macOS-Hardening: Lockdown Mode, MDM und Angriffsflaechenreduktion

Ein frisch ausgepacktes MacBook verlaesst Apple mit etwa 70% der Schutzmassnahmen, die Sie tatsaechlich brauchen, wenn Sie Ziel von Soeldner-Spyware wie Pegasus, Predator oder QuaDream sind. Die restlichen 30% sind Ihre Entscheidungen: Lockdown Mode, MDM-Profile, FileVault mit Offline-Wiederherstellungsschluessel und aggressives Abschalten von Diensten. Das Basilisk-Team betreut seit 2021 Kunden, die Apple Threat Notifications erhalten haben, und das Muster wiederholt sich: Die Maschine war aus Sicht eines durchschnittlichen Nutzers 'sicher', behielt aber iMessage-Auto-Anhaenge, AirDrop auf 'Jeder fuer 10 Minuten' und Wallet mit Karten-Sync via iCloud ohne Hardware-2FA. Dieser Text ist das Playbook, das wir anwenden, bevor wir ein Apple Silicon an ein Hochrisikoprofil uebergeben.

Starten Sie mit Lockdown Mode, eingefuehrt in macOS Ventura und reif in Sequoia 15.2. Er deaktiviert JIT-Rendering in Safari, komplexe Webfonts, Linkvorschauen in Nachrichten, FaceTime von Unbekannten, Kabelverbindungen zu neuen Zubehoerteilen und Shared Albums. In realen Tests gegen die Exploits CVE-2023-41992 und CVE-2024-23222 brach Lockdown Mode Exploitation-Ketten in 4 von 6 internen PoCs. Der Preis? Komplexe PDFs scheitern in Mail, einige schwere WebGL-Seiten laden nicht, exotische Webfonts werden zu Rechtecken. Fuer das Risikoprofil aus Personenschutz fuer Exponierte Ziele: Journalisten, Aktivisten und Fuehrungskraefte und OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell ist der Tradeoff trivial.

Beim MDM machen die meisten den Fehler. Sie brauchen kein Corporate-Jamf zu 8 Dollar pro Platz fuer eine private Maschine: Tools wie mdmb und das kostenlose Mosyle Business (bis 30 Geraete) erlauben das Pushen von Configuration Profiles mit Policies, die das System-UI nicht einmal anzeigt. Blockieren Sie unsignierte Kernel-Extensions, zwingen Sie Gatekeeper auf 'App Store and identified developers', deaktivieren Sie Bonjour Multicast in nicht vertrauenswuerdigen Netzen und erzwingen Sie XProtect-Remediator-Auto-Updates. Dokumentieren Sie jedes Profil in einem Sigstore-signierten Git, wie in Supply Chain Security: Sigstore-Signatur und echte SBOMs in CI/CD beschrieben. Ohne signiertes Profil kann der Nutzer auf Reisen in Panik Schutzmassnahmen herausreissen.

FileVault braucht drei Anpassungen jenseits der Standardeinstellung. Erstens: Generieren Sie den institutionellen Recovery Key mit fdesetup changerecovery -institutional und speichern Sie ihn auf einer Offline-YubiKey 5C, niemals in iCloud. Zweitens: Schalten Sie das sleepimage komplett ab mit pmset -a hibernatemode 0 und entfernen Sie /var/vm/sleepimage; sonst bleibt Ihr FileVault-Key nach Suspend im RAM und Cold-Boot-Attacks mit PCILeech funktionieren auf den verbleibenden Intel-Macs noch. Drittens: Setzen Sie pmset -a destroyfvkeyonstandby 1 standbydelaylow 60 standbydelayhigh 60, um den Key-Drop in 60 Sekunden zu erzwingen. Kombinieren Sie das mit der 3-2-1-Backup-Strategie aus Disk-Krypto und Backups: VeraCrypt, LUKS und eine Belastbare 3-2-1-Strategie.

Angriffsflaechenreduktion bedeutet, ungenutzte Daemons zu killen. Fuehren Sie sudo launchctl list | wc -l auf einem frischen Mac aus: typisch laufen 280+ Dienste. Deaktivieren Sie mit launchctl disable system/com.apple.AirPlayXPCHelper, com.apple.rapportd, com.apple.sharingd, com.apple.familycircled und com.apple.bluetoothd, wenn Sie kabelgebundene Kopfhoerer nutzen. Fuer Telemetrie editieren Sie /Library/Application Support/CrashReporter/DiagnosticMessagesHistory.plist und sperren Sie per Firewall mit Little Snitch oder LuLu die Endpunkte diagnostics-d.apple.com, gateway.icloud.com und xp.apple.com. Achtung: Das Blockieren von ocsp.apple.com bricht Notarization Checks und kann signierte Apps stoppen. Dokumentieren Sie jede Sperre mit Begruendung, genauso wie in Linux-Server-Hardening: CIS Benchmark Anwenden Ohne die Produktion zu Zerlegen empfohlen.

Browser und Mail verdienen ein eigenes Kapitel. Nutzen Sie Safari mit Lockdown Mode fuer Banking und echte Konten und Firefox mit Containern plus uBlock Origin fuer Recherche. Installieren Sie niemals Chrome-Extensions aus unauditierten Quellen: Das Oekosystem hatte im Januar 2025 35 entfernte Schad-Extensions, mehrere mit mehr als 100.000 Installationen. Fuer E-Mail deaktivieren Sie das automatische Laden von Bildern in Mail.app (Preferences > Viewing > Load remote content) und nutzen Sie Apple Mail Privacy Protection nur, wenn Sie das Routing ueber Apple-Proxies akzeptieren. Fuer sensible Kommunikation wechseln Sie zu Signal oder SimpleX gemaess unserer Bewertung in Kommunikations-OPSEC: Signal, SimpleX und Session Technisch Verglichen.

Schliesslich: Monitoring. Installieren Sie Googles santa zuerst eine Woche im MONITOR-Modus, dann in LOCKDOWN mit Binary-Allowlist. Konfigurieren Sie UnifiedLog-Queries zur Erkennung von XProtect- und MRT-Trigger-Events: log show --predicate 'subsystem == "com.apple.xprotect"' --last 7d. Diese reaktive Untersuchung ist in macOS Incident Forensik: UnifiedLogs, FSEvents und AULR im Einsatz beschrieben. Praktisches Fazit: Keine dieser Massnahmen allein stoppt einen gut finanzierten Gegner, aber die Kombination Lockdown Mode + signiertes MDM-Profil + FileVault mit YubiKey + Santa im Lockdown + Little Snitch + genulltes sleepimage hebt die Exploitation-Kosten von vier- auf sechsstellig. Und genau an diesem Punkt fallen Sie aus dem Menue der praktikablen Ziele.