Blog haltung
haltungapple-siliconwindowscopilot

Macs sind die besseren PCs, in der Bilanz und im Risiko

· David Krcek · 18 min Lesezeit
Macs sind die besseren PCs, in der Bilanz und im Risiko

Jahrzehntelang war die Debatte „Mac oder PC" im Business-Umfeld kurz und einseitig: PC. Windows. Office. Punkt. Macs waren Designer-Maschinen, Hipster-Werkzeug, was für die Marketing-Abteilung, aber nicht für Berater, nicht für SAP-Kontexte, nicht fürs ernsthafte Arbeiten.

Das war mal. Die Debatte hat sich umgedreht, und zwar gründlich. Apple hat in den letzten Jahren konsequent geliefert: ein durchgehendes Ökosystem von iPhone über iPad bis Mac, eine eigene Silizium-Architektur die mit der M-Serie alles andere im Notebook-Segment abgehängt hat, und eine Plattform die Hardware, OS und Services zu einem Stack zusammenführt wie es am Markt kein zweites Mal gibt. Parallel dazu hat Microsoft eine Reihe strategischer Entscheidungen getroffen, die jede für sich schon fragwürdig wären und in Summe das Windows-Ökosystem in eine Richtung schieben, die mit ernsthaftem Business-Betrieb immer schwerer zu vereinbaren ist.

Drei Stichworte reichen: Copilot. Recall. Cloud-Zwang. Dazu ein Hardware-Stack der beim TPM-Sniffing aus dem LPC-Bus bricht, eine Update-Monokultur die im Juli 2024 acht Millionen Systeme gleichzeitig lahmgelegt hat, und ein Office-Argument das 2026 schlicht keines mehr ist.

Microsofts Produktivitäts-Paradox

Fangen wir bei Copilot an, weil dort am klarsten sichtbar wird was gerade schiefläuft.

Copilot ist als AI-Assistent verkauft worden: Schreibt Mails, fasst Meetings zusammen, recherchiert in SharePoint. In der Theorie ein Produktivitätstool. In der Praxis ein Datenschutz-Albtraum mit einem Grundproblem das schon vor jedem Sicherheitsthema kommt.

Das Grundproblem ist banal und wird in Microsofts Marketing systematisch verschwiegen: Copilot kann nicht handeln. Es kann nur erklären wie man handeln würde. Wer Copilot bittet, das überquellende Postfach aufzuräumen, bekommt keine aufgeräumte Inbox, sondern eine Anleitung wie er in Outlook selbst Regeln anlegen könnte. Wer Copilot bittet, die doppelten Einträge aus einer Excel-Tabelle zu entfernen, bekommt eine schrittweise Beschreibung des „Duplikate entfernen"-Dialogs. Wer Copilot bittet, einen Termin mit drei Kollegen zu koordinieren, bekommt den Hinweis die Scheduling-Assistenten zu nutzen. Das ist Clippy 2026, dieselbe Büroklammer-Logik, nur mit Large Language Model statt Regex. Ein Interface das erklärt statt zu tun, ist in einem Produktivitätskontext keine Hilfe. Es ist ein Overhead.

Oben auf dieses Grundproblem kommt der Datenschutz-Albtraum. Und an der Stelle wird’s interessant, weil die Kritik an Copilot oft falsch formuliert wird: Copilot bricht keine Berechtigungen. Im Gegenteil, Copilot respektiert die bestehenden SharePoint-, OneDrive- und Teams-Permissions strikt. Wenn ein Mitarbeiter Copilot nach einer Datei fragt auf die er keinen Lesezugriff hat, meldet Copilot brav „kein Zugriff" und zeigt nichts.

