| 21. Juli 2021 · Aktualisiert: 25. April 2026 | 14 Min.

Mac Sicherheit für KMU 2026: Schutz vor Cyber-Bedrohungen

Inhalt in Kürze

Mac Sicherheit 2026 ist Pflichtthema. Atomic Stealer (AMOS), XCSSET und ClickFix-Kampagnen haben macOS zur lohnenden Zielplattform für Cyberkriminelle gemacht. Der Mythos der unverwundbaren Apple-Geräte ist endgültig widerlegt.
Apple-Bordmittel sind solide, aber nicht ausreichend. Gatekeeper, XProtect, FileVault und System Integrity Protection sind Basisschutz. Für KMU-Compliance (NIS2, DSGVO, Cyber-Versicherung) braucht es zentrales Mobile Device Management plus Endpoint Detection & Response.
Microsoft Intune for Mac oder Jamf? In gemischten Microsoft-365-Umgebungen ist Intune meist die richtige Wahl — eine Konsole für Macs und Windows-PCs, oft schon lizenziert, gute Defender-Integration. Jamf bleibt die Premiumlösung für reine Apple-Flotten.
hagel IT betreut Mac-Flotten in Hamburg und Norddeutschland als Managed Workplace ab ca. 50 Euro pro Arbeitsplatz/Monat — inklusive MDM, EDR, FileVault-Verwaltung und 24/7-Monitoring.

Der Geschäftsführer einer Hamburger Werbeagentur sitzt vor seinem MacBook und sagt: “Wir nutzen Macs, weil die sicher sind. Da brauchen wir doch keine Firewall und keinen Virenscanner, oder?” Das ist ein Satz, den wir in fast jedem Erstgespräch mit Kreativ-, Architektur- oder Beratungsbüros hören. Die Antwort darauf ist: 2010 hätte ich Ihnen recht gegeben. 2026 nicht mehr.

Apple hat mit System Integrity Protection, Gatekeeper, XProtect und FileVault ein robustes Sicherheitsfundament gebaut. Aber die Bedrohungslandschaft hat sich verändert. Im Februar 2026 entdeckte Trend Micro eine Kampagne, die bösartige OpenClaw-Skills nutzt, um Atomic Stealer auf Macs zu verteilen. Jamf Threat Labs warnt parallel vor ClickFix-Angriffen über den macOS-Skript-Editor, die Apples neue Terminal-Warnungen umgehen. Mac-Sicherheit ist kein Setup-Assistent mehr — sie ist Tagesgeschäft.

266,6 Mrd. €

Schaden durch Cyberangriffe (Bitkom 2024)

aktive macOS-Malware-Familien 2026

99 %

Ransomware-Schutz durch MFA

50 €

pro Mac/Monat — Managed Workplace

Der Mythos vom sicheren Mac — und warum er 2026 endgültig widerlegt ist

Der Mac-Sicherheitsmythos hat zwei Wurzeln: Erstens war Apples Marktanteil im Business jahrzehntelang so klein, dass sich kriminelle Investitionen für Angreifer schlicht nicht gelohnt haben. Zweitens setzt Apple konsequent auf signierte Software, Sandboxing und ein zentralisiertes App-Modell — das macht Massenangriffe schwerer als bei Windows.

Mac Sicherheit ist heute nicht mehr eine Frage des Betriebssystems, sondern der Konfiguration und Überwachung. Apple liefert die Werkzeuge, das Unternehmen muss sie aktivieren, zentral verwalten und im Ernstfall ausnutzen können. Wer 2026 einfach “der Mac läuft halt” spielt, fährt blind durch die Bedrohungslandschaft.

