Little Snitch ist eine Firewall für macOS. Wie der Name bereits andeutet besteht die Hauptaufgabe von Little Snitch darin den ein- und ausgehenden Datenverkehr auf eurem System zu kontrollieren. Neben expliziten Schadprogrammen liegt der Fokus hier laut Hersteller-Homepage auch auf Trackingdiensten in Softwareprodukten.
Sinn und Unsinn
Firewall-Software auf Produktivsystemen sind stark umstritten. Ein recht umfassender Artikel kann hier eingesehen werden, dort wird auch Little Snitch explizit thematisiert. Die Kritik zielt auf wenige Hauptpunkte ab. Erstens benötigt Litte Snitch naturgemäß umfassende Rechte auf dem System um den Netzverkehr überwachen zu können. Dazu installiert Little Snitch eine Kernel-Extension (kext) und verfügt dadurch über Root-Rechte. Das widerspricht der klassischen Logik, dass die Sicherheit des Systems steigt, wenn man weniger Programme und Dienste mit Root-Rechten laufen lässt. Zweitens sollte eine Firewall niemals auf dem gleichen System laufen, das es schützen soll. Schadsoftware kann schließlich jede Software – inklusive Little Snitch – manipulieren und dadurch unsichtbar werden. Der Autor ist daher der Meinung, dass Little Snitch nur dazu taugt, gutmütige Software, die nichts verbergen will zu überwachen.
Dem ist eigentlich nichts hinzuzufügen, aber genau darum soll es hier gehen. Viele “gutmütige” Softwareprodukte integrieren heute zahllose Tracker um die Nutzer zu überwachen. Das geschieht nicht immer um Nutzer auszuspähen, sondern oft auch weil Entwickler kein Gefühl für Datenschutz haben. Man sammelt, weil man sammeln kann. Diese Trackingdienste lassen sich inzwischen auch häufig nicht mehr in den Einstellungen abstellen, sondern laufen weitestgehend unbemerkt im Hintergrund. Genau an diesem Punkt setzt Litte Snitch an. Dazu später mehr.
Little Snitch 4 im Test
Installation
Little Snitch ist eine proprietäre, kostenpflichte Software. Eine Einzel-Lizenz kostet regulär 45€, ist aber auch ab und an rabattiert zu haben. Einzel-Lizenz heißt laut Hersteller:
“Die Einzel-Lizenz erlaubt entweder einem einzelnen Benutzer die Nutzung der Software auf mehreren Computern oder mehreren Benutzern die Nutzung der Software auf einem einzelnen Computer. Sie erlaubt jedoch nicht mehreren Benutzern die Nutzung der Software auf mehreren Computern, unabhängig davon, ob die Nutzung gleichzeitig erfolgt.”
Quelle: Obdev.at
Die Software ist daher nicht ganz billig, aber die Lizenz ist auch nicht sonderlich restriktiv. Der normale Anwender kann daher die Software auf Desktop und Notebook installieren. Die Releasezyklen sind zudem relativ lang, sodass man nicht jedes Jahr für ein Upgrade zur Kasse gebeten wird.
Die Installation erfolgt leider nicht über den integrierten Mac App Store. Dies liegt mutmaßlich an den limitierten Systemzugriffsmöglichkeiten, die klassichen App Store-Apps eingeräumt werden können. Die Installation erfolgt daher klassisch über eine DMG-Datei und Installationsroutine. Persönlich mag ich das nicht sonderlich, für herausragende Apps nehme ich das jedoch in kauf.
Einrichtung
Nach einem Neustart begrüßt eine Einrichtungsroutine mit Informationen und grundlegenden Einstellungsmöglichkeiten den Anwender.
Nach einigen Informationen fragt Little Snitch welchen Modus man wählen möchte. Es gibt grundsätzlich drei unterschiedliche Modi zur Auswahl:
- Warn-Modus
- Leise-Modus: Erlaube Verbindungen
- Leise-Modus: Verbiete Verbindungen
Die ersten beiden Modi stehen im Rahmen der Einrichtung zur Verfügung.
Vorausgewählt ist der Leise-Modus, der insbesondere für neue Benutzer empfohlen wird. In diesem Modus werden alle Verbindungen erlaubt und der Anwender kann im Nachhinein entscheiden, was er zukünftig blockieren möchte. Das Problem ist jedoch, dass bereits mindestens einmal Daten übertragen wurden. Der Warn-Modus ist weniger komfortabel. Bei jedem Verbindungsaufbau fragt Litte Snitch wie zu verfahren ist bevor es weitergeht. Insbesondere unerfahrene Anwender können dadurch anfänglich überfordert sein.
Trotzdem ist der Warn-Modus sinnvoller. Man muss sich halt anfänglich viel Zeit nehmen und im Zweifelsfall recherchieren. In den ersten Anwendungssitzungen nach der Installation von Little Snitch fragt das Programm sehr oft nach, da jede Verbindung neu ist. Das kann anfänglich nervig sein, muss man aber einmal absolvieren. Im mittel- und langfristigen Betrieb sind dann die meisten Verbindungen einsortiert und das Programm arbeitet weitestgehend geräuschlos im Hintergrund.
Um anfänglich nicht eine ganze Kaskade von Abfragen zu generieren fragt Little Snitch in der Einrichtungsroutine noch die Apple-Dienste ab.
Die Erlaubnis für die macOS-Dienste sollte man erteilen, sofern man nicht sehr viel Ahnung vom System hat. Es geht dabei um grundlegende Dienste wie ntpd, sntpd (legt die Uhrzeit des Systems über eine Zeit-Server fest) und andere Basisdienste. Die iCloud-Dienste kontrollieren Verbindungen zu icloud.com und icloud-content.com. Wer keine iCloud-Dienste verwendet sollte dies deaktivieren.
