Apples macOS hat eine treue Fangemeinde und konnte in den vergangenen Jahren durchaus kontinuierlich Marktanteile für sich gewinnen. Dass macOS implizit sicherer ist als andere Betriebssysteme, stimmt so aber nicht. Zwar sind weniger Viren im Umlauf, ausgeschlossen ist eine Bedrohung damit aber keinesfalls und auch diese Geräte müssen IT-Verantwortliche schützen. Dazu bringt macOS ein eigenes Framework für Endpoint Security mit, das in macOS 15 alias Sequoia nochmals einiges an Funktionalität gewonnen hat. Wie Admins Macs sinnvoll absichern, zeigt dieser Artikel.
Noch immer dominiert Windows weite Teile der Desktopwelt, obwohl viele Nutzer zahlreiche Alltagsaufgaben mittlerweile per Browser erledigen und vielerorts ein Chromebook eigentlich ausreichend wäre. Hinter Windows folgt mit viel Abstand auf der Hitliste der Betriebssysteme Apples macOS. Insbesondere in der kreativen Wirtschaft sind Macs und mit ihnen macOS bis heute sehr beliebt, weil viele Programme für Bild- und Videobearbeitung für dieses Betriebssystem konzipiert werden und dort auch am besten funktionieren.
Aber auch IT-Profis setzen mittlerweile oft auf macOS statt Linux, denn damit erhalten sie ein richtiges UNIX als Unterbau und obendrein ein insgesamt gut funktionierendes Userland. Ein Irrglaube hält sich in der Branche allerdings hartnäckig: Die Situation mit Viren und Malware sei bei macOS praktisch egal, heißt es dann oft, weil das Betriebssystem quasi ab Werk viel sicherer sei als die Konkurrenz. Diese Darstellung ist jedoch zumindest leicht vereinfacht, denn in der Tat sind weniger Viren für macOS im Umlauf. Das dürfte jedoch vor allem daran liegen, dass macOS viel weniger Nutzer als Windows hat und sich ein Angriff entsprechend weniger oft einsetzen lässt. Damit ist er implizit weniger lukrativ. Egal ist das Thema Sicherheit bei Macs aber keinesfalls und valide Angriffsszenarien existieren ebenso wie Viren und Malware. Auch die Admins in Unternehmen mit großer Mac-Flotte sind vor dem Thema Endpoint Security insofern nicht gefeit. Stellt sich freilich die Frage, wie sich eine grundlegende Endpunktsicherheit unter macOS sinnvoll erreichen lässt.
Apples Endpoint Security Framework
Immerhin greift Apple Administratoren hier zielstrebig unter die Arme: Bereits seit einigen macOS-Versionen liefert der Hersteller selbst ein "Endpoint Security Framework" (ES) mit seinem Betriebssystem aus. Ursprünglich hatte der Hersteller das Framework für Endpunktsicherheit in macOS auf den Namen "Endpoint Security Framework" oder kurz "ESF" getauft. Mittlerweile ist das "Framework" selbst allerdings nicht mehr Bestandteil des offiziellen Namens und Apple redet einfach von "ES". 2019 feierte die Technik ihr Debüt im Rahmen der WWDC, seither hat der Anbieter den Funktionsumfang kontinuierlich erweitert.
Noch immer dominiert Windows weite Teile der Desktopwelt, obwohl viele Nutzer zahlreiche Alltagsaufgaben mittlerweile per Browser erledigen und vielerorts ein Chromebook eigentlich ausreichend wäre. Hinter Windows folgt mit viel Abstand auf der Hitliste der Betriebssysteme Apples macOS. Insbesondere in der kreativen Wirtschaft sind Macs und mit ihnen macOS bis heute sehr beliebt, weil viele Programme für Bild- und Videobearbeitung für dieses Betriebssystem konzipiert werden und dort auch am besten funktionieren.