Drei reale Mac-Bedrohungen, die 2025 und 2026 dokumentiert wurden:

Atomic Stealer (AMOS). Diese Malware hat sich laut Darktrace-Analyse zu einer der gefährlichsten macOS-Bedrohungen entwickelt. Sie klaut Browser-Passwörter, Krypto-Wallets, Apple-Notizen und Keychain-Daten. Eine neue Variante ermöglicht laut all-about-security.de persistenten Zugriff durch eine eingebaute Backdoor.
XCSSET. Ein Wurm, der sich in Xcode-Projekten einnistet — gefährlich für jeden Mac mit Entwicklerumgebung. Bei Hamburger Software-Häusern ein realistisches Szenario, sobald GitHub-Repos eingebunden werden.
ClickFix-Kampagnen. Gefälschte Captcha- oder "Browser-reparieren"-Seiten überreden Nutzer, Code im Skript-Editor auszuführen. Laut Infosecurity Magazine hat Apple in macOS 26.4 Warnungen ins Terminal eingebaut, die Angreifer sind auf den Skript-Editor ausgewichen.

Aus der Praxis:

In einem Hamburger Architekturbüro mit 18 Mitarbeitern haben wir bei der Übernahme festgestellt, dass keiner der 22 Macs aktiv überwacht wurde. FileVault war auf 6 Geräten gar nicht aktiv, auf 11 weiteren ohne zentralen Wiederherstellungsschlüssel. Bei einer Spurensuche nach einem ungewöhnlichen Login zur Microsoft-365-Umgebung fanden wir auf einem MacBook Spuren von Atomic Stealer. Browser-Sessions, Cloud-Login-Token, Keychain — alles abgeflossen. Wir mussten 47 Konten zurücksetzen.

Apple-Bordmittel: Was XProtect, Gatekeeper und FileVault leisten

Apple liefert macOS mit einem Sicherheitsstack aus, der oft besser ist als sein Ruf — aber nur, wenn er bewusst eingesetzt wird. Diese vier Funktionen müssen Sie kennen:

System Integrity Protection (SIP). Verhindert, dass selbst Admin-Nutzer Systemdateien manipulieren. Sollte nie deaktiviert werden, auch nicht "kurz mal für ein Tool".
Gatekeeper. Erlaubt nur signierte und notarisierte Apps. Für Firmen-Macs in den Systemeinstellungen auf "App Store und verifizierte Entwickler" stellen — alles andere bedeutet, dass Mitarbeiter beliebige .pkg-Dateien aus dem Internet ausführen dürfen.
XProtect. Apples integrierter Malware-Scanner. Aktualisiert sich automatisch im Hintergrund, blockiert bekannte Schädlinge. Reicht aber nur als Basisschutz — keine verhaltensbasierte Erkennung, keine Telemetrie für Admins.
FileVault. Festplattenverschlüsselung mit AES-XTS-128. Laut BSI Pflicht für jedes mobile Firmengerät. Bei aktivem FileVault sind die Daten bei Diebstahl wertlos — solange der Schlüssel nicht im Klartext daneben liegt.

Die wichtigste Erkenntnis: Apples Bordmittel sind defensiv konzipiert. Sie schützen den einzelnen Mac, aber sie liefern keine Sichtbarkeit über die ganze Flotte. Wenn Sie 20 Macs in Ihrem Hamburger Unternehmen betreiben, müssen Sie auf zentralen Knopfdruck wissen, ob FileVault auf allen 20 läuft, welche macOS-Version sie haben, und ob jemand Gatekeeper umgangen hat. Genau das leistet Mobile Device Management.

Geschäftsführer mit MacBook am Schreibtisch — Mac Sicherheit beginnt am Arbeitsplatz — macOS-Härtung beginnt am Arbeitsplatz — und endet erst, wenn jeder Firmen-Mac unter zentraler Verwaltung steht.

MDM für Mac: Microsoft Intune oder Jamf?

Ohne ein Mobile Device Management bleibt jede Mac-Flotte ein Flickenteppich. Sie wissen nicht, welche Geräte Sie haben, ob Updates installiert sind, ob FileVault aktiv ist. Und Sie können bei Verlust oder Diebstahl ein Gerät nicht remote löschen. Für Hamburger KMU stehen praktisch zwei MDM-Optionen im Vordergrund:

Kriterium	Microsoft Intune for Mac	Jamf Pro
Lizenzkosten	Oft schon in Microsoft 365 Business Premium / E3 enthalten	Eigene Lizenz, ab ca. 4 € pro Gerät/Monat
Apple-Tiefe	Solide, deckt 90 % der Anwendungsfälle ab	Marktführer, alle Apple-Spezialfeatures sofort verfügbar
Windows + Mac in einer Konsole	Ja, nativ	Nein (nur Apple-Geräte)
Defender-/Entra-Integration	Vollständig	Über Konnektoren möglich
Apple-Updates verzögern	Begrenzt	Sehr granular
Empfohlen für	Gemischte Umgebungen, KMU mit M365	Reine Apple-Flotten, Werbeagenturen, Designstudios

Unsere Praxisempfehlung für die meisten Hamburger Mittelständler: Microsoft Intune for Mac. Wenn Ihr Unternehmen bereits in Microsoft 365 lebt — Mail, Teams, SharePoint, Entra ID —, dann ist die Wahrscheinlichkeit hoch, dass Intune-Lizenzen schon im Microsoft-365-Plan enthalten sind. Sie brauchen keine zweite Konsole, keine zweite Lieferantenbeziehung, keine zweite Integration mit dem Active Directory. Der einzige reale Mehraufwand ist das Apple Business Manager Setup — und das ist eine einmalige Sache.

Lesen Sie dazu unsere Fallstudie: Intune & Autopilot bei einem Hamburger Mittelständler. Dort haben wir die gleiche Logik auch für Macs umgesetzt.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Endpoint Detection & Response: Warum XProtect allein nicht reicht

XProtect ist signaturbasiert. Das heißt: Apple kennt die Malware, hat eine Signatur veröffentlicht, der Mac blockiert sie. Bei einer brandneuen Atomic-Stealer-Variante, die noch keiner gesehen hat, ist XProtect blind. Genau hier setzen Endpoint-Detection-&-Response-Lösungen (EDR) an.

EDR-Produkte überwachen das Verhalten auf dem Mac: Welche Prozesse starten? Wer schreibt in welche Verzeichnisse? Welche Outbound-Verbindungen werden aufgebaut? Bei verdächtigen Mustern — Massenverschlüsselung, ungewöhnliche Persistenz, Manipulation an LaunchAgents — schlägt EDR Alarm und kann den Prozess automatisch isolieren.

Microsoft Defender for Endpoint. Tief in Microsoft 365 integriert, oft schon lizenziert. Solide für gemischte Umgebungen, gute Telemetrie ins Defender-Portal.
SentinelOne Singularity. Verhaltensbasierte EDR mit autonomem Rollback bei Ransomware. Stark bei macOS-Erkennung.
CrowdStrike Falcon. Marktführer im Enterprise. Hervorragende Threat Intelligence, etwas teurer.
Sophos Intercept X for Mac. Gutes Preis-Leistungsverhältnis, läuft bei vielen unserer Bestandskunden.

Im Rahmen unserer Cybersecurity-Services rollen wir bei Hamburger KMU meist Microsoft Defender for Endpoint aus, weil die Lizenz oft schon vorhanden ist und sich Macs damit nahtlos in die Defender-Strategie für Windows-PCs einfügen. Das ist ein Hebel, der Hunderte Euro pro Monat sparen kann, ohne Sicherheit zu opfern.

Das Wichtigste: XProtect ist Basisschutz, kein Ersatz für EDR. Spätestens ab fünf Mac-Arbeitsplätzen mit Zugang zu Geschäftsdaten gehört eine professionelle Endpoint-Detection-Lösung dazu — sonst sehen Sie einen Angriff erst, wenn der Schaden schon eingetreten ist.

Mac-Härtung in 8 Schritten — die hagel IT-Checkliste

Wenn Sie morgen früh ins Büro kommen und Ihre Mac-Flotte härten wollen, arbeiten Sie diese Liste ab. Wir nutzen sie genau so bei Neukunden in Hamburg:

FileVault auf jedem Mac aktivieren. Wiederherstellungsschlüssel zentral im MDM hinterlegen, niemals nur bei Apple speichern.
Gatekeeper streng konfigurieren. Nur "App Store und verifizierte Entwickler" zulassen. Per MDM erzwingen, dass Anwender diese Einstellung nicht ändern können.
Firewall aktivieren und Stealth-Modus einschalten. Pro Mac einmal, dann per MDM-Policy als Standard für die Flotte.
Automatische macOS-Updates aktivieren. Critical Security Updates dürfen niemals warten. Major-Upgrades (z. B. macOS Sequoia → Sonoma) dagegen kontrolliert per MDM ausrollen.
FileVault-Recovery-Schlüssel im MDM verwalten. Niemals nur bei Apple. Der BSI-Umsetzungshinweis SYS.2.4 schreibt das ausdrücklich so vor.
EDR-Agent installieren. Microsoft Defender for Endpoint, SentinelOne, CrowdStrike Falcon oder Sophos. Nicht den nativen XProtect als Endpunktschutz im Unternehmen verkaufen.
Time Machine-Backups + Cloud-Backup. Time Machine alleine ist nicht ausfallsicher (lokal, mitverschlüsselbar). Cloud-Backup mit Versionierung dazu — etwa über unsere hagel one backup-Plattform. Was bei einem Ransomware-Angriff im Ernstfall passiert, beschreiben wir an anderer Stelle ausführlich.
MFA in Microsoft 365 erzwingen. Unabhängig vom Endgerät. Ohne MFA macht keine Mac-Härtung der Welt einen Sinn — Atomic Stealer wäre auf 80 % der Geräte wirkungslos, wenn die abgegriffenen Cookies durch MFA entwertet würden.

Praxis-Tipp:

Das BSI hat im Baustein SYS.2.4 "Clients unter macOS" exakt dokumentiert, wie Sie macOS BSI-Grundschutz-konform betreiben. Das ist die Vorlage, an der wir uns bei Compliance-anfälligen Mandanten orientieren — etwa bei Steuerberatern, Rechtsanwälten und Unternehmen mit NIS2-Pflicht.

Die typischen Mac-Sünden, die wir bei Neukunden sehen

Aus 20 Jahren IT-Dienstleister in Hamburg kennen wir die Klassiker. Wenn Sie hier ehrlich nicken, ist es Zeit für ein Erstgespräch:

Geschäftsführer hat die Macs ausgesucht, niemand verwaltet sie. Jeder Mitarbeiter ist lokaler Admin, installiert was er will.
Niemand weiß, welche Macs in Benutzung sind. Bei Mitarbeiteraustritt wird das Gerät nicht zurückgegeben, FileVault-Schlüssel ist verloren, kein Remote-Wipe möglich.
iCloud private mit Firmen-E-Mail vermischt. Geschäftsdaten landen ungeschützt in privaten iCloud-Accounts.
FileVault aktiv, aber Schlüssel auf einem Klebezettel. Ja, das gibt es. Mehrfach gesehen.
macOS-Version auf Stand 2022. Sicherheitsupdates seit 18 Monaten nicht installiert, weil "kein Druck im Hintergrund".
Time Machine auf einer USB-Platte am Schreibtisch. Bei Ransomware mitverschlüsselt, bei Brand mitverbrannt.

Es ist alles so eher immer das Pflaster auf die Wunde geklebt, als dass wir so ein einheitliches Konzept haben.

Lisa Stark · Geschäftsleitung, Gefahrstoffanalytik/Labor, 20 Mitarbeiter

Genau diesen “Pflaster-statt-Konzept”-Ansatz lösen Managed Workplace Services auf. Statt jeden Mac einzeln zu pflegen, läuft alles über Apple Business Manager + Microsoft Intune. Neue Macs werden über das Apple-Programm vorregistriert, der Mitarbeiter packt das Gerät aus, meldet sich mit seiner Firmen-E-Mail an — und der Mac konfiguriert sich selbst: Apps, Sicherheitsrichtlinien, FileVault, EDR-Agent, alles automatisch.

