Ratgeber: Verschlüsselung unter OS X 10.8 Mountain Lion
Interne Laufwerke mit Filevault verschlüsseln
Mit Filevault lässt sich in OS X Mountain Lion die komplette interne Festplatte verschlüsseln. Alle privaten Daten sind damit perfekt geschützt. Nur die Erstverschlüsselung kostet viel Zeit, danach merkt man wenig von dem Schutzmechanismus
Auf jedem Mac tummeln sich heute sehr private Daten, zum Beispiel Passwörter, Konto- und Kreditkartendaten und Adressen. Oft kommen noch sensible geschäftliche Infos wie Kundenadressen oder die ganze Finanzbuchhaltung dazu. Mit dem Macbook sind die Daten immer dabei und griffbereit. Sehr praktisch, doch dabei wird gern vergessen, dass nicht nur die wertvollen Daten mit Backups geschützt werden sollten, sondern dass nach dem Diebstahl des Rechners am Flughafen, im Internet-Cafe alles komplett in falsche Hände gelangen kann - ein Horrorszenario. Die beste Vorbeugung ist Filevault, die in OS X eingebaute Verschlüsselungstechnologie. Sie packt alle Daten - wie schon am Filevault-Symbol erkennbar - in einen Safe: Nur wer das Passwort zum Aufschließen hat, kann sie anzeigen oder kopieren. Filevault in OS X Mountain Lion kann die komplette Festplatte verschlüsseln. Dieses Verfahren ist auch unter FDE (Full Disk Encryption) bekannt. Vorteil: Auch tief im System vergrabene Daten – wie versteckt auf der Festplatte abgelegte Programmlizenzen – sind damit geschützt.
Filevault gibt es schon seit Mac-OS X 10.3 „Panther“, konnte aber in der ersten Ausgabe nur das Benutzerverzeichnis verschlüsseln. Alle Dateien außerhalb dieses Ordners bleiben bei den älteren Versionen des Betriebssystems unverschlüselt. Außerdem hat Filevault 1 den großen Nachteil, heftig die Rechner-Leistung auszubremsen. Seit OS X Lion arbeitet Filevault aber erheblich weniger intensiv, so dass die normale Arbeit nicht mehr spürbar beeinträchtigt wird. Filevault codiert neue Dateien nahtlos im Hintergrund, während man weiter arbeitet. Nur wer ständig mit sehr großen Dateien hantiert – etwa im Videoschnitt – und sich keinerlei Leistungseinbußen leisten möchte, hat weiterhin gute Gründe auf die Verschlüsselung zu verzichten.
Achtung bei USA-Einreise mit verschlüsselten Daten!
Wer öfter privat oder geschäftlich in die USA einreist und sein Macbook mitnehmen möchte, muss bei der Einreise damit rechnen, dass die Zollbeamten die Daten auf dem Rechner durchsuchen.
Das US-Immigration Office ist sogar berechtigt, den kompletten Inhalt von internen oder externen Festplatten für die spätere Durchsuchung zu kopieren. Wer seine Daten verschlüsselt und den Rechner oder Festplatte bei Aufforderung nicht entsperren kann, riskiert einen längeren Aufenthalt beim Zoll und Stresstest bei der Einreise, wenn die Beamten die Festplatte nicht lesen können. Also entweder vorher den Mac entsperren oder in diesem Fall doch lieber – wenn auch nur zeitweise - auf die Verschlüsselung verzichten.
