ova
Zurück zum Blog
·9 Min. Lesezeit·productdevbook

Netzwerk-Datenschutz in macOS Sonoma: Was sich geändert hat

Eine praktische Zusammenfassung der Netzwerk-Datenschutzänderungen in macOS Sonoma und was sie für Tools bedeuten, die Bandbreite beobachten oder Tracker blockieren.

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonoma kam mit einer Handvoll Netzwerk-Privatsphäre-Änderungen, die meist unter dem Radar flogen — teils, weil Apple in groben Strichen über Privatsphäre spricht, und teils, weil die für Power-User relevantesten Änderungen im Verhalten der Netzwerkerweiterungen, im randomisierten Adressieren und darin, wie das OS VPNs und Inhaltsfilter behandelt, vergraben sind. Wenn Sie von Ventura aktualisiert haben und Ihr VPN sich seltsam verhielt, Ihr Captive Portal komisch wurde oder Apps, an deren Installation Sie sich nicht erinnern, in Netzwerkprotokollen auftauchten, ist das wahrscheinlich der Grund.

Dieser Beitrag ist eine Arbeitsliste der Netzwerk-Privatsphäre-Änderungen in macOS Sonoma, die wirklich zählten, was es bis nach Sequoia geschafft hat und was Sie an jedem davon tun können. Wo die Dokumentation dünn oder das Verhalten unklar ist, sage ich es, statt zu raten.

Verbesserungen der privaten Wi-Fi-Adresse

Apple hat in früheren macOS-Versionen randomisierte MAC-Adressen (Private Wi-Fi-Adresse) eingeführt, aber Sonoma hat die Implementierung auf wichtige Weise verschärft.

Was sich geändert hat

  • Verhalten bei der Pro-Netzwerk-Rotation. Sonoma ist konsistenter darin, jedem Netzwerk seine eigene randomisierte Adresse zu geben und diese Adresse über erneute Verbindungen zum selben Netzwerk hinweg stabil zu halten.
  • Behandlung von Hardware-Reservierungen. Netzwerke, die MAC-basierte DHCP-Reservierungen oder Bandbreiten-Caps nutzen, begannen vorhersagbarer zu funktionieren, weil die Adresse pro Netzwerk persistiert, statt mitten in der Sitzung zu rotieren.

Was das kaputt macht

Manche Captive Portals — die Sorte, die Sie in Hotels, Konferenzzentren und Café-Ketten finden — nutzen weiterhin MAC-Adressen, um Sitzungen und Bandbreitenkontingente zu verfolgen. Mit eingeschaltetem randomisierten Adressieren müssen Sie sich möglicherweise öfter erneut authentifizieren als erwartet. In Netzwerken, in denen das Captive Portal fehlerhaft ist, können Sie sich möglicherweise gar nicht authentifizieren, ohne die private Wi-Fi-Adresse für dieses spezifische Netzwerk zu deaktivieren.

Wie Sie das beheben, ohne anderswo Privatsphäre zu verlieren

Systemeinstellungen → Wi-Fi → klicken Sie auf das fragliche Netzwerk → Details → Private Wi-Fi-Adresse. Sie können sie pro Netzwerk ausschalten und für jedes andere Netzwerk, das Sie nutzen, die Randomisierung an lassen. Deaktivieren Sie sie nicht global — deaktivieren Sie sie nur für das eine kaputte Captive Portal.

Anpassungen der Netzwerkfilter-API

Sonoma hat Anpassungen am NetworkExtension-Framework vorgenommen, das Apps wie Little Snitch, LuLu und Endpoint-Security-Tools von Unternehmen nutzen, um Verkehr zu inspizieren oder zu filtern.

Was sich geändert hat

  • Strengere Behandlung der Interaktion zwischen Inhaltsfiltern und Systemverkehr
  • Manche private API-Oberfläche wurde entfernt oder eingeschränkt
  • Filter-Anbieter mussten für das neue Verhalten aktualisieren; manche hingen hinterher

Was Ihnen aufgefallen sein könnte

  • Ein Lieblings-Netzwerkfilter forderte Sie zum Update auf oder hörte nach dem Upgrade ganz auf zu funktionieren
  • DNS-Auflösung verhielt sich seltsam, bis der Filter aktualisiert wurde
  • Performance regredierte vorübergehend auf Maschinen mit mehreren installierten Netzwerkerweiterungen

Wenn Sie eine aktuelle Version eines großen Filter-Tools laufen haben, ist das meist hinter Ihnen. Wenn Sie an einer alten Version festhalten, weil „es noch funktioniert", könnte sie die Ursache von intermittierenden Netzwerkproblemen auf Sonoma sein.