NIS2 und macOS: Warum die Richtlinie auch für Apple-Flotten gilt

Die NIS2-Richtlinie ist betriebssystemneutral. Wenn Ihr Unternehmen unter NIS2 fällt — etwa als Logistiker, Energieversorger, Lebensmittelhersteller oder mittlerer IT-Dienstleister —, dann gelten dieselben Anforderungen für Macs wie für Windows-PCs:

Asset-Management. Sie müssen jederzeit wissen, welche Macs es gibt, wer sie nutzt, welche Software installiert ist.
Patch-Management. Dokumentierte Prozesse, dass Sicherheitsupdates innerhalb definierter Fristen ausgerollt werden.
Incident Response. Wer reagiert wann, wenn ein Mac kompromittiert wird? Wer informiert wen? Welche Logs werden aufbewahrt?
Business Continuity. Backup-Strategie für Mac-Daten, getestete Wiederherstellungsverfahren.
Schulung der Mitarbeiter. Auch Mac-Nutzer müssen wissen, was Phishing, ClickFix und Social Engineering ist.

Sind Sie unsicher, ob Ihr Unternehmen NIS2-betroffen ist? Wir haben dafür ein einfaches Tool gebaut:

Wer schon weiß, dass NIS2 greift, sollte sich zusätzlich unsere NIS2 & IT-Compliance-Beratung ansehen. Da prüfen wir die gesamte Flotte — Macs und Windows-Geräte gemeinsam — auf Compliance-Lücken.

Mac-Sicherheit in der Praxis: Was wir bei Hamburger KMU täglich umsetzen

Wir betreuen als IT-Systemhaus in Hamburg und in Bremen, Kiel und Lübeck Unternehmen mit reinen Mac-Flotten (Werbeagenturen, Architekten, Designstudios) und gemischte Umgebungen (Steuerberater, Logistiker, Mittelständler mit Marketing-Abteilungen). Was alle gemeinsam haben: Sie wollen Sicherheit, ohne dass IT-Sicherheit den Arbeitsalltag der Kreativen behindert. Genau da setzen wir an.

Ein typischer Onboarding-Ablauf für eine 25-Mac-Flotte sieht so aus:

Woche 1: Cyber-Risikoanalyse mit der Geschäftsführung. Wir schauen uns alle Macs einzeln an: macOS-Version, FileVault-Status, installierte Software, Backup, MFA in Microsoft 365.
Woche 2: Apple Business Manager + Intune Setup. Geräte werden über Apple Business Manager registriert, Intune-Profile erstellt, Konfiguration getestet.
Woche 3: Pilotphase mit 3–5 Macs. Wir wählen technikoffene Mitarbeiter aus, rollen die neue Konfiguration aus, sammeln Feedback.
Woche 4: Rollout der gesamten Flotte. FileVault-Verwaltung, EDR-Agent, automatische Updates, Backup-Strategie — alles unter zentraler Kontrolle.
Ab Woche 5: Managed Workplace Betrieb. 24/7-Monitoring, Incident Response, quartalsweise Strategiegespräche mit der Geschäftsführung.

Eine Werbeagentur in Hamburg-Eppendorf mit 18 Macs hatten wir vor 14 Monaten so übernommen. Im aktuellen Quartalsgespräch hat der Geschäftsführer gesagt: “Ich denke nicht mehr über IT nach. Es funktioniert. Wenn ich auf Reisen bin und mein MacBook kaputtgeht, kommt aus eurem Büro innerhalb eines Tages ein neues — und das ist genauso konfiguriert wie das alte.” Genau das ist das Ziel.

