Warum werden die Daten per Time Machine nicht unverschlüsselt gesichert?

… vermutlich, weil es viel effizienter ist, Daten nicht Datei für Datei, sondern in Blöcken zu sichern.

gute Artikel. Danke für die vielen wichtigen Informationen.
Hätte aber noch eine Frage: Warum werden die Daten per Time Machine nicht unverschlüsselt gesichert? Wie du selbst hier irgendwo geschrieben hast, verwendest du FileVault nur auf mobilen Geräten. Meine externe Festplatte, die in der Regel zuhause liegt, muss nicht verschlüsselt sein.
Man kann sie (externe HD) in einen echten Safe legen

mfg Manu

Auf meinen Mabook habe ich internet sharing aktiviert damit meinen iMac ins Internet gehen kann. Funktioniert perfekt aber ist unsicher. Durch Internet Sharing jeder im Haus kann meine Internt leitung benutzen. Wie kann ich es verhindern?

Teilst Du denn mit allen anderen im Haus ein lokales Netzwerk?

Danke

Nun - für Intel Macs (da sie OpenFirmware nicht mehr benutzen) konnte ich dieses Tool nicht finden. Weiss jemand ob es etwas vergleichbares gibt?

Intel-Macs verwenden das Extensible Firmware Interface (EFI) anstelle von Open Firmware. Das EFI-Passwort kannst Du mit dem entsprechenden Hilfsprogramm auf der «Leopard»- oder «Tiger»-DVD setzen, das Du unter /Applications/Utilities/ findest.

Eine weitere Möglichkeit ist die Verwendung von rEFIt (siehe dazu http://refit.sourceforge.net/).

Vielen Dank.
Ciao,
Alexander

Ich sehe zwei Probleme: DMGs sind schnell einmal grösser als die 10 MB, die für den Versand per E-Mail noch halbwegs Sinn ergeben. Und DMGs können AFAIK nur mit Mac OS X geöffnet werden.

zu Verschlüsselung unter Mail:

Mache es bei mir immer so, dass ich unter Leopard verschlüsselte 256 Bit Images (DMG) anlege und dann per Email versende. Dort kann man ja alles reinpacken wie Texte, Bilder und so weiter. So ist auch eine sichere Kommunikation gewährleistet und ich brauche keine zusätzlichen Programme zu installieren.

Grüße it-fuzzi

http://www.pcworld.com/article.....ticle.html

Waren das noch Zeiten als Mac = Sicherheit!

Ich nehme an, dass die PGP Desktop 9.6 Version nicht mit Leopard kompatibel ist (deswegen die 9.7 Beta?) ?

Ja, genau. Ausserdem muss man bei PGP einem kommerziellen Softwarehersteller vertrauen, der Open Source-Charakter ist weniger ausgeprägt … umgekehrt haben sich die Mac-GnuPG-Macher aber auch schon einige Fehler geleistet und wer die jeweils aktuellsten Versionen nutzen möchte, muss sowieso selbst kompilieren.

GPGMail übrigens müsste mit der Apple Mail-Version von «Leopard» noch halbwegs funktionieren, wenn man das automatische Entschlüsseln von E-Mails deaktiviert. Ausprobiert habe ich diesen Tipp aber nicht.

Viele Grüße

Todde

Todde

Leider geht bei meinem Leopard die aktive Ecke für das Aktivieren des Bildschirmschoners nicht mehr. Jetzt kriege ich meinen Screen nicht so gesperrt, dass Time-Machine weiterläuft.

Was genau funktioniert nicht? Die aktive Ecke oder das Sperren? Läuft per aktive Ecke der passwortgeschützte Bildschirmschoner, müsste Time Machine noch funktionieren, solange sich der Mac nicht schlafen legt …

mal ne andere frage. wie stelle ich denn ein das eine abfrage nach unsicheren dateien stattfindet. wenn ich ne datei ausm netz laden und sie mit einem programm auf machen will dann warnt er mich immer ob sie denn wirklich sicher sei. dies ist für meinen workflow eher unnütz.

kann man es irgendwo deaktivieren?