Aber auch IT-Profis setzen mittlerweile oft auf macOS statt Linux, denn damit erhalten sie ein richtiges UNIX als Unterbau und obendrein ein insgesamt gut funktionierendes Userland. Ein Irrglaube hält sich in der Branche allerdings hartnäckig: Die Situation mit Viren und Malware sei bei macOS praktisch egal, heißt es dann oft, weil das Betriebssystem quasi ab Werk viel sicherer sei als die Konkurrenz. Diese Darstellung ist jedoch zumindest leicht vereinfacht, denn in der Tat sind weniger Viren für macOS im Umlauf. Das dürfte jedoch vor allem daran liegen, dass macOS viel weniger Nutzer als Windows hat und sich ein Angriff entsprechend weniger oft einsetzen lässt. Damit ist er implizit weniger lukrativ. Egal ist das Thema Sicherheit bei Macs aber keinesfalls und valide Angriffsszenarien existieren ebenso wie Viren und Malware. Auch die Admins in Unternehmen mit großer Mac-Flotte sind vor dem Thema Endpoint Security insofern nicht gefeit. Stellt sich freilich die Frage, wie sich eine grundlegende Endpunktsicherheit unter macOS sinnvoll erreichen lässt.
Apples Endpoint Security Framework
Immerhin greift Apple Administratoren hier zielstrebig unter die Arme: Bereits seit einigen macOS-Versionen liefert der Hersteller selbst ein "Endpoint Security Framework" (ES) mit seinem Betriebssystem aus. Ursprünglich hatte der Hersteller das Framework für Endpunktsicherheit in macOS auf den Namen "Endpoint Security Framework" oder kurz "ESF" getauft. Mittlerweile ist das "Framework" selbst allerdings nicht mehr Bestandteil des offiziellen Namens und Apple redet einfach von "ES". 2019 feierte die Technik ihr Debüt im Rahmen der WWDC, seither hat der Anbieter den Funktionsumfang kontinuierlich erweitert.
Das System erfasst diverse Metrikdaten und verfügt über eine komplette Integration in die Programmiersprache C. Die Idee dabei ist, dass macOS zahllose Dinge wie Ereignisse, ausgeführte Befehle oder den fließenden Netzwerkverkehr mitschreibt. Per Endpoint Security Framework docken Programme an diese Schnittstelle an und können die dort hinterlegten Daten einsehen.
Das ES ist dabei Teil einer größeren Sicherheitsinitiative des Herstellers wozu auch zählt, dass Apple den Darwin-Kernel von macOS weiter abdichten und etwa die zuvor beliebten Kernel-Extensions praktisch vollständig deaktivieren konnte. Wenn Werkzeuge wie OpenVPN oder LittleSnitch nicht mehr ein Modul direkt in den Kern des Betriebssystems laden können, trägt das erheblich zur gesteigerten Sicherheit des Systems bei. Denn gelingt es einem Bösewicht, über ein solches Modul in das System einzubrechen, hat er dieses sofort vollständig unter seiner Kontrolle.
Und Apple entwickelt ES kontinuierlich weiter, in der aktuellen Version 15 von macOS alias Sequioa sind wieder einige praktische Funktionen hinzugekommen. Zwar schneidern sich die wenigsten Nutzer ihre ES-Integration tatsächlich in C selbst. Es gibt mittlerweile aber etliche Hersteller, die das Endpoint Security Framework nutzen und auf dessen Grundlage umfassende Funktionen in Sachen Systemsicherheit bieten. Grund genug, sich den aktuellen Status von ES genauer anzusehen und auch die Frage zu stellen, wie ein System mit Apples Framework sich sinnvoll in Sachen Endpoint Security betreiben lässt.
Neue Features in Sequoia
In macOS Sequoia hat Cupertino vor allem an der Performanceschraube gedreht. Eine zentrale Funktion von ES besteht darin, Ereignisse im System nahezu in Echtzeit zu bemerken, aufzuzeichnen und an per ES angedockte Sicherheitsanwendungen durchzugeben. Wer wissen möchte, wie das aussieht, kann es sich mit dem Red Canary Mac Monitor [1] etwas genauer ansehen. Davon gibt es für macOS mittlerweile tatsächlich eine ganze Menge. ESET etwa als klassische Anwendung für Endpunktsicherheit existiert ebenso für macOS wie Microsofts Defender.
Bild 1: Red Canary Mac Monitor macht Ereignisse der Endpoint Security unter macOS sichtbar und erlaubt, sie nachzuverfolgen.
Auch weniger bekannte Tools wie die Desktop-Firewall LittleSnitch [2] docken über ES an und können so überhaupt erst funktionieren. ES teilt der Software mit, welche eingehenden und ausgehenden Verbindungen aktuell aktiv sind. Der Nutzer selbst hat dann die Möglichkeit, direkt in LittleSnitch den Datenverkehr zu erlauben oder zu verbieten. Der Vollständigkeit halber sei erwähnt, dass die Firewallfunktion nicht aus ES kommt. Hierfür bietet macOS eine eigene Schnittstelle an. Die allermeisten Werkzeuge für Endpoint Security in macOS funktionieren im Prinzip aber genauso wie LittleSnitch: Per ES erfahren sie von einem Vorgang, über eine der vielen anderen APIs im System – etwa die in macOS enthaltene Packet-Filterfunktion –, ergreifen sie Maßnahmen.