Eine gute IT-Partnerschaft merken Sie daran, dass Sie nicht mehr über IT nachdenken müssen. Sie funktioniert einfach — und wenn doch mal was ist, sind wir sofort da.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Was kostet professionelle Mac-Sicherheit für KMU?

Für eine Hamburger KMU mit 20 Macs sieht das Kostenbild bei uns typisch so aus:

Position	Kosten/Monat
20 × Managed Workplace (inkl. MDM, EDR, Patch-Management, Backup)	ca. 1.000 €
Microsoft 365 Business Premium (oft schon vorhanden)	meist bereits lizenziert
Cloud-Backup (versioniert, BSI-konform)	ca. 80 €
Security Awareness Training	ab ca. 50 €
Quartalsweise Strategiegespräch mit Jens oder Philip	inklusive

Das sind ca. 50 € pro Mac und Monat — ohne versteckte Stundensätze, ohne Notfall-Aufschläge, ohne “Das war jetzt aber außerhalb des Vertrags”. Lesen Sie auch Mac Support Hamburg im Detail oder unseren Leitfaden: Was ist macOS für Business-Entscheider.

Verglichen mit dem BSI-Lagebericht 2024 und dem dort beschriebenen Schaden im KMU-Segment ist das günstiger als die meisten Cyber-Versicherungen — und vor allem präventiv statt reaktiv.

Fazit: Mac Sicherheit ist Konfigurations- und Service-Sache

Der unverwundbare Mac ist eine Erinnerung an die 2010er. 2026 ist macOS ein vollwertiges Business-Betriebssystem mit allen Bedrohungen, die das mit sich bringt. Die gute Nachricht: Apple liefert ein robustes Sicherheitsfundament. Die ehrliche Nachricht: Ohne zentrales MDM, EDR und durchdachte Prozesse ist auch der schönste MacBook ein offenes Tor — gerade in Hamburger KMU mit Microsoft 365, Cloud-Daten und remote arbeitenden Mitarbeitern.

Unsere Empfehlung: Behandeln Sie Macs nicht als Sonderlocke neben Windows-PCs, sondern als gleichberechtigten Teil Ihrer Endpoint-Strategie. Setzen Sie auf Managed Workplace Services mit MDM und EDR. Und ziehen Sie die Sicherheits-Konfiguration aus der Verantwortung der einzelnen Mitarbeiter ab — das ist nicht ihr Job.

Mac-Flotte sicher aufstellen — wir zeigen Ihnen wie.

15 Minuten kostenloses Erstgespräch mit Jens Hagel. Ehrliche Bewertung Ihrer aktuellen Mac-Sicherheitslage, konkrete nächste Schritte. Kein Vertriebsdruck.

Erstgespräch buchen →

Weiterführende Quellen

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel

Geschäftsführer · Hanse Service

Bester IT-Dienstleister

2026 — brand eins / Statista

Fallstudie · Beratung

Das serverlose Büro: Wie eine Hamburger Unternehmensberatung mit Cloud-IT und Microsoft 365 durchstartet – Erfahrungsbericht

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann

Alle ansehen

Inhalt

Alle Kundenstimmen

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

Robin Koppelmann

Alle ansehen

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Unverbindlich anfragen Oder Termin buchen

Häufig gestellte Fragen

Macs haben strukturelle Sicherheitsvorteile: System Integrity Protection, signierte Apps via Gatekeeper, integrierter Malware-Scanner XProtect. Aber sie sind nicht immun. Die Marktanteile von macOS im Business steigen, und damit auch die Aufmerksamkeit der Angreifer. Atomic Stealer (AMOS), XCSSET und ClickFix-Kampagnen zeigen 2025/2026 deutlich: macOS ist zur lohnenden Zielplattform geworden. Ohne aktive Härtung, MDM und EDR ist ein Firmen-Mac heute genauso angreifbar wie ein ungepflegter Windows-PC.

