Auch beim Mac gibt es eine sehr überschaubare Zahl von sinnvoller Systemutilities. (Und nein, Mackeeper gehört nicht dazu.) Carbon Copy Cloner könnte man nennen, Phraseexpress oder Textexpander, Namechanger und Disk Inventory X, um einmal ein paar aufzuzählen. Es gibt sicherlich noch einige mehr, wenigstens eine Handvoll.

171201-little-snitch-01.jpg
Da flitzen die Daten über den grossen Teich…

Ein Utility, auf das viele Macianer schwören und das ich schon lange einmal ansehen wollte, ist Little Snitch. Das ist eine Firewall, die mich an Zone Alarm erinnert – die gottähnliche Serverinstanz im Datenhimmel möge dieses Produkt selig haben. Wie andere Programme seiner Art verfolgt es zwei Hauptaufgaben. Erstens zeigt es auf, was auf den Datenschnittstellen so alles läuft, konkret: Welche Programme zu welcher Zeit Pakete mit dem Web austauschen. Zweitens ermöglicht es Blockaden: Man kann per Mausklick Datentransfers abklemmen.

Und das allein ist für manche Computernutzer Grund genug, Little Snitch einzusetzen. Denn viele Softwareprodukte führen sich ungemein unhöflich auf: Sie nutzen Wlan und Ethernet, als ob sie es wären, die die monatlichen Rechnungen für den Internetzugang bezahlen würden: Gierig und wie es ihnen gerade passt. Und manchmal auch aus Eigennutz und sogar gegen die Interessen des Computernutzers. Manche Programme spionieren, übermitteln ungefragt Informationen, die sie nach Gutdünken gesammelt haben, oder treiben sonst irgendwelchen Schindluder. Da kann man sich als Besitzer des Computers veralbert vorkommen – und zum Schluss kommen, man habe das gute Recht, einmal für Ordnung zu sorgen.

Ich sehe das auch so. Und ich halte den Namen für ungemein passend. Er bedeutet kleiner Spitzel, weil das Programm auch alljene Programme verpfeift, die im Verborgenen agieren und davon ausgehen, dass der unbedarfte Computerbenutzer sich überhaupt dafür interessiert, was irgendwelche unsichtbaren Prozesse gerade für Datentransfers am Laufen haben.

171201-little-snitch-02.jpg
Die Diktierfunktion kommuniziert direkt mit Cupertino.

Und die Verpfeifung erfolgt durchaus stilvoll. Im Netzwerkmonitor sieht man links die aktiven Prozesse, darunter den Verlauf mit den gesendeten und empfangenen Datenmengen. In der Mitte gibt es eine Weltkarte, auf der Linien die offenen Verbindungen anzeigen. Man sieht so, wohin man seine Daten gerade schickt. Das sind im Fall von Mac OS vor allem Orte in den USA, wo die iCloud beheimatet ist. Einzelne iTunes-Dienste verbinden allerdings auch mit Amsterdam.

Rechts sieht man Details zu den Aktivitäten, besonders, welcher Prozess gerade das grösste Datenaufkommen generiert. Wenn man einen Prozess ausgewählt hat, sieht man dessen aktuelles Datenvolumen. Man kann bei Recherche-Assistent eine Datenbankabfrage machen. Man erfährt so bei den meisten Prozessen, von wem sie stammen und wozu sie gut sind. Die Systemprozesse sind die meisten alle bekannt. Wie umfangreich die Datenbank von Little Snitch ist, kann ich bis dato nicht beurteilen.

Aber es gibt durchaus Leerstellen. So hat er beispielsweise zum Prozess /System/Library/PrivateFrameworks/CommerceKit.framework/Versions/A/Resources/commerce (verbunden mit init.itunes.apple.com, play.itunes.apple.com, xp.apple.com, pd.itunes.apple.com und p3-buy.itunes.apple.com) nur mitgeteilt, zu dieser Verbindung befänden sich «derzeit noch keine Informationen in der Datenbank des Recherche-Assistenten». Aber anhand der Servernamen kann man sich ausmalen, dass es sich um den iTunes Musikstore handeln dürfte.

