2413652

Verschlüsselte USB-Sticks für andere Mac-Nutzer ohne Passwort zugänglich

06.03.2019 | 13:36 Uhr | Stephan Wiesend

Haben mehrere Benutzer auf einen Mac Zugriff, ist ein verschlüsselter USB-Sticks überraschend ungeschützt.

Auf einen schweren Sicherheitsfehler von Mojave machte uns gestern ein Leser aufmerksam, der es auch wirklich in sich hat. Das Problem: Um sensible Daten zu schützen, haben sich verschlüsselte USB-Sticks und Festplatten bewährt. Man kann sie bequem per Finder oder dem Tool Veracrypt erstellen, erst nach Eingabe eines Passwortes ermöglichen sie den Zugriff auf ihre Inhalte. Zu seinem Erstaunen stellte der Leser aber fest: Sperrt man den Rechner per Bildschirmsperre, sind die Nutzerdaten geschützt. Man kann sich aber mit einem Gastaccount anmelden und hat kompletten Zugriff auf die verschlüsselten Daten auf dem externen Speichergerät! Das Volume wird auch unter dem Gastaccount angezeigt und der Nutzer hat trotz eingeschränkter Zugriffsrechte vollen Zugriff auf die Daten des verschlüsselten Volumes. Es muss nur unter dem anderen Account entsperrt worden sein.

Auch unser erster Eindruck: Ein schwerer Sicherheitsfehler, den Apple unbedingt beheben sollte.

Das wird wohl aber nicht passieren: Das Problem ist nämlich genau genommen kein neuer und noch nicht entdeckter Bug, macOS Mojave funktioniert genau so wie beabsichtigt. Es handelt sich um einen lange bekannten Schwachpunkt bei Mehrbenutzersystemen, der allerdings vielen Anwendern völlig unbekannt ist. Die Entwickler von Veracrypt haben es zwar in ihrer Dokumentation zumindest kurz erklärt , es ist aber eine bekannte Schwäche, die neben macOS auch Windows betrifft.

Schließt man eine Festplatte oder einen USB-Stick an einen Mac an, wird das Dateisystem gemountet. Im Finder erscheinen Symbol und Name des Laufwerks und man kann auf die Inhalte zugreifen. Bei einem verschlüsselten Volume muss dieses Mounten erst durch ein Passwort erlaubt werden. Was man als Anwender nicht wissen kann bzw. erwartet: Nach erfolgreicher Einbindung wird das Laufwerk grundsätzlich nicht nur für den jeweiligen Benutzer, sondern alle Benutzer gemountet. Auch ein Gast-Account hat deshalb Zugriff auf die Daten – das Passwort wurde ja eingegeben.

Lösen kann man dieses Problem durch den Verzicht auf mehre Benutzer oder das Entmounten vor einem Benutzerwechsel. Profis können außerdem per Info-Fenster die Zugriffsrecht für den USB-Stick ändern. ("Eigentümer auf diesem Volumen ignorieren").

Nutzt man einen verschlüsselten USB-Stick, sollte man sich dieser Schwäche bewußt sein – etwa wenn man sich einen Rechner mit einem Kollegen teilt. Nutzlos ist die Verschlüsselung ja keineswegs. Schützen soll sie aber vor allem vor Dritten, etwa wenn der Stick verloren geht oder gestohlen wird.

Feedback an die Redaktion

Macwelt Marktplatz

2413652