Mac Startsicherheitsdienstprogramm – Funktion und Nutzen erklärt

Nutzt ihr einen Apple Mac, einen iMac oder ein MacBook mit T2 Security Chip, dann findet ihr beim Start im Wiederherstellungsmodus das Startsicherheitsdienstprogramm. Das in der englischen Version von macOS auch Startup Security Utility genannte Programm hilft euch dabei, Sicherheitseinstellungen für den Start des Computers festzulegen. So könnt ihr z. B. einstellen, ob macOS nur von der internen Festplatte oder auch von einem externen Wechselmedium gestartet werden darf. Weiterhin können Systemversionen (nur aktuelles OS, nur verifizierte OS-Versionen oder keine Einschränkung) festgelegt werden. Nicht zuletzt richtet ihr im Mac Startsicherheitsdienstprogramm das Firmware-Passwort ein.

Im Recovery Mode eines Apple Mac mit T2 Security Chip könnt ihr das Startsicherheitsdienstprogramm aufrufen, um das Firmware-Passwort einzurichten, Sicherheitsabfragen beim Start von macOS oder Windows einzustellen und zulässige Startmedien festzulegen. Details findet ihr in diesem Ratgeber.

Im Recovery Mode eines Apple Mac mit T2 Security Chip könnt ihr das Startsicherheitsdienstprogramm aufrufen, um das Firmware-Passwort einzurichten, Sicherheitsabfragen beim Start von macOS oder Windows einzustellen und zulässige Startmedien festzulegen. Details findet ihr in diesem Ratgeber.

Vorbetrachtung: Welche Mac-Modelle haben einen T2 Security Chip?

Der T2-Chip ist ein Coprozessor in aktuellen Intel-Macs. Der Beiname „Security“ deutet schon auf die Wichtigkeit für die Datensicherheit am Apple-Computer hin. So regelt er z. B. die Verschlüsselung des Speichers, die Funktionen für einen sicheren Start, einige Prozesse der digitalen Bildverarbeitung sowie den Schutz der Daten für die Touch ID. Laut dem offiziellen Support-Dokument von Apple (hier) verfügen folgende Mac-Computer über den T2-Chip:

  • Apple iMac (Retina 5K, 27″, 2020)
  • Apple iMac Pro
  • Apple Mac Pro (2019)
  • Apple Mac Pro (Rack, 2019)
  • Apple Mac mini (2018)
  • Apple MacBook Air (Retina, 13″, 2020)
  • Apple MacBook Air (Retina, 13″, 2019)
  • Apple MacBook Air (Retina, 13″, 2018)
  • Apple MacBook Pro (13", 2020, zwei Thunderbolt 3-Anschlüsse)
  • Apple MacBook Pro (13", 2020, vier Thunderbolt 3-Anschlüsse)
  • Apple MacBook Pro (16″, 2019)
  • Apple MacBook Pro (13″, 2019, zwei Thunderbolt 3-Anschlüsse)
  • Apple MacBook Pro (15″, 2019)
  • Apple MacBook Pro (13″, 2019, vier Thunderbolt 3-Anschlüsse)
  • Apple MacBook Pro (15″, 2018)
  • Apple MacBook Pro (13″, 2018, vier Thunderbolt 3-Anschlüsse)

Ratgeber: Apple Configurator 2 – Einen „toten“ Intel-Mac mit T2-Chip wiederbeleben

Das Startsicherheitsdienstprogramm aufrufen: So geht’s!

