IT-Sicherheit

Der Mac braucht keinen Virenschutz…

Posted on by Norbert Tuschen

Tappt das BSI im Dunkeln?Sagt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Und gibt dazu sogar einen Leitfaden in Form eines PDF heraus.

Das ist gefährlich, sage ich.

Denn das ist zu kurz gesprungen. Und da dieses Papier mittlerweile auch in großen Presse wie dem Focus nachzulesen ist, wird es schleunigst Zeit, einmal was dazu zu sagen.

Warum ich das für gefährliche Verharmlosung halte? Schreibe ich gerne einmal auf.

Angekündigt in Fachmagazinen wurde der Artikel mit dem Tenor, das BSI habe nach den Empfehlungen für den sicheren Umgang mit Windows-Rechnern nun endlich auch etwas für Mac und Ubuntu-Anwender erarbeitet und ist zu eben dem obigen Fazit gekommen.

Die Erarbeitung des Papiers ist im Kern ein wirklich sinnvoller Ansatz, denn die IT-Welt um uns herum besteht nicht nur aus Windows-Rechnern. Seit Jahren predige ich Toleranz in der IT. Jede Aufgabe erfordert das passende Werkzeug. Warum also nicht den Mac für grafische Arbeiten im Unternehmen und den Windows-Rechner für die Buchhaltung? Das läuft in einer gut geplanten heterogenen Netzwerkumgebung wunderbar neben- und miteinander. Aber das ist ein anderes Thema.

Immerhin hat es das BSI nach ein paar Tagen geschafft, den angekündigten Leitfaden für Ubuntu auch wirklich auf der obigen Seite zu hinterlegen. Der Hinweis darauf, dass der Link zum Mac-Leitfaden doppelt sei und dafür der zu Ubuntu fehle, war Minuten nach Veröffentlichung schon da. Aber gut. Immerhin ist es jetzt geändert.

Beschäftigen wir uns einmal mit dem Inhalt des Leitfadens „Sichere Nutzung von Macs unter Apple OS X Mountain Lion„.

Es fängt im Titel an. Warum beschäftigt man sich nur mit dem gerade veröffentlichten Mountain Lion (OS-X 10.8)? Die breite Basis der Installationen ist nach meiner Wahrnehmung noch auch den Systemen Snow Leopart (10.6) und Lion (10.7). Impliziert das also, dass erst mit 10.8 kein Virenschutz mehr nötig ist? Warum also nicht einfach bei der breiten Basis anfangen, einen Virenschutz empfehlen und dann im Nebensatz erwähnen, dass man sich bei 10.8 durchaus ein wenig auf Bordmittel verlassen kann? Das ist durchaus realistisch, denn mit 10.8 hat Apple erstmals Dienstprogramme wie GateKeeper mit im Lieferumfang, die unerwünschte Schädlinge fernhalten können.

Aber gut, das BSI hat diesen Weg gewählt.

Wenn man nun definiert, dass es nur um den einzelnen Rechner geht, der ohne jeden Austausch mit anderen vor sich hin vegetiert, könnte man den Tenor des Papiers auch durchaus noch akzeptieren und stützen. Die Kernaussagen wie
„Die Installation eines separaten Virenschutzprogramms ist, basierend auf dem aktuellen Stand der Be­drohungslage durch Schadsoftware für Macs, unter OS X Mountain Lion nicht notwendig.“
ist ja für sich betrachtet völlig in Ordnung.

Aber reflektiert das wirklich auch die zunehmende Gefahr durch AddOns oder PlugIns, die von Dritten für Browser entwickelt werden? Die Mehrzahl der zuletzt bekannt gewordenen Verwundbarkeiten betraf immer Lücken in Hilfsprogrammen wie dem PDF- oder Flash-PlugIn.

Warum rege ich mich dann auf?

Weil jetzt in der Presse die klaren Einschränkungen auf den Einzelrechner und Mountain Lion nicht mehr hervorgehoben wird. So liest man im Aufmacher des oben aufgeführten Artikel des Focus:
„Mac-Rechner sind vergleichsweise sicher. Das Betriebssystem OS X bietet bereits Schutz vor Schädlingen. Auch eine Firewall muss nicht extra installiert werden. Wichtig sind aber regelmäßige Sicherheits-Updates.“

Und was bleibt in den Köpfen der Leser? Dieser Aufmacher und die Headline „Computer: Mac-Nutzer brauchen keinen Virenschutz „.

