Filevault – Mac bombensicher oder leicht zu überlisten?

Gunter Sachs war empört: Der Milliardär hatte das Passwort seines Mac vergessen und im Münchner Apple Store um Abhilfe gebeten. Zu seinem Entsetzen bekam er innerhalb wenigen Minuten neue Anmeldedaten und Zugang zu seinen Daten – ohne Identitätsprüfung und ohne viele Fragen. Der Vorfall liegt schon einige Jahre zurück, an der einfachen Überwindung des Anmeldekennworts hat sich wenig geändert – das Standard-Benutzerkennwort ist eher Zugriffsschutz für Heim und Büro als echte Sicherheitsfunktion. Erst Apples Verschlüsselung für interne und externe Festplatten Filevault schafft mehr Sicherheit für die Benutzerdaten. Dabei muss man aber einige Details beachten.

Warum das Anmeldekennwort nicht ausreicht

Das Standard-Anmeldekennwort eines Benutzers ist nur begrenzt sicher. Mit dem Booten in den Recovery-Modus kann man das Kennwort nämlich innerhalb weniger Minuten zurücksetzen. Das hat Gründe: Menschen neigen nun einmal dazu, ihre Passwörter zu vergessen  und dieser aus arglosen Computer-Zeiten stammende Reset-Mechanismus hat schon viele Support-Probleme gelöst.

Man muss dazu nur im Recovery-Modus per Terminal den Befehl „resetpassword“ eingeben und kann ein neues Passwort eingeben. Eine Anleitung findet allerdings auch jeder Möchtegern-Hacker auf Youtube. Verhindern kann man diesen schnellen Zugriff nur über ein Firmware-Passwort oder Filevault. Das Firmware-Passwort aktiviert man über das so genannte Firmware-Passwortdienstprogramm, das man ebenfalls über die Recovery-Partition steuert. Will man seine Daten schützen, sollte man aber gleich zu Filevault greifen, das Apple mit Mac-OS X 10.3 Panther eingeführt hatte. Das Firmware-Passwort bietet zwar sichereren Zugriffsschutz, ein erfahrener Techniker kann es aber ebenfalls zurücksetzen. Außerdem liegen die Daten in diesem Fall unverschlüsselt auf der Festplatte und sind relativ einfach kopierbar.

Wie sicher ist Filevault?

Vor allem für Macbook-Nutzer, die ihren mobilen Recher überall hin mitnehmen, ist Filevault sehr empfehlenswert. Es schützt sensible Daten wie Dokumente und Kreditkartennummern nach einem Diebstahl, und beschirmt die Daten vor neugierigen Menschen und Behörden. Für die Verschlüsselung nutzt Apple das als sicher geltende XTS-AES128. Im Unterschied zu den ersten Versionen wird nicht mehr nur der Benutzerordner verschlüsselt, sondern mittels Core Storage das komplette Dateisystem. Ist der Benutzer abgemeldet, ist ein Zugriff per Firewire oder das Ausbauen der Festplatte nicht mehr möglich.

Der Firewire- oder Thunderbolt-Festplattenmodus ist weiter nutzbar, vor dem Booten muss man aber das Nutzerkennwort eingeben. Unter der Verschlüsselung leidet die Mac-Performance ein wenig, bei einem Mac mit SSD ist dies aber kaum spürbar. Filevault deaktiviert außerdem die automatische Anmeldung – sonst wäre schließlich das komplette Konzept sinnlos. In den letzten Jahren gab es immer wieder Berichte, Filevault könne überwunden werden: Das ist nicht falsch, setzt aber für den Angreifer günstige Umstände voraus. So ist eine Firmware-Attacke per Firewire- und Thunderbolt-Schnittstelle möglich, da diese Schnittstellen per DMA den Arbeitsspeicher auslesen können. Es gab bereits erfolgreiche Labor-Tests, was einiges Aufsehen erregte. Der Zugriff funktioniert aber ab OS X 10.7.2 nur noch, wenn der Mac entsperrt, also der Nutzer angemeldet ist. So kann beispielsweise eine kommerzielle Software von Passware per Firewire ein Live-Image des laufenden Macs erstellen und den Filevault-Schlüssel extrahieren. Das klingt allerdings beeindruckender, als es ist: Darf doch der Mac weder gesperrt noch im Ruhezustand sein. Bei einem derart frei zugänglichen Mac könnte der „Hacker“ schließlich auch einfach einen USB-Stick anschließen und den Benutzer-Ordner kopieren. Ein heruntergefahrener Mac oder gesperrter Mac mit Filevault ist für Außenstehende in der Praxis dagegen so gut wie uneinnehmbar.

