CN.
Zurück zu Guides
9. April 2026
Sicherheit & SetupEinsteiger
8 Min Lesezeit

Mac für Entwickler absichern: Die komplette Sicherheits-Checkliste

Entwickler-Macs sind Hochwertziele: SSH-Keys, API-Tokens, Kundendaten und Code — alles auf einem Gerät. Diese Checkliste zeigt dir, wie du deinen Mac in 30 Minuten systematisch absicherst.

Inhaltsverzeichnis

Warum Entwickler-Macs besonders gefährdet sind

Ein typischer Entwickler-Mac enthält: SSH-Keys für Server und Git-Repos, API-Tokens für Dutzende Dienste, Datenbank-Zugänge, Kundendaten in lokalen Testumgebungen und den gesamten Quellcode. Ein kompromittierter Entwickler-Mac ist ein Jackpot für Angreifer — er öffnet nicht nur Zugang zu einem Gerät, sondern potenziell zu der gesamten Infrastruktur, an der du arbeitest.

Die gute Nachricht: macOS bringt von Haus aus solide Sicherheitsfeatures mit. Die meisten sind nur nicht aktiviert oder falsch konfiguriert. Mit dieser Checkliste bringst du das in 30 Minuten in Ordnung. Kein Expertenwissen nötig — nur Disziplin.

Systemschutz: Verschlüsselung, Firewall und Zugangskontrolle

Die erste Verteidigungslinie ist dein Betriebssystem selbst. Drei Einstellungen sollten auf jedem Entwickler-Mac aktiv sein — und keine davon ist standardmäßig optimal konfiguriert.

FileVault — Festplattenverschlüsselung

FileVault verschlüsselt deine gesamte Festplatte mit AES-Verschlüsselung. Auf neueren Macs mit Apple Silicon ist die Hardware-Ebene zwar immer verschlüsselt, aber ohne FileVault fehlt der Passwortschutz beim Booten — im Target-Disk-Modus oder bei einer Reparatur wären deine Daten zugänglich. Auch bei der Rückgabe eines Leasing-Geräts sind deine Daten ohne FileVault offen. Aktiviere FileVault unter Systemeinstellungen → Datenschutz & Sicherheit → FileVault. Den Wiederherstellungsschlüssel bewahrst du idealerweise in einem Passwortmanager auf — nicht als Screenshot auf dem Desktop.

Firewall und Zugangskontrolle

Die macOS-Firewall ist standardmäßig deaktiviert. Sie blockiert eingehende Verbindungen, die nicht explizit erlaubt sind — aktiviere sie unter Systemeinstellungen → Netzwerk → Firewall. Lokale Dev-Server funktionieren weiterhin ohne Probleme, die Firewall fragt einfach bei neuen Verbindungen nach.

Beim Login-Passwort gilt: mindestens 12 Zeichen, keine Wörterbuchwörter. Aktiviere Auto-Lock unter Systemeinstellungen → Sperrbildschirm — Bildschirmschoner nach 5 Minuten, Passwort sofort danach erforderlich. Touch ID nutzen, um schnell zu entsperren, ohne das Passwort verkürzen zu müssen. Klingt banal, aber ein entsperrter Mac im Coworking-Space ist ein offenes Tor.

Passwörter und Authentifizierung

Keine Passwörter in Textdateien, Notizen oder Browser-Autofill. Ein dedizierter Passwortmanager ist Pflicht — nicht optional, nicht „mache ich irgendwann". Drei Optionen, die für Entwickler besonders gut funktionieren:

  • 1Password: Starke Entwickler-Features — CLI-Integration, SSH-Agent, Secrets Automation. Wenn du beruflich entwickelst, ist das der Standard.
  • Bitwarden: Open Source, günstig, Self-Hosting möglich. Gute Wahl, wenn du die Kontrolle über deine Daten behalten willst.
  • Apple Schlüsselbund: In macOS integriert und kostenlos. Reicht für Einzelpersonen, aber weniger Features für Teams.

Aktiviere 2FA für den Passwortmanager selbst — er ist der Schlüssel zu allem. Darüber hinaus sollte Zwei-Faktor-Authentifizierung aktiv sein für: Apple ID, GitHub/GitLab, Cloud-Provider (AWS, Vercel, Cloudflare), E-Mail-Account und alle Dienste, die API-Keys oder Kundendaten enthalten. Bevorzuge Hardware-Keys (YubiKey) oder Authenticator-Apps (1Password, Authy) über SMS. SMS-2FA ist besser als nichts, aber anfällig für SIM-Swapping-Angriffe.