Bild 2: LittleSnitch ist ein klassischer Paketfilter für macOS, greift im Hintergrund aber vor allem auf Systembestandteile wie ES und die macOS-Firewallfunktion zurück.
Dabei legt Apple großen Wert darauf, bestimmte Features wie das Filtern von Paketen in streng von allen anderen Funktionen getrennte Werkzeuge zu verpacken. Eine Vermischung soll es nicht geben, den Herstellern von Software kommt stattdessen die Aufgabe zu, die gegebenen Werkzeuge klug zu nutzen und sinnvoll zu kombinieren. All diese Tools profitieren jedenfalls von den Performanceverbesserungen in Sequoia, denn insbesondere die Echtzeitübermittlung von Daten aus ES an die angeschlossenen Werkzeuge läuft deutlich flotter als vorher.
Dass Apples ES kein Hobbyprojekt emsiger macOS-Entwickler ist, zeigt übrigens der Umstand, dass der Hersteller andere Funktionen konsequent aus macOS streicht, sobald ES vergleichbare Features bietet. Die meisten Werkzeuge kamen früher mit einer Kernel-Extension daher. Kurz nach der Einführung von ESF 2019 bangten nicht wenige jener Erweiterungen um ihre Existenz. Denn Apple hatte bereits angekündigt, dass ESF und später ES den bisherigen Wildwuchs der Kernel-Extensions beenden und einheitliche APIs für Sicherheitsfunktionen an verschiedenen Stellen anbieten würde. Die LittleSnitch-Entwickler mussten darauf wie viele andere auch reagieren, indem sie weite Teile ihrer Software neu schrieben.
Mittlerweile hat sich die Aufregung weitgehend gelegt, auch wenn ES immer wieder aufs Neue für eine Überraschung gut ist. Mehrere kleine Änderungen in Sequoia etwa sorgten dafür, dass diverse proprietäre Werkzeuge wie ESET oder Microsofts Defender for macOS zwischendurch gar nicht mehr funktionierten. Durch kleinere Updates ließ sich das in den meisten Fällen allerdings beheben. Apple führt diesen Ansatz weiterhin fort und ersetzt einstige Kernel Extensions längst durch "System Extensions". Die laufen zwar im Gegensatz zu vom Nutzer gestarteten Prozessen immer noch mit erweiterten Rechten, haben aber eben keinen unmittelbaren Zugriff auf den Kernelspace mehr. Bis einschließlich macOS 14 war es allerdings möglich, dass sich Systemerweiterungen weitgehend vor den Augen des Anwenders versteckten. Auch das ist eine zentrale Neuerung in macOS 15, das über die Systemkonfiguration einen einfachen Pfad anbietet, um die vorhandenen Systemerweiterungen anzuzeigen und zu steuern.
Die Herausforderung beim macOS-Management
Freilich ist Apples ES noch kein alleiniger Garant für sinnvolle Endpunktsicherheit in macOS. Es ist ein Baustein in einem Konzept, von dem insbesondere Anwendungen Gebrauch machen, die eingehenden wie ausgehenden Datenverkehr überwachen und steuern wollen. Letztlich tut ja auch ein Antivirenprogramm nichts anderes: Es erkennt im Datenstrom Viren, bevor diese es überhaupt auf das Speicherlaufwerk schaffen.
Gerade bei macOS ist vielen IT-Verantwortlichen allerdings nicht klar, wie eine sinnvolle Sicherheitsstrategie für Endpunktsicherheit auf Macs aussehen kann. Die gute Nachricht ist: Apple bietet noch viel umfassendere Werkzeuge im System an, um Compliance und damit letztlich Endpunktsicherheit zu erzwingen. Zwei Begriffe von zentraler Bedeutung insbesondere im Unternehmenskontext sind dabei DEP und ABM. DEP bezeichnet das "Device Enrollment Programme" und funktioniert recht einfach. Hat ein Unternehmen bei Apple einen Account im Apple Business Manager (ABM) eingerichtet, bekommt es eine DEP-Nummer. Teilt der IT-Verantwortliche diese beim Kauf eines Macs dem Händler mit, verknüpft dieser im Hintergrund die Seriennummer des Macs unzertrennlich mit der DEP-Nummer des Unternehmens. Über diese Verbindung erhält das besitzende Unternehmen praktisch vollständige Kontrolle über den jeweiligen Mac inklusive umfassender Fernsteuerungsmöglichkeiten.
Das ist beispielsweise dann besonders hilfreich, wenn ein Gerät in die falschen Hände gelangt. Denn mittels DEP ist über das Einbeziehen eines Mobile Device Managements (MDM) das vollständige Löschen aus der Ferne möglich. Ebenfalls lässt sich mittels der "Wo ist"-Funktion effektiv verhindern, dass jemand anderes das Gerät dauerhaft nutzt. Das Device bleibt zwar in den falschen Händen, ist aber kaum noch sinnvoll zu verwerten. Weil bei aktuellen Macs die Hardwarekomponenten zudem über die Seriennummer des Mainboards aneinander gekoppelt sind, taugt ein solcher Rechner nicht einmal sinnvoll als Ausschlachtgerät. Ein gut in DEP integrierter Mac ist insofern bestens vorbereitet für diverse Sicherheitsanforderungen. Vor diesem Hintergrund ist es sehr verwunderlich, dass DEP, ein darauf fußendes MDM und ABM im Gespann nicht viel regelmäßiger zum Einsatz kommen.
Die Verantwortung dafür trägt Apple allerdings zum Teil selbst. Denn es ist nicht ganz trivial, einen Mac-Rechner sinnvoll unter die Knute von DEP und angeschlossenem MDM zu stellen. Zunächst ist ein ABM-Account vonnöten, dessen Nutzung Apple übrigens nicht in Rechnung stellt. Dann verifiziert der Admin sein Unternehmen und erhält die bereits beschriebene DEP-Nummer, die er beim Kauf eines Macs unbedingt dem Händler mitteilen muss. Kurze Zeit später taucht das Gerät dann in der Liste der steuerbaren Hardware in Apples Business Manager auf.
Mobile Device Management nur von Drittanbietern
Ein eigenes Werkzeug für das Mobile Device Management bietet Apple allerdings nicht an. Hier hat es sich stattdessen als sinnvoll herausgestellt, zu Produkten von Drittanbietern zu greifen. Welches empfehlenswert ist, hängt insbesondere von der Anzahl der zu unterstützenden Devices ab. Kleinstunternehmen mit drei oder weniger Laptops sind erfahrungsgemäß mit Jamf Now gut bedient, denn dessen Einsatz ist in dieser Dimension grundsätzlich kostenlos. Kompliziert ist hingegen, Jamf Now als MDM mit dem Apple Business Manager zu verbinden und das erste Setup einzurichten. Dafür ist unter anderem ein digitales Zertifikat von Apple nötig, das der Administrator im eigens dafür in Jamf Now anzulegenden Account hinterlegt. Wichtig ist dabei, das Zertifikat mit einem Ablaufdatum zu versehen und jährlich (kostenfrei) zu erneuern. Sind ABM und Jamf Now verbunden, lassen sich einzelne Geräte aus dem DEP Jamf Now zuweisen. Und erst jetzt beginnt die eigentliche Arbeit in Sachen Endpunktsicherheit. Jamf Now bietet beispielsweise "Blueprints" an, die generische Konfigurationsparameter für Macs enthalten und erzwingen.
Der Vielfalt beim Definieren von Blueprints sind dabei kaum Grenzen gesetzt und viele Funktionen beziehen sich auf das Thema Sicherheit. Gerade Jamf Now verdeutlicht das gut, indem der Anbieter links ein eigenes Submenü "Security" anbietet, in dem die wichtigsten Einstellungen gesammelt zu finden sind. Wer beispielsweise seine User dazu zwingen möchte, ein Passwort oder einen Passcode zu nutzen – macOS selbst schreibt das nicht vor – setzt hier den entsprechenden Haken. FileVault, also die Verschlüsselung des verbauten Speicherlaufwerks, sollte stets aktiviert sein, schon weil die Funktion keine Performance kostet, aber das Auslesen des Datenträgers außerhalb des gestarteten Betriebssystems unterbindet.
