsentiert werden.
Die verschiedenen Definitionen von belegten und freiem Speicher werden nun in einer Tabelle dargestellt, ebenso wird die physische Gesamtkapazität genannt. Unterhalb der Tabelle finden Sie bei Verwendung von APFS einen entsprechenden Warnhinweis. Beachten Sie beim Vergleich mit anderen Programmen, dass die korrekte Maßeinheit für die Anzeige von Speicher wie gewünscht in TinkerTool System eingestellt ist, siehe auch Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.
Was Apple unter „Bereinigung“ versteht, um den löschbaren Speicher wiederzugewinnen, ist nicht genau definiert.
Sie können sich allerdings über den Knopf Dienste einblenden, die löschbaren Speicher freigeben die Liste derjenigen Systemdienste anzeigen lassen, die sich im Moment bei macOS angemeldet haben, um bei Bedarf löschbaren Plattenplatz freigeben zu können.
Um einen Computer zu starten und ein Betriebssystem zu laden, muss es ein weiteres Programm, eine Art Minibetriebssystem geben, das diese Aufgabe übernimmt. Dieses Programm muss fest in den Computer eingebaut sein und wird daher Firmware genannt. So fest ist diese Software allerdings nicht in der Hardware verankert, ansonsten könnte sie selbst nicht aktualisiert und an technische Weiterentwicklungen angepasst werden. Sie wird daher in einem speziellen, elektrisch löschbaren Speicher festgehalten, ähnlich wie Flash-Speicher. Apple aktualisiert die Firmware in regelmäßigen Abständen ohne besondere Hinweise, als Nebenaufgabe wenn auch Updates des „normalen“ Betriebssystems installiert werden.
Die Firmware ist durch mehrere Maßnahmen gegen Manipulationen geschützt. Trotzdem ist es mit etwas krimineller Energie machbar, auch in der Firmware bösartige Programme, wie z.B. Spionagefunktionen unterzubringen. Solche Angriffe auf den Computer sind schwer zu entdecken, da die Firmware im Normalbetrieb ja immer als fest eingebaut und unveränderlich gilt.
Aus Sicherheitsgründen überprüft Apple in neueren Betriebssystemversionen regelmäßig, ob die Firmware noch intakt und unverändert ist. Hierzu werden Blockprüfsummen aller jemals ausgelieferten Firmware-Versionen für die jeweiligen Macintosh-Baureihen per Internet zur Verfügung gestellt und mit Prüfsummen der vorgefundenen Firmware verglichen. Solche Prüfläufe finden unsichtbar im Hintergrund statt und melden sich nur, falls eine Abweichung gefunden werden sollte. Eine Beispielwarnung ist untenstehend gezeigt.
TinkerTool System kann eine solche Prüfung manuell starten, so dass die Integrität der Firmware sofort überprüft und sichergestellt werden kann. Führen Sie hierzu folgende Schritt durch:
Das Endergebnis wird danach in einem Benutzerdialog angezeigt und eine Kopie auch noch einmal im Anzeigefenster festgehalten.
Nicht alle Macintosh-Modelle unterstützen diese Form der Firmware-Prüfung. In diesem Fall erhalten Sie von TinkerTool System einen entsprechenden Hinweis. Dies betrifft insbesondere die neuesten Baureihen, in denen der Computer durch einen unabhängigen Prozessor mit eigenem Betriebssystem (Apple BridgeOS) überwacht und geschützt wird. In solch einem System darf macOS die Firmware nicht mehr lesen, aber erst recht nicht schreiben, so dass die Sicherheit auf anderem Wege gewährleistet ist.
Es kann passieren, dass Apple eine neue Version von macOS veröffentlicht, die eine neue Firmware installiert, aber keine aktualisierte Prüfsumme für diese Firmware enthält. In diesem besonderen Fall wird die Integritätsprüfung fehlschlagen. Solch ein Fehler löst allerdings üblicherweise eine interne Aktualisierung der Prüfsummenliste per Internet aus, falls die Option Systemeinstellungen > Softwareupdate > Weitere Optionen > Systemdatendateien und Sicherheitsupdates installieren eingeschaltet ist, was der Standard ist. Das heißt, falls Sie eine Integritätswarnung kurz nach einem Update von macOS sehen, wiederholen Sie die Integritätsprüfung nach ein paar Stunden, um zu testen, ob es sich um einen Fehlalarm gehandelt hat.
Ein falscher Alarm kann normal sein, wenn Sie unveröffentlichte Beta-Betriebssysteme testen.
Ethernet-Anschlüsse der Herstellers Broadcom zeichnen sich durch die Besonderheit aus, dass auch deren Firmware auf relativ einfache Weise veränderbar ist. Die Überwachung der Firmware ist deshalb auch für diese Fälle sicherheitskritisch.
TinkerTool System kann überprüfen, ob ein oder mehrere Ethernet-Anschlüsse von Broadcom in Ihren Mac eingebaut, bzw. extern angeschlossen sind. Falls ja, kann auch deren Firmware sofort auf mögliche Manipulationen getestet werden:
Das Ergebnis der Prüfung wird nach ein paar Sekunden angezeigt. Falls mehrere Anschlüsse vorhanden sind, lässt sich jede Einheit im Bericht durch eine Nummer zuordnen, die PCI-Geräte-ID. Sie finden diese Nummer als hinteren Teil in der Spalte PCI-Geräte-ID in der Tabelle, so dass Sie den zugehörigen Netzwerkanschluss ablesen können.
macOS überprüft zurzeit nur Ethernet-Baugruppen des Herstellers Broadcom. Ethernet-Anschlüsse anderer Hersteller werden nicht getestet, besitzen in der Regel aber auch keine angreifbare Firmware.