Das Problem sitzt eine Ebene tiefer: Diese Berechtigungen sind in vielen Organisationen seit Jahren viel breiter gesetzt als irgendjemand denkt. Nicht durch Böswilligkeit, sondern durch die Art wie Microsoft 365 im Alltag benutzt wird. Ein paar typische Szenarien:

  • Neue Teams-Channels oder M365-Groups erzeugen automatisch SharePoint-Sites mit oft großzügigen Default-Permissions. Ein schnell angelegter „Projekt XY"-Channel, der später für die Gehaltsplanung benutzt wird, vererbt diese Offenheit an die dort abgelegten Dokumente.
  • Das „Teilen"-Menü in Word, Excel und OneDrive setzt standardmäßig oft auf „Personen in Ihrer Organisation mit dem Link". Ein Klick, und die Strategiepräsentation ist für den ganzen Tenant lesbar. Niemand revoked das später.
  • Migrationen von File-Servern haben historische NTFS-ACLs wie „Domain Users" auf SharePoint-Gruppen wie „Everyone except external users" gemappt. Die alten Ordnerstrukturen bleiben mit dieser Breiten-Freigabe liegen.
  • Gastzugriffe und externe Berater, die für ein Projekt breiten Zugriff bekommen haben und nie wieder herausgenommen werden.
  • Geerbte Permissions: ein sensibles Dokument wird in eine Library abgelegt die ursprünglich für interne Kommunikation gedacht war und organisationsweit offen ist. Das Dokument erbt die Offenheit, ohne dass jemand das aktiv beschlossen hat.

All diese Mechanismen sind einzeln harmlos. Zusammen produzieren sie über Jahre eine beachtliche Menge an Content der technisch „für die ganze Organisation" freigegeben ist, ohne dass es jemand explizit wollte. Solange niemand aktiv danach sucht, bleibt das folgenlos. Die Standard-SharePoint-Suche ist unpräzise genug, dass Überteilungen in der Praxis selten gefunden werden. Es ist Security by Obscurity, und das wissen eigentlich alle, es fliegt einfach nur nicht auf.

Copilot sucht aktiv, natürlichsprachlich und über alle zugänglichen Inhalte hinweg. Wer fragt „fass mir die Gehaltsplanung für 2026 zusammen" bekommt eben nicht „kein Zugriff", sondern die Zusammenfassung. Weil der technische Zugriff da ist, auch wenn er gar nicht intendiert war. Varonis hat 2024 gemessen, dass in durchschnittlichen M365-Tenants rund zehn Prozent sensibler Daten zu breit freigegeben sind. Gartner rechnete im selben Jahr damit, dass bis zu 40 Prozent der geplanten Copilot-Rollouts wegen Datenschutz- und Berechtigungsproblemen verschoben werden. Das Problem ist nicht Copilot. Copilot macht nur operativ sichtbar, was vorher technisch schon offen lag.

Das ist kein Bug, das ist ein Feature, schlimmer: Design. Microsoft hat ein Produkt in Organisationen geschoben, die für seine Anwesenheit nicht vorbereitet waren, und Copilot wirkt wie ein Röntgengerät das plötzlich jede alte Sünde sichtbar macht.

Michael Bargury hat auf der BlackHat 2024 unter dem Titel „Living off Microsoft Copilot" gezeigt wie man den Assistenten per Prompt Injection als Exfiltrations-Kanal missbraucht. Das ist keine theoretische Forschung mehr, das ist praktisch ausnutzbar in produktiven Umgebungen.

Und jetzt der zweite Punkt: Copilot ist nicht lokal, Copilot ist Azure. Jedes Dokument, jedes Meeting-Transkript, jedes „Fass mir mal diese interne Präsentation zusammen" läuft durch Microsofts Cloud. Und schlimmer: Standardmäßig wird bei Windows nicht der Business- oder Enterprise-Copilot installiert, sondern die Consumer-Variante, genau die Variante bei der Eingaben und Inhalte ohne Einschränkung bei Microsoft landen und für Modelltraining und Auswertung genutzt werden. Wer also nicht aktiv auf eine Business- oder Enterprise-Lizenz umstellt und die entsprechenden Tenant-Settings prüft, schickt per Default Kundendaten, Mandanteninhalte und interne Präsentationen offen in Microsofts Infrastruktur. Selbst wer diesen Schritt macht und Microsoft das Enterprise-Datenversprechen voll abnimmt und die bekannten Kooperationen zwischen US-Hyperscalern und US-Behörden ausblendet, hat ein Restproblem: Die Daten liegen dann trotzdem in der Cloud, außerhalb der eigenen Kontrolle. Bei Chat-Historien die sensibel sein können, ist das ein strategisches Problem. Bei Mandantendaten in einem Beratungskontext ein Compliance-Problem. In vielen EU-Kontexten schlicht ein DSGVO-Problem das niemand sauber gelöst hat.