Und da wird es gefährlich. Denn die kleinen Randbemerkungen im Artikel nimmt keiner wahr. Tiefenpsychologie ist schuld daran. Eine positive Bestärkung der eigenen Entscheidung pro Mac, ist der Psyche wichtiger, als die Wahrnehmung der noch erwähnten Risiken. Das ist ja unangenehm und wird daher verdrängt.

 Nehmen wir  die von mir wahrgenommene IT-Praxis in den Fokus.

Mac-Anwender kommunizieren und sind mobil. Sie melden sich in anderer Leute WLANs an. Beim Freund, beim Kunden, im eigenen Betrieb oder einem überregional vertretenen Coffe-To-Go Shop. Das ist normal und nicht wegzudiskutieren.

Nun kommt also einer dieser Anwender mit Schadsoftware in Kontakt. Per Email. Eine .exe-Datei. Kein Problem. Der Anwender hat je ein virtualisiertes Windows-XP auf dem Rechner. Er nimmt das aber gar nicht als eigenes Betriebssystem wahr, weil es ja transparent mit dem OS-X verzahnt ist. Also mal eben draufgeklickt und schon startet der Schädling in der virtuellen Maschine. Glückwunsch. „A new Bot-Zombie is born“. Zwar nur ein virtueller, aber auch der wartet auf den Befehl zum SPAN-Versand wie ein richtiger Blechbruder.

Nächstes Gedankenspiel: Beim Kunden bekomme ich Daten zur Mitnahme ins eigene Unternehmen. Mein Arbeitgeber ist ja schlau. Er gibt den mobilen Mitarbeitern Macs, weil die nicht so anfällig sind. Aber im Betrieb gibt es eine gemischte Umgebung, in der neben den Mac-Arbeitsplätzen auch einige Windows-Rechner in der Buchhaltung und der CAD-Konstruktion stehen. Und natürlich deren Windows-Server. Das läuft wunderbar zusammen.

Und kaum wieder zurück gibt der Mitarbeiter die mitgebrachten Dateien an die Konstrukteure weiter. Und das war es dann…

Und jetzt noch den juristischen Blickwinkel. Das ist die Sache mit der Haftung.

Ich erhalte auf meinem Mac also eine Mail mit einem Schadcode im Anhang. Und leite den mal eben an meinen Kunden weiter. Der öffnet den Anhang und legt seine Rechner lahm.

Wer ist dann wohl mit in der Haftung? Trotz aller Disclaimer im Fuß der Email? Genau.

Und über die eigene Reputation beim Kunden braucht man dann auch nicht mehr nachdenken.

Auch zahlt die eigene Versicherung mit Sicherheit keinen Cent für die Wiederherstellung von Daten. Denn ein Rechner ohne Virenschutz ist nach den meisten Versicherungsbedingungen nicht mehr Stand der Technik. Und die schreiben nichts davon, das es einen Freifahrtschein für Mountain Lion gibt.

Mein Rat: BSI-Leitfaden lesen. Ignorieren und auf den vertrauten Berater hören.

Denn der predigt seit Jahren eine strikte Überwachung der Übergänge zum Internet. Auch wenn die meisten Geschäftsführer es doof finden, das Sicherheit zu Lasten der Bequemlichkeit geht.

Und er predigt auch Datensicherungen. Nicht nur per TimeMachine. Das ist zwar gut und wichtig, aber noch wichtiger und im RiskManagement für einen guten Basel-II Score gefordert: Die externe Lagerung einer verifizierten und per Testrücksicherung bestätigten Kopie.

Und er predigt ganz sicher auch immer wieder was von Virenschutz und mit mitdenken. Und einen mitdenken Mitarbeiter kann man nicht per Leitfaden oder Richtlinie erzwingen. Im Gegenteil. Den stumpft das ab. Denn das BSI hat doch gesagt…

Und das ist die größte Gefahr!