Neu: Beacon by Jamf Threat Labs

Beacon by Jamf Threat Labs ist ein Dienst zur Bedrohungssuche für macOS-Umgebungen. Sie können das gesamte Fachwissen von Jamf Threat Labs zum Schutz Ihrer Mac-Flotte nutzen.

July 16 2026 Von

Sean Smith

Die Bedrohungssuche nutzt Cyber-Intelligence zur proaktiven Erkennung aktiver oder vergangener Systemkompromittierungen. Dies ist ein zentraler Grundsatz der Cyberabwehr, dessen Umsetzung spezifische Kompetenzen sowie entsprechendes Personal, Werkzeuge und Fachwissen erfordert. Da Angreifer ihre Taktiken, Techniken und Prozeduren (TTPs) ständig weiterentwickeln, um die spezifischen Besonderheiten der einzelnen Plattformen auszunutzen, benötigen Sicherheitsteams Ressourcen, Transparenz und Informationen, die speziell auf die jeweilige Plattform zugeschnitten sind.

Ohne entsprechende Kenntnisse über die Plattform werden diese Endpunkte nur unzureichend überwacht.

Mit dem zunehmenden Einsatz von Macs wächst auch das Interesse von Angreifern. Mac-spezifische TTPs, Malware-Varianten und Verbreitungsmethoden entwickeln sich parallel zu den Sicherheits-Framworks von macOS weiter. Die Besonderheiten von macOS führen zu einem Paradoxon: Immer mehr Mitarbeiter möchten einen Mac nutzen, doch nicht alle Unternehmen verfügen über das interne Fachwissen, um gezielt nach systemspezifischen Bedrohungen zu suchen.

Trotz passender Tools und Richtlinien für die Endpunktsicherheit fehlen den Teams oft die entsprechenden Ressourcen. Infolgedessen haben Unternehmen Schwierigkeiten, effektive Programme zur Bedrohungssuche auf dem Mac zu starten, zu skalieren, zu wiederholen und zu messen.

Beacon by Jamf Threat Labs löst dieses Problem

Beacon by Jamf Threat Labs ist ein Dienst zur Bedrohungssuche, der Unternehmen dabei unterstützt, Bedrohungen für ihre macOS-Umgebung zu erkennen, zu analysieren und darauf zu reagieren. Mithilfe der Lösung von Jamf Threat Labs sind Sicherheitsteams der Bedrohungslage immer einen Schritt voraus und erhalten einen besseren Überblick über den Sicherheitsstatus von macOS.

Warum die Bedrohungssuche auf dem Mac anders ist

Wir bei Jamf wissen, dass der Mac anders ist, und genau deshalb lieben wir ihn. Das Betriebssystem, das Benutzererlebnis, die Modelle zur Systemintegrität und viele andere Dinge unterscheiden sich von denen anderer Plattformen.

Das gilt aber auch für die Bedrohungen, die auf den Mac abzielen.

Das Verhalten von Angreifern und die gegen macOS eingesetzten TTPs unterscheiden sich erheblich von denen, die auf andere Umgebungen abzielen. Beispielsweise nutzen Angreifer native Apple-Mechanismen – wie AppleScript – aus, um Persistenz zu erreichen, Berechtigungen zu erweitern und der Erkennung zu entgehen.

Wir erläutern Ihnen die Methoden, mit denen Bedrohungsakteure macOS ins Visier nehmen: Bericht zu Jamf 360.

Bei der Bedrohungssuche geht es nicht nur darum, zu erkennen, was verdächtig aussieht, sondern auch darum, zu verstehen, warum ein bestimmtes Verhalten unter macOS ungewöhnlich ist. Neben den TTPs der Angreifer erfordert eine effektive Bedrohungssuche auch Telemetriedaten, die auf der Endpoint Security API von Apple basieren. Dieses Framework bietet Sicherheitstools tiefen, zuverlässigen Echtzeiteinblick in Ereignisse. Bedrohungsintelligenz und Hunting-Regeln, die nicht für Mac-Umgebungen entwickelt wurden, können diese Bedrohungen möglicherweise völlig übersehen.

