Hallo!
Weiß jemand wie sich macOS mit abgemeldeten / inaktiven Benutzern verhält? Mich würde interessieren ob ich mir z.B. im Hotel halbwegs sicher sein kann, dass keine Daten mehr von meinem Hauptbenutzer übertragen werden, wenn ich entweder einfach auf einen eingeschränkten User umschalte bzw. mich vom Hauptbenutzer komplett abmelde und nur mit einem speziellen Benutzer arbeite. Ich würde dem keine Apple ID geben und auch sonst nichts einrichten wo mir die Sicherheit wichtig ist und damit dann z.B. nur Safari nutzen. Ich vermute, dass Apple die meisten Verbindungen für die iCloud und AppleID halbwegs verschlüsselt überträgt aber ich würde mich da ungern darauf verlassen und wenn ein abgemeldeter User keine Daten überträgt dann wäre das perfekt. Allerdings gibt's ja z.B. glaub Power Nap die im Hintergrund Emails & Co aktuell halten und da könnte es sein, dass macOS dann trotzdem im Hintergrund Daten lädt, die ich aber nicht über das unsichere WLAN haben will.
Christian

warum willst du dann überhaupt den "unsicheren" Hotelzugang nutzen, wenn du dir doch einen eigenen Hotspot über dein Handy machen kannst ?

Warum nicht einfach nach der Verbindung mit dem "unsicheren" WLAN so wie es sich gehört ein VPN aufbauen ?
Wer im Hotel sich ohne VPN verbindet dem ist nicht weiter zu helfen.

Wobei erst neulich wieder darüber berichtet wurde, dass aktives VPN nicht allen Verkehr einkapselt. Insbsondere schon vorher aktive (Dauer-)Verbindungen (Mail, iCloud, Messenger) werde u.U. nicht umgeleitet.
Betrifft angeblich nur iPhone und iPad, aber wer weiß ...

https://www.heise.de/news/a-7545702.html

Steht da irgendwas davon, dass er dort im Hotel sein Handy verwenden kann, ohne dabei arm zu werden?


Am besten ist es, das VPN selber Zuhause zu hosten. Dann muss man auch nicht den Anbietern vertrauen.

Die Frage klingt für mich aber nicht danach, als ob er irgendetwas sicherheitsrelevantes erledigen möchte, bei dem Daten abgegriffen werden könnten, die irgendeine eine Relevanz besitzen, sprich er will nur irgendwelche Webseiten lesen, ohne dass seine anderen Accounts dabei kompromittiert werden.

Wenn du keinen VPN nutzen willst, dann richte doch eine weitere Partition ein mit einem eigenständigen System. Bevor du dich verbindest, wirfst du einfach alle anderen Volumes aus.

Sagt wer? Das so allgemein zu Schreiben stimmt einfach nicht. Problem dabei ist auch, das die Geschwindigkeit vom heimischen Netzwerk Upload bestimmt wird und je nach Anschluß ist das dürftig. Zudem kann auch nicht jeder so ein VPN einfach einrichten da ihm die technischen Grundlagen fehlen.

Noch zur Klärung: VPN ist auf einem von mir gehosteten Server vorhanden allerdings habe ich bisher keine praktische Möglichkeit gefunden, wie ich mich mit dem WLAN verbinden kann und dann den VPN aufbauen kann ohne, dass MacOS / iOS das Internet erkennt und sofort nutzt. Es gibt verschiedene Möglichkeiten aber die von mir getesteten waren alle eher ein Krampf. Bisher hab ich einen kleinen GLinet Router der eine Internet Kill Switch aktiv hat und den Traffic erst weiterleitet, wenn er selbst die VPN-Verbindung zu meinem Server aufgebaut hat. Mit dem bin ich mir sicher, dass macOS oder auch iOS nicht vorher das unsichere WLAN nutzt oder Apple-Dienste außerhalb des VPN vorbei kommen. Einzige Problem bei dem ist, wenn man sich beim WLAN erst in einem Portal anmelden muss, weil das macht der Router nicht und bekommt dadurch dann auch kein VPN zustande.

In meiner Frage wäre es mir wirklich nur darum gegangen, wie ich surfen und YouTube schauen kann ohne meinen eigentlichen User ungeschützt ins WLAN zu lassen und nicht das Datenvolumen vom iPhone Hotspot zu verbrauchen.
Für Emails und Arbeit nehm ich entweder die Hardware-Lösung oder den iPhone Hotspot.