Brute Force

Eine Schwäche von Filevault ist wohl vor allem der begrenzte Schutz gegen Brute-Force-Attacken. So versucht die für Behörden und Firmen gedachte Software Passware auf Wunsch Filevault per Brute-Force-Attacken zu knacken. Per Wörterbuch-Attacke probiert das 800-Dollar Tool dabei alle denkbaren Passwort-Kombinationen durch. Es gibt bei Filevaut nämlich keinen Selbstzerstörungsmechanismus wie beim iPhone , der nach zehn Versuchen alle Daten löscht – man kann also unzählige Passwörter eingeben. Im Unterschied zum iPhone gibt es außerdem keinen zusätzlichen Hardware-Baustein mit individuellem Schlüssel, der das Auslesen der Daten verhindert.

Für die Sicherheit von Filevault ist deshalb allein die Länge und Komplexität des Passworts entscheidend: Laut Fachleuten kann man ein simples Passwort mit sechs Zeichen mit einem alten 2-GHz-Rechner in 5,6 Stunden knacken, ein gutes Passwort dagegen soll bis zu 34 Jahre standhalten – ist also in der Praxis nicht zu umgehen. Die Zahlen sind aber eher Schätzungen und dank kontinuierlich steigenden CPU-Leistung sind Profis wohl deutlich schneller am Ziel.

Alternative Zugriffe auf Daten

Die beste Verschlüsselung nützt aber nichts, wenn der Mac permanent Daten mit Cloud-Diensten wie Dropbox und iCloud austauscht. Dank der Verschlüsselung bei aktuellen Providern können zwar Datenspione E-Mails nicht mehr ohne Weiteres abfangen, für Behörden gelten diese Einschränkungen aber nicht. Jede aufgerufene IP-Adresse und E-Mail kann auf Anfrage über den Provider aufgelistet werden – oder man überwacht den Verdächtigen gleich rund um die Uhr. So kamen im Zusammenhang mit der FBI-Anfrage bei Apple auch Vertreter der NSA zu Wort, die überraschend wenig Interesse an „iPhone-Backdoors“ zeigten und Verschlüsselung sehr positiv sehen. Laut dem IT-Spezialisten Zdiarski zielt nämlich die NSA bei ihren Überwachungen lieber auf Live-Überwachung – überwacht bei einem Verdächtigen lieber alle ein- und ausgehenden Datenverbindungen. Noch einfacher machen es sich die Zollbehörden bei der Einreise in die USA und UK: Hier kann es dem Filevault-Nutzer passieren, dass man ihn simpel und höflich zum Entsperren des Macbook auffordert. Will er einreisen, muss er der Aufforderung nachkommen. Die Ausrede, man habe das Passwort vergessen, wird übrigens nicht akzeptiert.

Gute Passwörter

Um durch Filevault wirklich geschützt zu werden, ist die Wahl eines sicheren Anmeldekennworts ausschlaggebend. Die beste Software nutzt nichts, wenn man als Passwort „Password“ oder „123456“ wählt – laut dem Softwareanbieter Splashdata neben „12345678“ die beiden beliebtesten Passwörter . Sehr vorsichtig sollte man nebenbei bei den bei Apple üblichen Sicherheitsabfragen sein: Um ein Passwort wiederherstellen zu können, werden hier persönliche Daten wie „Was ist ihr Traumberuf“ abgefragt, die bei Prominenten oder per Facebook-Seite oft recherchierbar sind. Ein weiteres Risiko betrifft Anwender, die für mehrere Dienste und Accounts die gleichen Passwörter benutzen – etwa für Adobes Creative Cloud und für Apples iCloud. In den letzten Jahren sind nämlich viele Benutzer-Datenbanken mit Anmeldedaten und E-Mail-Adressen in die Hände von Hackern gefallen. Um einen Account zu knacken, könnte nun ein Angreifer oder Behördenangestellter auf diese Daten zugreifen und einige alte Passwörter des Opfers ausprobieren. Zusätzlich zum Kennwort gibt es bei Filevault den Wiederherstellungsschlüssel – eine Art Master-Passwort. Auf Wunsch kann man ihn auch bei Apple bzw. iCloud sichern, eine gute Lösung für chronische Passwort-Vergesser.