Im laufenden Betrieb
Nach der Einrichtung macht Little Snitch durch einen prominenten Warndialog auf neue Verbindungen aufmerksam. Wie bereits geschrieben, kann dies anfänglich sehr penetrant sein (weshalb die Hersteller vermutlich auch den Leise-Modus empfehlen) aber das legt sich mit der Zeit.
Die Warnung zeigt sehr prominent das Programm mit seinem Symbol und wohin es sich verbinden möchte. Dies kann man dann endgültig oder für eine gewisse Zeit erlauben oder verbieten. Im konkreten Beispiel geht es um die FTP-Verbindung zum Webserver dieser Seite durch ForkLift (ebenfalls ein sehr gutes Programm!), also definitiv beabsichtigt und vertrauenswürdig.
Der Button mit der Brille blendet auf Wunsch weitere Informationen zum Programm ein und verbindet sich dazu nach einer Erlaubnisabfrage mit der Herstellerdatenbank.
Anstelle nur eine Domain freizugeben kann man auch Alle Verbindungen für das Programm erlauben. Dies kann z.B. bei Safari interessant sein, da ansonsten bei jeder neu aufgerufenen Seite eine Verbindungsabfrage erfolgt und man hier Tracker auch per Inhalteblocker aussperren kann.
Einstellungen
Little Snitch legt ein Symbol in der oberen Leiste ab, das gleichzeitig den Netzwerkverkehr visualisiert. Über dieses lässt sich die Konfigurationsoberfläche aufrufen.
Die Oberfläche zeigt sehr übersichtlich die festgelegten Regeln, sortiert nach den jeweiligen Programmen. Über die Liste links lassen sich die Regeln auch nach diversen Kategorien, wie z.B. nur temporär festgelegte Regeln, filtern. Selbst bei zahllosen Regeln für viele Programme verliert man hier nicht den Überblick.
Zusätzlich bietet Little Snitch auch einen sehr hübsch visualisierten Netzwerkmonitor.
Dieser Monitor zeigt die zuletzt erfolgten Verbindungen in chronologischer Reihenfolge links, sowie illustriert diese auf einer Weltkarte (anhand der IP-Adressen?). Das ist eine nette Spielerei, die aber auch Systemleistung erfordert. Sowohl in der CPU-Zeit, als auch beim Speicherbedarf ist der Litte Snitch Netzwerkmonitor auf meinem Mac mini immer recht weit vorne dabei. Wer diese Visualisierung nicht benötigt kann in den umfangreichen Einstellungen von Litte Snitch diese Funktion einfach komplett deaktivieren. Die Schutzwirkung ist dadurch nicht beeinträchtigt.
Ausuferndes Tracking
Wie bereits einleitend erwähnt ist Litte Snitch systembedingt weniger dafür geeignet wirkliche gefährliche Schadprogramme draußen zu halten, als vielmehr den alltäglichen Spionagewahnsinn einzudämmen. Welches Ausmaß dieser angenommen hat zeigt Litte Snitch schonungslos und das Ergebnis ist eigentlich schockierend.
Manche Programm wie Enpass (siehe: Enpass – Ein Passwortmanager für alle Systeme) oder Firefox erheben zwar Daten, lassen aber ein Opt-out in den Einstellungen zu (Opt-in wäre zwar schöner, aber das ist noch erträglich) und sind danach laut Little Snitch auch brav. Andere Programme lassen einem keine Wahl, bauen aber fleißig Verbindungen auf.
Besonders beliebt ist hierbei Hockeyapp, das seit 2014 zu Microsoft gehört und Crashlytics. Die Möglichkeiten sind nahezu grenzenlos. Hinzu kommen dubiose Verbindungsaufbauversuche zu den Herstellerseiten bei jedem Programmstart diverser Programme.
Nun kann man sagen, dass Programm mit solchen Methoden einfach nicht genutzt werden. Leider bietet sich diese Möglichkeit nicht mehr bei Programmen, die man beruflich benötigt und die alternativlos sind.
Hinzu kommen Systemdienste wie gamed, die sich leider auch nicht mehr ohne weiteres abschalten lassen, auch wenn man sie nicht benötigt. Weiterhin kann man Programmfunktionieren limitieren, die streng genommen nicht dem Entwickler anzulasten sind. Ein Beispiel hierfür wäre Reeder, ein sehr populäres RSS-Programm. Das Programm hat keinen eingebauten Trackingschutz, weshalb man mit Little Snitch die unzähligen Trackingmethoden der diversen Feeds unterbinden kann.
Zusammengefasst
Little Snitch ist ein wichtiges Programm im Baukasten für die digitale Selbstverteidigung. Weniger um klassische Schadprogramme abzuwehren, als vielmehr zur Verhinderung des unkontrollierten Datenabflusses an die unzähligen Trackingdienste, die sich inzwischen in ganz normalen Programmen eingenistet haben. Es wäre wünschenswert, wenn Entwickler hier nicht maßlos – und vor allem ohne Einstellungsmöglichkeit für den Anwender – Dienste integrieren würden. Dafür fehlt aber vielen das Bewusstsein. Vor allem außerhalb Europas gilt Datenschutz vielen scheinbar als hoffnungslos veraltete Idee.
Anfänglich erfordert das Programm viel Nutzerinteraktion, was schnell nerven kann. Hier muss man ein bisschen Durchhaltewillen zeigen, da nach der anfänglichen Einstellungsorgie das Programm weitestgehend geräuschlos im Hintergrund seinen Dienst versieht.