Update: System Integrity Protection auf einem #Touchbar Apple #MacBook möglicherweise deaktiviert #SIP

Ich habe unlängst beim Händler meines Vertrauens ein neues Rechts-Unten-Modell aus Cupertino gekauft. Es gibt Standardverfahren, die ich bei jeder Einrichtung eines persönlichen Rechners umsetze, dazu gehört auch ein großer Teil der BSI-Empfehlungen. Eigentlich sollte man davon ausgehen, dass auch Apple die eigenen, beworbenen Features ebenfalls umsetzt. Dazu gehört unter anderem auch SIP (System Integrity Protection). Doch dem ist nicht so.

Einige MacBooks wurden ohne aktivierte System Integrity Protection ausgeliefert

System Security Protection ist ein Verfahren, welches Apple von anderen Unix-Derivaten übernommen hat, um Dein System vor „unberechtigten Änderungen“ zu schützen. Dieses Feature ist ein notwendiger Bestandteil, um den hohen Sicherheitserwartungen an einen Mac gerecht zu werden. Apple beschreibt das in diesem KB-Artikel: Link

Dieses Feature war bislang bei allen meinen Neuerwerbungen aktiv, ausgenommen bei meinem letzten Kauf. Besorgt, ob es während des Versands des Artikels einen Tamperversuch gegeben hat, mache ich mich an die Hintergrunderforschung. Turns out: Ja, es gibt dieses Problem! Es gibt hierzu jedoch kein offizielles Statement von Apple. Und es gibt dieses Phänomen schon seit 2016, der ersten Generation von Touchbar-Macs. Warum das so ist, kann mir keiner sagen und ist auch nicht erforscht.

– Beteiligt an der Aufklärung war zu einem großen Teil der Händler meines Vertrauens @cyberport_de und @schwa (Jonathan Wright), der das Problem bereits 2016 mit den ursprünglichen Touchbar-Macs entdeckt hatte.

Problematisch an der Sache: Nutzer wissen nicht, dass sie möglicherweise ohne den notwendigen Schutz ihres Betriebssystems unterwegs sind.

Problemlösung

Nutzer können zu jeder Zeit nachprüfen, ob sie von dem Problem betroffen sind. Im „Terminal“ (Auffindbar unter „Dienstprogramme“ lässt sich mittels des Befehls

csrutil status

herausfinden, ob man betroffen ist. Ist man nicht betroffen, so ist SIP aktiviert (enabled) und die Antwort im Terminal lautet wie folgt:

System Integrity Protection status: enabled.

Steht dort „disabled“, so hat man das Problem und muss selbst aktiv werden. Nun lässt sich das nicht innerhalb der Sitzung des Betriebssystem lösen, sondern nur im Recovery-Modus. Diesen muss man explizit beim Systemstart auswählen. Er ist eigentlich dazu gedacht, um das System erneut zu installieren, bestimmte Wartungsarbeiten durchzuführen oder das Firmware-Kennwort zu setzen.

Starten kann man den Recovery-Modus mit Befehlstaste-R (CMD+R) während des Bootvorgangs (Beschrieben in diesem KB-Artikel: Link). Dort wollen wir nicht das Betriebssystem neu installieren, sondern starten ebenfalls das Dienstprogramm (via Menü) „Terminal“.

Mittels des Kommandos

csrutil enable

Beseitige ich das Problem und stelle den Schutz meines Betriebssystems wieder her. Kurz noch neu starten, und alles ist so, wie es sein soll.

In meinem Fall betrifft es ein 2017er 13 Zoll Rechts-Unten-Modell mit Sierra (OSX 10.12) versehen, bei dem SIP nachweislich nicht aktiviert war. Mich würde interessieren, warum das so ist. Und mich würde auch interessieren, ob es noch mehr Derivate aus Cupertino im Umlauf gibt, bei denen der Schutz deaktiviert wurde, bzw. gar nicht erst bereitgestellt wurde.

Apple war in diesem Fall überhaupt nicht hilfreich. Sie verwiesen sogar an den Händler. Meinen Dank noch einmal an meinen Händler Cyberport, der sich wie immer vorbildlich verhalten hat.

Anlage: Informationen zum Systemintegritätsschutz auf dem Mac – Apple Support