Steuerung des Dateizugriffs durch Apps in macOS
Apple vertritt die Ansicht, dass ein Benutzer volle Transparenz darüber haben muss, was Apps mit seinen Daten anstellen, den Vorgängen zustimmen muss und sie kontrollieren können muss. Unter macOS 10.15 wird dieses Modell systemseitig erzwungen, weshalb alle Apps die Zustimmung des Benutzers einholen müssen, wenn sie auf Dateien im Ordner „Dokumente“, im Ordner „Downloads“, auf dem Schreibtisch, in iCloud Drive oder auf einem Volume im Netzwerk zugreifen möchten. Unter macOS 10.13 müssen Apps, die den Zugriff auf das gesamte Speichergerät benötigen, explizit in den Systemeinstellungen hinzugefügt werden. Darüber hinaus benötigen Funktionen für die Bedienungshilfen und die Automatisierung die Einwilligung des Benutzers, damit sichergestellt ist, dass keine anderen Schutzvorkehrungen umgangen werden. Abhängig von der für den Zugriff geltenden Richtlinie werden Benutzer zur Änderung der folgenden Einstellung entweder aufgefordert oder gezwungen:
Unter macOS 13 (oder neuer): „Systemeinstellungen“ > „Datenschutz & Sicherheit“ > „Datenschutz“
Unter macOS 12 (oder älter): „Systemeinstellungen“ > „Sicherheit & Datenschutz“ > „Datenschutz“
Objekt | Benutzer wird durch App aufgefordert | Benutzer muss die Einstellungen zu Datenschutz und Datensicherheit ändern |
|---|---|---|
Bedienungshilfen |
|
|
Vollzugriff auf internen Speicher |
|
|
Dateien und Ordner Hinweis: Umfasst Schreibtisch, Ordner „Dokumente“, Ordner „Downloads“, Volumes im Netzwerk und Wechseldatenträger |
|
|
Automatisierung (Apple-Ereignisse) |
|
|
Ein Benutzer, der FileVault auf einem Mac aktiviert, wird zur Eingabe seiner gültigen Anmeldeinformationen aufgefordert, bevor der Boot-Prozess fortgesetzt wird und er Zugriff auf spezialisierte Modi beim Startvorgang erhält. Ohne gültige Anmeldeinformationen oder einen Wiederherstellungsschlüssel bleibt das gesamte Volume verschlüsselt und vor unbefugtem Zugriff geschützt, selbst wenn das physische Speichergerät entfernt und an einen anderen Computer angeschlossen wird.
Um den Schutz in einer Unternehmensumgebung zu gewährleisten, sollten die IT-Verantwortlichen mithilfe einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) FileVault-Konfigurationsrichtlinien definieren und deren Einhaltung erzwingen. Organisationen haben mehrere Möglichkeiten, um verschlüsselte Volumes zu verwalten – zum Beispiel institutionelle Wiederherstellungsschlüssel, persönliche Wiederherstellungsschlüssel (die optional treuhänderisch in der MDM-Lösung gespeichert werden können) oder eine Kombination der beiden Varianten. Auch die Schlüsselrotation kann in der MDM-Lösung als Richtlinie konfiguriert werden.