Unter http://henrik.nyh.se/2007/10/l.....quarantine findest Du eine mögliche Lösung … sie ist leider vergleichsweise aufwendig, aber eine einfachere kenne ich für den Moment nicht.

mal ne andere frage. wie stelle ich denn ein das eine abfrage nach unsicheren dateien stattfindet. wenn ich ne datei ausm netz laden und sie mit einem programm auf machen will dann warnt er mich immer ob sie denn wirklich sicher sei. dies ist für meinen workflow eher unnütz.

kann man es irgendwo deaktivieren?

gruß
naavv

Hallo,
mir ist nicht ganz klar, ob die Passwörter (sowohl beim Anmelden, als auch für den Schlüsselbund) nur sinnvoll sind bei mehreren Computernutzern denen man nicht 100% vertraut. Ich melde mich automatisch als normaler User an (ohne Adminrechte) und habe auch kein extra Schlüsselun-Passwort.
Ist das relevant in Bezug aufs Internet?

Ein eigenes Passwort für den Schlüsselbund ist empfehlenswert, weil dieses nicht zurückgesetzt werden kann – im Gegensatz zum Benutzerpasswort, das sich unter anderem per Hilfsprogramm auf dem Mac OS X-Datenträger von jedermann mit direktem Zugriff auf ein Mac-System zurücksetzen lässt … ein Dieb beispielsweise könnte so zwar auf Deine Benutzerdaten zugreifen, nicht aber auf die im Schlüsselbund gespeicherten Passwörter, sofern ein genügend «starkes» Passwort Verwendung findet.

ok, werds mir merken… wie du ja selber gesehen hast, hab ich keinerlei falsche Versprechungen oder Besitzansprüche geltend machen wollen.

Danke nochmals für dein Verständnis und deine Mühe

Es freut mich, dass Dir mein Blogeintrag mit Sicherheitstipps für Mac OS X «Leopard» derart gut gefallen hat, dass Du ihn gleich /- vollständig übernommen «archiviert» hast. Für die Zukunft wäre ich aber froh, wenn Du mich in solchen Fällen im Voraus kontaktieren und um Erlaubnis bitten würdest … mit «solchen Fällen» meine ich selbstverständlich nur die vollständige Übernahme, Verlinken und Zitieren ist unproblematisch und ja auch erwünscht – ein Beispiel dafür findet sich unter http://apfelblog.ch/mac/sicher.....ac-wichtig im ApfelBlog.

(mit Betonung auf «in Zukunft»)

Bei weiteren Fragen in diesem Zusammenhang stehe ich per E-Mail unter macmacken@macmacken.com gerne zur Verfügung.

Wie ich bereits in meinem Blog geschrieben habe, finde ich diesen Artikel einfach sensationell und fände es deshalb schade wenn er verloren gehen würde.
Ich habe auch eine ganz klare Quellenangabe drin und habe nie auch nur mit einem Wort behauptet dass dies mein Artikel sei, im Gegenteil…es stand von Anfang an drin dass dies das Werk von MacMacken ist.
Wie ich ebenfalls in der Einleitung geschrieben habe werde ich den Beitrag natürlich entfernen falls DU, MacMacken, damit nicht einverstanden bist, dass er bei mir auf der Seite zu finden ist.
Schöne Grüsse
Tom

Da hat einer Deinen Artikel geklaut, ganz schön frech!

Vielen Dank für Deinen Hinweis, ich werde der Sache nachgehen …

http://www.macventure.ch/index.....opard.html

Kann ich Time Machine so einrichten, dass nur meine eigenen Daten gesichert werden?

AFAIK kann man bislang nur Daten von der «Time Machine»-Datensicherung ausschliessen, nicht aber Daten gezielt für die Datensicherung auswählen.