Bei hagel IT laufen Macs im Rahmen unserer Managed-Workplace-Services ab ca. 50 Euro pro Arbeitsplatz und Monat. Darin enthalten sind MDM (Microsoft Intune for Mac oder Jamf), Endpoint Detection & Response, FileVault-Verwaltung, Patch-Management und 24/7-Monitoring. Die genauen Kosten hängen von der Anzahl der Geräte, dem Mix aus macOS und Windows und gewünschten Compliance-Funktionen ab. Festpreis statt Stundensätze, alle Kosten transparent.

Drei Familien dominieren 2025/2026: Atomic Stealer (AMOS) klaut Browser-Passwörter, Krypto-Wallets und Keychain-Daten und wird über manipulierte Installer und seit Februar 2026 auch über bösartige OpenClaw-Skills für KI-Agenten verbreitet. XCSSET zielt auf Entwickler-Macs und nistet sich in Xcode-Projekten ein. ClickFix-Kampagnen tricksen Anwender per gefälschter Captcha-Seiten dazu, Schadcode im Skript-Editor auszuführen — Apple hat im macOS-Update 26.4 Warnungen für Terminal eingeführt, die Angreifer wechseln auf den Skript-Editor.

Apples integrierter XProtect ist Basisschutz und blockiert bekannte Signaturen. Für Unternehmen reicht das nicht. Sie brauchen eine Endpoint-Detection-&-Response-Lösung (EDR), die verhaltensbasiert verdächtige Aktivitäten erkennt — etwa Massenverschlüsselung im Hintergrund, ungewöhnliche Outbound-Verbindungen oder Manipulationen an Login-Items. Bekannte EDR-Produkte für macOS: Microsoft Defender for Endpoint, SentinelOne, CrowdStrike Falcon und Sophos Intercept X.

Ja, technisch reicht FileVault. Aber: Der Wiederherstellungsschlüssel muss zentral verwaltet sein, sonst sind Daten bei Mitarbeiter-Ausscheiden oder Hardware-Defekt verloren. Das BSI empfiehlt, den Schlüssel nicht bei Apple zu speichern, sondern im eigenen MDM oder Passwort-Tresor. Bei Managed Workplace Services rolllen wir FileVault per MDM aus, hinterlegen den Schlüssel sicher und prüfen quartalsweise, dass jeder Mac wirklich verschlüsselt ist.

Microsoft Intune ist meist die richtige Wahl für gemischte Umgebungen, in denen ohnehin Microsoft 365 und Entra ID im Einsatz sind. Lizenz oft schon enthalten, eine Konsole für Macs und Windows-PCs, gute Integration mit Defender. Jamf ist die Premium-Lösung für reine Apple-Flotten oder wenn Sie tiefe macOS-Spezialfeatures brauchen — höherer Preis, aber unschlagbare Tiefe bei Apple-spezifischen Themen. Wir setzen bei den meisten Hamburger Mittelständlern auf Intune.

Erstens: Gerät vom Netzwerk trennen (WLAN aus, Kabel ziehen). Zweitens: Anbieter informieren, im MDM isolieren, EDR-Logs sichern. Drittens: Keinesfalls einfach formatieren, bevor wir forensisch geprüft haben, was abgeflossen sein könnte — bei Atomic Stealer sind oft Browser-Sessions und Passwörter weg. Viertens: Passwörter zurücksetzen (alle, nicht nur die offensichtlichen), MFA neu ausrollen, betroffene Konten in Microsoft 365 prüfen. Wir begleiten Hamburger Unternehmen durch genau diesen Ablauf.

Wenn Ihr Unternehmen NIS2-betroffen ist, dann ja — die Richtlinie ist betriebssystem-neutral. Macs müssen genauso patched, geloggt und gehärtet sein wie Windows-Geräte. Das bedeutet: zentrales MDM, EDR mit Logging, dokumentierte Prozesse für Incident Response und nachweisbare Backup-Strategie. Mit unserem NIS2-Betroffenheits-Check finden Sie in zwei Minuten heraus, ob Sie betroffen sind.

Modern Workplace

Managed IT ★

Co-Managed IT

Enterprise IT