Von Stefan von Gagern - 06.05.2013, 15:14

Daten schützen auf Festplatten und USB-Sticks

Sicher verschlüsselt mit OS X Mountain Lion

Wer einen USB-Stick mit wichtigen Daten verliert, sollte wenigstens sicher stellen, dass niemand anders die Daten lesen kann. OS X Mountain Lion bietet dazu neue und relativ leicht verständliche Hilfe an
USB-Sticks und mobile externe Festplatten sind nicht nur klein, praktisch und portabel. Sie speichern mittlerweile Hunderte von Gigabytes. Oft landen damit sensible Informationen wie Geschäftsadressen, Finanzdaten, Passwörter und andere private Daten auf einem kleinen USB-Stick oder einer Festplatte für die Hosentasche. Die Winzlinge haben aber einen Nachteil, der weit unterschätzt wird: Schnell werden sie vergessen, liegen gelassen oder gar gestohlen. Weit schlimmer als der Verlust der Hardware ist dann, dass wertvolle Daten in unbekannte Hände geraten. Die Daten können im schlimmsten Fall ohne jeglichen Schutz genutzt, kopiert und verbreitet werden. Eine „Gefahrenquelle“ ist in dieser Hinsicht auch Time Machine. Wer damit seinen kompletten Mac auf externe Festplatten sichert, nimmt alles ins Backup mit inklusive der privaten Daten. Bei Verlust der Time-Machine-Festplatte gerät praktisch der komplette Mac in falsche Hände.
Wer also nicht nur ein paar harmlose Fotos auf der Externen ablegt, sollte über Datenschutz nachdenken. OS X Mountain Lion bringt alles dafür mit. Die im System integrierte Software Filevault 2, im folgenden einfach nur „Filevault“ genannt, kann alle Daten auf einem internen oder externen Laufwerk verschlüsseln. Die Daten lassen sich weder anzeigen noch kopieren. Bis Mac-OS X 10.6 ließen sich nur Benutzerordner schützen, seit OS X Lion ist der Schutz für das gesamte interne oder externe Laufwerk möglich. Nur wer das richtige Kennwort eingibt, kann nach der Verschlüsselung noch auf die Daten zugreifen. Die Volumeverschlüsselung in Filevault nutzt übrigens als Verfahren „AES-128“ (Advanced Encryption Standard) mit 128-Bit-Schlüsseln, ein Verfahren das bei Regierungen für Dokumente mit höchster Geheimhaltungsstufe zum Einsatz kommt.
Grundsätzlich gibt es mehrere Einsatzmöglichkeiten: Die Verschlüsselung von leeren Laufwerken und Partitionen (ohne dort gespeicherte Dateien und Ordner), die Konvertierung von bereits befüllten Laufwerken und die dritte zur Absicherung von Time-Machine-Festplatten.

Verschlüsselung leerer externer Laufwerke oder Partitionen
1. Verschlüsselung vorbereiten

Der Ort, an dem man alles für die Verschlüsselung externer Laufwerke vermuten würde, ist „Systemeinstellungen > Sicherheit > Filevault“. Darin finden sich jedoch nur Möglichkeiten für die Codierung interner Laufwerke.
Externe USB-Sticks und Festplatten müssen Sie mit dem Festplattendienstprogramm verschlüsseln (zu finden unter "Programme > Dienstprogramme"). Dort wählen Sie in der linken Spalte den USB-Stick oder die Festplatte, die Sie verschlüsseln möchten aus. Suchen Sie in der linken Spalte des Programmfensters unbedingt das richtige, gewünschte Laufwerk (achten Sie dabei auf den Namen und vergleichen Sie das Speicherkapazität, in unserem Beispiel sind es 500 GB). Statt kompletter Laufwerke können Sie mit der hier vorgestellten Methode einzelne Partitionen verschlüsseln - auch hier ist es wichtig, die richtige zu auszuwählen! Dann klicken Sie rechts oben auf den Bereich „Löschen“ und wählen unter „Format“ „MacOS X Extended (Journaled, verschlüsselt)“.

2. Passwort festlegen

Achtung! In diesem Schritt werden alle Daten auf Ihrem externen Laufwerk gelöscht. Klicken Sie auf den Knopf „Löschen“, um den Vorgang zu starten. Bevor der Löschvorgang startet erscheint eine Rückfrage zum Eingeben eines Passworts. Dieses Passwort wird nach dem Verschlüsseln künftig abgefragt, bevor Sie auf die Daten des Laufwerks zugreifen können (Merken Sie sich es gut oder noch besser: notieren Sie es an einer gut geschützten Stelle. Wenn Sie das Passwort vergessen, sind die Daten auf dem externen Laufwerk für immer verloren!).  Das Passwort müssen Sie zur Sicherheit doppelt und identisch eingeben. Zudem können Sie eine Merkhilfe eingeben. Dann starten Sie den Lösch- und Verschlüsselungsvorgang, der etwas länger dauert, als das normale Löschen und Formatieren einer Festplatte oder eines USB-Sticks.