Das ist natürlich komplett unbrauchbar.

… störend ist vor allem auch, dass die Datensicherung nach der Benutzerabmeldung erfolgt und man während dieser Zeit nicht am Mac arbeiten kann. Immerhin lässt sich die Datensicherung abbrechen.

Wer Time Machine nutzt und FileVault aktiviert, erhält übrigens folgende Warnung angezeigt:

Zu den Schlüsselbunden fällt mir noch was ein: es ist zwar ratsam, dem Login-Schlüsselbund ein anderes Passwort zu geben als das Login-Passwort, aber es ist auch umständlich, weil man so nie Dienste automatisch starten lassen kann, die den Zugriff auf den Schlüsselbund erfordern (iChat starten, Shares automatisch öffnen etc).

Ist man per WLAN online, muss man gleich nach der Anmeldung das Passwort für den Schlüsselbund eingeben und damit besteht das beschriebene Problem nicht mehr beziehungsweise nur noch in Abhängigkeit vom konfigurierten Zeitraum, nach dem das Passwort erneut eingegeben werden muss.

Solange die Benutzer ihre Daten innerhalb ihres Benutzerverzeichnisses ablegen, ist FileVault allerdings genauso sicher wie eine Verschlüsselung der ganzen Festplatte.

… leider nur, wenn man sich darauf verlassen kann, dass alle Daten im Benutzerverzeichnis liegen. Das (inzwischen behobene) Problem mit dem sicheren virtuellen Speicher zeigt, dass man sich darauf nicht verlassen sollte. Bedenklich ist in diesem Zusammenhang, dass «sicherer virtueller Speicher» beim Einrichten von FileVault nicht standardmässig aktiviert wird.

jeder zweite vergisst sein Passwort. Ich weiss nicht, wie oft ich schon mit der SystemCD Zugänge wieder freigemacht habe. Aber mit FileVault sind bei vergessenem Passwort alle Daten weg, unwiderruflich. Und kein Backup bringt sie wieder, wenn sie dort auch verschlüsselt sind. Würdest du als Supporter das Risiko eingehen?

Für Administratoren gibt es das so genannte Hauptkennwort; damit kann der FileVault-Schutz bei Benutzern aufgehoben werden.

@Nicolas:

Wie funktioniert das mit den verschlüsselten Disk-Images? Ich habe das auch schon versucht, aber mit den Library-Dateien funktionierte es nie!

AFAIK kann man Daten, die im /Library/-Verzeichnis des Benutzers gespeichert werden, nicht sinnvoll mit einem verschlüsselten DMG schützen.

@MacMacken
Danke für die ausführliche Darstellung, so was ähnliches hatte ich mir schon gedacht. Das ist natürlich komplett unbrauchbar. Da verschlüsselte Dateien bei jeder Sicherung komplett gesichert werden müssen und eine inkrementelle Sicherung nicht möglich ist, läuft die Backupplatte schon nach ein paar Tagen über … @Friedrich: wie sichert ihr die verschlüsselten Platten eurer Laptops?

@Nicolas
Ich erstelle einfach mit dem Festplatten-Dienstprogramm verschlüsselte Disk-Images und lege meine wichtigen Daten darauf ab. Sehr wichtige Textdaten (wie Passwörter etc.) lege ich in eigenen Schlüsselbünden ab, die ein anderes Passwort haben als der Login-Schlüsselbund. Die persönlichen Daten meiner Kunden lege ich mit Programmen an, die ihrerseits Verschlüsselung zulassen, da gibt es einige. Wenn es sehr sicher sein soll, lege ich diese Dateien zusätzlich noch in Disk-Images ab. Ich halte diese Images sehr klein, da jede kleine Änderung natürlich dazu führt, dass das Image komplett neu gesichert wird. Das kann sich ziemlich schnell aufsummieren. Mit Dateien in der Library habe ich es noch nicht versucht. Was konkret hast du vor?

