Neuere Macs sind mit einem T2-Sicherheits-Chip mit eigener Secure Enclave ausgestattet, einem manipulationssicheren Chip, der ein hohes Maß an Sicherheit wie bei iPhone und iPad ermöglicht. Er wird verwendet, um Touch ID zu aktivieren und Apple Pay auf Laptops zu ermöglichen, aber er übernimmt auch eine Reihe anderer Aufgaben, einschließlich der Verschlüsselung der gesamten Festplatte. (Den T2-Chip baut Apple seit Herbst 2017 in seine Macs ein).
Bei Modellen vor dem T2-Chip verwendet das macOS eine Kombination aus Software- und Hardware-beschleunigter Verschlüsselung, um alle Daten auf Ihrer Festplatte mit FileVault zu verschlüsseln, die über den Reiter “FileVault” in den Systemeinstellungen “Sicherheit” ein- und ausgeschaltet werden kann. Es kann extrem lange dauern, bis FileVault auf diesen älteren Macs ein Laufwerk beim ersten Mal vollständig verschlüsselt und ein System während der Ausführung blockiert. Danach handhaben Macs im Allgemeinen das Lesen und Schreiben mit fast der gleichen Geschwindigkeit, als ob die Daten nicht verschlüsselt wären.
FileVault verhindert, dass die Daten auf einer Festplatte im Ruhezustand – nicht eingeschaltet und eingeloggt – auf irgendeine effektive Weise extrahiert werden können. Die Daten sind nur ein Haufen digitaler Müll ohne Zugriff auf den Schlüssel, und der Schlüssel kann nicht ohne das Passwort eines der mit FileVault verknüpften Konten auf dem Mac abgerufen werden, das beim Start eingegeben werden muss, um das Laufwerk zu entsperren.
Nachdem der T2-Chip die Verschlüsselung verwaltet, was kann FileVault auf diesen neueren Modellen noch tun? Das ist ziemlich subtil.
Wenn FileVault auf einem T2-Mac mit T2-Chip ausgeschaltet ist und ein Angreifer das Laufwerk von einem Mac extrahiert hat, bleibt der Inhalt unzugänglich. Das ist eine Verbesserung gegenüber Macs vor der T2-Version, bei denen die nicht durch FileVault geschützten Inhalte vollständig lesbar waren.
(Das Ergebnis ist übrigens, dass mit T2 ausgestattete Macs, die über Find My den Befehl “Diesen Mac löschen” erhalten, fast augenblicklich “gelöscht” werden, genau wie ein Mac ohne T2-Chip und mit aktiviertem FileVault: Das Löschen des Verschlüsselungsschlüssels macht den Inhalt des Laufwerks dauerhaft unwiederbringlich).
Ohne aktiviertes FileVault muss ein Mac jedoch lediglich gebootet werden, damit die Verschlüsselung der gesamten Festplatte zu funktionieren beginnt, auch wenn er sich nicht automatisch bei einem Konto anmeldet. Während die Verschlüsselung an einen Hardwareschlüssel gebunden ist, der von der Secure Enclave im T2-Chip verwaltet wird, beginnt die Entschlüsselung, sobald der Mac zu einem Anmeldebildschirm gebootet wird. Ein Missetäter könnte in der Lage sein, das macOS zu umgehen oder Hardware-Methoden zu verwenden, um auf Daten vom laufenden Laufwerk zuzugreifen.
Schalten Sie jedoch FileVault ein, und ein mit dem T2-Chip ausgerüsteter Mac startet mit dem gleichen Boot-Verhalten wie ein Mac, der die Plattenverschlüsselung in Software handhabt. Anstatt das macOS direkt zu laden, bootet die Wiederherstellungspartition in einem speziellen Modus, der die Eingabe des Kennworts jedes Kontos erfordert, dem die Verwendung von FileVault gestattet ist. Bis zur Eingabe dieses Kennworts bleibt der Inhalt der Platte verschlüsselt, genau so, als befände sie sich im Ruhezustand.
Wir empfehlen, FileVault auf mit T2 ausgestatteten Macs zu aktivieren, um größtmögliche Sicherheit und Seelenruhe zu gewährleisten. Der Bonus? Da der T2-Chip das Laufwerk bereits verschlüsselt hat, gibt es keine Verzögerung: FileVault wird sofort aktiviert.