Auch ksfetch war unbekannt. Dieser Prozess wollte recht impertinent mit tools.google.com sprechen. Das dürfte irgend was mit Chrome zu tun haben.

Man kann Prozessen den Datenverkehr explizit erlauben oder verbieten. Es gibt zwei Modi. Der leise Modus lässt einen als Nutzer in Ruhe – und man kann entscheiden, ob Verbindungen generell zugelassen oder generell blockiert werden. Nicht in Ruhe lässt einen der Warn-Modus. Er zeigt bei neuen Prozessen einen Dialog an, bei dem man angeben muss, ob man die Verbindung abnickt oder blockiert. Man kann eine Verbindung auch nur für eine gewisse Dauer zulassen oder sperren. Der Warn-Modus ist allerdings nur etwas für Mikro-Manager: Man erhält gerade anfänglich so viele Warnungen, dass man überhaupt nicht mehr zum Arbeiten kommt.

171201-little-snitch-03.jpg
Im Warn-Modus muss bei jeder neuen Verbindung eine Entscheidung treffen.

Fazit: Das ist aufschlussreich, denn Little Snitch verrät viel über die Interna des Betriebssystems. Zum Beispiel, dass assistantd für die Diktierfunktion des Systems zuständig ist und seine Daten direkt nach Cupertino schickt. Offenbar will Apple die Sprachgeschichten im eigenen Keller abwickeln. Ob das das Vertrauen nun erhöht oder Fragen aufwirft, ist natürlich eine individuelle Angelegenheit.

Das Problem an der Sache ist nun, dass bei einem modernen Betriebssystem mit guter Softwareausstattung so viele Prozesse aktiv sind, dass es schwierig und zeitaufwändig ist, den Überblick zu bewahren. Eine aktive Kontrolle ist darum für Leute, die mit ihrem Mac auch arbeiten wollen, keine Option. Das ist schade – denn es wäre eine sehr wirkungsvolle Schutzmassnahme gegen Schadsoftware, wenn man neue Prozesse abnicken müsste. So würde ein bösartiges Programm schon ganz am Anfang auffliegen – denn die typische Schadsoftware funktioniert nicht autark, sondern als Satellit eines Command-und-Control-Servers. (Es gibt natürlich auch Ausnahmen oder die Möglichkeit, einen bekannten Prozess zu korrumpieren, sodass das auch keine hundertprozentige Sicherheitsmassnahme wäre.)

Little Snitch ist somit für allem von akademischem Interesse. Und man hat die Möglichkeit, gewisse Verbindungen explizit zu blockieren, wenn man dieses Bedürfnis hat. Den grössten Nutzen sehe ich für Leute, die ihren Mac gelegentlich unterwegs benutzen und bei dieser Gelegenheit den Datenverkehr übers Handy abwickeln. Bei einem limitierten Datenplan will man nicht unbedingt, dass eifrige Synchronisationsangelegenheiten abgewickelt oder grosse Updateaktionen angestossen werden. Solcherlei erkennt man im Netzwerkmonitor und kann sie unterbinden.

Allerdings scheint mir der Windows-Ansatz einfacher zu sein. Dort gibt man an, wenn man eine «getaktete Verbindung» verwendet. Windows reduziert die Datennutzung dann automatisch. Natürlich kann man so nicht im Detail eingreifen – dafür ist es nicht mit viel Arbeit verbunden, diese Option einzuschalten.

Der kleine Datenspitzel ist kein zwingendes Programm. Aber wenn man ein spezifisches Verbindungs-Kontroll- oder Blockierbedürfnis hat, dann erledigt er diesen Job vorbildlich.

Die Einzellizenz gibt es für 45 Euro.