Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
macOS Security im Unternehmen: Hardening, MDM und Enterprise Controls - Betriebssystem-Sicherheit und Systemhaertung
Netzwerk- & Endpoint Security

macOS Security im Unternehmen: Hardening, MDM und Enterprise Controls

macOS im Unternehmenseinsatz sicher konfigurieren: Apple MDM mit Jamf Pro oder Microsoft Intune, macOS CIS Benchmark, System Integrity Protection (SIP), Gatekeeper, FileVault 2, Endpoint Security Framework, XProtect. Inklusive Konfigurationsprofilen für DNS-Filter, Firewall, und Passwort-Richtlinien.

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
11 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Ein unmanaged macOS-Gerät ist trotz der eingebauten Apple-Sicherheitsfunktionen (SIP, Gatekeeper, XProtect, ESF) kein sicheres Unternehmenssystem. Die Enterprise-Härtung erfordert MDM-Management mit Jamf Pro oder Microsoft Intune, CIS-Benchmark-konforme Konfigurationsprofile, FileVault-2-Verschlüsselung, Passwort-Richtlinien, DNS-Filter und Firewall-Konfiguration. Endpoint-Security-Framework-basierte EDR-Lösungen wie Jamf Protect erganzen den Schutz durch Echtzeit-Prozessmonitoring.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (8 Abschnitte)

macOS gilt als sicheres Betriebssystem - und das zu Recht. Apple hat in den letzten Jahren erheblich in Sicherheitsfeatures investiert: System Integrity Protection, Gatekeeper, Notarisierungspflicht, App Sandbox. Trotzdem: Ein unmanaged MacBook im Unternehmenseinsatz ist kein sicheres System. Dieser Guide zeigt die notwendigen Enterprise-Härtungsmaßnahmen.

macOS Security-Architektur

macOS kombiniert mehrere Sicherheitsebenen, die zusammenwirken - aber nur im MDM-verwalteten Zustand vollständig konfigurierbar sind.

System Integrity Protection (SIP) schützt kritische Systempfade (/System, /usr, /bin, /sbin) vor Modifikation - sogar für den Root-Benutzer. /Library und /Applications sind nicht durch SIP geschützt. Eine Deaktivierung ist nur im Recovery-Mode möglich. Den Status prüft man mit:

csrutil status
# System Integrity Protection status: enabled.

Seit macOS Ventura ergänzt das Signed System Volume (SSV) den SIP-Schutz: Alle Systempfade sind kryptografisch gesiegelt und durch einen Hash-Tree der gesamten System-Partition abgesichert. Eine Manipulation ohne komplettes Volume-Rebuild ist damit unmöglich.

Gatekeeper verhindert die Ausführung unsignierter Apps. Apple verlangt zusätzlich eine Notarisierung - eine Prüfung der App auf Malware-Freiheit. Nicht notarisierte Apps erhalten beim Start eine Warnung. Heruntergeladene Dateien erhalten automatisch ein Quarantine-Flag, das beim Öffnen ausgewertet wird.

XProtect ist das eingebaute, signaturbasierte Malware-Scanning-System von macOS. Die Signaturen werden täglich aktualisiert - unabhängig von macOS-Updates. Seit Ventura ergänzt XProtect Remediator eine aktive Malware-Bereinigungskomponente.

Das Endpoint Security Framework (ESF) ist die Kern-API für EDR-Produkte wie CrowdStrike und Jamf Protect. Es liefert Echtzeit-Events zu Prozessstart, Dateizugriffen und Netzwerkverbindungen und ersetzt die alten, instabileren Kernel-Extensions (kexts).

MDM-Deployment mit Jamf Pro

Jamf Pro ist die führende Enterprise-MDM-Lösung für macOS. Das Zero-Touch-Deployment erfolgt über Apple Business Manager (ABM): Ein neues Gerät wird in ABM registriert, beim ersten Start erfolgt das MDM-Enrollment automatisch. Für bestehende Macs gibt es ein manuelles Enrollment via sudo profiles install -path /path/to/enrollment.mobileconfig.