Beacon by Jamf Threat Labs – eine Erläuterung

Beacon by Jamf Threat Labs ist ein Dienst zur Bedrohungssuche, der Transparenz und umsetzbare Erkenntnisse zur Bedrohungssuche speziell für macOS bietet.

Das Team hinter dem Dienst

Das Mac-Team der Jamf Threat Labs besteht aus Sicherheitsforschern, Analysten und Erkennungsingenieuren. Das Team lebt und atmet Apple – es verfasst Bücher zum Thema Bedrohungssuche, wirkt am macOS Security Compliance Project mit und hält Vorträge auf Sicherheitskonferenzen. Da sie sich voll und ganz auf den Mac konzentrieren, können sie sich gezielt auf dessen spezifische Bedrohungen und die besonderen Anforderungen bei der Bedrohungssuche, die TTPs der Angreifer sowie das Verhalten der Angreifer konzentrieren.

Beispiele hierfür sind:

  • Angriffe auf die Lieferkette, die mit Trojanern infizierte Pakete enthalten
  • Ausführung von Schadcode in VSCode- oder Xcode-Projekten
  • Social-Engineering-Kampagnen von ClickFix, die auf macOS-Benutzer abzielen
  • Backdoors aus der DVRK, die über gefälschte Stellenanzeigen verbreitet werden
  • Und viele weitere Dinge rund um die sich ständig weiterentwickelnde Bedrohungslandschaft unter macOS

Die Forschungsergebnisse von Jamf Threat Labs werden bei Jamf auf verschiedene Weise verarbeitet:

  • Es ist der Treibstoff, der die Sicherheitsmodule von Jamf antreibt. So hat Jamf Threat Labs 2025 über 26.000 Malware-Beispiele in unsere Datenbank aufgenommen und über 230 YARA-Regeln hinzugefügt.
  • Forschungsartikel und Beiträge, die Erkenntnisse dokumentieren, wie beispielsweise eine neue ClickFix-Technik, die unter macOS den Script Editor anstelle von Terminal nutzt, sowie eine eingehende Analyse eines neuen macOS-Infostealers namens DigitStealer

Mit Beacon kann dasselbe Team von Jamf Threat Labs nun Ihre macOS-Umgebung direkt schützen.

Kontinuierliche und rückwirkende Suche

Das Team spürt neue, Apple-spezifische Angriffstechniken, Indicators of Compromise (IOCs) und versteckte Malware auf. Jede Bedrohungssuche basiert auf Suchregeln der Jamf Threat Labs, die kontinuierlich optimiert werden, um neuartige Malware, verdächtiges Verhalten und sich entwickelnde TTPs noch besser zu erkennen. Diese Regeln basieren auf den Forschungsergebnissen und der praktischen Erfahrung eines Teams, das sich ausschließlich mit der Sicherheit von Macs befasst.

Doch der Dienst geht noch weiter (und reicht zurück in die Vergangenheit): Die Retro-Suche durchsucht Ihre Telemetriedaten bis zu ein Jahr rückwirkend und deckt Bedrohungsindikatoren auf, die zum Zeitpunkt der ersten Erfassung noch nicht bekannt waren.

Operative Steuerung, die Ihr Team stärkt

Eine häufige Sorge im Zusammenhang mit Sicherheitsdiensten ist der Kontrollverlust. Sie kennen Ihr Geschäft, wir kennen den Mac. Wenn eine Bedrohung erkannt wird, erhält Ihr Team eine Schritt-für-Schritt-Anleitung zur Abwehr – diese ist auf die Anforderungen Ihres Unternehmens und Ihre Betriebsumgebung zugeschnitten. Sie arbeiten mit Jamf Threat Labs zusammen, um die entsprechenden Maßnahmen zu ergreifen. Sie behalten die Kontrolle. Sie setzen die Richtlinie um. Die Analysen und Empfehlungen von Jamf Threat Labs untermauern Ihre Entscheidung.

