Für macOS gibt es glücklicherweise im Vergleich zu Windows oder Linux eher weniger Malware und Ransomware. Dennoch ist ein Befall möglich und sollte so schnell wie möglich bekämpft werden. Wir zeigen wie man am besten vorgeht und auch Aktionen zur präventiven Verhinderung von Angriffen.
Aktuell gehalten, schützen Gatekeeper und XProtect Remediator macOS zuverlässig vor Malware.
(Bild: peterschreiber.media - stock.adobe.com)
Malware und Ransomware für Apples macOS gibt es sehr wenige, aber es gibt sie. Beispiele für macOS Malware bzw. Ransomware sind unter anderem EvilQuest, ElectroRAT, Silver Sparrow und XLoader. Es ist zu erwarten, dass in Zukunft weitere Malware erscheint, die wiederum das Übertragen von Ransomware auf Macs ermöglicht.
Apple hat in macOS mit dem Malware Removal Tool, XProtect Remediator und Gatekeeper verschiedene Sicherheitstechnologien integriert, die das Betriebssystem selbstständig vor Angriffen retten. Allerdings sollten Anwender diese Sicherheitstools unterstützen und nicht durch Downloads von Malware oder durch Phishing torpedieren. Darüber hinaus sollten die Daten regelmäßig mit Time Machine gesichert werden.
Gatekeeper und XProtect Remediator schützen macOS zuverlässig
Aktuelle macOS-Versionen verfügen mit XProtect Remediator und Gatekeeper über erweiterte Sicherheitstechnologien, die über die Möglichkeiten des klassischen Malware Removal Tools hinausgehen. XProtect Remediator erhält im Schnitt alle zwei Wochen Updates, während das MRT, das wir im nächsten Abschnitt behandeln, seit April 2022 keine Updates mehr erhält. Dennoch bleibt MRT vor allem auf älteren Macs relevant, allerdings lässt der Schutz nach, da XProtect Remediator das ausgleicht. Als ergänzender Schutz bleibt das MRT aber weiterhin relevant.
Bereits seit Jahren schützen XProtect und das Malware Removal Tool (MRT) Macs vor Malware. Wenn Gatekeeper Anwendungen von extern erkennt und zur Prüfung veranlasst, scannte bisher XProtect nach Malware. Das MRT hilft in diesem Zusammenhang mit im Speicher und an anderen Stellen nach Viren zu suchen.
Seit macOS 12.3 wurde XProtect durch XProtect Remediator erweitert. Remediator nutzt Signaturen von bekannter Malware, um Schädlinge in heruntergeladenen Dateien oder aus Apps zu erkennen. Die Aktualisierungen tragen die Bezeichnung "XProtectPlistConfigData" und werden über das Softwareupdate in macOS heruntergeladen. Genauso wie das MRT in der Vergangenheit, ist die Aktualisierung von XProtect Remediator sehr wichtig für die Sicherheit von macOS.
XProtect Remediator (XPR) scannt macOS im Leerlauf nach Malware und entfernt Schädlinge beim Erkennen automatisch. Dafür sind keine Maßnahmen notwendig, es ist aber wichtig, dass die Signaturdateien von Remediator aktuell gehalten werden. Die Überprüfung findet normalerweise einmal am Tag mit Root-Rechten und mit Rechten des Benutzers statt, um alle potentiellen Schädlinge zu finden.
SilentKnight überprüft ob XProtect Remediator aktuell ist
Das kostenlose Tool SilentKnight überprüft, ob XProtect Remediator aktuell ist und ob der Scan in den letzten 24 Stunden auch durchgeführt worden ist. Außerdem ist hier zu sehen, ob Probleme vorliegen oder der Verdacht auf Malware. Es ist daher sinnvoll das Tool zu nutzen, um den Malwareschutz in macOS sicherzustellen. Das Tool zeigt die Aktualität des Virenschutzes und Fehler an. Mit "Check" testet SilentKnight die Funktionen von XProtect Remediator.
Apple Malware Removal Tool schützt weitgehend vor Malware: Aber nicht mehr vollständig
In macOS ist mit dem Apple Malware Removal Tool ein weiteres Werkzeug dabei, das vor Malware schützt, zusammen mit der Firewall, XProtect und dem neuen XProtect Remediator. Wer mit seinem Mac häufiger unterwegs ist und sich mit fremden oder öffentliche WLANs verbinden, sollte in jedem Fall die Firewall in den Einstellungen aktivieren und regelmäßig mit SilentKnight testen, ob XProtect Remediator funktioniert und aktuell ist.