Apples Intelligence-Stack läuft demgegenüber standardmäßig on-device, auf der Neural Engine, ohne Netzwerk. Private Cloud Compute existiert für größere Aufgaben, ist aber architektonisch isoliert und mit Auditierbarkeit konzipiert. Man muss Apple für seine Umsetzung nicht mögen, aber die Grundarchitektur ist fundamental anders gedacht als Microsofts Cloud-First-Ansatz. Bei sensiblen Daten zählt diese Architektur.

Recall: ein Keylogger als Feature

Wenn Copilot der strategische Fehler ist, dann ist Recall die technische Kapitulation.

Windows Recall macht, vereinfacht gesagt, alle paar Sekunden einen Screenshot vom kompletten Desktop, extrahiert per OCR den Text, und speichert das Ganze in einer lokalen SQLite-Datenbank im Benutzerprofil. Die Idee: Man kann später „was war das für eine Preisliste die ich Dienstag gesehen habe?" fragen und Recall findet die Stelle.

In der ursprünglichen Version war diese Datenbank unverschlüsselt, ohne Admin-Rechte auslesbar, und enthielt alles was je auf dem Bildschirm stand: Passwörter im Klartext, Banking-Sessions, Incognito-Tabs, private Chats, vertrauliche Dokumente.

Kevin Beaumont hat das im Mai 2024 öffentlich so zusammengefasst: „Microsoft are about to ship a keylogger in every user profile." Alexander Hagenah hat das passende Tool geliefert, TotalRecall auf GitHub, das die Datenbank in Sekunden nach Kreditkartennummern und Credentials durchsucht. Infostealer-Malware musste die Daten nur noch einsammeln.

Microsoft hat nach der öffentlichen Empörung zurückgerudert. Recall wurde verschoben, dann als Opt-in umgebaut, Windows-Hello-Pflicht, VBS Enclaves, Entschlüsselung nur bei aktiver Session. Das ist alles richtig und notwendig, beantwortet aber nicht die Grundfrage warum dieses Feature überhaupt in dieser Form geplant war. Wer eine Screenshot-und-OCR-Historie als Standardfunktion in ein Enterprise-OS einbaut, hat eine bestimmte Vorstellung von dem was für Nutzer akzeptabel ist. Und diese Vorstellung ist bedenklich.

Das BSI und mehrere EU-Datenschutzbehörden haben auch nach den Anpassungen weiter Bedenken geäußert. Zu recht. In einem Beratungskontext, wo du Zugriff auf Kundensysteme hast, ist ein Gerät das deine komplette Bildschirmhistorie lokal speichert, selbst wenn verschlüsselt, ein Problem sobald das Gerät gestohlen wird, sobald ein Angreifer Session-Zugriff hat, sobald das Compliance-Team nach einer Ausleitung fragt.

macOS hat kein Recall. macOS hat keinen vergleichbaren systemweiten Screenshot-Service. Das ist kein Feature das fehlt, das ist eine architektonische Entscheidung.

Hardware-Security und die BitLocker-Realität

Kommen wir zur Hardware. Windows wird seit Jahren mit der TPM-2.0-Pflicht und BitLocker als „sicher by default" vermarktet. Die Idee: Das Trusted Platform Module speichert kryptographische Schlüssel in einem dedizierten Chip, BitLocker verschlüsselt die Festplatte, der Key wandert nie durchs offene System. In der Praxis ist das Bild deutlich komplizierter.

Das bekannteste Hardware-Problem ist TPM-Sniffing auf dem LPC-Bus: Bei Business-Laptops mit diskretem TPM (dTPM) kommuniziert der TPM-Chip mit der CPU über einen externen Bus, dessen Signale mit einem Logic Analyzer abgegriffen werden können. Die Dolos Group hat das 2021 auf einem ThinkPad gezeigt, stacksmashing hat es Anfang 2024 mit einem Raspberry Pi Pico für unter zehn Dollar auf einem aktuellen ThinkPad X1 Carbon Gen 11 in 43 Sekunden wiederholt. Der Angriff funktioniert, aber er funktioniert nur gegen Geräte mit diskreter TPM-Architektur. Aktuelle Flotten mit Intel PTT oder AMD fTPM haben den TPM-Prozess im CPU-SoC integriert; dort gibt es keinen externen Bus mehr zum Abgreifen. Das Sniffing-Argument gilt 2026 vor allem für Altbestand und für reguliertes Umfeld wo dTPM aus Zertifizierungsgründen (FIPS-140) noch verbaut wird.

Das ändert aber wenig am Grundproblem, weil sich der Angriffsvektor inzwischen verschoben hat. Der praktisch relevantere BitLocker-Angriff 2025 heißt Bitpixie (CVE-2023-21563). Software-basiert, kein Logic Analyzer nötig, nur physischer Zugriff und eine PXE-fähige Netzwerkverbindung. Compass Security, ZENDATA und andere haben 2025 funktionierende Proof-of-Concepts dokumentiert, in Minuten, nicht in Stunden. Ein gepatchtes Windows hilft nur begrenzt: Solange alte, anfällige Bootmanager nicht revoked sind, bleiben Downgrade-Angriffe möglich. Dazu kommen die BitLocker-Bypasses auf Software-Ebene die mit ermüdender Regelmäßigkeit erscheinen: CVE-2022-41099, CVE-2024-20666, CVE-2025-21210, alle ähnliche Grundklasse, alle irgendwann gepatcht und durch den nächsten Bypass ersetzt.

Die wichtigere und unbequemere Aussage für jede Windows-Flotte 2026: BitLocker im TPM-only-Modus ist gegen physische Angreifer unzureichend, egal ob dTPM oder fTPM. Die einzige robuste Gegenmaßnahme ist Pre-Boot-Authentication mit PIN oder USB-Key, eine Konfiguration die in der Praxis in den allerwenigsten Unternehmen umgesetzt ist, weil Helpdesk-Kosten und User-Widerstand eingepreist werden müssten.

Apples Secure Enclave sitzt on-die im gleichen Silizium wie die CPU. Es gibt keinen externen Bus, keine abgreifbaren Signale, FileVault-Keys verlassen die Enclave nie. Wichtiger aber: FileVault ist standardmäßig an Login-Authentifizierung gekoppelt. Wer den Laptop öffnet, braucht das Passwort. Das ist das Pre-Boot-Authentication-Konzept by default, nicht als Opt-in-Konfiguration für den mutigen Admin. Der praktische Unterschied zwischen Mac und Windows in Sachen Disk Encryption ist 2026 weniger „TPM-Bus vs. Enclave" und mehr „sichere Default-Konfiguration vs. Konfiguration die der Admin erst aktiv sicher machen muss". Ein Laptop der am Flughafen vergessen wird, ist auf Mac ein geringeres Datenleck-Risiko als auf Windows, nicht weil der Mac-Chip besser ist, sondern weil der Default besser ist.

Die Monokultur-Frage

Am 19. Juli 2024 hat ein fehlerhaftes CrowdStrike-Update 8,5 Millionen Windows-Systeme gleichzeitig in einen Boot-Loop geschickt. Flughäfen standen still, Krankenhäuser verschoben OPs, Delta Airlines bezifferte den eigenen Schaden auf rund 500 Millionen Dollar. Macs waren nicht betroffen. Linux-Server waren nicht betroffen. Betroffen war der dominante Enterprise-Endpoint.

Das ist kein Microsoft-Fehler im engeren Sinne, CrowdStrike hat das Update verbockt. Aber der Vorfall illustriert etwas Strukturelles: Monokulturen sind fragil. Wenn 90 Prozent der Unternehmens-Endpoints dasselbe OS mit denselben zwei oder drei Security-Agents fahren, dann ist ein einziger fehlerhafter Push eine systemische Krise. AJ Grotto, früher am National Security Council, hat das im selben Jahr in einem viel beachteten Lawfare-Essay als nationales Sicherheitsrisiko eingeordnet.

Der andere Vorfall auf den man 2026 immer wieder zurückkommt, ist Storm-0558. Im Juli 2023 bekannt geworden, bis heute in seinen Details unvollständig aufgeklärt. Eine chinesische staatsnahe Gruppe hatte sich einen Microsoft-Signing-Key beschafft und konnte damit gültige Authentifizierungstokens für Exchange Online und Outlook.com fälschen. Betroffen waren rund 25 Organisationen, darunter US-Außenministerium, US-Handelsministerium und namentlich der E-Mail-Account von Commerce-Ministerin Gina Raimondo. Mitlesen in Regierungspostfächern auf Basis eines gestohlenen Schlüssels, über Monate, ohne dass Microsoft es bemerkte. Der Angriff wurde letztlich vom Kunden entdeckt, nicht von Microsoft.

Der zweite Teil des Skandals ist der eigentlich erzählenswerte: Um überhaupt festzustellen ob man betroffen war, brauchten Kunden bestimmte Audit-Logs in Microsoft 365 (Purview Audit Premium), und die waren ausschließlich in der teuersten E5-Lizenz enthalten. Wer die günstigere Lizenz fuhr, hatte schlicht keine Möglichkeit zu prüfen, ob in seinem Tenant dieselben gefälschten Tokens aufgetaucht waren. Microsoft verkaufte also erst den Speicher für die Mails, dann das Zugangsmodell das kompromittiert wurde, und verlangte schließlich zusätzliches Geld für die forensische Transparenz die überhaupt erst durch Microsofts eigenes Versagen nötig geworden war. Erst nach öffentlichem Druck von CISA, Senator Ron Wyden und der Security-Community zog Microsoft zurück und stellte die relevanten Logs für alle Tarife kostenlos bereit. Der CSRB-Report zum Storm-0558-Incident, April 2024, kritisiert Microsoft deshalb mit ungewöhnlicher Schärfe: „preventable", „cascade of security failures", und eine Unternehmenskultur die Sicherheit strategisch untergewichtet.

Der Punkt ist nicht dass macOS fehlerfrei wäre. CVE-2024-44131 war ein veritabler TCC-Bypass, Jamf meldet weiter steigende Zahlen bei Mac-spezifischer Malware, und mit wachsendem Enterprise-Marktanteil wächst auch das Interesse von Angreifern. Aber: die Basis bleibt klein. Die Messungen des AV-TEST Instituts für 2025 zeigen weiter einen Faktor von etwa sieben zwischen Windows- und macOS-Malware-Detections. Der Verizon Data Breach Investigations Report 2025 weist Ransomware inzwischen in 44 Prozent aller bestätigten Breaches nach, praktisch durchweg in Windows-Netzwerken, bei den etablierten Familien wie LockBit, BlackCat und Cl0p. Der CrowdStrike Global Threat Report 2025 dokumentiert eine mittlere eCrime-Breakout-Zeit von 48 Minuten, Spitzenwert 51 Sekunden. Das ist die Geschwindigkeit in der sich Angreifer in einer kompromittierten Windows-Domain von einem initialen Zugang auf weitere Systeme ausbreiten.

Security-Arbeit ist selten eine Frage absoluter Unknackbarkeit. Sie ist fast immer eine Frage relativer Attraktivität. Wer die Mauern höher baut, wird seltener angegriffen. Wer ein weniger lohnendes Ziel ist, wird seltener angegriffen. Macs sind, einfach weil sie anders sind und weil Mac-Enterprise-Infrastruktur anders aussieht, aktuell das unattraktivere Ziel. Das ist kein Garantie-Argument, sondern ein Wahrscheinlichkeits-Argument. In der Security ist Wahrscheinlichkeit zwar nicht alles, hat aber einen hohen Anteil.