Jamf bietet obendrein ein eigenes Werkzeug namens Jamf Protect an. Dies ist eine Mischung aus Paketfilter und Antivirus- und Antimalware-Suite, die im Hintergrund unter anderem auf Apples Endpoint Security Framework setzt. Jamf Connect bietet komplementär die Synchronisierung von Passwörtern an, ohne dass dafür zusätzliche Werkzeuge wie 1Password oder KeePassX nötig wären. Raffiniert ist dabei, dass wenn Administratoren den Blueprint "Default" anpassen, der automatisch für alle neuen Geräte in MDM zum Einsatz kommt, die dort hinterlegten Einstellungen via DEP und MDM automatisch auf jedes System wandern, die auf die jeweilige DEP-Nummer registriert ist.
Obendrein sind nicht alle Einstellungen mit Sicherheitsbezug bei Werkzeugen wie Jamf Now in einem eigenen Kontextmenü organisiert. Über den Punkt "Restrictions" etwa haben IT-Verantwortliche umfassende Möglichkeiten, das Verhalten des Anwenders auf seinem System zu steuern. So lassen sich Zusatzdienste wie Apple Music oder das Apple Game Center deaktivieren. Auf Wunsch ist es sogar möglich, das Ändern des Wallpapers zu unterbinden und komplementär ein Standard-Wallpaper zu hinterlegen. Viele der hier verfügbaren Einschränkungen greifen im Hintergrund wieder auf das Endpoint Security Framework zu.
Zu viel des Guten
Wer sich etwas Zeit nimmt und die Einstellungen von Jamf Now (oder jene von Jamf Pro für größere Setups) oder vergleichbarer MDM-Werkzeuge ausgiebig studiert, findet noch mehr Wege, die Freiheiten der eigenen Benutzer auf Systemen weitgehend einzuschränken. So ist es etwa möglich, Nutzern das Hinterlegen eigener VPN-Profile zu verbieten, eine Whitelist von WiFi-Netzen vorzugeben, mit denen Anwender sich verbinden dürfen oder Dienste wie AirDrop oder AirPrint zu verbieten. Administratoren sollten hier aber im Hinterkopf behalten, dass der Grundsatz "Die Dosis macht das Gift" durchaus auch bei der Endpoint Security in macOS gilt.
De facto lässt sich per DEP, ABM und Werkzeugen wie Jamf macOS so stark einschränken, dass User bloß noch einzelne Programme starten und nutzen dürfen. Das allerdings macht das Gerät insgesamt dann auch wesentlich weniger hilfreich. Wer etwa im Kaffeehaus sitzt und das dortige WiFi nicht nutzen kann, weil das per DEP-Whitelist für WLAN-Netze unterbunden ist, wird vermutlich zum privaten Gerät greifen. Das ist im schlimmsten Fall aber ein deutlich weniger gut geschütztes Zweitgerät, das dann unerlaubterweise für dienstliche Zwecke zum Einsatz kommt. Hinterlegt der IT-Verantwortliche auf einem Mac hingegen per DEP und ABM sinnvolle, aber nicht komplett restriktive Sicherheitsvorgaben, reduziert sich der Anreiz für BYOD erheblich und hat letztlich mehr Kontrolle über die Situation.
Bild 3: Per MDM lässt sich festlegen, dass bestimmte Programme ausgeführt werden dürfen, andere aber nicht.
macOS noch sicherer betreiben
Apple legt macOS diverse Werkzeuge bei, um die Sicherheit von Endpunkten zu erhöhen. Was etwa vielen Nutzern und sogar einigen Admins meist unbekannt ist, ist die Tatsache, dass macOS ab Werk sowohl mit einem Malware-Scanner als auch mit einem Antivirenprogramm daherkommt. Der Malwareschutz heißt XProtect. Bis macOS 14 lagen dessen zentrale Dateien in "/System / Library / CoreServices / XProtect.bundle / Contents / Resources/". Dazu zählten insbesondere die YARA-Definitionen, deren Aktualität Administratoren regelmäßig überprüfen sollten. Ab Sequoia liegen diese allerdings in "/Library / Apple / System / Library / CoreServices / XProtect.bundle".
Und anstelle des vorherigen "Malware Removal Tool" (MRT) liefert macOS nun den XProtectBehaviorService. Der überwacht das System automatisiert im Hinblick auf verdächtige Aktivitäten und schlägt gegebenenfalls Alarm. Das klappt aber nur, wenn die Yara-Definitionen aktuell sind. An dieser Anforderung hat sich in Sequoia also nichts geändert. Damit macOS sie automatisiert aktualisiert, sollte in den Systemeinstellungen bei der "Automatische Updates"-Einstellung der Haken bei "Sicherheitsmaßnahmen und Systemdateien installieren" unbedingt gesetzt sein. Wer seine Macs per DEP und MDM steuert, kann auf diesem Wege die entsprechende Konfiguration auch erzwingen.