SSH-Keys und Secrets-Management

SSH-Keys sind der direkte Zugang zu deinen Servern und Git-Repos. Ein geleakter SSH-Key ohne Passphrase gibt einem Angreifer sofort vollen Zugriff. So sicherst du sie ab:

Verwende Ed25519 statt RSA — Ed25519 ist kürzer, schneller und sicherer:

ssh-keygen -t ed25519 -C "deine@email.de"

Vergib beim Erstellen immer eine Passphrase. Der macOS Keychain merkt sie sich, sodass du sie nicht jedes Mal eingeben musst — aber ohne Passphrase ist ein gestohlener Key sofort nutzbar. Härte zusätzlich deine SSH-Config (~/.ssh/config):

Host *
  AddKeysToAgent yes
  UseKeychain yes
  IdentitiesOnly yes

IdentitiesOnly yes ist besonders wichtig: Ohne diese Einstellung schickt der SSH-Agent alle gespeicherten Keys an jeden Server, mit dem du dich verbindest. Das ist ein häufig übersehenes Sicherheitsrisiko — ein bösartiger Server könnte damit deine anderen Keys identifizieren.

Abseits von SSH gehören API-Keys, Tokens und Passwörter grundsätzlich in .env.local, nicht in den Code. Prüfe, dass .env, .env.local und .env.*.local in deiner .gitignore stehen. Schreibe niemals Secrets in Commit-Messages — die bleiben in der Git-History, auch wenn du den Commit amendest. Tools wie gitleaks scannen automatisch nach versehentlich committeten Secrets:

brew install gitleaks
gitleaks detect --source . --verbose

Updates, Browser und Backup

macOS-Updates enthalten regelmäßig kritische Sicherheitspatches. Aufschieben ist ein Risiko, das sich nicht lohnt. Aktiviere automatische Updates unter Systemeinstellungen → Allgemein → Softwareupdate. Vergiss nicht die Xcode Command Line Tools (softwareupdate --install --all) und Homebrew-Pakete (brew update && brew upgrade) — veraltete CLI-Tools sind ein beliebter Angriffsvektor.

Der Browser ist die größte Angriffsfläche auf deinem Mac. Jede Extension hat Zugriff auf besuchte Websites — installiere nur, was du wirklich brauchst, und entferne den Rest. Speichere keine Passwörter im Browser (der Passwortmanager übernimmt das) und aktiviere den HTTPS-Only-Modus in Chrome unter Einstellungen → Sicherheit. Nach der Nutzung von Staging- oder Test-Umgebungen Cookies und Daten löschen.

Beim Backup gilt: Kein Backup, kein Mitleid. Time Machine auf eine externe, verschlüsselte Festplatte ist das Minimum. Für kritische Daten zusätzlich ein verschlüsseltes Cloud-Backup — iCloud mit Advanced Data Protection oder Backblaze. Code sollte sowieso in einem Remote-Git-Repo liegen, das ist dein Code-Backup. Entscheidend: Teste dein Backup regelmäßig. Ein Backup, das du nicht wiederherstellen kannst, ist kein Backup.

Die Schnell-Checkliste

Alle Punkte auf einen Blick. Die meisten sind in 30 Minuten erledigt — der Aufwand steht in keinem Verhältnis zum Risiko, das du ohne sie eingehst:

[ ] FileVault aktiviert
[ ] Firewall eingeschaltet
[ ] Starkes Passwort + Auto-Lock (5 Min)
[ ] Passwortmanager eingerichtet
[ ] 2FA für alle kritischen Dienste
[ ] SSH-Keys mit Ed25519 + Passphrase
[ ] SSH-Config mit IdentitiesOnly yes
[ ] .env-Dateien in .gitignore
[ ] gitleaks oder git-secrets installiert
[ ] Automatische macOS-Updates aktiv
[ ] Browser-Extensions aufgeräumt
[ ] Time Machine mit Verschlüsselung
[ ] Backup getestet
macsicherheitfilevaultssh2fapasswortmanagerbackupentwickler