Hast du einen Tipp wie man sich mit dem WLAN verbindet ohne, dass macOS / iOS es sofort nutzen bevor man die Chance hat die VPN-Verbindung aufzubauen? Ich bin mir nicht sicher ob es reicht alle Programme zu schliessen damit z.B. keine Apple-Dienste Daten übertragen und man in ruhe da VPN aufbauen kann. Ansonsten kann man es gleich sein lassen, da in der Zeit zwischen WLAN verbinden und VPN aufbauen, das Kind schon in den Brunnen gefallen ist.
Und noch ein Thema - wie verhindert man, dass man sich z.B. am Mac mit dem WLAN verbindet (und sicher über VPN arbeitet) und sich dann iPhone und iPad per iCloud synchronisiert auch sofort mit dem WLAN verbinden. Das Feature finde ich ja grundsätzlich toll und würde es ungern abdrehen aber in dem Fall ist es nicht zweckdienlich.

Sorry, aber die einfache Antwort auf deine Fragen lautet:

• Das Hotel-WLAN nicht benutzen

Der Hinweis auf iPhone-Tethering (Hotspot) kam ja oben schon. Kann je nach Vertrag unnötig teuer werden.

Ich persönlich löse das schon seit Jahren dadurch, dass ich einen kleinen, mobilen LTE-Router mitnehme und ausschließlich diesen eigenen Router benutze. Gleichzeitig kann z.B. meine Frau sich mit ihren Geräten ebenfalls verbinden.

Das Hotel-WLAN lasse ich komplett links liegen.

In dem mobilen Router steckt ne Prepaid-SIM-Karte, die ich vor der Reise mit den jeweils geschätzten Gigabytes auflade. Außerhalb der Reisezeit fallen keine unnötigen Abo-Kosten an.

Hat dann noch den Vorteil, dass ich immer aus einem wohl-definierten Subnetz heraus verbunden bin und die VPN-Verbindung nach Hause zuverlässig klappt.

Mir fällt es gerade schwer Bedrohungsszenarien auszudenken.
Welche unverschlüsselten Datenverbindungen baut der Mac auf? Eigentlich sollte alles per https usw. transport-verschlüsselt sein.
Mit LittleSnitch sind ausgehende Datenverbindungen erkennbar und lassen sich bei Bedarf sperren.
Also bei Bank-Transaktionen kann verstehen, dass VPN erforderlich ist, um auch Meta-Informationen zu vermeiden - aber bei einem YouTube-Video ...?
Hmm

Ich will mich auf das "sollte verschlüsselt sein" nicht unbedingt verlassen. Wenn es jetzt mit einem eigenen Account nur für surfen und YouTube getan ist, wäre das eine einfache Möglichkeit gewesen sich die Daten des Hotspots zu sparen und sich trotzdem keine Gedanken machen um das evtl. hätte sein sollen aber blöder Weise doch nicht verschlüsselt gewesen.
Scheint aber leider nicht ganz so eindeutig zu sein und somit bleibe ich wohl weiterhin bei Hotspot oder Hardware-Router.

Du könntest Dir mit LittleSnitch (oder LuLu) ein Profil einrichten, dass alle Verbindungen sperrt, außer jenen, die Du für VPN benötigst. Also erst Profil wechseln, Hotel-WLAN verbinden, VPN-Verbindung aufbauen.

Das ist ganz einfach: Ein nicht angemeldeter Benutzer kann keine Programme starten. Er hat sich ja nicht beim Betriebssystem identifiziert, hat also keinerlei Rechte.

Nur bereits früher von einem Benutzer gestartete Programme könnten theoretisch weiterlaufen, nachdem er sich abmeldet. Dazu müssten die Programme aber entweder als Hintergrunddienst oder mit einer speziellen "Non-Hang-Up"-Option gestartet worden sein.

macOS enthält übrigens ab Werk bereits 99 interne Benutzer-Accounts, die niemals angemeldet sind. Das dient der internen Abschottung von Systemteilen gegeneinander. Das Arbeiten mit nicht angemeldeten Benutzer-Accounts erhöht also in der Regel die Sicherheit und verringert sie nicht.

