ova
Zurück zum Blog
·10 Min. Lesezeit·productdevbook

Netzwerkaktivität am Mac auditieren

Ein wiederholbares Audit, das Sie in 20 Minuten durchführen, um zu wissen, womit Ihr Mac spricht, und zu entscheiden, was bleiben darf.

  • Security
  • Privacy
  • macOS
  • Network monitoring

Sie nehmen sich einmal pro Quartal zwanzig Minuten Zeit, um die Mac-Netzwerkaktivität zu prüfen, und die einzige Frage ist, ob Sie einen Prozess haben, den Sie tatsächlich ausführen können, oder ob Sie es wieder mit nettop und einem Notizbuch improvisieren werden. Diese Anleitung gibt Ihnen ein wiederholbares 20-Minuten-Skript: Scan, Review, Hostnamen-Check, Log-Aufbewahrung, Action-Items. Lassen Sie es jedes Mal gleich laufen. Vergleichen Sie mit dem letzten Quartal. Erkennen Sie Drift.

So prüfen Sie Mac-Netzwerkaktivität, ohne daraus einen ganzen Nachmittag zu machen.

Warum die Mühe — und worauf Sie schauen

Der Sinn der Prüfung ist nicht Paranoia. Es ist Drift. Jede macOS-Installation sammelt nach und nach Hintergrund-Services an, die irgendwann zu sprechen begannen und nie aufgehört haben. Eine Quartalsprüfung erwischt:

  • Apps, von deren Installation Sie vergessen haben und die täglich nach Hause telefonieren.
  • Telemetrie-Endpunkte, die geschwätziger wurden, als sie früher waren (nach einem Update).
  • Hilfsprozesse (Chrome, Slack, Adobe), die ihren Netzwerk-Footprint still erweitert haben.
  • Ausgehende Verbindungen zu Hostnamen, die Sie nicht erkennen.

Eine 20-Minuten-Prüfung, viermal im Jahr, reicht, um nahezu alles davon zu erwischen.

Was Sie vor dem Start brauchen

  • Einen Netzwerkmonitor in Ihrer Menüleiste. ova ist, was diese Anleitung nutzt. Etwa 3 MB, samplet Pro-App-Raten mit ~1 Hz, fasst Hilfsprozesse unter ihrer übergeordneten App zusammen.
  • nettop — eingebaut. Keine Installation.
  • Optional: Little Snitch oder LuLu für Sichtbarkeit auf Hostnamen-Ebene. Die Prüfung funktioniert ohne sie, ist aber schärfer mit.
  • Eine Notiz-App oder eine Plain-Text-Datei für Befunde. Die Prüfung ist nur nützlich, wenn Sie mit dem letzten Mal vergleichen können.

Das war's. Keine Extra-Installationen jenseits des Monitors, keine Kernel-Erweiterungen, keine Systemänderungen.

Das 20-Minuten-Skript zur Prüfung der Mac-Netzwerkaktivität

Hier der Zeitplan. Halten Sie sich ans Timing — über 30 Minuten zu driften verwandelt eine Quartalsgewohnheit in „etwas, das ich tun werde, wenn ich Zeit habe", was nie bedeutet.

Minuten 0–2: Die Baseline setzen

Apps beenden, die Sie nicht offen brauchen. Laufen lassen: Ihren Browser, Finder, Systemdienste. Das Ziel ist, Ihre „ambient" Netzwerknutzung zu sehen — was Ihr Mac tut, wenn Sie ihn nicht aktiv nutzen.

Öffnen Sie ova aus der Menüleiste. Notieren Sie die Gesamt-Up-/Down-Rate. An einem Idle-Mac würden Sie ein paar KB/s für Push-Benachrichtigungs-Heartbeats, iCloud und Spotlight erwarten. Alles über 100 KB/s anhaltend im Idle ist eine Untersuchung wert.

Minuten 2–7: nettop-Scan

Terminal öffnen. Ausführen:

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5 erfasst fünf Samples (standardmäßig eines pro Sekunde), dann beendet sich. Der Output geht in eine datierte Datei auf Ihrem Schreibtisch — die Sie später für die Aufbewahrung behalten.

Während es läuft, tun Sie nichts. Fünf Sekunden, dann die Datei prüfen. Sie sehen Zeilen wie:

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

Überfliegen Sie für alles, was Sie nicht erkennen. Namen, die Sie nicht zuordnen können, sind Spuren.