Freilich bietet macOS noch ein anderes Werkzeug, um die Installation beliebiger Anwendungen zu unterbinden, nämlich die Nutzung signierter Binaries. Über deren Konfiguration lassen sich mögliche Quellen neuer Software, die das System überhaupt erlaubt, erheblich einschränken. Hier gehen viele Firmen schon heute den Weg und lassen Software nur aus dem App Store zu. Programme von hier sind grundsätzlich digital signiert und damit auf Macs, die das Ausführen nicht signierter Werkzeuge verhindern, uneingeschränkt lauffähig.
Obendrein sollten IT-Verantwortliche, die Macs als Flotte betreiben, sich sowohl um das Thema Data Loss Prevention als auch um die Aktivierungssperre auf den Geräten kümmern. Data Loss Prevention ist im Grunde das systematische Erstellen von Backups per Time Machine. Hier empfiehlt es sich, zentrale Speicherlaufwerke zur Verfügung zu stellen, die sich direkt als Time-Machine-Ziel hinterlegen lassen. Auch das ist mit MDM-Werkzeugen wie Jamf erzwingbar. Benutzer werden dann im Rahmen des Aktivierens der Jamf-Einstellungen, das automatisch per DEP initialisiert wird, durch das Aufsetzen eines Backup-Mediums und das Einrichten der Sicherung selbst geleitet. Dabei ist darauf zu achten, dass auch die Time-Machine-Option für das Verschlüsseln von Backups zum Einsatz kommt. Denn ansonsten ließen sich Maßnahmen wie die Verschlüsselung des Datenträgers leicht aushebeln.
Schließlich ist die Aktivierungssperre bei Macs (vorrangig bei jenen mit Apple-CPU) ein großes Thema. Ältere Geräte mit Intel-CPUs kommen mir eine EFI-Firmware inklusive optionalem Passwortschutz. So lässt sich sogar vermeiden, dass Langfinger den Rechner von einem externen Speichermedium booten und macOS kurzerhand neu installieren. Das würde andernfalls – gerade bei aktiviertem Filevault – zwar nicht dazu führen, dass Daten abhanden kommen, das Gerät wäre aber trotzdem für die Ganoven nützlich, weil es hinterher als regulärer Mac nutzbar ist. Eine entsprechende Funktion existiert bei Macs mit Apples M-CPUs nicht.
Das bekannte Problem jedoch umgeht die Aktivierungssperre, die dafür sorgt, dass ein Mac, der einmal fest mit einer Apple-ID verbunden ist, sich nicht mit einer anderen ID verbinden lässt. Bekannt ist das Phänomen von gesperrten iPhones oder iPads, die sich so lange nicht einrichten lassen, bis der ursprüngliche Eigentümer sie aus dem eigenen Account löscht. Ein Problem ist dabei jedoch, dass die Aktivierungssperre nicht mit allen MDM-Werkzeugen auf Macs zusammenarbeitet. Jamf Pro ist hier eine Option, andere MDM-Systeme funktionieren auch. Wer nur einen kleinen Fuhrpark von Macs hat und keine großes MDM nutzen möchte, sollte seine Nutzer jedenfalls dazu anhalten, die Aktivierungssperre händisch zu setzen.
Fazit
Anders als Windows bringt macOS viele Funktionen und hilfreiche Features für umfassende Endpunktsicherheit ab Werk mit. Das heißt aber nicht, dass es nicht etliche kommerzielle Anbieter gibt, die Antivirus, Firewall und andere Werkzeuge für macOS ebenfalls offerieren. Eine generelle Empfehlung ist hier nicht möglich, grundsätzlich gilt aber: Wer als Firma ohnehin mit einem der etablierten Hersteller im Bett liegt, bekommt von diesen vermutlich auch eine Umgebung für Macs. Die große Stärke liegt dann darin, dass sich die Endpoint-Security-Produkte der großen Anbieter nahtlos ebenso zentral verwalten lassen wie die vergleichbaren Werkzeuge etwa für Win-dows. IT-Verantwortliche sparen sich in so einem Konstrukt also einigen Aufwand, um eine Sonderlösung für Macs aufzusetzen.