Du verwechselst die übliche Verwendung eines VPN mit Anonymisierungsdiensten, die sich verwirrenderweise "VPN-Anbieter" nennen.

Die normale Verwendung eines VPN ist grundsätzlich, sich auf sichere Weise mit dem Zuhause (oder seinem Arbeitgeber) zu verbinden. Dafür sollte auf keinen Fall ein fremder Anbieter verwendet werden.

Sogenannte "VPN-Anbieter" machen etwas anderes: Sie ermöglichen (mit VPN-Technik als Hilfsmittel) den Zugang in einem Fremdnetz, das in der Lage ist, die ursprüngliche Herkunft der Abfragen beim Zugriff auf das Internet zu verschleiern. Der Zugriff auf Internet-Dienste ist aber eigentlich gerade nicht das, wofür VPN-Technik ursprünglich gedacht war.

Üblicherweise weiß man nicht, wie das Hotel-WLAN gestrickt ist und ist deshalb ggü. man-in-the-middle-Anfriffen verwundbar. Ein bösartiges Netz kann einem alles Mögliche unterschieben, z.B.

• "Eine Angriffsfläche für LAN-interne Man-in-the-Middle-Attacks bietet zum Beispiel der Service DHCP (Dynamic Host Configuration Protocol), der für die Vergabe lokaler IP-Adressen zuständig ist, sowie das ARP-System (Address Resolution Protocol) zur Ermittlung von Hardwareadressen (Media-Access-Control, MAC). Globaler lassen sich Mittelsmannangriffe durch die Manipulation von DNS-Servern realisieren, die für die Auflösung von Internetadressen in öffentliche IPs zuständig sind. Darüber hinaus nutzen Hacker Sicherheitslücken in veralteter Browsersoftware aus oder stellen nichts ahnenden Internetnutzern korrumpierte WLAN-Zugänge zur Verfügung."

Ich habe passpartout auf meinen Geräten und da ich jede Woche in unterschiedlichen Ländern im Hotel Netz habe wird immer eine VPN per Wireguard nach Hause augebaut. So habe ich immer eine Deutsche Location und alle Daten laufen über mein Hausnetz.

Da ich teilweise in Serbien unterwegs bin ist das schwierig mit dem Handy da Ländergruppe 3.

Wird bei Private Relay nicht auch jede HTTP-Verbindung verschlüsselt? Ansonsten halt Firefox mit HTTPS Everywhere.

Nichts was auf dem Rechner läuft ist wirklich sicher.

Tom Macintosh
grad in deinem Anwendungsfall wäre doch ein mobiler Router (wie oben schon empfohlen) mit lokaler Simkarte ideal. Wenn dann der Router noch ein VPN aufbaut… sollte auch niemand Angst haben, das noch Daten am VPN vorbei gehen wenn man einfach „Mobile Daten“ am Handy abschaltet.

Mein Problem wäre damit aber was passiert mit iCloud synch, Emails... die alle nebenbei im Hintergrund laufen. Ob jetzt jemand mitschaut und sieht, dass ich Nachrichten lese oder welche YouTube-Vidieo wäre mir bei dem Account egal. Für sensible Dinge würde ich ja sowieso den Hauptaccount mit Router oder Hotspot verwenden.

Wie schon oben erwähnt - für sensible Dinge habe ich einen Hardware Router der VPN aufbaut und dann erst den Traffic darüber freigibt. Mit dem kann der Rechner erst ins Internet wenn der VPN verbunden ist und kommt dann nicht mehr mit dem unsicheren WLAN in Berührung. Allerdings funktioniert das bei WLAN mit Anmeldeportal nicht und ist halt zum surfen und YouTube schauen Overkill. Wenn der Router nicht funktioniert nehme ich den Hotspot vom iPhone.
Wenn es 100% sicher wäre, dass ein "Gast"-User am MacBook verhindert, dass der Hauptuser irgendwelche Daten ungefragt überträgt, dann wäre das eben einfach gewesen um etwas Daten vom Hotspot / lokalen SIM zu sparen aber das ist mir zu viel "sollte" und somit bleib ich einfach bei Router oder Hotspot.

