Apple macOS – Notarized Malware Gefahr & Schutz

by | Dez. 28, 2025 | Apple News

Apple macOS – Notarized Malware Gefahr & Schutz

Die jüngste Analyse von Jamf Threat Labs deckt eine beunruhigende Entwicklung im Apple macOS‑Ökosystem auf: Malware, die bereits von Apple notarisiert wurde, umgeht damit den Gatekeeper‑Schutz. Diese Apple macOS Malware nutzt gültige Developer‑IDs und das Notarisierungs‑Programm, um unbemerkt auf Endgeräten zu laufen. In diesem Artikel erklären wir, warum notarisiertes Malware ein neues Risiko darstellt, welche technischen Hintergründe dahinterstecken und welche Gegenmaßnahmen Unternehmen sowie private Nutzer ergreifen können.

Wie funktioniert notarisiertes Malware?

Apple verlangt seit macOS Catalina, dass jede App entweder im Mac App Store angeboten oder mit einer gültigen Developer‑ID signiert und anschließend von Apple notariert wird. Die Notarisierung bestätigt, dass die App von Apple auf bekannte Malware‑Signaturen geprüft wurde. Das Problem entsteht, wenn Angreifer die Signatur‑ und Notarisierungs‑Prozesse ausnutzen:

  • Validierte Entwickleridentität: Kriminelle kaufen oder kompromittieren legitime Entwicklerzertifikate, um ihre Schadsoftware zu signieren.
  • Apple‑Notarisierung: Durch das Hochladen der signierten App in das Notarisierungs‑Portal wird die Malware von Apple als sicher eingestuft, weil die Signatur technisch korrekt ist.
  • Gatekeeper‑Umgehung: Da Gatekeeper ausschließlich auf Signatur und Notarisierung prüft, lässt er die Anwendung ohne Warnung starten.

Die betroffene Malware‑Familie, MacSync Stealer, ist ein Daten‑Stealer, der Passwörter, Tokens und Browser‑Daten sammelt. Die neueste Variante nutzt zusätzlich verschlüsselte Netzwerkkommunikation, um die exfiltrierten Daten an Remote‑Server zu senden, ohne von herkömmlichen Netzwerk‑Monitore entdeckt zu werden.

Was tun Unternehmen und Nutzer?

Unternehmen, die Apple‑Geräte im Einsatz haben, sollten ihre Sicherheitsstrategie an die neue Bedrohungslage anpassen. Folgende Maßnahmen sind empfehlenswert:

  • Zero‑Trust‑Prinzip: Vertrauen Sie nicht automatisch auf notarisierten Code. Setzen Sie Richtlinien, die nur Anwendungen aus vertrauenswürdigen Quellen zulassen.
  • Endpoint‑Detection‑Response (EDR): Nutzen Sie Lösungen, die Verhaltensanalysen durchführen und ungewöhnliche Prozesse auf macOS erkennen.
  • Regelmäßige Audits von Entwickler‑Zertifikaten: Überprüfen Sie, welche Developer‑IDs in Ihrer Umgebung aktiv sind, und widerrufen Sie nicht mehr benötigte Zertifikate.
  • App‑Whitelist: Erstellen Sie eine Whitelist für geschäftskritische Anwendungen und blockieren Sie alle nicht gelisteten Programme.

Für Endverbraucher empfiehlt es sich, zusätzlich zu den integrierten Sicherheitsfunktionen von macOS Folgendes zu beachten:

  • Aktualisieren Sie macOS sofort, sobald Apple Sicherheitsupdates veröffentlicht.
  • Aktivieren Sie die Systemintegritätsschutz‑Funktion (System Integrity Protection, SIP).
  • Verwenden Sie ein zuverlässiges Antiviren‑Tool, das speziell für macOS entwickelt wurde.

Langfristige Sicherheitsstrategien von Apple

Apple arbeitet kontinuierlich an Verbesserungen, um notarisiertes Malware zu erschweren. Zu den kommenden Maßnahmen gehören:

  • Erweiterte Notarisierungs‑Checks: Apple plant, maschinelles Lernen einzusetzen, um verdächtige Verhaltensmuster bereits während der Notarisierung zu erkennen.
  • Transparente Zertifikatsverwaltung: Entwickler sollen künftig detailliertere Informationen über die Nutzung ihrer Zertifikate erhalten.
  • Gatekeeper‑Erweiterungen: Zusätzliche Prüfungen, die neben Signatur und Notarisierung auch das Verhalten der Anwendung im Sandbox‑Modus analysieren.

Bis diese Features breit ausgerollt sind, bleibt das Zusammenspiel von Unternehmens‑EDR, Zero‑Trust‑Architektur und einer kritischen Haltung gegenüber notarisierten Apps der beste Schutz. Die Bedrohung durch Apple macOS Malware zeigt, dass Sicherheit nicht allein durch technische Signaturen gewährleistet werden kann – ein ganzheitlicher Ansatz ist erforderlich.