Wenn Filevault aktiviert ist, können Langfinger mit einem heruntergefahrenen Mac wenig angefangen: Die Daten auf der Festplatte sind ein unleserliches Chaos aus Bits und Bytes. Nur bei einem hochgefahrenen Rechner und nach Eingabe des Kennworts werden sie wieder entziffert und zusammengesetzt. Die Pflicht des Herunterfahrens ist jedoch nicht unproblematisch. Wenn jemand theoretisch an einen eingeschalteten Mac unbefugt herankommt oder ein eingeschaltetes Macbook klaut, kommt er an die Daten ran. Daher ein Tipp: Am besten gewöhnen Sie sich an den Rechner auszuschalten, statt ihn in den Schlafmodus zu versetzen, wenn Sie ihn nicht benutzen. Das System trifft automatisch ein paar Vorkehrungen: Wer Filevault einschaltet, aktiviert dabei noch einige andere Sicherheitsfunktionen. So ist beispielsweise künftig ein Kennwort erforderlich, bei der Anmeldung des Benutzers, Beenden des Ruhezustands oder Abschalten des Bildschirmschoners nötig. Anmelden dürfen sich nur noch Benutzer, die in Filevault dazu berechtigt wurden. Alle anderen müssen künftig den Administrator bitten, sich zuerst anzumelden.
Die Verschlüsselung externer Laufwerke ist in OS X Mountain Lion deutlich einfacher geworden, beim Codieren der internen Festplatte haben sich im Vergleich zu Lion nur ein paar Details geändert, die aber sehr praktisch sind.
Vorbereitung: Startlaufwerk prüfen und Backup
Beim Aktivieren von Filevault kann eigentlich wenig schief gehen. Eine Voraussetzung gibt es dennoch – und es lohnt sich sie vor weiteren Schritten zu überprüfen: Es muss die Recovery-Partition auf dem Startlaufwerk installiert sein. Bei neu gekauften Macs, auf denen Lion oder Mountain Lion vorinstalliert ist, dürfte nichts schief gehen, wer jedoch das System öfter aktualisiert hat, könnte über den Fall stolpern, dass zwar die Installation abgeschlossen, aber keine (unsichtbare) Recovery-Partition auf der Festplatte erstellt wurde. Fehlt sie, kann man Filevault nicht (oder mit gefährlichen Tricks) aktivieren, was die Gefahr von Datenverlust nach sich zieht.
Es lohnt sich also, vor dem Einschalten von Filevault zu testen, ob die Notfallpartition vorhanden ist und korrekt funktioniert. Dazu starten Sie den Mac neu und halten nach dem Startton die Befehlstaste („cmd“) und R (wie „Recovery“) gedrückt, um ihn vom Notfallsystem zu booten. Sie landen dabei vor dem gewohnten grauen Hintergrund, jedoch ist davor ein Fenster mit den OS X-Dienstprogrammen zu sehen. Damit können Sie beispielsweise das System neu installieren, aus Time Machine wiederherstellen oder das Festplattendienstprogramm starten. Mit „OS X Dienstprogramme beenden“ aus dem Menü mit dem Apfel können Sie das Notfallprogramm beenden und wieder vom Startlaufwerk booten. Falls der Neustart von „Recovery HD“ nicht klappt (auch nicht, wenn man beim Neustart des Macs die Wahltaste gedrückt hält), hilft leider nur ein Komplettbackup, neu formatieren und die Neuinstallation von Mountain Lion.
Zudem empfehlen wir unbedingt - nur für den Fall das etwas schief geht - vor dem Einschalten von Filevault alle Daten komplett in einem Backup zu sichern, zum Beispiel mit Time Machine.
Verschlüsselung der internen Festplatte mit Filevault
Filevault aktivieren: Das eigentliche Aktivieren von Filevault ist simpel. Öffnen Sie „Systemeinstellungen > Sicherheit“. Unter „Filevault“ klicken Sie unten links auf das Schloss und geben danach Name und Kennwort des Administrators ein. Klicken Sie dann auf „Filevault aktivieren...“.
Benutzer freischalten: Wenn auf dem Mac mehrere Benutzerkonten eingerichtet sind, erscheint noch ein weiteres Fenster mit einer Liste der Benutzernamen. Hier können Sie jedem Benutzer erlauben, sich nach einem Systemstart anzumelden. Klicken Sie auf „Benutzer aktivieren...“ und geben Sie (oder er selbst) das Anmeldekennwort ein. Aktivierte Benutzernamen werden mit einem grünen Haken gekennzeichnet. Nicht aktivierte Benutzer können sich künftig erst anmelden wenn sich zuvor der Administrator angemeldet hat. Mit „Fortfahren“ schließen Sie die Benutzeraktivierung ab.