Wenn ihr nun also einen der oben aufgeführten Macs habt und Sicherheitseinstellungen für den Start dieses Computers vornehmen wollt, dann gibt es für den Weg dahin bestimmte Schritte. Praktisch, das hiernach direkt die Schritt-für-Schritt-Anleitung zum Aufrufen des Startsicherheitsdienstprogramms folgt:

  1. Schaltet den Mac ein, wenn das Apple-Logo erscheint, haltet sofort die Tastenkombination Befehlstaste + R (⌘R) gedrückt
  2. Wenn nun der Wiederherstellungsmodus (Recovery Mode) gestartet wurde, könnt ihr die Tasten loslassen
  3. Falls eine Passwortabfrage kommt, wählt einen Administrator-Account und gebt das dazugehörige Passwort ein
  4. Ist das Fenster „macOS-Dienstprogramme“ aktiv, könnt ihr in der Menüleiste unter „Dienstprogramme“ das „Startsicherheitsdienstprogramm“ auswählen und somit öffnen
  5. Wird eine Authentifizierung verlangt, wählt „macOS-Passwort eingeben“, um abermals ein Admin-Konto auszuwählen und dessen Passwort einzugeben

Mac Firmware-Passwort aktivieren und festlegen

In dem sich öffnenden Fenster stehen euch nun die eingangs schon erwähnten Optionen zur Verfügung. Darunter ist das Aktivieren und Festlegen eines Firmware-Passworts. Dieses wird dann abgefragt, wenn ein System von einem Volume / einem Speichermedium gestartet werden soll, welches nicht von euch als Standard festgelegt wurde. Startet ihr also standardmäßig von der „Macintosh HD“, aber will jemand z. B. mit einem Boot-Stick über einen USB-Anschluss an euren Computer, dann wird dieses Passwort abgefragt. Wer es nicht kennt, bekommt keinen Zugriff.

Sicheres Starten (Secure Boot) als Mac-Startoption

Das Startsicherheitsdienstprogramm im Wiederherstellungsmodus von macOS zeigt euch außerdem Auswahlmöglichkeiten fürs sichere Starten der Maschine an. Ihr könnt dabei aus drei Optionen wählen, die innerhalb des Programms auch noch einmal kurz erläutert werden. Hier ein paar längere Ausführungen für eine umfangreichere Erklärung:

  • Volle Sicherheit / Full Security: Von iOS-Geräten bekannte Sicherheitsstufe, bei der im Rahmen des Starts die Integrität des Betriebssystems überprüft wird. Ist das System unbekannt bzw. veraltet oder unsicher, lädt der Mac die Integritätsdaten vom Apple-Server (bei aktiviertem FileVault wird dabei das Passwort abgefragt). Übersteht das System die Überprüfung nicht, kann ein Softwareupdate geladen oder ein anderes Startvolume ausgewählt werden. Im Zweifelsfall kann auch die Sicherheitsstufe gesenkt werden.
  • Mittlere Sicherheit / Medium Security: Beim Start wird das Betriebssystem auf die ordnungsgemäße Signatur hin überprüft, also werden entsprechende Daten von Apple (macOS) oder von Microsoft (Windows) geprüft. Allerdings muss hier im Vergleich zur „Vollen Sicherheit“ keine Internetverbindung bestehen. Ihr werdet also nicht daran gehindert, veraltete bzw. unsichere Versionen des Systems zu nutzen. Ein Update-Hinweis kann dennoch erscheinen.
  • Ohne Sicherheit / No Security: Es werden keine Sicherheitsanforderungen überprüft und erzwungen.

Zulässige Startmedien festlegen (Allowed Boot Media)

Der letzte Abschnitt im Mac Startsicherheitsdienstprogramm bietet weitere zwei Optionen. Diese sind schnell erklärt: Entweder ihr untersagt das Starten eines Betriebssystems von einem auswechselbaren Speicher (PCIe- oder SATA-Festplatte) bzw. einem externen Medium (USB-Stick, externe Festplatte, etc.) oder ihr erlaubt es. Wenn ihr den System-Boot von einem Medium erlaubt, welches nicht das festgelegte Startmedium ist, dann lohnt es sich vielleicht, ein Firmware-Passwort als Hürde für andere einzurichten. Praktisch, dass das ebenfalls in den hier aufgezeigten Einstellungen geht… Viel Spaß beim Ausprobieren! Lasst gern einen Kommentar mit euren Erfahrungen da.

Quelle: Support-Dokument


Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert