Ratgeber: Verschlüsselung unter OS X 10.8 Mountain Lion

Interne Laufwerke mit Filevault verschlüsseln

07.10.2012 | 10:40 Uhr | Stefan von Gagern

Mit Filevault lässt sich in OS X Mountain Lion die komplette interne Festplatte verschlüsseln. Alle privaten Daten sind damit perfekt geschützt. Nur die Erstverschlüsselung kostet viel Zeit, danach merkt man wenig von dem Schutzmechanismus

Auf jedem Mac tummeln sich heute sehr private Daten, zum Beispiel Passwörter, Konto- und Kreditkartendaten und Adressen. Oft kommen noch sensible geschäftliche Infos wie Kundenadressen oder die ganze Finanzbuchhaltung dazu. Mit dem Macbook sind die Daten immer dabei und griffbereit. Sehr praktisch, doch dabei wird gern vergessen, dass nicht nur die wertvollen Daten mit Backups geschützt werden sollten, sondern dass nach dem Diebstahl des Rechners am Flughafen, im Internet-Cafe alles komplett in falsche Hände gelangen kann - ein Horrorszenario. Die beste Vorbeugung ist Filevault, die in OS X eingebaute Verschlüsselungstechnologie. Sie packt alle Daten - wie schon am Filevault-Symbol erkennbar - in einen Safe: Nur wer das Passwort zum Aufschließen hat, kann sie anzeigen oder kopieren. Filevault in OS X Mountain Lion kann die komplette Festplatte verschlüsseln. Dieses Verfahren ist auch unter FDE (Full Disk Encryption) bekannt. Vorteil: Auch tief im System vergrabene Daten – wie versteckt auf der Festplatte abgelegte Programmlizenzen – sind damit geschützt.

Filevault gibt es schon seit Mac-OS X 10.3 „Panther“, konnte aber in der ersten Ausgabe nur das Benutzerverzeichnis verschlüsseln. Alle Dateien außerhalb dieses Ordners bleiben bei den älteren Versionen des Betriebssystems unverschlüselt. Außerdem hat Filevault 1 den großen Nachteil, heftig die Rechner-Leistung auszubremsen. Seit OS X Lion arbeitet Filevault aber erheblich weniger intensiv, so dass die normale Arbeit nicht mehr spürbar beeinträchtigt wird. Filevault codiert neue Dateien nahtlos im Hintergrund, während man weiter arbeitet. Nur wer ständig mit sehr großen Dateien hantiert – etwa im Videoschnitt – und sich keinerlei Leistungseinbußen leisten möchte, hat weiterhin gute Gründe auf die Verschlüsselung zu verzichten.

Achtung bei USA-Einreise mit verschlüsselten Daten!

Wer öfter privat oder geschäftlich in die USA einreist und sein Macbook mitnehmen möchte, muss bei der Einreise damit rechnen, dass die Zollbeamten die Daten auf dem Rechner durchsuchen.

Das US-Immigration Office ist sogar berechtigt, den kompletten Inhalt von internen oder externen Festplatten für die spätere Durchsuchung zu kopieren. Wer seine Daten verschlüsselt und den Rechner oder Festplatte bei Aufforderung nicht entsperren kann, riskiert einen längeren Aufenthalt beim Zoll und Stresstest bei der Einreise, wenn die Beamten die Festplatte nicht lesen können. Also entweder vorher den Mac entsperren oder in diesem Fall doch lieber – wenn auch nur zeitweise - auf die Verschlüsselung verzichten.

Wenn Filevault aktiviert ist, können Langfinger mit einem heruntergefahrenen Mac wenig angefangen: Die Daten auf der Festplatte sind ein unleserliches Chaos aus Bits und Bytes. Nur bei einem hochgefahrenen Rechner und nach Eingabe des Kennworts werden sie wieder entziffert und zusammengesetzt. Die Pflicht des Herunterfahrens ist jedoch nicht unproblematisch. Wenn jemand theoretisch an einen eingeschalteten Mac unbefugt herankommt oder ein eingeschaltetes Macbook klaut,  kommt er an die Daten ran. Daher ein Tipp: Am besten gewöhnen Sie sich an den Rechner auszuschalten, statt ihn in den Schlafmodus zu versetzen, wenn Sie ihn nicht benutzen. Das System trifft automatisch ein paar Vorkehrungen: Wer Filevault einschaltet, aktiviert dabei noch einige andere Sicherheitsfunktionen. So ist beispielsweise künftig ein Kennwort erforderlich, bei der Anmeldung des Benutzers, Beenden des Ruhezustands oder Abschalten des Bildschirmschoners nötig.  Anmelden dürfen sich nur noch Benutzer, die in Filevault dazu berechtigt wurden. Alle anderen müssen künftig den Administrator bitten, sich zuerst anzumelden.

Die Verschlüsselung externer Laufwerke ist in OS X Mountain Lion deutlich einfacher geworden, beim Codieren der internen Festplatte haben sich im Vergleich zu Lion nur ein paar Details geändert, die aber sehr praktisch sind.

Vorbereitung: Startlaufwerk prüfen und Backup

Beim Aktivieren von Filevault kann eigentlich wenig schief gehen. Eine Voraussetzung gibt es dennoch – und es lohnt sich sie vor weiteren Schritten zu überprüfen: Es muss die Recovery-Partition auf dem Startlaufwerk installiert sein. Bei neu gekauften Macs, auf denen Lion oder Mountain Lion vorinstalliert ist, dürfte nichts schief gehen, wer jedoch das System öfter aktualisiert hat, könnte über den Fall stolpern, dass zwar die Installation abgeschlossen, aber keine (unsichtbare) Recovery-Partition auf der Festplatte erstellt wurde. Fehlt sie, kann man Filevault nicht (oder mit gefährlichen Tricks) aktivieren, was die Gefahr von Datenverlust nach sich zieht.

Es lohnt sich also, vor dem Einschalten von Filevault zu testen, ob die Notfallpartition vorhanden ist und korrekt funktioniert. Dazu starten Sie den Mac neu und halten nach dem Startton die Befehlstaste („cmd“) und R (wie „Recovery“) gedrückt, um ihn vom Notfallsystem zu booten. Sie landen dabei vor dem gewohnten grauen Hintergrund, jedoch ist davor ein Fenster mit den OS X-Dienstprogrammen zu sehen. Damit können Sie beispielsweise das System neu installieren, aus Time Machine wiederherstellen oder das Festplattendienstprogramm starten. Mit „OS X Dienstprogramme beenden“ aus dem Menü mit dem Apfel können Sie das Notfallprogramm beenden und wieder vom Startlaufwerk booten. Falls der Neustart von „Recovery HD“ nicht klappt (auch nicht, wenn man beim Neustart des Macs die Wahltaste gedrückt hält), hilft leider nur ein Komplettbackup, neu formatieren und die Neuinstallation von Mountain Lion.

Zudem empfehlen wir unbedingt - nur für den Fall das etwas schief geht - vor dem Einschalten von Filevault alle Daten komplett in einem Backup zu sichern, zum Beispiel mit Time Machine.

1596524