3. Schutz überprüfen

Sobald der Vorgang beendet ist, sieht zunächst alles wie immer aus, das heißt, Sie können auf das Laufwerk zugreifen, Daten darauf kopieren und Daten vom Laufwerk öffnen. Das ändert sich jedoch, wenn Sie die verschlüsselte Festplatte auswerfen und wieder anstöpseln. Dann erscheint die Passwortabfrage inklusive Merkhilfe. Falls Sie die Option „Kennwort in meinem Schlüsselbund sichern“ aktivieren, bekommen Sie an diesem Mac beim nächsten Anstöpseln des Laufwerks die Passwortabfrage nicht mehr zu sehen, da sich der Schlüsselbund (allerdings nur bei diesem angemeldeten Benutzer) künftig automatisch ums Freischalten kümmert.

Schutz einer Partition

Ein Hinweis noch zu partitionierten Laufwerken: Das Passwort für die eben verschlüsselte Partition wird im Cache gespeichert, daher sind alle andere Partitionen zugänglich, solange die freigeschaltete Partition gemounted ist. Das bedeutet: Jeder kann ohne Passwort auf die anderen unverschlüsselten Partitionen zugreifen, solange die Festplatte noch am Mac hängt. Erst wenn das komplette Laufwerk ausgeworfen wurde, verlangt OS X beim erneuten Anschließen an den Mac ein Passwort, diesmal für jede Partition.

Time Machine Backups verschlüsseln

Sehr einfach gelingt das Verschlüsseln externer Time-Machine-Festplatten, das schon seit OS X 10.7 Lion möglich ist. Neu ist jedoch in Mountain Lion die praktische Möglichkeit, mehrere Time-Machine-Festplatten parallel für Backups abwechselnd zu nutzen. So ist es leichter, zum Beispiel ein verschlüsseltes Backup für unterwegs einzurichten, das im Falle des Verlustes nicht auf einen anderen Rechner gespielt werden kann. Wir empfehlen vor dem Verschlüsseln zur Sicherheit ein Backup ohne Verschlüsselung zu erstellen und aufzubewahren.
Öffnen Sie in den Systemeinstellungen den Bereich „Time Machine“. Klicken Sie auf „Backup-Volumen hinzufügen oder entfernen..." Wählen Sie im folgenden Fenster die Festplatte aus, auf der die Backups gespeichert werden sollen, und aktivieren Sie die Option „Backup verschlüsseln“ und dann „Volume verwenden“. (Wenn Sie bereits ein oder mehrere Backup-Volumes eingerichtet haben, wählen Sie das Volume in der Liste „Andere verfügbare Volumes“ aus, aktivieren Sie „Backup verschlüsseln“ und „Volume verwenden“). Dann folgt eine Rückfrage zum Festlegen eines Kennworts, ähnlich wie beim Verschlüsseln externer Festplatten. Das Kennwort dürfen Sie nicht verlieren, ohne können keine Daten mehr vom externen Backup wiederhergestellt werden! Mit „Laufwerk verschlüsseln“ starten Sie den Vorgang, der sehr viel Zeit in Anspruch nimmt. Nachdem die Verschlüsselung aktiviert wurde, fragt OS X nach dem Kennwort, sobald Sie das Sicherungsvolume mit dem Mac verbinden. Als Anhaltspunkt: Eine 500-GB-Festplatte angeschlossen über USB 2 benötigt für die vollständige Verschlüsselung 15 Stunden!
 

Lässt sich die Verschlüsselung einschalten?

Wird der Knopf „Verschlüsseln“ grau angezeigt, unterstützt das Volume die Verschlüsselung nicht. Die Verschlüsselung ist nur für Volumes verfügbar, die über Kabel an den Computer angeschlossen, eine Partition im Format „Mac Extended (Journaled)“ enthalten und mit dem GUID-Partitionierungsschema eingerichtet sind. OS X Lion kann auf Apples WLAN-Festplatte „Time Capsule“ die Verschlüsselung nicht aktivieren. Mit OS X Mountain Lion hat Apple nachgelegt: In Mountain Lion sind verschlüsselte Backups auf einer Time-Capsule-Festplatte möglich.