Hat die App einen Kill Switch? Sprich verhindert die ein Verbindung direkt ins Internet bei bestimmten WLANs bevor der VPN aufgebaut ist? Ich hab vor einiger Zeit mal ein paar Programme getestet aber das hat alles nur sehr umständlich funktioniert.

Nochmal: Die Unterteilung auf verschiedene Benutzer spielt überhaupt keine Rolle. Es kommt darauf an, welche Programme diese Benutzer starten und ob diese weiterlaufen.

• Wenn ein Benutzer sich nicht abmeldet, laufen alle seine Programme weiter und können auch weiterhin Daten übertragen.
• Wenn ein Benutzer sich abmeldet und auch keine Hintergrunddienste oder "No-Hang-Up"-Programme gestartet hatte, werden alle seine Programme beendet und können keine Daten mehr übertragen.

Der Zugriff auf Cloud-Dienste (und selbst auf fast alle Internet-Seiten) erfolgt heute üblicherweise per HTTPS und ist deshalb sowieso verschlüsselt.

Nebenbei übertragene Metadaten (wie Zugriffe auf DNS-Server) sind üblicherweise nicht verschlüsselt. Auch ein VPN kann das je nach Routing- und Systemeinstellungen nicht zuverlässig verhindern, da der Schutz von Internet-Zugriffen nicht der normale Einsatzzweck eines VPN ist.

Sorry hab ich jetzt nicht mehr extra erwähnt, dass ich den Hauptuser nicht unbedingt abmelden möchte sondern nur auf den Gast wechseln möchte, damit ich nicht alle Programme neu öffnen und anordnen muss. In dem Fall scheint es mir so als ob dann der Hauptuser noch Daten übertragen könnte, weil er ja noch im Hintergrund angemeldet ist. Wenn ich den aber abmelden muss, ist der Komfort einfach auf den Gast umzusteigen wieder dahin und der Router gleich schnell angesteckt und verbunden.

Ja, aber dafür bräuchte ich mehrere Sims... was sich nicht lohnt. Die VPN mit Passpartout läuft das gut. Da immer die Verbindung gehalten wird.

Mobiler Router wäre mir zur aufwändig. Hatte ich schon einmal probiert.

Nein noch nicht. Sobald das iPad ein Netz hat wird die Verbindung aufgebaut und gehalten. Egal ob Mobilfunk oder WLAN...

Das musst Du doch nicht, wenn Du den Account des Hauptusers so konfigurierst, dass beim erneuten Anmelden alles wieder exakt so wie vor dem Abmelden ist.

Bei der ganzen Geschichte mit den Hotel Wlans gibt es einige Aspekte die man bedenken sollte.
Wie ist das unsichere WLAN im Hotel konfiguriert ?
- Ist das ein komplett offenes Netzwerk bei dem nie das Passwort geändert wird, oder bekommt man einen Token der nur für den Aufenthalt gültig ist?
- Dürfen sich die Geräte untereinander sehen (leider in einigen offenen WLAN nach wie vor der Fall)

Zusätzlich sollte man am eigenen Mac/Notebook prüfen ob dort etwaige Freigaben exisitieren, die für jeden schreibbar sind.

Zu den Gefahren bei einem offenen WLAN gibt es genügen Berichte, da kann man sich selbst einen Überblick verschaffen, warum man dies nicht unbedingt nutzen sollte.

Daher sollte man auch gewisse Vorsichtsmaßnahmen treffen.

Der Gastuser Account ist schon mal nicht verkehrt, gerade wenn man nur mal eben ein paar Videos auf YT ansehen möchte. Alles was mit Login Daten zu tun hat sollte man vermeiden oder über seinen eigenen Hotspot erledigen, dann gibt es kein böses Erwachen, d.h Banking, ebay, kleinanzeigen etc. sind im offenen WLAN tabu!

Und falls nicht schon erwähnt, sofern möglich auf all seinen Accounts eine 2 Faktor Authentifizierung aktivieren.

Wer sich sicher sein möchte und prüfen will, was das Gerät im Hintergrund noch an Daten überträgt kann das mit einem zwischengeschalteten Tool wie Wireshark auf einem RaspberryPi tun, damit spielt man selbst "Man in the middle" und kann sehen, was alles an Traffic vom MacBook oder iDevice ins Internet geht. RasPi per Ethernet an den Router und mit dem Gerät an den AccesPoint den der RasPi zur Verfügung stellt.

