macOS-CrowdStrike: Warum eine Kastastrophe wie bei Windows nicht passieren soll
Die Endpoint-Sicherheitslösung CrowdStrike Falcon gibt es auch für Apple-Hardware. Allerdings wird sie dort anders angesteuert. Zum Glück, meint Patrick Wardle.
"Dumpster Fire".
(Bild: Baloncici / Shutterstock)
Die stark ins System eingreifende Sicherheitssoftware CrowdStrike Falcon, die in der vergangenen Woche aufgrund eines fehlerhaften Updates zu massiven Windows-Systemausfällen weltweit geführt hatte, läuft auch auf dem Mac. Allerdings waren diese Systeme nicht betroffen. Dort ist die technische Grundlage eine ganz andere. Dazu gehört, dass sogenannte Endpoint-Security-Lösungen unter macOS deutlich weniger tief ins System eingreifen können als dies unter Windows der Fall ist. Zu den Hintergründen äußerte sich nun der bekannte Sicherheitsexperte Patrick Wardle gegenüber Mac & i. Er gilt als Fachmann für macOS, hat aber auch lange mit Windows-Systemen gearbeitet, unter anderem für den US-Geheimdienst NSA.
Anders implementiert
Unter macOS sind Sicherheitswerkzeuge anders integriert als unter Windows. "Sie werden gewöhnlich in Form von System Extensions implementiert, die dann im User-Modus laufen und damit nicht das System crashen können", sagt er. Auch CrowdStrike unter macOS sei dabei generell auf spezifische Apple-APIs und Schnittstellen limitiert. "Sie sind so deutlich weniger invasiv als Windows-Sicherheitstools."
Das habe natürlich auch Nachteile, weil die Werkzeuge dann weniger mächtig seien. "Aufgrund der von macOS/Apple auferlegten Beschränkungen können solche Tools beispielsweise nicht den Speicher anderer Prozesse scannen/lesen, um beispielsweise In-Memory-Exploits, Payloads oder Implantate zu erkennen."
User Mode statt Kernel Mode
Generell schätze er aber, wie Apple vorgegangen sei. Das Unternehmen hatte Kernel Extensions grundsätzlich aufgegeben und durch Dinge wie System Extensions, Network Extensions oder Erweiterungen für Endpoint-Sicherheit ersetzt. "Das sind grundsätzlich Frameworks, die Werkzeugen im User Mode erlauben, in privilegierten oder geschützten Umgebungen zu laufen und dabei fast so mächtig sind wie im Kernel Mode." Gleichzeitig sind diese Frameworks aber nur für bestimmte Anwendungen gedacht, Endpoint-Security-Extensions etwa spezifisch für Sicherheitswerkzeuge. Entwickler hätten dadurch weniger Probleme.
Unter Windows sei im Kernel jede Menge möglich, auch wenn Microsoft längst Werkzeuge wie PatchGuard anbiete, die verhinderten, dass man "wirklich verrückte Dinge" tut. "Abgesehen davon kann man im Kernel viel anstellen, aber das größte Problem ist, dass ein einziger Fehler genügt, um das System zum Absturz zu bringen." Und genau das passierte durch das fehlerhafte CrowdStrike-Update am letzten Freitag.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