Wiederherstellungsschlüssel sichern: Als nächstes erscheint der Wiederherstellungsschlüssel. Er ist das Netz und der doppelte Boden für den Fall der Fälle. Wenn Sie Ihr Kennwort für die Anmeldung vergessen, sind die Daten eigentlich unwiederbringlich verloren - außer sie kennen noch den Wiederherstellungsschlüssel. Notieren Sie den Schlüssel an einem sicheren Ort, zum Beispiel in einem Passwort-Safe wie dem Programm 1Password (http://agilebits.com/onepassword) und am besten auf einem anderen Rechner, iPhone oder iPad. (Wenn Sie sich selbst aussperren und der Ersatzschlüssel liegt im Haus, nützt er wenig). Der 24-stellige Schlüssel lässt sich wie Text markieren und weiter transportieren.
Schlüssel übertragen oder nicht Das Übertragen und Sichern des Wiederherstellungsschlüssels bei Apple ist nicht Pflicht, sondern optional. Wer ganz sicher gehen möchte, kann damit zusätzlich zum notierten Schlüssel einen weiteren Notnagel bereit halten. So kann, wenn sogar die eigene Kopie des Schlüssels nicht mehr gefunden wird, der Anruf beim Apple-Support weiterhelfen. Der Code wird damit zwar auf den Servern gespeichert, doch um den Schlüssel wieder zu bekommen, müssen Sie bei drei Sicherheitsfragen in einem Anruf beantworten. Auf jeden Fall sollten Sie die Sicherheitsfragen so auswählen, dass sie nur von Ihnen beantwortet werden können, aber leicht und sehr eindeutig zu merken sind. Fragen nach dem Mädchennamen der Großmutter sind oft besser, als die nach der Stadt mit der ersten Arbeitsstelle (zählt das Praktikum oder der erste richtige Job?) oder des ersten Konzerts. Wenn Sie auf „Abbrechen“ und „Den Wiederherstellungsschlüssel nicht bei Apple sichern“ klicken, können Sie ohne Übertragung fortfahren.
Verschlüsselung starten und Forschritt beobachten: Jetzt fehlt nur noch der Klick auf „Neustart“, um den Mac aus- und wieder einzuschalten. Danach beginnt die Verschlüsselung. Abhängig von der Kapazität der Festplatte kann die Codierung eine ganze Zeit lang dauern.
Das Gute ist, dass Sie im Hintergrund erledigt wird, Sie können also während dessen mit dem Mac weiter arbeiten. In der Systemeinstellung „Sicherheit“ lässt sich zwischendurch der Fortschritt in einem Balken beobachten. Wie bei einer Installation gibt das System auch einen Wert für die geschätzte Restdauer an.
Filevault wieder ausschalten: Für das Ausprobieren von Filevault spricht auch, dass sich die Verschlüsselung einfach und schnell wieder rückgängig machen lässt. Es reicht „Systemeinstellungen > Sicherheit“ aufzurufen und dort mit „Filevault deaktivieren...“ wieder auszuschalten.
Danach erscheint wieder ein Fortschrittsbalken der den Entschlüsselungsvorgang anzeigt. Das Entschlüsseln klappt sogar ohne Neustart. (Falls Sie doch den Rechner neu starten, bevor der Vorgang fertig ist, müssen Sie sich mit einem für Filevault freigeschalteten Benutzer anmelden und die Entschlüsselung fährt fort.) Nach dem Deaktivieren von Filevault wird die gewohnte Startprozedur des Rechners samt Anmeldebildschirm wieder hergestellt.
Nutzungsbasierte Online Werbung
Login über einen Foren Account
Gastposting
Gastbeiträge müssen erst freigeschaltet werden, bevor Sie auf der Seite erscheinen.