Minuten 7–12: Pro-App-Review in Ihrem Monitor

Wechseln Sie zu ova. Öffnen Sie die Pro-App-Liste. Sortieren Sie nach Gesamt-Bytes über die letzte Stunde (oder das längste Fenster, das die App standardmäßig zeigt).

Für jede App in den Top 10 fragen:

  1. Sollte diese App gerade überhaupt im Netzwerk sein? Ein Musikplayer — ja. Ein PDF-Reader — wahrscheinlich nein.
  2. Ist das Volumen vernünftig? Slack mit 30 KB/s anhaltend ist normal. Slack mit 3 MB/s anhaltend ist ungewöhnlich.
  3. Ist diese App eine, die ich absichtlich installiert habe, oder ein Übrig-Gebliebener? Wenn Übrig-Gebliebener, deinstallieren.

Hilfsprozess-Folding zählt hier. Ohne es füllt sich die Top 10 mit Zeilen wie Google Chrome Helper (Renderer), Slack Helper (GPU), Discord Helper (Plugin). Mit Folding kollabiert jeder davon unter der Eltern-App und Sie können die Liste tatsächlich lesen.

Hilfsprozess-Zusammenfassung
ova gruppiert Helper-PIDs unter ihrem Eltern, sodass die Pro-App-Liste sich wie Anwendungen liest statt wie Prozessbäume. Die Prüfung geht schneller.

Minuten 12–16: Hostnamen-Check

Hier verdient Little Snitch (oder LuLu) seinen Platz. Wenn Sie es installiert haben, öffnen Sie die Network-Monitor-Sicht und schauen Sie auf Hostnamen pro Prozess für das Prüfungs-Fenster.

Wenn Sie kein Firewall-Klassen-Tool haben, können Sie immer noch einen partiellen Hostnamen-Check machen, indem Sie das Unified Log tailen:

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

Der Output ist dicht, aber nach connect to oder spezifischen App-Namen zu suchen bringt Domain-Hinweise zum Vorschein.

Worauf Sie schauen:

  • Unbekannte Hostnamen. Suchen Sie die Domain im Browser. Ein legitimer Telemetrie-Endpunkt hat meist einen dokumentierten Zweck.
  • Häufige Verbindungen zu Werbe-/Tracking-Domains. Häufige Verursacher: *.doubleclick.net, *.scorecardresearch.com, *.googletagmanager.com. Browser-Erweiterungen können helfen (uBlock Origin), aber für native Apps ist eine Firewall-Regel die Antwort.
  • Verbindungen zu Ländern, die Sie nicht erwarten. Nicht inhärent schlecht — viele CDNs sind regional — aber notierenswert.

Minuten 16–18: Log-Aufbewahrung

Nehmen Sie die nettop-YYYYMMDD.txt-Datei, die Sie generiert haben, und verschieben Sie sie in einen Ordner, z. B. ~/Documents/network-audits/. Optional exportieren Sie die Pro-App-Zusammenfassung aus ova als Screenshot.

Warum aufbewahren: Ihre erste Prüfung ist nur ein Schnappschuss. Ihre zweite wird ein Vergleich. Bis zur dritten können Sie Trends erkennen — „Adobe-Verkehr verdoppelte sich in Q2" oder „Spotify ging nach dem Update von 200 KB/s auf 800 KB/s".

Ein flacher Ordner mit Textdateien und Screenshots reicht. Kein schickes Tooling.

Minuten 18–20: Action-Items

Schreiben Sie drei bis fünf konkrete Aktionen auf. Beispiele aus echten Prüfungen:

  • „MagicScreenshotPro deinstallieren — letztes Jahr zweimal genutzt, spricht bei jedem Start mit Telemetrie."
  • „Adobe *.adobe.io in Little Snitch blockieren — nur für Lizenz-Check nötig, der elegant fehlschlagen kann."
  • „Den 14-MB-ausgehende-Spitze von mds_stores untersuchen — wahrscheinlich Spotlight-Reindex, aber nächste Prüfung bestätigen."
  • „Quad9-DNS-Profil hinzufügen."
  • „Analytics in Microsoft Word deaktivieren."

Drei bis fünf sind die richtige Zahl. Mehr und Sie machen sie nicht. Weniger und die Prüfung hat nichts zutage gefördert, was meist bedeutet, dass Sie nicht sorgfältig geschaut haben.

Lassen Sie die Prüfung mit einer Echtzeit-Sicht laufen

ova zeigt Live-Pro-App-Raten und eine scrubbare Historie — lokal, signiert, ~3 MB.

