Der normal User hat weniger Rechte, die reichen aber fürs „normale“ Arbeiten. Wenn du dann für bestimmte sicherheitsrelevante Aktionen eine Zustimmung des Admins brauchst, weißt Du das ja und musst dann halt mit dem Admin Passwort/Account bestätigen.
Ein böses Programm bzw. eine Aktion via Browser, das/die sicherheitsrelevante Aktionen durchführen will, braucht dann dafür auch eine admin Zustimmung (es taucht also ein Fenster auf, mit dem Du gar nicht gerechnet hast), die Du eben dann nicht gibst. -> Sicherheit.
Das ist so nicht korrekt.
Die "Best Practice" eines separaten Administrator Users stammt aus alten Windows Zeiten, aber selbst dort ist das seit Windows 7 nicht mehr notwendig, da inzwiwchen auch dort der Administrator-User i.d.R. mit normalen User Rechten agiert und das System die Ausführung mit erhöhten Rechten abfragt sofern ein Programm dies erfordert.
MacOs ist ein Unix-basiertes System und dort war es schon immer so dass der Admin erstmal mit normalen User Rechten läuft. Erfordert ein Programm höhere Rechte, muss dies z.B. im Terminal mit zuvorstellen von sudo (sinngemäß "superuser do") vor dem eigentlichen Befehl bewerkstelligt werden was eine Passworteingabe erfordert.
In der grafischen Benutzeroberfläche ist der selbe Mechanismus eingebaut. Dort erscheint dann eine Passwortabfrage (bzw. Fingerabdruck wird verlangt) sobald ein Programm erhöhte Admin-Rechte einfordert.
Der einzige Vorteil den ein separater Admin-User (mit separatem Passwort und ohne Fingerabdruck) hätte ist dass die "Hemmschwelle" etwas höher ist: Wird man mehrmals am Tag nach Passwort/Fingerabdruck gefragt stumpft man ab und es kann sein dass man die erhöhten Benutzerrechte ohne Nachzudenken gestattet. Muss hier aber ein anderes als das eigene vertraute Passwort eingegebern werden ist dieses Risiko gemindert. Aber wie gesagt, technisch nicht notwendig.
Zum Thema Virenscanner/Sicherheitssoftware ist die landläufige Meinung dass Echtzeitscanner eher schaden als nützen da diese tief im System eingebunden werden müssen und dort Prozesse in einer Art zurechtbiegen müssen die so vom Betriebsssytemhersteller nicht vorgesehen sind. Auch solche Software kann Sicherheitslücken enthalten und diese sind dann superkritisch weil sie dann als genutztes Einfallstor gleich mal komplett freie Hand auf Systemebene gewähren.
Was ich auf meinem Mac installiert habe ist "
KnockKnock" was keinen Echtzeitscan bietet aber von Zeit zu Zeit aufgerufen werden kann und aufzeigt ob Systemprozesse verbogen wurden und was sich so alles als Dienst oder im Autostart eingenistet hat. Patrick Wardle ist ein renommierter Sicherheitsforscher, er hat früher u.a. für die NASA und NSA gearbeitet, da geh ich davon aus er steckt tief in der Materie drin
Vom selben Hersteller verwende ich noch "Ransom Where". Das ist ein Echtzeit-Scanner der prüft ob Prozesse in großem Stil anfangen Dateien zu verschlüsseln. Es unterbricht diesen Prozess und fragt den User ob der Prozess weiter ausgeführt werden soll. Bei mir kommt es ab und zu zu Fehlalarmen bei Installation von Programmen. Wenn man sich da aber nix von dubiosen Quellen installiert kann man den Dialog dann auch flugs abnicken...
Generell ist es nicht so dass es keine Malware für MacOs gibt oder das System sicherer wäre als Windows, allerdings ist MacOs wenig verbreitet und somit für die Malware-Hersteller als Zielsystem nicht so attraktiv. Bester Tip ist also weiterhin sich von dubiosen Webseiten fernzuhalten und Programme nur aus vertrauenswürdigen Quellen zu installieren...
