Es kommen aber später neue Lücken ans Tageslicht, die mangels Support nicht mehr behoben werden. So z.B. Spectre oder Meltdown, die in den alten Systemen sowie dem veralteten Safari nicht gepatcht wurden .
Einerseits ist das richtig und Spectre vs. Java in Safari in 10.6 ein valides Beispiel.
Andererseits zeigt uns das Beispiel aber auch, dass wir von Sicherheitslücken in noch "supporteten" Systemen manchmal erst nach vielen Jahren erfahren.
Insofern ist es geradezu grotesk zu versuchen, von 10.6 auf 10.13 upzudaten um Gefahren aus dem Weg zu gehen. Da sind auch Dutzendee Schwachstellen drin, wir kenne sie nur noch nicht.
80% aller Nutzer von Festplattenverschlüsselung haben viele Jahre lang auf Truecrypt gesetzt. Bis diese Verschlüsselung von einem auf den anderen Tag futsch war und die Firma hinter Truecrypt sich als Tarnfirma eines Geheimdienstes entpuppte und sich innerhalb von Stunden in Luft aufgelöst hat und die Gründer untergetaucht sind.
Im Haushalt passieren 1500 mal so viele tödlich Unfälle wie mit Flugzeugen. Trotzdem haben wir vorm Fliegen oft Angst, während wir zuhause bedenkenlos auf Leitern klettern oder am Strom herumspielen.
Es gibt Statistiken und Forschungen zum Thema IT-Sicherheit, die nach den Ursachen für tatsächlich eingetretene Schadensfälle im Enterprise-Bereich gefragt wird.
Danach liegen bei den Ursachen für Schäden auf Platz 1 mit 50% Management Fehler der Chefetage und auf Platz 2 mit weiteren 20% kriminelle Machenschaften von aktiven und ehemaligen Mitarbeitern. Strukturelle und technische Ursachen wie die Aktualität des eingesetzten Betreibssystems kommen vor, aber nur am Rande.
Gibt es eigentlich Statistiken über die Häufigkeit von Schadensfällen für 10.6 und 10.13? Oder gibt es nur vage Andeutungen von Apple, dass sie gerne hätten, dass man updated, weil dann der Bedarf nach neuer Hardware steigt?
Solange mir niemand beweisen kann, dass es tatsächlich sicherer ist immer das neuste zu benutzen, halte ich das alles für ein Gerücht. Allerdings kann ich auch nicht das Gegenteil beweisen.
Der OP hat nach einer Softwarelösung gefragt um sich damit dem Zustand absoluter Sicherheit anzunähern.
Ich würde ihm antworten, dass die Lösung für dieses assoziierte Ziel stattdessen im Bereich seines Verhaltens liegt.
Schadsofware wird fast ausschließlich über Spam Mails und Warez-Sites verbreitet und Angriffe über Java und JavaScript, DirectX & Co fast ausschließlich über Porno-Seiten und die einschlägigen "Schnell Geld verdienen" Angebote.
Gegen Java und gegen das Aufrufen von Websites, die insbesondere am Arbeitsplatz nichts zu suchen haben, kann man relativ leicht etwas tun. Das gleiche gilt für Emailanhänge.
Habe ich weniger technik-affine und verrständige Mitarbeiter, sperre ich Anhänge einfach komplett und das Problem ist gelöst. Das Geld, was ich durch die Anschaffung von OSX 10.13-fähiger Hardware spare, investiere ich lieber in eine solide betriebliche Haftpflichtversicherung...