Verhalten der Systemerweiterungen

Systemerweiterungen — der moderne Ersatz für Kernel-Erweiterungen — bekamen unter Sonoma einen strengeren Genehmigungsablauf, besonders solche, die Netzwerkverkehr behandeln.

Was sich geändert hat

  • Explizitere Nutzergenehmigungs-Prompts, wenn eine Erweiterung Netzwerkverkehr filtern will
  • Erweiterungs-Upgrades erfordern manchmal erneute Genehmigung, statt still nach vorne zu rollen
  • Der „In den nächsten 30 Minuten erlauben"-Ablauf ist prominenter

Praktische Implikationen

Wenn Sie auf Sonoma einen VPN-Client oder eine Firewall aktualisiert haben und plötzlich nichts funktionierte, bis Sie durch Systemeinstellungen → Allgemein → Anmeldeobjekte & Erweiterungen gegangen sind, ist das der Grund. Einmal nervig, immer wertvoll — Sie wissen jetzt genau, was Ihren Verkehr abfängt.

Ein Monitor, kein Filter
ova ist ein passiver Bandbreitenmonitor — er liest Verkehrsbuchhaltung, er registriert keinen Netzwerkfilter oder keine Systemerweiterung. Keine Genehmigungs-Prompts, keine Kernel-Hooks, keine Chance, Ihr VPN kaputt zu machen. Etwa 3 MB auf Disk, signiert und notarisiert.

DNS- und Resolver-Privatsphäre

Sonoma setzte den Trend fort, DNS-Privatsphäre zu stärken, mit ein paar praktischen Implikationen.

Was bereits da war

  • iCloud Private Relay (mit Abo) routet den meisten Safari-Verkehr durch zwei Relays, sodass keiner sowohl Ihre IP als auch Ihr Ziel sieht
  • Verschlüsseltes DNS (DoH/DoT) konfigurierbar über Systemprofile

Was wissenswert ist

  • Wenn Sie einen eigenen DNS-Resolver nutzen (1.1.1.1, NextDNS, Ihr eigenes Pi-hole), respektiert Sonoma ihn zuverlässiger über Netzwerkwechsel hinweg
  • Apps, die den System-Resolver nutzen, erben Ihre DNS-Wahl automatisch
  • Apps, die ihren eigenen DNS-Client mitbringen (manche Browser, manche Chat-Apps), umgehen Ihre Einstellungen, und es gibt keinen Weg, sie ohne Netzwerkfilter zu zwingen

Dieser letzte Punkt ist der Grund, warum eine Pro-App-Bandbreitenansicht zählt, selbst wenn Sie DNS gut konfiguriert haben: Der einzige Weg zu wissen, ob eine App die Verbindungen macht, die Sie erwarten, ist zu beobachten, was sie tatsächlich sendet.

Sehen Sie, was Ihre Apps tatsächlich im Netzwerk tun

ova zeigt Bandbreite pro App mit unter ihrer übergeordneten App zusammengefassten Hilfsprozessen. Nur lokal, keine Telemetrie, kein Account, ~3 MB.

Für macOS herunterladen

Local-Network-Zugriffs-Prompts

Das ist die Änderung, die den meisten Nutzern tatsächlich aufgefallen ist. Sonoma wurde aggressiver darin, nach „Lokales Netzwerk"-Zugriff zu fragen, wenn eine App versucht, andere Geräte in Ihrem Wi-Fi zu entdecken.

Was abgedeckt ist

  • mDNS / Bonjour-Entdeckung
  • SSDP (genutzt von Streaming-Empfängern, manchen Smart-Home-Geräten)
  • Direkte Verbindungen zu lokalen IP-Bereichen

Was Sie sehen werden

Einen Prompt wie „App X möchte Geräte in Ihrem lokalen Netzwerk finden und mit ihnen verbinden." Sie zu gewähren ist okay für Apps, die das legitim brauchen (Spotify entdeckt AirPlay-Empfänger, IDEs entdecken Testgeräte). Sie zu verweigern ist okay für Apps, die das nicht brauchen.

Sie können später überprüfen und widerrufen: Systemeinstellungen → Datenschutz & Sicherheit → Lokales Netzwerk.

Was bis Sequoia überlebt hat

Die meisten Sonoma-Änderungen wurden nach macOS Sequoia mit kleineren Verfeinerungen übernommen:

  • Pro-Netzwerk-Rotation der privaten Wi-Fi-Adresse: noch da, weiterhin standardmäßig empfohlen
  • Strengere NetworkExtension-API-Oberfläche: noch da, mit weiteren Verfeinerungen
  • Genehmigungsablauf der Systemerweiterung: noch da, mit denselben UI-Mustern
  • Local-Network-Zugriffs-Prompts: noch da, mit demselben Pro-App-Widerruf in den Systemeinstellungen

Wenn Sie Sonoma übersprungen haben und direkt von Ventura zu Sequoia gegangen sind, treffen Sie all das auf einmal zum ersten Mal an. Die oben beschriebenen Lösungen und Gewohnheiten gelten alle.

Was ehrlich gesagt unklar ist

Ein paar Dinge, die ich nicht behaupten will, definitiv zu wissen:

  • Der genaue Algorithmus zur Generierung der privaten Wi-Fi-Adresse. Apple hat die Rotationsrichtlinie und Änderungen zwischen Punkt-Releases nicht vollständig dokumentiert.
  • Hintergrund-App-Netzwerkverhalten unter Low-Power-Bedingungen. macOS depriorisiert Hintergrundverkehr unter verschiedenen Bedingungen, aber die genauen Schwellen sind nicht öffentlich.
  • Die volle Liste der NetworkExtension-API-Änderungen. Apples Release Notes sind partiell. Echte Änderungen werden entdeckt, wenn Drittanbieter-Tools kaputt gehen und Entwickler darüber posten.

Wenn Sie einen überzeugten Blogpost lesen, der genaue Details zu einem davon behauptet, behandeln Sie es als informierte Spekulation, sofern er nicht Apple-Dokumentation zitiert.

Praktische Schritte zur Netzwerk-Privatsphäre in macOS Sonoma, die Sie heute tun können

Für Nutzer auf Sonoma (oder Sequoia, da das meiste übernommen wurde):

  1. Prüfen Sie Ihre installierten Netzwerkerweiterungen. Systemeinstellungen → Allgemein → Anmeldeobjekte & Erweiterungen → Netzwerkerweiterungen. Wissen Sie, was da ist. Entfernen Sie alles, was Sie nicht erkennen.
  2. Überprüfen Sie Local-Network-Genehmigungen. Systemeinstellungen → Datenschutz & Sicherheit → Lokales Netzwerk. Widerrufen Sie für Apps, die das nicht brauchen.
  3. Prüfen Sie die private Wi-Fi-Adresse pro Netzwerk. Sie sollte für Zuhause an sein, für die meisten Netzwerke an, und nur in spezifischen Captive Portals aus, wo sie die Authentifizierung bricht.
  4. Lassen Sie einen Pro-App-Bandbreitenmonitor laufen. So merken Sie, wenn eine App beginnt, Verbindungen zu machen, die sie vorher nicht gemacht hat.

Der vierte Punkt ist der, den die meisten Leute überspringen. Datenschutzkontrollen sind am nützlichsten, wenn sie mit Sichtbarkeit gepaart sind. macOS gibt Ihnen viele Schalter; es gibt Ihnen keine gute Sicht darauf, was Ihre Apps tatsächlich senden. Diese Lücke füllt ova — ein passiver, in der Menüleiste resider Bandbreitenmonitor, der Live-Raten und Historie pro App zeigt, mit unter ihrer übergeordneten App zusammengefassten Hilfsprozessen, gesampelt mit etwa 1 Hz, ohne Cloud-Abhängigkeit.

Fazit

Die Story der Netzwerk-Privatsphäre in macOS Sonoma ist meist inkrementell, meist gut und meist unsichtbar, bis etwas kaputt geht. Der Bruch, der vorkommt, kommt tendenziell von:

  • Alten VPN-/Firewall-Versionen, die für neue APIs nicht aktualisiert haben
  • Captive Portals, die randomisierte MAC-Adressen nicht gut handhaben
  • Apps, die früher still aufs lokale Netzwerk zugriffen und jetzt fragen müssen

Die Lösung ist in jedem Fall ein Fünf-Minuten-Einstellungs-Audit, keine Neuinstallation. Wenn Sie kürzlich aktualisiert haben und das Gefühl hatten, das Netzwerk „sei nicht ganz richtig", sind Sie wahrscheinlich über eines davon gestolpert. Gehen Sie die obige praktische Liste durch, installieren Sie ova oder einen äquivalenten passiven Monitor, damit Sie sehen können, was Ihre Maschine tut, und das Netzwerkerlebnis rastet meist wieder ein. macOS 14 und neuer wird von allem Modernen gut unterstützt, einschließlich ova mit etwa 3 MB auf Disk, läuft auf Apple Silicon und Intel, alle Daten bleiben lokal.