Mac-Benutzer haben in den letzten Jahren eine stetige Verbesserung der Performance und Stabilität ihrer Geräte erlebt, doch nicht selten klagen Entwickler und Anwender über verzögerte Startzeiten bei verschiedenen Anwendungen. Besonders auffällig sind diese Verzögerungen bei größeren und komplexeren Apps wie Xcode oder Google Chrome. Im Jahr 2024 hat sich herausgestellt, dass dieser vermeintliche Performance-Flaschenhals durch einen tiefgreifenden Sicherheitsmechanismus innerhalb von macOS verursacht wird: den Malware-Scan durch den syspolicyd-Prozess. Die Entdeckung des Problems fand im Arbeitsalltag eines erfahrenen Mac-Nutzers und Entwicklers statt, der insbesondere bei der Verwendung von Xcode-Tools wie FileMerge eine ungewöhnliche Verzögerung beim Öffnen der Anwendungen bemerkte. FileMerge, ein Werkzeug für den Vergleich und die Zusammenführung von Dateien, residiert innerhalb der Xcode-App und wird häufig zum schnellen Zugriff in das Dock gelegt.
Trotz seiner vergleichsweise kleinen Dateigröße von etwa zwei Megabyte dauerte das Starten dieses Tools deutlich länger als erwartet, was zunächst nicht mit der Anwendungsgröße zusammenzupassen schien. Eine genauere Untersuchung mit Systemtools wie dem Activity Monitor und Spindumps zeigte, dass der syspolicyd-Prozess verantwortlich für diese Verzögerungen ist. Spindumps ermöglichen es, die genaue Verteilung der CPU-Ressourcen innerhalb eines Systems zu analysieren und die Ursachen für erhöhte Prozesseingaben sichtbar zu machen. Dabei fiel besonders die DispatchQueue mit der Bezeichnung "com.apple.
security.syspolicy.yara" ins Auge, da hier der Scanvorgang „yr_rules_scan_file“ ausgeführt wurde. YARA, ein Begriff aus der Malware-Forschung, beschreibt ein Tool, das auf regelbasierten Prüfungen von Dateien basiert und mittels Mustererkennung Malware-Familien identifiziert. Die Verwendung von YARA-Regeln innerhalb von macOS verdeutlicht Apples Ansatz, System und Anwendungen laufend auf mögliche Schadsoftware zu überprüfen.
Diese Prüfroutinen erfolgen jedoch nicht nur im Hintergrund, sondern signifikant auch beim Starten von Apps, was zu spürbaren Verzögerungen führt. Der Grund für diese Sicherheitsmaßnahme liegt auf der Hand: Apple will Nutzer vor bösartiger Software schützen und Malware letztlich auf ihrem System verhindern. Die Malware-Scans betreffen jedoch nicht nur heruntergeladene Programme oder Drittanbietersoftware, sondern auch große, signierte Anwendungen wie Xcode oder sogar von Apple bereitgestellte Programme aus dem Mac App Store. Sogar große Apps von Drittanbietern wie Google Chrome oder Wireshark unterliegen dieser Sicherheitsprüfung. Allerdings sind System-Apps, die auf einem separaten, kryptografisch signierten und schreibgeschützten Volumen liegen, offenbar ausgenommen und starten ohne Verzögerung.
Interessanterweise lässt sich die Dauer des Scans nicht allein durch die Gesamtgröße der App erklären. So wirkt FileMerge, trotz seiner geringen Größe, ausgebremst durch die Verknüpfung mit zusätzlichen Frameworks und Bibliotheken, die sich innerhalb des Xcode-Bundles befinden. Viele dieser Frameworks sind keine systemeigenen, sondern speziell für Xcode entwickelte Bibliotheken, die sich im Verzeichnis Xcode.app/Contents/SharedFrameworks/ befinden. Die Tatsache, dass syspolicyd auch diese verknüpften Bibliotheken scannt, erklärt die verlängerte Ladezeit erheblich.