Konfigurationsprofile sind das zentrale Werkzeug in Jamf Pro. Ein Passwort-Richtlinien-Profil (als .mobileconfig) setzt folgende Parameter via com.apple.mobiledevice.passwordpolicy:

<key>minLength</key><integer>12</integer>
<key>requireAlphanumeric</key><true/>
<key>maxPINAgeInDays</key><integer>90</integer>
<key>maxFailedAttempts</key><integer>10</integer>
<key>minutesUntilFailedLoginReset</key><integer>5</integer>

Jamf Policies steuern Software-Deployment und Konfigurationsskripte. Trigger können Login, Enrollment oder regelmäßige Check-Ins sein. Shell-Scripts und .pkg-Pakete werden darüber auf verwaltete Geräte verteilt.

Jamf Protect ist das ESF-basierte EDR für macOS. Es erkennt Process Injection, LOLBin-Missbrauch und Privilege Escalation und lässt sich in Splunk, Microsoft Sentinel und CrowdStrike Falcon integrieren.

Microsoft Intune für macOS

Das Enrollment über die Company Portal App bindet macOS-Geräte an Intune. Nach dem Sign-In mit dem Microsoft 365-Account greift Conditional Access: Nur enrolled und konforme Geräte erhalten Zugang zu Office 365.

Eine Compliance-Richtlinie in Intune setzt folgende Mindestanforderungen durch:

  • macOS 14.0 (Sonoma) oder neuer
  • FileVault aktiviert
  • System Integrity Protection aktiviert
  • Firewall aktiviert
  • Passwort-Komplexität erfüllt

Konfigurationsprofile werden in Intune als Custom Profile mit Property-List-Dateien (.plist) verteilt. Für Encrypted DNS lässt sich so zum Beispiel DNS-over-HTTPS erzwingen, indem das DNSSettings-Payload mit DNSProtocol: HTTPS und der gewünschten ServerURL (z. B. NextDNS) ausgerollt wird.

Conditional Access via Azure AD schließt den Kreis: Nicht-konforme Macs erhalten keinen Zugriff auf Microsoft 365-Dienste, solange die Compliance-Anforderungen nicht erfüllt sind.

Firewall und Netzwerk

macOS verfügt über eine eingebaute Application Firewall, die per MDM-Profil (com.apple.security.firewall) zentral konfiguriert werden kann. Die wichtigsten Parameter:

  • EnableFirewall: true - Firewall aktiv
  • EnableStealthMode: true - kein ICMP-Response auf Ping
  • BlockAllIncoming: false - eingehende Verbindungen für Managed Apps erlauben

Der macOS Packet Filter (pf) eignet sich für hochsichere Workstations, bei denen ausgehende Verbindungen auf explizit erlaubte Ports beschränkt werden sollen (TCP 80/443/22, UDP 53/123).

DNS-Security lässt sich ohne separaten Agent über MDM deployen: NextDNS oder ähnliche Dienste werden als Encrypted-DNS-Profil (DoH/DoT) auf alle verwalteten Macs ausgerollt und bieten dabei gleichzeitig Malware-Blocking und Social-Engineering-Schutz.

FileVault 2 und Festplattenverschlüsselung

FileVault 2 verschlüsselt die gesamte Systemfestplatte. Im Enterprise-Umfeld wird FileVault immer per MDM aktiviert, damit der Recovery Key beim MDM-System (Jamf Pro oder Intune) hinterlegt wird. Verliert ein Mitarbeiter das Passwort oder scheidet aus, kann die IT entsperren.

Das MDM-Profil (com.apple.MCX.FileVault2) setzt Enable: On und Defer: true, sodass die Verschlüsselung beim nächsten Logout des Nutzers aktiviert wird. DeferForceAtUserLoginMaxBypassAttempts: 3 erlaubt maximal drei Mal das Überspringen.

Für den Institutional Recovery Key - ein Master-Key der alle Macs des Unternehmens entsperren kann - bietet Jamf Pro eine integrierte Verwaltung.

Auf Apple-Silicon-Macs (M1/M2/M3) ist die Hardware-Verschlüsselung über die Secure Enclave immer aktiv. FileVault schützt dabei den kryptografischen Schlüssel - ohne FileVault können auch andere Benutzer des Geräts auf die Daten zugreifen. Im Enterprise-Betrieb ist FileVault daher immer zu aktivieren.

