Die "System Integrity Protection" (SIP) ist eins von mehreren Sicherheits-Features, die Apple in den letzten Jahren in macOS integriert hat. SIP sorgt dafür, dass selbst Anwender mit Root-Rechten keine Veränderungen an essenziellen Bestandteilen der Software vornehmen können. Zusammen mit dem Signierten System-Volume, Gatekeeper und XProtect stellt SIP eine der Kernkonzepte der macOS-Absicherung dar. Für spezialisierte Anwendungsbereiche stellt dies allerdings ein Nachteil dar; so bleiben seit macOS 14 (Sonoma) sämtliche Kernel-Erweiterungen von Drittanbietern ausgesperrt, solange SIP aktiv ist. Glücklicherweise lässt sich dieser Schutz temporär oder dauerhaft ausschalten. Um ein potenzielles Sicherheitsrisiko zu minimieren, beschränkt man die Deaktivierung auf ein einziges Feature.


Apple erschwert das Ausschalten absichtlich, mit dem Anklicken eines Schalters ist es nicht getan. Stattdessen muss ein Mac-Admin den Rechner ausschalten und im Recovery-Modus neu starten (Tastenkombination +R bei Intel-Macs, Startknopf gedrückt halten und "Optionen" anklicken bei Apple-Silicon-Macs). Über den Menü-Eintrag wählt man "Terminal" – eventuell muss man vorher über das "Startsicherheitsdienstprogramm" (im selben Menü) vorher das Firmwarepasswort deaktivieren. In der Kommandozeile lässt sich anschließend die gesamte SIP-Architektur ausschalten – mit dem Befehl


Bereichs- anstatt Hauptsicherung
Allerdings gilt wie beim Sicherungskasten: Um eine Glühbirne im Wohnzimmer auszuwechseln, muss nicht das gesamte Haus stromlos bleiben. Es genügt, den einen Bereich von auszunehmen, dem die aktuelle Aufmerksamkeit gilt. Das Kommandozeilenprogramm csrutil erlaubt, bestimmte Elemente der System Integrity Protection auszunehmen. Wer etwa die Überprüfung der Kernel-Erweiterungen ausschalten will, gibt folgenden Befehl ein und bestätigt durch die Enter-Taste:


Damit die Änderung wirksam wird, starten Administratoren den Mac über das Apfel-Menü neu. Um den aktuellen Status zu überprüfen, öffnet man nach dem Neustart das Terminal-Programm (im Unterordner "Dienstprogramme") und gibt folgenden Befehl ein:


Das Kommandozeilenwerkzeug listet in der Statusmeldung dann die einzelnen Komponenten nebst Zustand auf, rät allerdings von gezieltem Deaktivieren einiger SIP-Komponenten ab – in der öffentlichen Beta von macOS 15 erscheint eine Warnung vor einem nicht unterstützen Zustand der System Integrity Protection.


Sieben separat steuerbare Komponenten
Neben dem Schutz der Kernel-Erweiterungen kann man auch Debug- oder NVRAM-Beschränkungen ausschalten. Howard Oakley listet in einem Blogbeitrag zu csrutil die möglichen Optionen auf, zusammen mit einigen Flags, die er im XNU-Kernel entdeckte, etwa "CSR_ALLOW_ANY_RECOVERY_OS". Diese lassen sich nicht gezielt deaktivieren, sondern nur mit dem Hauptschalter de- und reaktivieren.

Zu deaktivierende SIP-Komponente	Befehl
Überprüfung des Basissystems	csrutil enable --without basesystem
Debugging-Beschränkungen	csrutil enable --without debug
DTrace-Beschränkungen	csrutil enable --without dtrace
Dateisystem-Beschränkungen	csrutil enable --without fs
Kext-Signierung, Kernel-Integritätsbeschränkungen	csrutil enable --without kext
NVRAM-Schutz, Boot-arg-Beschränkungen	csrutil enable --without nvram
Authenticated Root	csrutil authenticated-root disable

Wann sollte man SIP deaktivieren?
Im Allgemeinen rät Apple davon ab, einen Mac mit deaktivierter System Integrity Protection zu betreiben. Deshalb ist die Deaktivierung auch so umständlich. Entwickler haben allerdings legitime Gründe, um die eine oder andere SIP-Komponente temporär zu deaktivieren. Auch älteres Zubehör, das auf eine Kernel-Erweiterung angewiesen ist, kann eine SIP-Deaktivierung erfordern. In den Kommentaren unter Oakleys Blogbeitrag bringen Anwender OCLP ins Spiel, mit dessen Hilfe experimentierfreudige Mac-Nutzer neuere macOS-Versionen auf nicht offiziell unterstützte Hardware bringen. Jeff Johnson, Entwickler von StopTheMadness, meldet sich auch zu Wort: Er hält generell nichts von SIP, da seiner Meinung nach deren Überprüfungsmechanismen den Mac grundlos ausbremsen.

Wieder einschalten nicht vergessen
Da eine deaktivierte System Integrity Protection im Betrieb nicht weiter auffällt, muss der Mac-Administrator selbst darauf achten, die Funktion bei Bedarf wieder einzuschalten. Um späteres Reaktivieren der SIP nicht zu vergessen, empfiehlt Oakley einen schlichten Hardware-Hack: Eine Haftnotiz am Monitor, die an den ungesicherten Modus erinnert.