Eine Gegenprobe am Beispiel des Accessibility Inspectors, ebenfalls ein Xcode-Instrument, zeigt eine schnellere Startzeit trotz größerer App-Größe, da hier weniger Frameworks verlinkt sind. Dies unterstreicht die Annahme, dass die Anzahl und Art der verknüpften Bibliotheken einen erheblichen Einfluss auf die Dauer des Sicherheitschecks haben. Viele Mac-Nutzer fragen sich, ob es Möglichkeiten gibt, diese Scans zu umgehen oder zumindest zu vermindern. Beispielsweise haben einige versucht, erweiterte Dateiattribute wie com.apple.
quarantine zu entfernen, allerdings ohne spürbaren Erfolg. Ebenso spielt es keine Rolle, ob eine App aus dem Mac App Store stammt oder direkt von der Entwicklerseite geladen wurde. Beide Varianten werden beim Start geprüft, wenn auch ältere System-Apps scheinbar nicht. Eine besonders bemerkenswerte Beobachtung besteht darin, dass die Google Chrome Beta-Version von derartigen Verzögerungen trotz identischer App-Größe scheinbar nicht betroffen ist. Die Ursache für dieses unterschiedliche Verhalten ist aktuell noch unklar und könnte mit Unterschieden in der Signierung, in der Linker-Konfiguration oder in den integrierten Bibliotheken zusammenhängen.
Eine drastische Methode, den Malware-Scan zu umgehen, ist das Deaktivieren von System Integrity Protection (SIP). SIP ist ein Sicherheitsfeature von macOS, das grundlegende Systembereiche schützt und Eingriffe von nicht autorisierten Prozessen verhindert. Durch Deaktivierung von SIP lässt sich syspolicyd daran hindern, die App beim Start zu scannen, was die Startgeschwindigkeit erheblich verbessert – einer der beschriebenen Nutzer sprach sogar von einem „Himmel auf Erden“-Gefühl bei der deutlich beschleunigten Xcode-Performance. Allerdings wird von Apple dringend davon abgeraten, SIP dauerhaft auszuschalten, da dies nicht nur Sicherheitsrisiken für das System birgt, sondern auch die Zuverlässigkeit und den Schutz von DRM-geschützten Inhalten beeinträchtigen kann. Zudem ist das Testen und Entwickeln von Software unter deaktiviertem SIP nicht empfehlenswert, da die Produktionsumgebung der Endnutzer in der Regel mit aktiviertem SIP arbeitet.
Entwickler riskieren dadurch, dass ihr Code zwar auf den eigenen Geräten fehlerfrei läuft, sich jedoch im produktiven Einsatz anders verhält. Die Frage bleibt, wie Apple den Spagat zwischen notwendigen Malware-Sicherheitschecks und optimaler Nutzererfahrung künftig lösen wird. Derzeit wirkt es so, als ob der Malware-Scan unmittelbar beim Start eines Programms stattfindet, was in der Praxis unangenehme Verzögerungen verursacht. Ein Vorschlag wäre, solche Scans stärker im Hintergrund auszuführen, wenn die Applikation nicht unmittelbar geöffnet wird, wodurch die Benutzeroberfläche schneller reagieren könnte. Für viele Anwender wird auch die Rolle des Syspolicyd-Prozesses zu einer Art „Sicherheits-Theater“, bei dem der Aufwand groß erscheint, der tatsächliche Nutzen für den einzelnen Nutzer aber schwer nachvollziehbar ist – gerade wenn sich die Umgebung ohnehin auf sichere und bekannte Quellen beschränkt.
In professionellen Umgebungen wie der Softwareentwicklung oder bei Power-Usern, die viele große und komplexe Programme nutzen, kann dies jedoch zu einem echten Produktivitätshemmnis werden. Derzeit gibt es keine offiziellen von Apple bereitgestellten Einstellungen, um das Verhalten des Malware-Scans direkt zu beeinflussen oder selektiv für bestimmte Apps auszuschalten. Nutzer, die von erweiterten Bereinigungen bis hin zu technischen Eingriffen alles ausprobiert haben, müssen sich bis auf Weiteres also mit den Einbußen bei der Startgeschwindigkeit arrangieren oder das mit den entsprechenden Risiken verbundene Deaktivieren von SIP in Erwägung ziehen. Abschließend zeigt sich, dass die Sicherheitsmechanismen von macOS, obwohl gut gemeint und für den Schutz vor Schadsoftware grundlegend, im Alltag durchaus spürbare Einschränkungen mit sich bringen. Die zunehmende Komplexität von Applikationen und deren Abhängigkeiten werden diese Problematik möglicherweise noch verstärken, weshalb nachhaltige Optimierungen seitens Apple wünschenswert wären.
Ziel sollte sein, Nutzer umfassend zu schützen, ohne dabei die Usability und Arbeitsgeschwindigkeit unnötig einzuschränken. Wer sich der Ursache langsamer App-Starts bewusst ist, kann künftig gezielter agieren und Prozesse besser einschätzen. Für Entwickler und Power-User bleibt neben der Beachtung von Apples Sicherheitspolitik auch, sich über die Funktion und möglichen Auswirkungen von systeminternen Diensten wie syspolicyd zu informieren, um die Balance zwischen Sicherheit und Leistung bestmöglich zu optimieren.