CIS Benchmark macOS

Der CIS macOS 14 Benchmark definiert die wichtigsten Härtungsmaßnahmen in fünf Bereichen:

1. Grundlegende System-Settings: Automatische Software-Updates (AutomaticCheckEnabled, AutomaticDownload, AutomaticallyInstallMacOSUpdates) und NTP-Synchronisation aktivieren.

2. Secure Remote Management: SSH, Screen Sharing und Apple Remote Desktop deaktivieren, sofern nicht explizit benötigt. Für SSH gilt: Wenn benötigt, auf Schlüssel-basierte Authentifizierung beschränken.

3. Privacy und Logging: Der Audit-Daemon (auditd) zeichnet sicherheitsrelevante Ereignisse auf. Die Audit-Flags in /etc/security/audit_control sollten mindestens lo,aa,ad,pc,nt,ex,ws umfassen. Der Unified Log lässt sich für Security-Events abfragen:

log show --predicate 'eventMessage contains "authentication"' --last 1h

4. Browser-Härtung: Fraudulent Website Warning aktivieren, keine PDF-Inline-Ausführung in Safari.

5. Kernel-Extension-Policy (MDEX): Per MDM-Profil werden nur von Apple genehmigte Kernel-Erweiterungen zugelassen. Das verhindert das Laden unsignierter kexts und damit potenzieller Rootkits.

Den Compliance-Stand automatisch prüfen lässt sich mit dem NIST macOS Security Compliance Project:

git clone https://github.com/usnistgov/macos_security
cd macos_security
./rules/generate_guidance.py --baseline cis_lvl1
./compliance_report.sh

macOS-spezifische Bedrohungen

macOS ist kein seltenes Ziel mehr. Die relevantesten Bedrohungsklassen:

AMOS (Atomic macOS Stealer) stiehlt Passwörter aus dem Keychain, Browser-Cookies und Krypto-Wallets. Die Verbreitung erfolgt über gefälschte Software-Downloads und Malvertising. Gatekeeper, Notarisierungspflicht und Jamf Protect sind die wichtigsten Schutzmaßnahmen.

XLoader (macOS-Port von FormBook) ist ein Java-basierter InfoStealer mit C2-Kommunikation, der über Phishing-E-Mails mit .dmg-Anhängen verbreitet wird.

Bundlore/Shlayer war 2020-2023 die häufigste macOS-Malware. Die Verbreitung erfolgte über gefälschte Flash-Updates - mittlerweile durch Gatekeeper und XProtect gut abgedeckt.

Bei Privilege Escalation sind sudo-Schwachstellen, setuid-Binaries (find / -perm -4000 2>/dev/null) und LaunchDaemon-Hijacking die häufigsten Angriffsvektoren.

Die wichtigsten Persistence-Mechanismen auf macOS sind:

  • LaunchAgents unter ~/Library/LaunchAgents/ (User-Level)
  • LaunchDaemons unter /Library/LaunchDaemons/ (System-Level)
  • Login Items in den Systemeinstellungen

Unbekannte .plist-Dateien in diesen Verzeichnissen sind verdächtig. Jamf Protect löst automatisch einen Alert aus, sobald ein neuer LaunchAgent erstellt wird. LuLu (Open Source) warnt bei ausgehenden Verbindungen neu installierter Apps.

Privileged Access Management für macOS

Alle Mitarbeiter sollten als Standard-User ohne Admin-Rechte arbeiten. Admin-Rechte werden nur auf Anfrage temporär vergeben, gesteuert über PAM-Lösungen wie Jamf Connect, BeyondTrust Endpoint Privilege Management oder CyberArk Endpoint Privilege Manager.

Um zu prüfen, wer aktuell Admin-Rechte hat, und um diese zu entziehen:

# Aktuelle Admin-Mitglieder anzeigen:
dscl . -read /Groups/admin GroupMembership

# Admin-Rechte entziehen:
sudo dscl . -delete /Groups/admin GroupMembership [USERNAME]

Der Bootstrap Token ermöglicht MDM-gesteuerte Sicherheitsoperationen auch ohne aktiven User-Login: FileVault-Unlock, Secure Token vergeben und Software-Updates erzwingen. Jamf Pro hinterlegt den Bootstrap Token automatisch beim Enrollment. Der Status lässt sich mit sudo profiles validate -type bootstraptoken prüfen.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

E-Mail
PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV