zurück zum Artikel

Eltern stecken in einer Zwickmühle: Die lieben Kleinen sollen möglichst früh spielerisch den Umgang mit dem Computer erlernen, dabei aber sicher vor dem Schmutz des Internet sein. Und Papa will außerdem verhindern, dass der Nachwuchs den mühevoll eingerichteten Familien-Mac nach eigenen Wünschen umkonfiguriert. Das geht alles, sogar mit Bordmitteln.

Laut der "Kids-Verbraucher-Analyse 2007" des Egmont-Ehapa-Verlags sitzen über 80 Prozent der 10- bis 13-Jährigen zu Hause vor einem Computer – Tendenz steigend. Über die Hälfte der Kids geht dabei auch ins Internet. Während sich die Kinder so – auch im Hinblick auf das spätere Berufsleben – wichtige Fertigkeiten im Umgang mit dem Computer aneignen, stecken Eltern in einem Gewissenskonflikt: Sollen sie dem Nachwuchs den Zugang zum Internet verwehren und ihm so ein wichtiges Arbeitsmittel vorenthalten oder aber hoffen, dass er nie mit pornografischem oder gewaltverherrlichendem Material in Berührung kommt?

Idealerweise würden Eltern zusammen mit ihren Kindern das Internet erforschen, ihnen dessen Vorzüge erläutern und sie auf die Gefahren aufmerksam machen – ein bisschen so, wie man den Kleinen das Radfahren beibringt. Derart unterstützt würden die Kids gefahrlos Medienkompetenz erwerben und üben, die Internet-Spreu vom -Weizen zu trennen – und die Eltern könnten sicher auch noch etwas lernen. Im Vordergrund sollte das gemeinsame Erleben und Lernen stehen und nicht das Überwachen des Kindes.

Leider hat auch der Tag von Eltern nur 24 Stunden und so lässt es sich häufig nicht vermeiden, dass Kinder unerlaubt oder unbeaufsichtigt den heimischen Mac benutzen. In Mac OS X 10.5 (Leopard) hat Apple die mit
dem Vorgänger Tiger (10.4) eingeführte "Kindersicherung" in den "Systemeinstellungen" erweitert und unter einem eigenen Symbol zusammengefasst. Unter Tiger erreicht man sie über die Benutzerverwaltung. Der Schutz verlangt nur wenig Konfigurationsaufwand, um Kindergarten- und Grundschulkindern einen sicheren Surfspaß zu bereiten.

Baukasten

Das Benutzerkonto, das der Mac-OS-X-Installer beim Einrichten des Systems anlegt, gehört zur Gruppe der Administratoren. Man sollte es nicht zum Arbeiten nutzen, sondern dafür in den Systemeinstellungen einen Standardbenutzer anlegen. Tipps zum Arbeiten mit solch einem Konto finden Sie hier [1]. Auch für jedes Kind sollten Sie ein Standardkonto einrichten. Nur dann lässt sich nämlich dafür auch die Kindersicherung aktivieren.

Die Kindersicherung ist in die fünf Abschnitte System, Inhalt, Mail & Chat, Zugriffszeiten und Protokolle aufgeteilt. Im linken Fensterbereich der Kindersicherung wählen Sie das Konto aus, das Sie einschränken
möchten.

Unter "System" stellt man ein, ob ein Anwender Drucker verwalten, sein Kennwort ändern, das Dock bearbeiten oder CDs und DVDs brennen darf. Ferner können Sie dort dem System mitteilen, welche Programme er starten darf. Die Kindersicherung sucht automatisch alle Anwendungen auf der Festplatte
zusammen und bietet eine voraktivierte Auswahl an – ohne gefährliche Systemprogramme. Lernprogramme oder Spiele lassen sich für die Kids ohne Probleme genehmigen.

Das Programm "Systemeinstellungen" ist standardmäßig deaktiviert. Ein verwalteter Benutzer darf deshalb keinen Einfluss auf die Systemkonfiguration nehmen – Papa kann sich beruhigt zurücklehnen. Da sich einzelne Teile der Systemeinstellungen nicht separat freigeben lassen, kann ein verwalteter Benutzer allerdings auch triviale Einstellungen nicht selbst vornehmen, etwa seinen Schreibtischhintergrund ändern oder einen anderen Bildschirmschoner einstellen.

Diese Beschränkung lässt sich überwinden, indem man die Rechte für die einzelnen Komponenten der Systemeinstellungen verändert. Soll beispielsweise nur der Eintrag "Schreibtisch & Bildschirmschoner" in den Systemeinstellungen des Kontos "Tochter" erscheinen, erlauben Sie in der Kindersicherung den Start der Systemeinstellungen und sperren anschließend im Terminal durch Eingabe von

sudo chmod -R o-r /System/Library/PreferencePanes/*

vorübergehend für alle Benutzer alle Module. Anders gesagt, der Befehl entzieht allen Mitgliedern der Benutzergruppe "everyone" das Leserecht für die Module. Dazu müssen Sie als Administrator angemeldet sein. In den Systemeinstellungen tauchen die Module jetzt noch auf, sie lassen sich aber nicht mehr
verwenden.

Anschließend räumen Sie dem Tochter-Konto das Nutzungsrecht ein, indem Sie im Fenster "Informationen" (Rechtsklick auf /System/Library/PreferencePanes/DesktopScreenEffectsPref.prefPane) im Abschnitt "Sharing & Zugriffsrechte" für Tochter das Recht "Nur Lesen" einfügen. Sie müssen in jedem Modul für jeden Anwender, der es nutzen können soll, das Leserecht anlegen.

Achtung: Nutzen Sie nicht den Finder, um der Gruppe "everyone" das Leserecht zu entziehen – das erzielt nicht den gewünschten Effekt. Sollte etwas schiefgehen, können Sie mit dem Festplatten-Dienstprogramm und der Funktion "Zugriffsrechte des Volumes überprüfen" den Zustand nach der Installation wiederherstellen.

Im Abschnitt "System" der Kindersicherung lässt sich außerdem der "Einfache Finder" einschalten. Er zeigt unerlaubte Programme gar nicht erst an, sondern ordnet nur die erlaubten Programme übersichtlich auf einer Art Karteikarte an – mit viel Platz zwischen den Symbolen für die tapsige Mausführung kleinerer Kinder. Über das Dock hat der Anwender lediglich noch Zugriff auf seine Dokumente- und Download-Verzeichnisse sowie den allen Anwendern zugänglichen Ordner "Für alle Benutzer". Über den Öffnen- und Sichern-Dialog können Anwendungen jedoch auch auf andere Verzeichnisse zugreifen – genügend Rechte vorausgesetzt.

Kleiner Bruder

Im Abschnitt "Inhalt" bestimmen Sie, ob Sie dem verwalteten Konto unbeschränkten Zugriff auf alle Websites erlauben wollen oder ob das System anhand von Adressen und Seiteninhalten filtern soll. Mit der Option "Zugriff nur auf diese Websites erlauben" aktivieren Sie eine Positivliste (whitelist). Nur die explizit in der Liste aufgeführten Seiten lassen sich aufrufen – das funktioniert mit einem beliebigen Web-Browser, nicht nur Apples Safari.

Dieses Konzept stößt aber sehr schnell an seine Grenzen. Selbst wenn man eine kinder-taugliche Suchmaschine wie blinde-kuh.de [2] als Ausgangsseite im Browser einträgt, kommt schnell der Zeitpunkt, wo eine externe Seite aufgerufen werden soll, die nicht auf der weißen Liste steht. Recherchen im Internet sind so praktisch nicht möglich.

Als Kompromiss bietet sich die Option "Zugriff auf nicht jugendfreie Websites so gut wie möglich automatisch beschränken" an. Die Kindersicherung analysiert damit den Inhalt aufgerufener Webseiten und entscheidet anhand einer internen Datenbank mit Unworten, ob eine Seite kindgerecht ist oder nicht. Zusätzlich kann man Seiten pauschal erlauben und verbieten – unabhängig von ihrem Inhalt. Durch direkte Eingabe einer IP-
Adresse, etwa 193.99.144.85 anstelle von www.heise.de, lässt sich der Surf-Filter nicht umgehen.

Die Wortdatenbank, anhand derer der Filter Seiten sperrt, ist aber nicht einseh- oder erweiterbar. Auch scheint die Apple-Website auf einer Ausnahmeliste zu stehen. Es gelang uns nicht, sie zu blockieren.

Der Inhaltsfilter – egal, bei welcher Einstellung – filtert nur Daten, die per HTTP-Protokoll auf den Rechner gelangen. FTP-Server kann man damit nicht sperren, Safari delegiert solche an den Finder, andere Browser
zeigen deren Daten direkt an. Auch die Funktion "Mit Server verbinden" des Finder lässt sich mit dem Inhaltsfilter nicht sperren – dafür muss der einfache Finder herhalten.

Mit wem ein Anwender per Apple Mail oder iChat Kontakt aufnehmen darf, geben Sie in die Positivliste im Bereich "Mail & Chat" der Kindersicherung ein. Für eine Person lassen sich mehrere E-Mail- oder Chat-Adressen hinterlegen. Auf Wunsch informiert die Kindersicherung per E-Mail, wenn versucht wird,
mit einer nicht auf der Positivliste stehenden Person zu kommunizieren. Die Kindersicherung kann nur iChat überwachen, doch da dieses neben .Mac- respektive MobileMe-Accounts auch mit AIM-, Jabber- und dem bei Kindern und Jugendlichen sehr beliebten ICQ-System kommunizieren kann, ist das zu
verschmerzen. Um mit ICQ-Partnern Verbindung aufzunehmen, trägt man in iChat einfach die ICQ-Nummer anstelle eines AIM-Namens im Kontaktdialog ein.

Der Bereich "Zugriffszeiten" ist in Leopard neu zur Kindersicherung hinzugekommen. Damit regeln Sie, wann und wie lange ein Anwender den Rechner nutzen darf. Unter Tiger fehlte die Zeitlimitierung noch, hier können
Sie sich jedoch mit der Web-Sperre [3] (c’t 12/07, S. 176) behelfen, eine Erweiterung des Konzepts aus "World Wide Spielplatz [4] " (c't 20/06, S. 148).

Stechuhr

Es lässt sich – getrennt nach Wochentagen und Wochenende – einstellen, wie viele Stunden pro Tag der Nachwuchs den Rechner nutzen darf. Ein wöchentliches oder monatliches Zeitkontingent hat Apple nicht vorgesehen. Auch unterscheidet das System nicht zwischen reiner Rechner- und Internet-Nutzung, wie es etwa das kommerzielle Produkt "Kindersicherung 2010" für Windows tut.

Zusätzlich darf man festlegen, in welchem Zeitraum ein Konto nicht genutzt werden kann, Apple bezeichnet dies als Nachtruhe. 15 Minuten vor Ablauf des Zeitkontingents oder Erreichen des Anfangs der Nachtruhephase informiert die Kindersicherung über das nahende Ende, fünf Minuten vor Schluss erfolgt die zweite und letzte Meldung. Mit Namen und Kennwort eines Administrators lässt sich die Frist verlängern oder für den aktuellen Tag sogar außer Kraft setzen. Ist die Zeit abgelaufen, schaltet Mac OS X auf den Anmeldebildschirm um. Ein sofortiges Neuanmelden ist mit dem "zeitlosen" Konto jedoch nicht möglich. Neben dem Kontonamen vermerkt das System den nächstmöglichen Anmeldezeitpunkt. Leider hält das Betriebssystem für einen verwalteten Benutzer keine Möglichkeit bereit herauszufinden, wie viel Zeit noch auf seinem Konto steht.

Mit den passenden Administratordaten können Mama und Papa Einsicht in die umfangreichen Protokolle der Kindersicherung nehmen: Sie hält unter anderem fest, welche Webseiten das Kind besucht hat und welche blockiert wurden oder welche Anwendung wie lange geöffnet war. Die Nutzungszeiten der Anwendungen sind allerdings nur wenig aussagekräftig. Es genügt nämlich, ein Programm unbenutzt als vorderste Anwendung stehen zu lassen, um seine Nutzungsdauer in die Höhe zu treiben.

Die Konfiguration der Kindersicherung können Sie direkt auf dem lokalen Rechner oder von einem Mac im selben Netzwerk erledigen. Die Funktion "Entfernte Konfiguration erlauben" aus dem Menü des links unten in der Kindersicherung positionierten Symbols oder die Checkbox "Kindersicherung von einem anderen Computer aus verwalten" schalten die Fernwartungsfunktion ein.

Fernnähe

Das Betriebssystem informiert andere Macs automatisch per Bonjour über konfigurationswillige Kindersicherungen, sie tauchen in der Kontenliste der Kindersicherung automatisch mit ihrem im Bereich "Sharing" eingetragenen Namen auf. Ohne die Daten eines Administratorkontos auf dem Rechner im Netz verweigert das System aber den Zugriff.

Die Kindersicherung in Mac OS X ist nicht perfekt. Gewiefte Kids dürften über kurz oder lang immer einen Weg über den Schutzwall finden. Trotz der Software sind Eltern nicht aus der Verantwortung entlassen, mit ihren Kindern über die Gefahren und Fallen des Internet zu sprechen und beim verantwortungsvollen Umgang mit Computer und Internet helfend zur Seite zu stehen. (adb [5]) (adb [6])

URL dieses Artikels:
https://www.heise.de/-1147771

Links in diesem Artikel:
[1] http://www.heise.de/mac-and-i/artikel/Sichere-Bescheidenheit-1148001.html
[2] http://www.blinde-kuh.de
[3] http://www.heise.de/ct/hotline/Websperre-nach-Uhrzeit-322342.html
[4] http://www.heise.de/artikel-archiv/ct/2006/20/148_kiosk
[5] mailto:adb%40ct.de?subject=Frage zu 'Virtueller Laufstall'
[6] mailto:adb@ct.de

Copyright © 2010 Heise Medien