Apple hat mit OS X 10.11 El Capitan in 2015 den sogenannten Systemintegritätsschutz eingeführt. Dieser wird meist, der englischen Bezeichnung „System Integrity Protection“ nach, mit SIP abgekürzt. Integriert ist der Schutz für das Betriebssystem des Apple Mac auch in den macOS-Versionen von 10.12 Sierra (2016) bis 11 Big Sur (2020). Zudem wird er sicherlich Bestandteil der Systeme ab 2021 sein. Was der SIP ist und welchen Zweck er erfüllt, das habe ich euch in diesem Ratgeber zusammengefasst.
Kapitel in diesem Beitrag:
Was ist der Systemintegritätsschutz am Mac?
Beim SIP handelt es sich um eine Sicherheitstechnologie, die den Mac vor schadhafter Software sowie vor Versehen von Nutzer/innen-Seite bewahren soll. Der SIP verhindert, dass auf der Mac-Festplatte liegende geschützte Dateien und Ordner verändert oder gelöscht werden. Dazu gehören Dateien und Ordner, die für das Betriebssystem, für den Root-Prozess, für Systemprozesse an sich und für ähnliche Dinge verwendet werden. Kurzum soll der Systemintegritätsschutz dafür sorgen, dass Malware keine signifikanten Veränderungen am OS X oder macOS vornehmen kann.
Dafür sorgt auch die Tatsache, dass der SIP den root-Benutzer/innen-Account einschränkt. Das ist das Konto, von dem aus Administrator/innen am Mac Aufgaben umsetzen können, welche Eingriffe in Systembereiche mit sich führen. Vor OS X El Capitan gab es keine Einschränkungen für den root-Account. Hat man bis OS X 10.10 Yosemite einer App oder einem Tool durch die Eingabe des Passworts die entsprechenden Admin-Rechte gegeben, dann konnte sie – falls es sich um Schadsoftware handelte – weitreichende Eingriffe ins Mac-System vornehmen. Seit 2015 ist das nicht mehr möglich. Der Schutz des Mac wurde also effektiv ausgebaut.
Welche Teile des Mac-Systems schützt der SIP?
Damit eine App, ein System-Tool oder eine andere Software selbst bei Eingabe des Passworts keine Systemdateien mehr ändern, löschen oder überschreiben kann, werden vom SIP verschiedene Teile und Programme geschützt. Neben vorinstallierten Apps zählen dazu die folgenden Verzeichnisse in OS X und macOS:
- /System
- /usr
- /bin
- /sbin
- /var
Es gibt aber immer noch System-Pfade, in welche Apps schreiben dürfen. Diese Schreibe-Rechte sichern der App dann zu, dass sie als Programm erkannt wird, Verzeichnisse für eigene Daten anlegen und ähnliche Aktionen ausführen kann. Installationsprogramme und Software von Drittanbietern haben entsprechend Zugriff auf folgende Verzeichnisse:
- /Programme
- /Mediathek
- /usr/local
Wie können System-Veränderungen trotzdem stattfinden?
Wenn ein neues Betriebssystem ausgerollt wird oder ein Update für das bestehende System auf dem Mac geladen und installiert werden soll, dann kommen damit natürlich Veränderungen in den obigen Pfaden und Ordnern zustande. System-Veränderungen, die von Apple durch ein Update oder Upgrade von macOS ausgehen, sind also weiterhin möglich. Andere Apple-Software oder gar App-Angebote von anderen Entwickler/innen können dies nur bewirken, wenn ihre Software von Apple signiert wurde und damit spezielle Berechtigungen erhält. „Apps, die du aus dem Mac App Store lädst, sind bereits mit dem Systemintegritätsschutz kompatibel“, heißt es dazu im Support-Dokument HT204899.
Dort findet ihr auch den Hinweis, dass Programme ab OS X 10.11 El Capitan kein Startvolume mehr auswählen können. Wenn ihr also festlegen wollt, dass der Mac von einer anderen Festplatte / Partition als der aktuellen starten soll, dann müsst ihr das manuell machen. Das geht, auch in aktuellen Systemen, über das Apfel-Menü in der Menüleiste von macOS. Dort klickt ihr auf Systemeinstellungen… und dann im sich öffnenden Fenster auf Startvolume. In der Übersicht, die sich dann öffnet, könnt ihr eines der verschiedenen, installierten Systeme auswählen. Ist nur eines installiert, wird auch nur dieses angezeigt.
Kann ich den Mac Systemintegritätsschutz deaktivieren?
Wenn ihr Entwickler/innen seid oder einen Systemfehler auf den SIP zurückführt, dann fragt ihr euch wahrscheinlich, ob man den Mac Systemintegritätsschutz manuell abschalten kann. Und die Antwort lautet tatsächlich „Ja“. Das wird aber nur empfohlen, wenn ihr dies lediglich zum Beheben eines Fehlers macht und den Schutz danach wieder aktiviert. Die Anleitung dazu habe ich euch bereits vor ein paar Tagen in diesem Beitrag geliefert: Catalina-Installer lässt sich unter macOS Big Sur nicht aus dem Papierkorb löschen. Mit dem Link solltet ihr direkt zum Abschnitt „SIS bzw. SIP abschalten: Installer löschen durch deaktivierten Systemintegritätsschutz“ springen.
Damit sind wir auch schon beim Warum. Denn für viele Nutzer/innen, die einfach nur einen funktionierenden Apple Mac verwenden wollen, spielt der SIP wahrscheinlich keine aktive Rolle. Er ist einfach da und macht das System sicherer. Allerdings gibt es seltene Bugs, die sich nur mit einem deaktivierten Mac-Schutz lösen lassen. Und dazu gehört eben manchmal das Löschen eines Installers aus dem Papierkorb. Der Installer wird als Systemdatei erkannt, einem der obigen Pfade zugeschrieben und entsprechend vor der Entfernung bewahrt. Wer die mehreren GB loswerden will, muss der verlinkten Anleitung nachgehen (oder den Weg von Dirk aus den Kommentaren gehen).
In diesem Sinne: Viel Erfolg!
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.