Eine Behörde könnte dann allerdings Apple zur Herausgabe des Schlüssels zwingen und erhielte Zugriff auf die Filevault-Daten. Auf Wunsch speichert das System den Schlüssel nur lokal ab. Apple kann einen per Filevault geschützten Rechner nicht mehr entsperren, selbst wenn dies vom Benutzer oder einer Behörde gewünscht wird. Eine Besonderheit ist der unternehmensspezifische Filevault-Account, bei dem ein Administrator der Firma Filevault konfiguriert hat – dieser hat auch einen Wiederherstellungsschlüssel. Im Falle des iPhones des San-Bernardino-Attentäters hat es im Übrigen sein Arbeitgeber unterlassen, dieses und andere an Mitarbeiter ausgegebene iOS-Geräte zentral zu verwalten. Dann wären die IT-Administratoren in der Lage gewesen, das Passwort zurück zu setzen und auf das Gerät zuzugreifen.

Aus der Ferne Sperren und Löschen

Fernlöschung eines gestohlenen Mac ist mit Hilfe von Filevault ebenfalls schneller möglich – im Unterschied zu einem Mac ohne Filevault dauert das Löschen nur Sekunden. Das funktioniert aber nicht so zuverlässig wie beim iPhone. Um per iCloud einen Mac aufzufinden und zu sperren, muss sich dieser erst in ein WLAN einbuchen. Bei einem gestohlenen Mac mit Filevault ist dies nur möglich, wenn der Dieb das Passwort kennt oder den Mac als Gastnutzer verwendet.

Für Firmen oder Ärzte, die mit besonders sensiblen Daten arbeiten, ist Filevault aus einem weiteren Grund interessant: Steigt man auf einen neuen Mac um, muss man alle vertraulichen Patienten- oder Firmendaten zuverlässig löschen. Bei einer SSD genügt aber selbst mehrmaliges Überschreiben der Daten nicht, alle Datenspuren zuverlässig zu löschen. Es könnten immer noch Datenreste in Zwischenspeichern verfügbar sein und nicht jeder SSD-Hersteller bietet Tools für das zuverlässige Löschen seiner SSDs an. Die mit Filevault geschützten Daten sind dagegen schon nach einer simplen Neuformatierung nicht mehr wiederherstellbar.

Alternativen zu Filevault

Filevault ist nicht die einzige Verschlüsselungslösung, die eine komplette Geräteverschlüsselung bietet. Vom britischen Hersteller Sophos gibt es die Firmen-Lösung Safe Guard Disk Encryption, von Symantec die Lösung Symantec Endpoint Protection bzw. PGP. Bei diesen Lösungen steht aber vor allem die Verwaltung verschlüsselter Firmenrechner im Vordergrund. Für Einzelanwender sind sie weniger interessant. Unzählig sind außerdem Programme für die Verschlüsselung einzelner Ordner und Dateien wie der Truecrypt-Nachfolger Veracrypt oder Knox .

Fazit

Filevault ist nicht perfekt, für Firmen und mobile Anwender bietet es aber brauchbare Datensicherheit. Selbst Behörden sollten mit der Verschlüsselung Probleme bekommen. Wichtig ist vor allem die Wahl eines zuverlässigen Passwortes. Machtlos ist außerdem jedes Sicherheitssystem, wenn ein Rechner im Büro und Café ungesperrt und unbeaufsichtigt ist.