Für macOS herunterladen

Was Quartal für Quartal nachzuverfolgen

Ein paar Dinge, die mit Ihrer letzten Prüfung zu vergleichen sich lohnt:

SignalWarum es zählt
Idle-Baseline-VerkehrDrift nach oben bedeutet, etwas Neues ist geschwätzig
Top 5 Apps nach Bytes/TagEnthüllt neue Einsteiger oder Wachstum
Anzahl verschiedener HostnamenGeht hoch = mehr Dienste kontaktiert
Laufende Hintergrund-HilfsprozesseAdobe / Office fügen oft neue über Updates hinzu
Apps mit Kernel-/Netzwerk-ErweiterungenJede ist eine Vertrauensdelegation

Sie brauchen keine Tabelle. Eine Vier-Zeilen-Notiz pro Prüfung reicht.

Häufige Befunde (und was zu tun)

„Eine deinstallierte App ist immer noch im Netzwerk"

Manche Apps lassen LaunchAgents zurück. Listen:

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

Alles, was an die deinstallierte App gebunden ist — com.example.helper.plist — kann entfernt werden. Nutzen Sie zuerst launchctl unload, dann löschen. Im nächsten Quartal erneut prüfen, um zu bestätigen, dass es weg ist.

„Activity Monitor zeigt andere Zahlen als mein Menüleisten-Tool"

Der Netzwerk-Tab im Activity Monitor zählt seit Prozessstart. Ein Menüleisten-Monitor zählt in einem rollenden Fenster. Verschiedene Linsen auf dieselben Kernel-Daten — beide ehrlich, messen nur unterschiedliche Intervalle.

„Ich sehe stetige 50 KB/s, die ich nicht zuordnen kann"

Verdächtigen Sie, in Reihenfolge: iCloud-Sync, Time Machine über Netzwerk, Spotlight-Reindex, Backblaze/Carbonite-Backup, Dropbox/Drive-Sync, ein OS-Update-Download. nettop -P benennt die PID. Die meisten sind legitim. Bestätigen, indem Sie die verdächtigte App beenden und die Rate fallen sehen.

Datenschutz-Erwägungen während der Prüfung

Wenn Sie Logs speichern, enthalten diese Logs Hostnamen und Zeitstempel — sensible Metadaten. Speichern Sie sie lokal, nicht in iCloud-Drive-synchronisierten Ordnern, sofern Sie damit nicht okay sind. Noch besser, lassen Sie eine Prüfung laufen, die Ende-zu-Ende lokal bleibt:

  • Monitor, der Historie auf Disk hält (kein Cloud-Dashboard).
  • nettop-Output in einem lokalen Ordner gespeichert.
  • Notizen in einer lokalen Textdatei, kein Cloud-synchronisiertes Doc.

ova passt designbedingt zu diesem Profil — es gibt kein Remote-Dashboard, keinen Account, keine Telemetrie. Die Bandbreiten-Historie ist auf Ihrem Mac und nirgendwo sonst.

Das größere Bild: Warum ein Monitor mit einer Firewall paart

Die Prüfung produziert Befunde. Manche Befunde sind „ich sollte das blockieren". Da kommt Little Snitch (oder LuLu) ins Spiel — die Regel setzen und im nächsten Quartal die Prüfung erneut durchführen, um zu bestätigen, dass die Regel hielt.

Ein häufiges Muster:

  1. Prüfung identifiziert geschwätzigen Adobe-Updater.
  2. Little-Snitch-Regel: Adobe-Updater ausgehend verweigern.
  3. ova bestätigt beim nächsten Photoshop-Start, dass der Updater-Verkehr jetzt null ist.

Der Monitor und die Firewall machen unterschiedliche Dinge. Sie wollen beide für eine echte Prüf-Schleife.

Fazit

Eine 20-Minuten-Quartalsgewohnheit zur Prüfung der Mac-Netzwerkaktivität fängt die Drift ab, die einen sauberen Mac in einen geschwätzigen verwandelt. Das Skript ist: Idle-Baseline, nettop-Snapshot, Pro-App-Review mit Helper-Folding, Hostnamen-Check, Log-Aufbewahrung, drei bis fünf Action-Items. Lassen Sie es jedes Mal gleich laufen. Mit dem letzten Mal vergleichen. An Befunden handeln.

Wählen Sie ein Datum — letzter Freitag des Quartals, Morgen eines langen Wochenendes, was auch immer hält. Setzen Sie es jetzt in Ihren Kalender. Der schwerste Teil der Prüfungs-Gewohnheit ist anzufangen; sobald Sie eine Historien-Datei in ~/Documents/network-audits/ haben, wollen Sie eine zweite.