TCO: die Zahlen die niemand mehr bestreitet

Das häufigste Pro-Windows-Argument ist seit zwanzig Jahren dasselbe: „Macs sind teurer." Das stimmt 2026 so einfach nicht mehr, nicht mal in der reinen Anschaffung. Das MacBook Air schlägt die meisten Windows-Business-Notebooks seiner Preisklasse sowohl bei Performance als auch bei Laufzeit; das MacBook Pro liegt mit vergleichbar ausgestatteten Konkurrenten ungefähr gleichauf; und im oberen Segment, MacBook Pro mit M5 Max, 64 GB Unified Memory, 2 TB SSD, sind die vergleichbaren Windows-Workstations mit dedizierter NVIDIA-Grafik typischerweise teurer, bei schlechterer Akkulaufzeit und deutlich lauterer Kühlung. Die „Apple Steuer" gibt es in diesem Segment nicht mehr. Sie gab es übrigens auch schon vor der Apple-Silicon-Ära nicht so deutlich wie kolportiert, aber seit der M-Serie ist die Preis-Leistungs-Debatte entschieden. Und auf Total Cost of Ownership gerechnet, Support, Lebenszyklus, Resale Value, ist der Abstand noch einmal deutlich größer.

Forrester hat 2024 eine aktuelle Total Economic Impact of Mac in Enterprise-Studie veröffentlicht, mit 242 befragten Hardware-Entscheidern aus Unternehmen die Macs im Einsatz haben. Die Kernzahlen: Mac-Nutzer generieren 60 Prozent weniger Helpdesk-Tickets als PC-Nutzer, und jedes einzelne Ticket kostet rund 20 Prozent weniger Zeit. In der IT-Personalplanung schlägt sich das konkret nieder: Ein IT-FTE managt in der Mac-Flotte etwa 600 Geräte, in der PC-Flotte 300. Doppelt so viele Endpoints pro IT-Mitarbeiter, bei besserer Nutzererfahrung. Dazu kommen rund fünf Prozent Produktivitätsgewinn pro Mac-User, rechnerisch etwa zweieinhalb Wochen pro Jahr. Und bis zu 90 Prozent reduziertes Breach-Risiko durch die architektonischen Unterschiede die wir weiter oben besprochen haben. Auftragsstudie von Apple, ja, aber Methodik dokumentiert, Zahlen vielfach referenziert.

Und da ist der Lebenszyklus. Apple supportet macOS typischerweise sieben Jahre auf einer Hardware-Generation. macOS 26 „Tahoe" läuft im Frühjahr 2026 noch auf M1-Geräten aus 2020. Nach fünfeinhalb Jahren bekommen diese Macs weiter Security-Updates und das aktuellste OS. Windows-Laptops sind nach drei bis vier Jahren praktisch aus dem Rennen, nicht weil sie kaputtgehen, sondern weil die Scharniere wackeln, der Lüfter röhrt, die Akku-Laufzeit sich halbiert hat und Windows 11 auf CPUs von 2019 merklich zäh wird. Consumer Reports hat Apple in den Laptop-Reliability-Rankings 2026 auf Platz eins geführt, Datenbasis fast 76.000 Laptops. Das ist die belastbarste Zahl die man derzeit für Hardware-Zuverlässigkeit bekommt, und sie fällt seit Jahren konsistent zugunsten Apple aus.

Der Restwert tut den Rest. MacBook Pros halten nach drei Jahren typisch 40 bis 60 Prozent des Neupreises auf dem Gebrauchtmarkt. Ein Lenovo ThinkPad derselben Preisklasse landet bei 20 bis 30 Prozent. In einer Flotte von 500 Geräten macht das sehr schnell einen sechsstelligen Betrag aus.

Performance, die man merkt

Bei Apple Silicon ist die Zeit der höflichen Benchmark-Nähe vorbei. Die aktuelle M5-Generation hat den Abstand zum x86-Notebook-Segment weiter ausgebaut, in Single-Core-Leistung, Effizienz und insbesondere bei lokalen KI-Workloads. Der M5 führt die Geekbench-6-Single-Core-Liste im Notebook-Bereich an, setzt sich vom M4 noch einmal deutlich ab und lässt Intels aktuelle Core-Ultra-Generation und AMDs Ryzen-AI-Flaggschiffe im Perf-pro-Watt-Vergleich weit hinter sich. Wichtiger als Peak-Leistung ist das Verhältnis: Ein aktuelles MacBook Pro mit M5 schafft einen vollen Arbeitstag mit sichtbarem Puffer, bei Videowiedergabe über zwanzig Stunden. Vergleichbare x86-Laptops landen bei acht bis zwölf Stunden, und das sind schon die optimistischen Herstellerangaben. Für Berater die im Hotel, im Zug, beim Kunden arbeiten ist das der konkreteste spürbare Unterschied: Das Mac-Notebook hält durch. Das Windows-Notebook sucht nach vier Stunden eine Steckdose.