Stimmt - mittlerweile finden fast alle Programme selbst ihren Platz wieder. Hab nur mehr ein paar wenige die sich standhaft weigern sich ihr Position zu merken z.B. MS Teams, MS Remote Desktop, Cisco VPN Client. Ich liebe die Spaces um Programme / Fenster zu organisieren und nicht irgendwo welche im Hintergrund zu verlieren. Hab alle benutzen Programme auf 13 Spaces verteilt angeordnet und einige finden aber nach einem Neustart ihren Platz nicht mehr. Da ist das unglaublich praktisch, wenn man wochenlang nur in den Ruhezustand wechselt. Bin immer wieder begeistert wie stabil alles läuft und ich erst nach 30 Tagen oder so mal wieder einen Neustart wegen einem Update mache.

Hey Leute,

Macht den Fragesteller mal keine Angst, was den Einsatz von unverschlüsselten WLAN betrifft, vor allem nicht mit Kenntnisstand von vor einem Jahrzehnt. Damals hat man noch zurecht vor unverschlüsselten WLAN gewarnt.

Mittlerweile hat sich das Blatt gewendet. Application Encryption ist weitgehend verbreitet und sicher, wenn richtig implementiert. Das gilt für einen Großteil von Business Anwendungen, aber auch im privaten Bereich.

Bei meinem Arbeitgeber wurde VPN durch Privileged Access Management (PAM) ersetzt, wodurch ich nun auch in unverschlüsselten WLAN arbeiten kann/darf/muss. Diese gibt es ja nicht nur in Hotels, sondern auch im ICE und teilweise beim Kunden und öffentlichen Orten (Flughäfen). Anstatt eines VPN Clients benutzt man einen PAM Client, wie beispielsweise StrongDM oder Teleport. Dort wird genau geregelt, wie der Traffic zwischen Client und Server zustande kommt.

Solange der Browser und alle anderen Anwendungen richtig verschlüsseln, braucht man kein VPN. Letzteres ist eine Krücke, die man vor/bis zur Pandemie eingesetzt hat. Fortschrittliche Unternehmen benutzen PAM.

VPN macht allerdings im privaten Bereich noch Sinn, allerdings nicht mit Providern, sondern mit dem eigenen VPN Master zuhause, der auf dem Router bzw hinter dem Router läuft, genügend Upload-Speed vorausgesetzt.

An der Stelle mache ich nochmal Werbung für Hammerspoon . Ein Script um Microsoft Teams exakt per Tastaturkurzbefehl zu positionieren lautet beispielsweise (linke obere Ecke, 60% Höhe, 80 % Breite):
Das macht einmal Arbeit um sich einzulesen und funktioniert dann einwandfrei - im Gegensatz zu den anderen Fenstermanagern.

marm

Hört sich gut an - muss ich mir genauer ansehen.

Ich seh hier auch eher kein Problem. Websites mit Anmeldung sollten ohnehin HTTPS nutzen - sonst melde ich mich dort nicht an. eMail sollte ohnehin schon mit SSL/TLS eingerichtet sein. Und was hast Du dann noch auf Deinem Mac was man als "Risiko" einstufen kann?

Also ich bin oft im Hotel WLAN (auch jetzt). Safari hab ich noch über iCloud-PrivateRelay (auch wenn mir das echt wurscht ist, aber es ist halt im Abo dabei). Und alles andere greift ohnehin nur auf interne Systeme zu, für die ich mein VPN benötige, da sie sonst gar nicht erreichbar sind. Und sogar hier ist mittlerweile alles verschlüsselt.

Kurz gesagt: Außer einige Metadaten, die niemanden wirklich interessieren und auch kaum was verraten, wird wohl kaum was anfallen, was spannend sein kann. Und wenn Du so paranoid bist.... naja.... dann musst Du halt Umwege gehen

Hier ein einfach verständliches Angriffsszenario unter Verwendung von "Metadaten, die niemanden wirklich interessieren".
Etwas vereinfacht, aber keinesfalls unrealistisch.