Maßgeschneiderte monatliche Sicherheitsberichte für Kunden

Jeden Monat erhalten Sie einen maßgeschneiderten Sicherheitsbericht, der sich mit dem Sicherheitsstatus Ihres Unternehmens, blockierter Mac-Malware, neuen relevanten Bedrohungen und vielem mehr befasst. Dieser Sicherheitsbericht enthält eine prägnante Zusammenfassung, um Ihre Führungskräfte auf dem Laufenden zu halten, Gespräche über Ihren Sicherheitsstatus zu unterstützen und eine dokumentierte Aufzeichnung der Erkenntnisse für Ihr Sicherheitsprogramm zu liefern. Der Bericht enthält:

  • Ergebnisse der Untersuchungen zur Bedrohungssuche: Ein leicht verständlicher Überblick über die Erkenntnisse von Jamf Threat Labs – sowohl bei Vorfällen mit bösartigen Bedrohungen als auch bei nicht-bösartigen Bedrohungen. Jeder Vorfall wird von unserem Threat-Hunting-Team manuell geprüft und analysiert, wobei maßgeschneiderte Erkennungsregeln zum Einsatz kommen, die darauf ausgelegt sind, echte macOS-Bedrohungen aufzudecken.
  • Übersicht über die Endpunkte mit den meisten Warnmeldungen zur Priorisierung von Korrekturmaßnahmen und zur Identifizierung von Geräten, die möglicherweise eine eingehendere forensische Analyse erfordern
  • Übersicht über erkanntes Verhalten (verdächtige Muster, anomale Prozessaktivitäten und potenzielle Anzeichen für eine Kompromittierung) Von Jamf erstellte Regeln, die böswillige Aktivitäten blockierten, sowie erkannte und blockierte Signaturen bekannter Malware.

Transparenz auf Basis der Endpoint Security API von Apple

Um zu verstehen, was auf den Endgeräten vor sich geht, nutzt Jamf Threat Labs die Telemetriedaten von Macs, die nativ auf der Endpoint Security API von Apple basiert. Da diese auf Apple-APIs basieren, bieten sie einen tieferen, genaueren und umfassenderen Einblick in macOS. Durch die Transparenz über System-, Benutzer-, Netzwerk- und App-Aktivitäten erhält man macOS-spezifische Bedrohungsinformationen, die erforderlich sind, um ungewöhnliche Aktivitäten und Verhaltensweisen von Angreifern aufzudecken. Wenn Angreifer versuchen, einen Mac zu kompromittieren, oder wenn eine Anomalie auftritt, wird dies durch Telemetriedaten erfasst.

Implementierung von Beacon by Jamf Threat Labs

Das Team für Professional Services von Jamf richtet Ihre Telemetriekonfiguration ein. Dadurch wird sichergestellt, dass vom ersten Tag an die richtige Transparenz gegeben ist, die Daten an die richtige Stelle gesendet werden und Jamf Threat Labs sofort mit der Suche nach aktiven Bedrohungen beginnen kann.

Erste Schritte mit Beacon by Jamf Threat Labs

Ganz gleich, ob Sie Ihr Mac-Sicherheitsprogramm von Grund auf neu aufbauen oder ein bestehendes Programm optimieren möchten – Beacon bietet Ihnen das Fachwissen, die Transparenz und die operative Unterstützung, die Sie dafür benötigen.

Beacon by Jamf Threat Labs steht derzeit allen Kunden von Jamf zur Verfügung, die Jamf for Mac oder Jamf for Mac Higher-Education nutzen. Wenn Sie mehr erfahren möchten, kontaktieren Sie uns oder wenden Sie sich an Ihren Jamf Representative.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.