Dazu die kleineren Dinge die sich aufaddieren: Lüfter die in den meisten Lastszenarien einfach still sind, bei der M5-Generation in typischen Office-Workloads praktisch unhörbar. Instant Wake aus dem Schlaf, verlässlich, nicht wie bei Windows wo gefühlt jedes dritte Aufwachen ein halber Reboot ist. Die Hardware-Video-Encoder für H.265 und ProRes, die bei Videocalls die CPU-Last deutlich drücken. Unified Memory mit der erweiterten Bandbreite der M5-Architektur, das bei lokalen KI-Workloads (Ollama, LM Studio, MLX) Szenarien möglich macht die auf x86-Notebook-Plattformen schlicht nicht funktionieren: 30B-Modelle mit akzeptabler Token-Rate, Bildgenerierung lokal, Sprachmodelle ohne Cloud-Abhängigkeit.

Der Teams-Call auf einem M5 lastet den Chip im einstelligen Prozentbereich aus. Auf vielen aktuellen x86-Business-Laptops rauschen die Lüfter und das Gerät wird warm. Das ist kein Benchmark-Detail. Das ist die tägliche Erfahrung.

Das Software-Argument ist 2026 keines mehr

Jetzt zu dem Einwand, der seit zwanzig Jahren reflexartig kommt: „Die Software gibt’s aber nicht für Mac." Das war vielleicht in 2005 ein Argument. 2026 ist es keines mehr, jedenfalls nicht im klassischen Business-Umfeld.

Microsoft Office läuft nativ auf Mac, Apple Silicon, als universelle Binaries, mit Feature-Parität zu Windows bei Word/Excel/PowerPoint und Outlook. Power Query, Power Pivot, VBA, alles da. Access fehlt, das stimmt; wer zwingend Access braucht, hat aber sowieso ein anderes Problem.

Adobe Creative Cloud läuft nativ, seit der Apple-Silicon-Migration performanter als auf vergleichbar teurer Windows-Hardware. Für Leute die Adobe-CC-Abos ablegen wollen: Affinity Suite (seit der Canva-Übernahme 2024 mit kostenloser Variante), Pixelmator Pro, Final Cut statt Premiere, Logic statt Ableton. Für 80 Prozent der Anwendungsfälle sind die Alternativen nicht nur verfügbar, sondern häufig die bessere Software.

SAP ist der klassische Einwand im Consulting. Die Situation 2026: SAP GUI for Java läuft nativ auf Mac, auch auf Apple Silicon, offiziell von SAP supportet. Wer wirklich die klassische Windows-GUI braucht, ältere Transaktionen, Entwickler-Workbench, spezifische Kundenkonfigurationen, startet Parallels Desktop oder VMware Fusion und hat in unter einer Minute ein funktionsfähiges Windows in der VM. Die neue SAP-Welt, Fiori, Build Apps, BTP Cockpit, ist ohnehin browserbasiert und OS-agnostisch. Bemerkenswert am Rande: SAP selbst bietet seinen Mitarbeitern in Walldorf seit Jahren Macs als Option an.

Virtualisierung hat sich von einer Notlösung zu einem regulären Werkzeug entwickelt. Parallels 20 mit nativer Apple-Silicon-Unterstützung ist für Windows-ARM-Workloads schneller als der gleiche Windows-Build auf einem mittelklassigen x86-Laptop. Wer einmal im Quartal eine Windows-spezifische Legacy-Software braucht, tut das in einer VM, die 3 GB RAM belegt, in zwei Sekunden startet und beim Schließen den Host nicht beeinflusst.

Das einzige echte Software-Loch sind branchenspezifische Nischenwerkzeuge: CAD-Pakete mit harter Windows-Bindung, Trading-Frontends, bestimmte Steuer- oder Banken-Software. Für diese Fälle ist die Antwort in 2026 unverändert: Die entsprechenden Arbeitsplätze laufen weiter auf Windows. Der Rest der Organisation hat keinen Grund mehr dazu.