Das Apple Malware Removal Tool aktualisiert sich über Systemupdates automatisch. Allerdings erhält das Tool seit einigen Monaten keine Updates mehr, dafür aber XProtect Remediator. Damit das funktioniert muss aber in den Einstellungen bei "Softwareupdate" über "Weitere Optionen" sichergestellt sein, dass macOS Sicherheitsupdates automatisch installiert. Eine manuelle Aktualisierung für das MRT und XProtect Remediator lässt sich im Terminal mit dem folgenden Befehl durchführen:
softwareupdate -ia --include-config-data
Generell ist die automatische Aktualisierung von macOS wichtig, da Apple regelmäßig für das Betriebssystem und andere Komponenten Updates zur Verfügung stellt, die schlussendlich auch Sicherheitslücken schließen.
Malware kommt bei macOS vor allem von externen Apps
Generell kann davon ausgegangen werden, dass Malware für Macs vor allem durch den Download von Apps außerhalb des App-Stores erfolgt. Die Apps im App-Store sind generell sicher. Daher sollten sich vor allem ungeübte Anwender angewöhnen Apps nur von sehr vertrauenswürdigen Quellen herunterzuladen. In den Einstellungen des App-Stores lässt sich das generell anpassen. Ein Beispiel für Ransomware von externen Quellen ist EvilQuest. Hier ist die Übertragung über das Tool "Little Snitch" erfolgt, das Anwender außerhalb des App-Stores heruntergeladen haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Office-Dokumente auf dem Mac
Eine gewisse Gefahr geht von Microsoft Office-Dokumenten aus, die sich ebenfalls auf dem Mac bearbeiten lassen. Beim Einsatz von Microsoft Office für macOS sollte darauf geachtet werden, die installierten Programme regelmäßig zu aktualisieren. Den Updater dazu liefert Microsoft bei der Installation von Office mit.
Externe Malware-Scanner sind selten notwendig
Viele Antiviren-Programm-Hersteller empfehlen natürlich die Installation eines externen Virenscanners. Das ist aber in macOS in den allermeisten Fällen genauso sinnlos, wie in Windows. Wir haben uns bereits im Beitrag „Windows 10/11 braucht keinen externen Virenschutz“ damit auseinandergesetzt, warum Windows keinen externen Virenscanner braucht und in macOS ist das generell auch so.
Externe Virenscanner schützen in vielen Fällen auch nicht vor Fehlern von Anwender, wenn diese zum Beispiel durch Phishing Anmeldedaten oder andere Geheimnisse verraten. Wer macOS regelmäßig aktualisiert, das MRT und vor allem XProtect Remediator aktuell hält, in externen WLANs die Firewall aktiv hat und keine externen Programme herunterlädt, ist weitgehend sicher.
Ein wichtiger Faktor ist Time Machine und die richtige Verwendung der Sicherung. Wechselnde Sicherungsmedien, die vom Mac nach der Sicherung getrennt werden, sind ein Garant dafür im Notfall die Daten wiederherstellen zu können. Die Wiederherstellung von macOS ist über den Recovery-Modus über die Cloud kein Problem.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f1/d1/f1d14f3b39fbddc490a4135f00d3c6a8/0110957634.jpeg "SilentKnight überprüft die Funktion und Aktualität von XProtect Remediator in macOS.(Bild: Apple - Joos)")
:quality(80)/p7i.vogel.de/wcms/83/f3/83f3caa640c1ccebdf14aab389dd7b04/0110957636.jpeg "macOS sollte so aktuell wie möglich gehalten werden, um Malware zu vermeiden.(Bild: Apple - Joos)")
:quality(80)/p7i.vogel.de/wcms/f7/fe/f7fed5e3f2fc79b98a85b29ac65da4e0/0110957637.jpeg "Wenn macOS in öffentlichen WLANs betrieben wird, sollte die Firewall aktiv sein.(Bild: Apple - Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/88/e988811bc73e945e6087a23283735111/0110957638.jpeg "Time Machine ist eine wichtige Ergänzung für den Schutz gegen Malware und Ransomware.(Bild: Apple - Joos)")
:quality(80)/p7i.vogel.de/wcms/0c/1f/0c1f5a9866d0f7e6ba65af15f8e0b4a8/0126292553v2.jpeg "Eine Schwachstelle im Image I/O Framework kann zur Gefahr für Apple-User werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d6/5a/d65a05a6f1f8f938e4af7aeb6dba90ca/0128263315v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")