Apple sind doch die Guten. Apple lebt vom iPhone Verkauf und nicht vom Datenhandel, wie Google. Daher können wir Apple blind vertrauen, was unsere Daten angeht. Oder? Ich habe das auch lange geglaubt. Aber seitdem ist viel passiert, bei mir und leider auch bei Apple.
Nun, in ein paar Artikeln habe ich das schon adressiert. Apple umgeht teilweise das VPN. Warum? Apple hat auf dem Mac versucht, seine eigenen Prozesse an VPNs vorbei zu lotsen. Nur der Aufrei der Sicherheits- und Datenschutzcommunity hat das wieder geändert. Apple hatte bis vor kurzem Zugriff auf alle iCloud Daten. Kalender, Kontakte, Notizen, E-Mails. Außerdem verdient Apple Geld mit Werbung, wenn auch bisher noch einen kleinen Teil seiner Einnahmen. Aber, wie ich schon berichtet habe, Apple will mehr vom Werbemarkt ab haben. Zu guter Letzt verdient Apple alleine damit, dass es die Google Suchmaschine als Standard ausliefert, bis zu 20 Mrd€/Jahr. Sie unterstützen also den größten Datenhändlier bewusst und willentlich, des Geldes wegen. Was empfehle ich?
Linux? Nur für Menschen, mit einer Tech-Sado-Maso-Schwäche.
Windows? Microsoft ist noch invasiver was Telemetrie angeht. Außerdem halte ich macOS für sicherer. Daher würde ich jedem normalsterblichen Nicht-Techie macOS empfehlen.
Es ist aber traurig, dass meiner Meinung nach, datenschutzfreundliche Betriebssysteme nicht unbedingt benutzerfreundlich und nicht einfach so im Mediamarkt zu bekommen sind.
Also macOS von Apple. Was aber, wenn Sie kein Techie sind, aber trotzdem grossen Wert auf Datenschutz legen? Und zwar so richtig.
Hier eine Vorstellung, was ich mache, wenn ich mir einen neuen Mac zulege (was ehrlich gesagt nicht mehr so oft vorkommt). Inspiriert von Michael Bazzel.
Sie wollen also einen Mac kaufen. Paranoide gehen im Winter mit Mütze und mit Maske zum Schutz gegen Corona in das Geschäft (Apple Store, Gravis bietet keine Barzahlung mehr an, oder andere), kaufen den gewünschten Rechner und bezahlen bar. Außerdem lassen Sie sich die Rechnung ausdrucken und nicht an eine E-Mail senden. Im Zweifelsfall lassen Sie die Rechnung an eine Burner-E-Mail-Adresse senden. Ich mag den Dienst von Anonaddy sehr gerne.
Doch was nun? Nach Hause gehen, einschalten usw.? Nein, Nein, NEIN!!! HALT!!! STOPP!!!
Sie bleiben im Apple Store, gehen in den nächsten Starbucks oder einen anderen Laden mit WLAN. Meine Erfahrung ist: Die Apple Stores haben Platz und schnelles Internet. Sollten Sie Hilfe benötigen, ist auch jemand da. Außerdem bleiben Sie dort, wo sie gekauft haben, denn Apple trackt Ihre WLAN Verbindung. Apple bestimmt sogar, von welcher Firma Ihr Router ist und alle anderen Geräte daheim. Oder wo immer Sie das Gerät verwenden. Ich bin mir sicher, Apple hat eine Karte auf der jeder Flecken Erde mit WLAN SSID (die Namen für WLANs) beschrieben ist und welche Router im Einsatz sind.
Sie starten den Rechner im Apple Store (oder siehe oben) und lehnen alle Anfragen ab. Im Idealfall haben Sie einen USB-Stick dabei, auf dem Sie den Installer von Little Snitch kopiert haben.
Im weiteren Idealfall haben Sie Little Snitch schon früher verwendet und haben dort ein Profil angelegt, dass alles Verbindungen zu Apple Servern verbietet. Dieses haben Sie exportiert und auch auf den USB-Stick kopiert.