Die unangenehme Wahrheit

Windows ist im Business nicht mehr die vernünftige Wahl. Es ist die übliche Wahl. Das ist nicht dasselbe.

Die üblichen Argumente für Windows sind Gewohnheit, institutionelle Trägheit und sunk costs in Active Directory, Group Policy und zwanzig Jahre Onboarding-Prozessen. Alles legitime Gründe für Organisationen, die unter Druck operieren, aber keine Argumente für eine Neuanschaffungs-Strategie in 2026.

Wer heute die Zahlen ehrlich rechnet, TCO, Security-Risiko, Produktivitäts-Kosten, Datenschutz-Exposure durch Copilot und Recall, Monokultur-Risiko nach CrowdStrike, kommt an Mac schwer vorbei. Das gilt für die Flotte von 500 Laptops im Unternehmen genauso wie für kleinere, klar umrissene Gruppen: Entwickler-Teams, bei denen Apple Silicon allein über Build-Geschwindigkeit, Container-Performance und lokale KI-Workloads schon die Anschaffungskosten rechtfertigt. SAP-Administratoren, DevOps und Berater, die mit Servern arbeiten und die wenigen Windows-only-Transaktionen in einer VM erledigen. Marketing- und Design-Teams, wo Adobe-Workflows, Video-Produktion und Farbechtheit am Display ohnehin seit Jahren auf Mac besser laufen. In allen drei Fällen ist die Rechnung dieselbe wie beim großen Rollout, nur auf kleinerem Maßstab, und oft noch deutlicher zugunsten Mac weil die Anforderungen spezifischer sind. Das ist nicht Geschmackssache, das sind harte ökonomische Fakten.

Und wer sich trotzdem bewusst für Windows entscheidet, kann das tun. Sollte dann aber auch die Gründe dafür offen benennen: Migrations-Aufwand, AD-Bindung, oder schlicht die Bequemlichkeit, keine Gewohnheit ändern zu müssen. „Macs sind zu teuer" oder „die Software läuft darauf nicht" gilt nicht mehr. Die Diskussion hat sich weiterbewegt, es ist Zeit, dass IT-Strategien nachziehen.

Quellen

  • Forrester Total Economic Impact of Mac in Enterprise, April 2024: 242 befragte Hardware-Entscheider, aktuelle TCO-Kennzahlen
  • Consumer Reports, Most Reliable Laptop Brands 2026: Datenbasis ~76.000 Laptops, Apple auf Platz 1
  • Microsoft Digital Defense Report 2025: Identity-Attacks +32 %, Extortion/Ransomware als Treiber über 50 % aller Angriffe
  • CrowdStrike Global Threat Report 2025: eCrime-Breakout 48 min Durchschnitt, 79 % malware-free Attacks
  • Verizon Data Breach Investigations Report 2025: Ransomware in 44 % aller bestätigten Breaches
  • AV-TEST Statistics 2025: Malware-Detections Windows vs. macOS (~7x)
  • Kevin Beaumont, doublepulsar.com, Mai 2024: „Recall is a keylogger"
  • Alexander Hagenah, TotalRecall (GitHub), Mai 2024
  • stacksmashing / Tom’s Hardware, Februar 2024: BitLocker-Key-Extraktion in 43 Sekunden (ThinkPad X1 Carbon Gen 11)
  • SCRT Team Blog, Oktober 2024: Privilege Escalation via TPM-Sniffing trotz BitLocker-PIN
  • Compass Security / ZENDATA, 2025: Bitpixie (CVE-2023-21563), BitLocker-Bypass ohne Hardware-Zugriff
  • CrowdStrike Incident, 19. Juli 2024: Auswirkungen auf Windows-Endpoints
  • CSRB Report Storm-0558, April 2024
  • AJ Grotto, Lawfare, 2024: Microsoft-Monokultur als Sicherheitsrisiko
  • Varonis State of Data Security Report, 2024: SharePoint/OneDrive-Oversharing
  • BlackHat 2024, Michael Bargury: „Living off Microsoft Copilot"
David
David
AI, Apple Silicon, Coding-Experimente, SwiftUI und Haltung.
Weiterlesen