Der spontane IT-Ausfall vom Wochenende hatte vielerorts Konsequenzen: Infotafeln zeigten Fehlermeldungen auf blauem Grund, Flugzeuge konnten nicht starten, Kliniken sagen geplante Operationen ab. Die Ursache führen Sicherheitsexperten auf einen Fehler in einer vom Sicherheitsanbieter CrowdStrike ausspielten Channel-Datei zurück – dieser führte zum harten Absturz des gesamten Windows-Systems. Macs waren nicht betroffen. Nun stellt sich die Frage: War das eher Zufall – oder sind Macs vor solchen Problemen generell sicher? Eins steht jedenfalls fest: Apple hat in den letzten Jahren viel dafür getan, um Fehler solchen Ausmaßes zu verhindern.


Falcon Sensor von CrowdStrike wird als Kernel-Mode-Treiber ins Windows-Betriebssystem integriert. Das lässt sich mit Kernel-Erweiterungen in macOS vergleichen. Drittanbieter-Treiber solcher Art sind Apple seit mehreren Jahren ein Dorn im Auge, berichtet Howard Oakley in einem Blogbeitrag. Er zählt sieben Kategorien von Treibern auf, die typischerweise als Kernel-Extension (kext) in macOS integriert wurden: I/O-Kit-Treiber inklusive USB, PCI sowie Thunderbolt, Treiber für Serielle Ports, Audiotreiber, Netzwerktreiber für Filter, Datenspeichertreiber sowie Datesysteme. Fehler und Inkompatibilitäten in Kernel-Erweiterungen von Drittanbietern haben über Jahre macOS destabilisiert und Abstürze (Kernel-Panics) verursacht. Deshalb dränge Apple Software-Entwickler, auf Systemerweiterungen umzusteigen – sie laufen auf Anwenderebene und machen einen Komplettabsturz unwahrscheinlich. Inzwischen ist eine Installation von Kernel-Erweiterungen zwar möglich, doch äußerst unbequem: So müssen Anwender dafür ihren Apple-Silicon-Mac im Recovery-Modus starten, reduzierte Sicherheit einschalten und danach erneut booten, bevor sie eine Kernel-Erweiterung installieren dürfen.

Kernel-Erweiterungen seit fünf Jahren unerwünscht
Die meisten Formen von Kernel Extensions habe Apple mit macOS 10.15 (Catalina) abgekündigt und bei der Installation von macOS 11 (Big Sur) automatisch deaktiviert. Statt der bisherigen Kernel Programming Interfaces (KPI) stelle Apple nun Kits bereit, etwa USBDriverKit oder AudioDriverKit. Für systemnahe Überwachungsaufgaben sehe Apple limitierte Zugriffe über Network Extensions und Endpoint Security vor. Der Umstieg auf Systemerweiterungen verläuft stufenweise und ist noch nicht in Gänze abgeschlossen – die Treiber für Audio, Bluetooth sowie SCSI wurden erst mit macOS 12.3 (Monterey) verpflichtend in den "Userspace" verbannt, und Dateisysteme sollen frühestens mit macOS 15 (Sequoia) folgen. Interessantes Detail: CrowdStrike Falcon ist auch für macOS verfügbar – und dort als Systemerweiterung umgesetzt.

Restrisiko: Probleme aus eigenem Haus
Die Umstrukturierung zeigt Wirkung: Howard Oakley kann sich an keine Kernel Panics in den letzten drei Jahren erinnern. Eine Verbannung von Kernel-Erweiterungen aus dritter Hand bedeutet nicht, dass macOS fortan problemfrei bleibe. Entwickler berichteten ihm von verschiedensten Fehlern rund um die Schnittstellen, die Apple als KPI-Ersatz bereitstelle. Zudem können Fehler im eigenen Haus ernsthafte Konsequenzen haben. Das belegt Oakley mit einem Beispiel aus dem Jahr 2016: Ein im Hintergrund installiertes Sicherheitsupdate definierte eine hauseigene Kernel-Erweiterung als inkompatibel – diese war für die Ethernet-Schnittstelle zuständig. Dies schnitt viele Macs vom Internet ab; wenn ein WLAN-Zugriff fehlte, kam die zwei Tage später ausgespielte Fehlerbehebung nicht an.