Wenn Sie das haben, können Sie nach unten scrollen.
Little Snitch einrichten
Hier eine Anleitung, wie Sie Little Snitch Profile verwenden. Es hat mich Jahre gekostet, das zu verstehen und wirklich effizient zu nutzen. Das lag nicht an Little Snitch.
Sie sollten sich ein wenig mit Little Snitch auskennen. Es ist jeden Cent wert. Im Idealfall starten Sie mit einer Neuinstallation. Sie sollten ein Backup der bisherigen Regeln erstellen und bei Bedarf oder Notwendigkeit diese wieder importieren. So exportieren Sie Ihre Regeln:
- Gehen Sie auf das Little Snitch Symbol in der Menueleiste und wählen ‚Little Snitch Regeln‘ aus
- Klicken Sie auf ‚Ablage‘
- Wählen Sie ‚Sicherungskopie erstellen‘
- Wählen Sie einen Namen und Speicherort aus
Hier sehen Sie auch, dass Sie in diesem Bereich ein Kopie wiederherstellen können und Little Snitch (LS) auf Werkseinstellungen zurücksetzen können.
Sollten Sie von vorne anfangen, starten Sie Little Snitch.
Ich empfehle Ihnen für die ersten Schritte den Leise-Modus einzustellen. Gehen Sie dazu auf das LS Menue in der Menuebar und wählen unter Betriebsmodus den Leise-Modus. Sie können im Moment ruhig alles erlauben.
Öffnen Sie über das LS-Menue in der Menuebar die Applikation wo sich die Regeln befinden. Gehen Sie auf das Little Snitch Symbol in der Menueleiste und wählen ‚Little Snitch Regeln‘ aus.
Als erstes wollen wir macOS und iCloud deaktivieren. Links sehen Sie die ‚Regelgruppen‘ und darunter die beiden Dienste. Deaktivieren Sie diese.
Ganz links unten klicken Sie auf das + Zeichen und legen ein Profil an. Nennen Sie es „Apple deaktiviert“, „Apple weg“, „Apple Disabled“, „Keine Telemetrie“ oder „Kein Apple“ oder was Sie wollen.
Sie haben jetzt zwei Profile: „Apple deaktiviert“ und „In allen Profilen wirksam“.
Wechseln Sie in das Profil „In allen Profilen wirksam“.
Deaktivieren Sie alle Einträge (sog. Least Privilege Prinzip) ausser der Option: „Alle ausgehenden Verbindungen zu lokalem Netzwerk“. Schließlich wollen Sie in allen Profilen auf Ihre Hue, Ihre NextCloud oder andere Rechner und Drucker zugreifen.
Sie können dazu mehrere Zeilen markieren und mit der rechten Maustaste auf ‚Regeln bearbeiten‘ gehen. Dann öffnet sich ein Fnser und Sie können ‚Verbiete Verbindungen‘ auswählen.
Alle Apple-Verbindungen blockieren
Wählen Sie jetzt das Profil zu „Apple deaktiviert“.
Hier geht es, wie gesagt, darum, alle Apple Verbindungen zu verbieten.
Wählen Sie nun als Betriebsmodus den Warn-Modus aus. LS Menue in der Menueleiste, unter Betriebsmodus den Warn-Modus auswählen. Dieser warnt Sie bei jeder unbekannten Verbindung und fragt, was er damit tun soll.
Jetzt werden Sie mit einer Flut von Verbindungsanfragen bombardiert. Das ist der Nachteil, den ich bei Little Snitch immer wieder höre: Das ist so viel Aufwand, immer muss ich da was akzeptieren oder ablehnen. Es ist Aufwand, ja. Aber auf wieviele neue Webseiten greifen Sie zu und wieviele neue Applikationen nutzen Sie jeden Tag? Ich: selten. Daher habe ich sehr schnell eine Basis und werde gar nicht so oft bombardiert. Und wenn, mir ist es den Aufwand wert. Zumal ich in uBlock Origin auch JavaScript standardmässig deaktiviert habe und auch da ggf. eingreifen muss. Da JavaScript für vieles Tracking verantwortlich ist und damit mit Verbindungen zu tun hat, also auch mit Little Snitch, habe ich mich daran gewöhnt.