• Beim Verbinden mit dem WLAN erhält das System per DHCP die Adresse des DNS-Nameservers mitgeteilt. Nicht selten ist dieser unter Kontrolle des WLAN-Betreibers.
• Ein kompromittierter DNS-Nameserver könnte z.B. eine Abfrage nach imap.gmx.net mit einer Umleitung auf einen bösartigen Server beantworten.
• Eine solche Abfrage führt das System selbständig ohne Benutzer-Eingriff durch, sobald das Mail-Programm in Aktion tritt. Das Programm kann von dieser Umleitung prinzipbedingt überhaupt nichts bemerken.
• Beim Mail-Abruf wird zuallererst Login-Info direkt an den bösartigen Server übertragen - und wird natürlich scheitern.
• Das macht dem Angreifer aber garnix. Wenn er noch mehr wissen will, fordert er das Mail-Programm per IMAP auf, einen gänzlich unverdächtigen Mail-Login-Dialog auf den Schirm zu werfen. Und spätestens jetzt hat der Angreifer alles, was er braucht.
• PENG ! Der Betreiber des bösartigen Systems hat sein Ziel erreicht, kann mit der Login-Info die Mailbox übernehmen und sich von da aus weiterhangeln.

Bottom Line:
Alleine schon die Verbindung zu einem bösartigen WLAN erzeugt Metadaten, die einem Angreifer ausreichen, das Konto zu übernehmen. Eigenes aktives Handeln ist überhaupt nicht erforderlich.

Das stimmt so nicht, da imap.gmx.net üblicherweise für eine Anmeldung per TLS/SSL konfiguriert ist. An dieser Stelle wird macOS bemerken, dass das Zertifikat des Servers gefälscht ist und den Vorgang nicht fortsetzen.

Eine erhöhtes Risiko besteht dennoch, wenn man den Zertifikatsfehler falsch deutet und einfach dem eingeschobene Zertifikat vertraut, weil man an seine Mails will. Außerdem nutzen viele ja auch Webmail und ließe sich eine Umleitung auf eine unverfängliche Domain mit gültigem Zertifikat erwirken. Ich verstehe aber wohl nicht genug von der Sache. Warum könnte der Fake-Server nicht einfach ein selbstsigniertes Let’s-Encrypt-Zertifikat verwenden?

Vereinfacht, aber nicht unrealistisch, Das erwähnte ich bereits.
Die Zertifikats-Hürde ist nicht unüberwindlich und andere Szenarien wie Abgreifen von z.B. Session-IDs ("Metadaten") kommen ebenfalls vor.

Also sorry, aber wer so sicherheitsbewusst ist, dass er sich Gedanken über Gast-WLANs in Hotels macht, sich dann aber aber einen x-beliebigen DNS-Server von DHCP-Server des Gast-WLANs aufdrücken lässt, statt einen DNS-Server seiner Wahl fest zu konfigurieren, und dann auch noch eine Zertifikatswarnung (in einem öffentlichen WLAN!) von macOS wegklickt, weil er „an seine Mails will“, der ist ein heißer Anwärter auf den Nobelpreis für mentale Inkonsistenz.

Wenn man das tut ist einem nicht zu helfen. Sorry, aber Zertifikatswarnungswegklicker haben das Recht auf mein Mitleid verspielt.
Korrekt, bei Webmail muß man mehr aufpassen und ggf. prüfen, ob das Zertifikat zur URL paßt (und natürlich ob die URL richtig ist).
Erstens sind Let's Encrypt-Zertifikate nicht selbstsigniert, das ist ja genau der Witz daran. Aber das wolltest Du vermutlich auch gar nicht sagen.

Zweitens prüft Let's Encrypt vor dem Signieren Deines CSR, ob das Zertifikat zu einer Domain paßt, über die Du die Kontrolle hast (z.B. über eine DNS-Prüfung oder das Ablegen eines Files mit definiertem Inhalt auf einer Webseite unter Deiner Domain). Du wirst also keines für "web.de" bekommen (es sei denn, Dein DNS-Hack ist so gut, daß auch Let's Encrypt darauf hineinfällt - aber dann ist das Hotel-WLAN auch kein echtes Problem mehr). Riskanter sind da schon dubiose CAs, denen man vertraut - dagegen helfen dann Techniken sie CAA , idealerweise in Verbindung mit DNSsec .

Unterm Strich: Webmail ist ein größeres Risiko als ein Mail-Client, aber durch gewissenhafte Prüfung der URL und ggf. des Zertifikats kann auch da eigentlich nicht viel passieren.