Verschlüsselung von bereits mit Daten gefüllten Festplatten oder USB-Sticks

1. Verschlüsselung im Finder (Kontextmenü des Volumes)

Vor OS X Mountain Lion war es nur über das Terminal möglich, Laufwerke, die bereits Daten enthalten, ohne Umkopieren der Daten zu verschlüsseln. In Mountain Lion hat Apple Filevault-Funktionen ausgebaut und den Befehl zum Verschlüsseln im Kontextmenü für externe Volumes untergebracht. Damit reicht es ein Volume oder eine Partition mit gedrückter Controltaste („ctrl“) anzuklicken und aus dem Menü „(Volume) verschlüsseln“ auszuwählen. Danach erscheint das Menü zur Passworteingabe, Merkhilfe und der Vorgang kann gestartet (und nicht abgebrochen) werden. Einzige (und leider oft vorkommende) Einschränkung: Die Laufwerke müssen mit einer GUID-Partion formatiert sein.
Falls das nicht der Fall ist – wie bei USB-Sticks, die oft mit dem MS-DOS Dateisystem formatiert sind – ist erst das Umkopieren der Daten gefragt. Danach geht man die gleichen Schritte wie bei Verschlüsselung leerer Laufwerke vom Anfang dieses Artikels. Beim Verschlüsseln über das Kontextmenü gibt es leider keine Fortschrittsanzeige. Wenn das Laufwerk fertig verschlüsselt ist, wird es automatisch ausgeworfen und kurze Zeit später erneut auf dem Schreibtisch eingeblendet – währenddessen sollten Sie es auf keinen Fall vom Mac trennen. Nach dem Verschlüsseln auf diese Art können die Laufwerke nur auf Macs mit Lion oder Mountain Lion gelesen werden. Das Entschlüsseln klappt übrigens bei bereits verschlüsselten Laufwerken auf die gleiche Art – über den entsprechenden Befehl im Kontextmenü des Volumes.
 

2. Verschlüsselung über das Terminal

Die Verschlüsselung über Unix-Befehle im Dienstprogramm Terminal ist nicht jedermanns Sache. Trotzdem hat diese Methode immer noch Vorteile, unter anderem eine Anzeige über den Fortschritt in Prozent. Das ist bei kleinen USB-Sticks nicht so wichtig, bei größeren externen Festplatten jedoch ein Vorteil. Daher zeigen wir auch diesen Weg: Zunächst öffnen Sie das Terminal aus dem Ordner „Programme/Dienstprogramme“.
Mit dem Befehl „diskutil“ können Sie verschlüsselte externe Laufwerke erzeugen oder verändern. Zunächst rufen Sie eine Liste der Laufwerke mit folgendem Befehl und Zeilenschaltung auf:

diskutil list

Es folgt eine Aufzählung der aktuell gemounteten Laufwerke samt ihrer Unix-Bezeichnungen (zum Beispiel „disk0“ und „disk1“) unter „Identifier“. Die Corestorage-Technologie in Mountain Lion kann alle Laufwerke oder Partitionen verändern, die mit dem Format „MacOS Extended (Journaled)“ und GUID-Partionstabelle formatiert wurden. Wenn Ihre Daten auf einer Disk mit einem anderen Dateisystem liegen, funktioniert das direkte Verschlüsseln per Terminal nicht und Sie müssen den „normalen“ Weg nehmen: Daten umkopieren, verschlüsseln im Festplatten-Dienstprogramm und die Daten wieder zurück kopieren.
Suchen Sie aus der Liste das Volumen und den internen Namen, genannt Disk Identifier (zum Beispiel „disk1“) aus der Liste. (In unserem Beispiel haben wir eine Partition auf einem USB-Stick verschlüsselt, der mit dem Identifier „disk1s2“ in der Liste auftaucht). Mit folgendem Befehl wandeln Sie den exakt eingetippten Laufwerksnamen zunächst in das Corestorage-Format (kurz „cs convert“), hinter "-passphrase" geben Sie ein gewünschtes Passwort ein.

diskutil cs convert disk1 -passphrase Meinpasswort

Nach Drücken der Zeilenschaltung zeigt OS X mit einer simplen Animation den Fortschritt der Umwandlung in Prozent an. Danach folgt die Verschlüsselung, die je nach Größe des Laufwerks eine ganze Weile dauern kann. Während dieser Zeit können Sie weiter arbeiten. Den Status des Fortschritts können Sie jederzeit mit folgendem Befehl und Zeilenschaltung abfragen:

diskutil cs list

Das liefert eine Liste der Corestorage-Laufwerke inklusive Infos über Verschlüsselung, Konvertierung, ob sie zugänglich („unlocked“) sind und vieles mehr. Wenn Sie ein solches Volume auswerfen und wieder anstecken, können Sie prüfen, ob die Passwortabfrage beim USB-Stick oder Festplatte funktioniert.
Kommentare zu diesem Artikel (4 Beiträge)
Kommentar verfassen:
Kommentar verfassen

Login über einen Foren Account





Gastposting

Gastbeiträge müssen erst freigeschaltet werden, bevor Sie auf der Seite erscheinen.





Bestellen Sie "Macwelt Daily-Newsletter" kostenlos
Immer informiert sein:

Mit den kostenlosen Newslettern der Macwelt bleiben Sie auf dem Laufenden!

- Anzeige -
Angebote für Leser
Macwelt für iPad

Für das iPad: Macwelt HD
Neu: Die Macwelt als interaktive Ausgabe für das iPad - schon am Freitag vor dem Erstverkaufstag des Heftes im App Store erhältlich.

Macwelt mobil

Macwelt Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Handytarif-Check
Mit unserem neuen Smartphone Tarifrechner finden Sie schnell den passenden Handytarif.

3x Macwelt testen!
Ja, ich teste 3x die Macwelt mit CD für nur 12,90 € (19,- Sfr).
Macwelt 04/14
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Bestätigen
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Jetzt anfordern
1570408
Content Management by InterRed