Bei jeder Verbindung, die Apple anfragt, antworten Sie in dem Fenster:
Jede Verbindung; Für immer; Verbieten
Klicken Sie am Anfang das ein oder andere Mal auf die drei Striche neben der Auswahlliste für den Zeitraum und stellen Sie sicher, dass Sie das Profil „Apple deaktiviert“ ausgewählt haben. Das sollte standardmässig so sein. Sie können immer auswählen, ob die Einstellung, die Sie vornehmen, in dem aktuellen Profil oder dem Profil „In allen Profilen wirksam“ aktiv sein soll. Achten Sie darauf, das Sie nur bei den Apple-Verbindungen im Profil „Apple deaktiviert“ alles verbieten. Sollte das nicht so sein, dann wählen Sie über das LS Menue in der Menue Bar den letzten Eintrag, ‚Little Snitch Einstellungen‘, gehen dort auf das Tab ‚Warnung‘ und wählen bei Profil ‚Aktives Profil‘. Dann werden alle Entscheidungen, die Sie treffen, in dem aktuellen Profil, bei uns „Apple deaktiviert“, durchgeführt. Wenn Sie fertig sind, können Sie das später wieder ändern, da Sie wahrscheinlich Ihre E-Mails in jedem Profil abholen und mit dem Browser in jedem Profil surfen wollen.
Wenn Sie jetzt so am Verbieten sind, zählen Sie mal mit oder zählen Sie später im Profil, wieviele Verbindungen Apple nach Hause aufbaut. Es sind VIELE. 90 habe ich gezählt. Wenn Sie fertig sind, dann glauben Sie bitte nicht, das war es jetzt. Bei mir war es so, dass Apple im Laufe der nächsten Tage immer wieder versucht hat, Verbindungen aufzubauen. Seien Sie wachsam.
Was Sie benöitgen
Achtung: Sie können und sollten nicht wirklich alle Verbindungen blockieren, ein paar Dienste benötigen Sie. Zum Beispiel den Domain Name Server. Dafür hat Apple einen Dienst mit dem Namen mDNSResponder. Wenn Sie, wie von mir früher vorgeschlagen, einen eigenen DNS Server eingerichtet haben, sollten Sie nur die Verbindung zu dieser IP Adresse zulassen. Das benötigen Sie in allen Profilen. Daher erlauben Sie diese Verbindung im Profil „In allen Profilen wirksam“.
Apple wird Sie auch fragen, ob Sie eine Verbindung zum Zeitserver zulassen wollen. Dazu gibt es den Prozess timeD. Damit haben Sie immer die aktuelle Zeit. Sind Sie paranoid, dann können Sie das auch unterbinden und die Zeit manuell einstellen. Suchen Sie in den Einstellungen des macOS danach.
Des Weiteren werden Sie einige Anfragen sehen, ob Sie eingehende Verbindungen des lokalen Netzwerkes zulassen wollen. Hier sage ich immer ja. Ich sehe darin kein Problem. Es sei denn, Sie sind unterwegs, in einem Hotel oder Flughafen, bei Starbucks oder anderen und nutzen das WLAN. Dann würde ich diese blockieren. Sie könnten also ein neues Profil anlegen, die Regeln aus „Apple deaktiviert“ in das neue Profil kopieren und die eingehenden Verbindungen alle deaktivieren. Dazu legen Sie das Profil an, gehen in das Profil „Apple deaktiviert“, markieren alle Regeln, rechte Maustaste, Regeln kopieren, in das neue Profil wechseln und die Regeln einfügen. Dann, wenn vorhanden, die eingehenden Regeln, die sie im allgemeinen Profil „In allen Profilen wirksam“ für die eingehenden Verbindungen erlaubt haben rüberkopieren und verbieten.
Ich habe am Anfang den Fehler gemacht, die eingehenden Verbindungen im Profil „In allen Profilen wirksam“ zu erlauben. Das bedeutet, auch wenn ich unterwegs bin. Als ich das erkannt habe, habe ich das sofort geändert. Ich hoffe, es ist kein Schaden entstanden, aber bisher ist mir nichts aufgefallen.
Weiter im Text.
Öffnen Sie jede Applikation, eine nach dem anderen. Fangen Sie mit den Applikationen von Apple an. Numbers, Pages, PhotoBooth etc. Lehnen Sie auch hier jede Verbindung zu Apple Servern ab.
Wenn Sie damit fertig sind, sollten Sie den Rechner neu starten. Denn: Apple baut schon beim Start Netzwerkverbindungen nach Hause auf. Doch Little Snitch meldet diese. Hier können Sie alles ablehnen.
Wenn Sie sich einloggen geht die Orgie mit den Apple Anfragen noch kurz weiter. Geduld und immer schön im Profil „Apple deaktivieren“ ablehnen. Seien Sie die nächsten Tage noch wachsam und stellen sicher, dass Sie jede weitere Anfrage im Profil „Apple deaktiviert“ ablehnen.
Meine Liste sieht so aus:
Jetzt haben Sie alles abgelehnt, aber das kann manchmal zuviel des Guten sein. Deshalb gibt es Profile.
Alle Apple-Verbindungen erlauben
Daher legen Sie ein zweites Profil an, „Apple aktiviert“, „Apple enabled“, „Telemetrie“ oder „mit Apple“. In diesem Profil aktivieren wir alle Dienste. Ich habe das, ehrlich gesagt, noch nie in der täglichen Arbeit benötigt (siehe weiter unten), aber es ist sicherlich gut, es zu haben.
Nehmen Sie alle Einträge aus dem „Apple deaktiviert“ Profil und kopieren diese in das Profil „Apple aktiviert“.
Markieren Sie alle Regeln, rechte Maustaste, Regeln bearbeiten, alle erlauben.
Verbindungen für Updates erlauben
Beides ist zu extrem. Was machen Sie, wenn Sie zwar macOS aktualisieren, aber sonst keine Daten an Apple senden wollen? Eben. Dazu legen wir noch ein Profil an: Nennen Sie es „Apple Updates“, „Softwareaktualisierung“ oder wie es für Sie Sinn macht. Dieses Profil konfigurieren wir so, dass das System nur die Verbindungen aufbaut , die Sie für ein Software-Update benötigen.
Nehmen Sie alle Einträge aus dem „Apple deaktiviert“ Profil und kopieren diese in das Profil „Softwareaktualisierung“, wie eben schon bei „Apple aktiviert“.
Jetzt erlauben wir nur die Dienste, die zum Aktualisieren des Betriebssystems notwendig sind. Diese sind:
- AssetCacheLocatorService
- com.apple.MobileSoftwareUpdate
- CoreServiceUIAgent
- mobileassetd
- nsurlsessiond
- softwareupdated
Warum es diese alle benötigt, kann ich Ihnen nicht sagen. Diese musste ich erlauben, um Software-Updates zu erhalten.
Hinweis: Ich habe manche dieser Services am Anfang in der Liste der Dienste nicht gesehen. Es kann sein, dass Apple diese erst später aktiviert und Sie ein Fenster eingeblendet bekommen. Wie schon gesagt, das Ganze hat sich bei mir über 3-4 Tage hingezogen, bis ich alle Apple Dienste mindestens einmal gesehen habe.
Wenn Sie eine Softwareaktualisierung anstoßen wollen (Sie werden jetzt von Apple nicht mehr darauf hingewiesen, sondern müssen das manuell durchführen), dann wechseln Sie in dieses Profil und führen das Update durch. Danach wechseln Sie wieder in „Apple deaktiviert“ und gut ist es.
Sollte es aus irgendwelchen Gründen nicht klappen, können Sie immer noch das Profil „Apple aktiviert“ auswählen, dann klappt alles. Für solche Notfälle ist das Profil gedacht.
Manche Menschen sagen mir dann: „Das heisst doch, Apple bekommt von mir Daten. Dann macht das alles doch keinen Sinn.“ Ja, das lässt sich leider nicht vermeiden. Aber bei mir nur einmal im Monat, wenn ich nach Aktualisierungen suche, oder wenn im Internet steht, es gibt ein Update. Ansonsten erhält Apple von mir keinerlei Daten mehr. In Zahlen: Anstelle von vielen Daten jede Minute erhält Apple von mir nur noch wenige Daten einmal im Monat.
Für mich sind diese drei Profile, das Beste, was ich hinbekommen habe.
Probleme
Anmerkung: Bei mir kam es einige wenige Male dazu, dass mein MacBook bei einem WLAN Wechsel meinen Router nicht mehr gefunden und mir eine eigene IP Adresse zugewiesen hat. Das hat sich meist nach ein paar Minuten gegeben, aber es hat eben nicht sofort funktioniert. Manchmal half auch ein Deaktivieren und Aktivieren des WLANs. Aber Sie müssen ein bisschen Zeit dazwischen vergehen lassen. In ganz wenigen Fällen musste ich einmal kurz das „Apple aktiviert“ Profil nutzen, ein paar Sekunden, bis die WLAN Verbindung stand, und dann konnte ich es wieder wechseln. Scheint aber nicht bei jedem so zu sein.
Sonstige Profile
Wenn Sie ggf. ein Profil benötigen, um auf Ihre Hochschule oder Recherche für Ihren Job zugreifen zu können, können Sie ein neues Profil anlegen. Bei mir ist es beispielsweise so, dass ich nebenbei für eine Hochschule arbeite, die mich zu MS Teams und Zoom sowie Office365 zwingt. Ich habe ein Profil „Hochschule“ angelegt, dass weiterhin alle Verbindungen zu Apple blockiert aber nur in diesem Profil die Verbindungen zu Microsoft und Zoom zulässt. Nur wenn ich Online-Vorlesung halte oder etwas für die Hochschule vorbereite, aktiviere ich das, sonst nicht. Damit sind sonst alle Verbindungen an Microsoft blockiert, und auch an Apple. Nett, oder?
Sie können das noch weiter treiben und für die Hochschule oder andere Themen eine virtuelle Maschine einrichten. Dieser erlauben Sie die Zugriffe auf Microsoft oder Zoom oder so und anderen nicht. Sie verwenden die VM mit dem Profil. Verwenden Sie die VM nicht, dann wechseln Sie wieder in das „Apple deaktiviert“ Profil.
Hiermit ist der Little Snitch Ex-Kurs abgeschlossen.
Fertigstellen der Konfiguration
Installieren Sie Little Snitch und laden die Konfigurationsdatei vom USB Stick (oder führen obige Schritte durch) in Little Snitch.
- Starten Sie Little Snitch
- Gehen Sie im Menue von Little Snitch in der Menue Bar auf Little Snitch Regeln
- Ablage
- Von Sicherungskopie wiederherstellen
Wenn Sie jetzt nach Hause kommen, können Sie sich beruhigt mit Ihrem WLAN verbinden, solange Sie das Profil „Apple deaktiviert“ verwenden, erhält Apple keine Daten.
Wenn Sie es noch weiter treiben wollen, aktualisieren Sie Ihren Mac nur ausserhalb Ihres Hauses, irgendwo in einem anderen WLAN. Wann immer Sie den Mac zu Hause nutzen, verwenden Sie das Profil „Apple deaktiviert“.
Eine Stecknadel weniger auf der Weltkarte der WLANs und Router bei Apple.