Hinter TimeMachine steht m. E. eine Technik, wie sie auch von rSyncX angewendet wird. Ich sichere bisher meine Tiger-Rechner damit, und war ziemlich begeistert davon (TimeMachine toppt das natürlich). Es ermöglicht inkrementelle Backups, die wie bei TimeMachine jede für sich in einem Ordner liegen. Tatsächlich werden aber nur geänderte Dateien gespeichert, die anderen werden mit Hilfe von Hardlinks verknüpft. rSyncX muss leider geskriptet werden, was ziemlich umständlich ist, aber einmal eingerichtet können FileVault-Volumes damit inkrementell in eine verschlüsselte Festplatte gesichert werden

Zu den Schlüsselbunden fällt mir noch was ein: es ist zwar ratsam, dem Login-Schlüsselbund ein anderes Passwort zu geben als das Login-Passwort, aber es ist auch umständlich, weil man so nie Dienste automatisch starten lassen kann, die den Zugriff auf den Schlüsselbund erfordern (iChat starten, Shares automatisch öffnen etc). Ich teste gerade eine andere Variante: der Anmelde-Schlüsselbund hat das gleiche Passwort wie das Login, ist aber nicht der Standard-Schlüsselbund. Ich habe dazu einen anderen erstellt, mit einem ziemlich sicheren Passwort. Alle neu angelegten Passwörter kommen so automatisch nicht in den Anmelde-Schlüsselbund sondern in den zweiten Schlüsselbund. Wenn ich einen Dienst anlege, der automatisch starten soll (z. B. Login ins Airport etc.) dann verschiebe ich einfach den Eintrag vom sicheren in den Anmelde-Schlüsselbund. Das darf natürlich nichts wirklich Vertrauliches sein. Das scheint unter Leopard gut zu funktionieren.

Gruß
Peter

FileVault kann ich mit Leopard nicht mehr verwenden, weil Time Machine ansonsten nur noch damit beschäftigt wäre und ich mich auch noch ausloggen muss für das Backup. Funktioniert Time Machine mit verschlüsselten Disk-Images?

Schöne Liste, aber Hand aufs Herz: was nutzt du selbst davon und was nutzt du nicht und warum nicht?

Ich nutze all die beschriebenen Sicherheitstipps (und noch einige mehr). FileVault allerdings nur auf mobilen Macs.

Wie du so schön sagst: bei allen Sicherheitseinstellungen muss Brain 1.0 entscheiden, ob (und vor allem wann) man sie braucht und wann nicht.

Genau … ich selbst halte die beschriebenen Sicherheitstipps zwar für grundlegend (und entsprechend «für Anfänger»), aber letztlich muss jeder Benutzer selbst wissen, welchen Grad an Sicherheit er benötigt. Einige Sicherheitstipps sind trivial und kosten kaum Komfort, alle anderen kann man ausprobieren und allenfalls wieder darauf verzichten.

Hast Du FileVault im Zusammenhang mit TimeMachine schon mal getestet? Würde mich interessieren, wie das funktioniert. Sind die Daten im Backup verschlüsselt? Sie sollten es eigentlich sein; wobei ich nicht glaube, dass das machbar ist.

Time Machine sichert mit FileVault geschützte Benutzerverzeichnisse, aber der entsprechende Benutzer muss dafür abgemeldet sein. Time Machine funktioniert also grundsätzlich auch mit FileVault, aber wie bei anderen Backuplösungen besteht leider ein Widerspruch zwischen komfortabler Datensicherung und zuverlässiger Datensicherheit durch Verschlüsselung.

Ursprünglich hiess es übrigens, Time Machine würde FileVault direkt unterstützen und die mit FileVault geschützten Benutzerdaten in ein verschlüsseltes Disk Image sichern, doch scheint es diese Funktion nicht in die ausgelieferte «Leopard»-Version geschafft zu haben.

Auf die übrigen Themen, die Du angesprochen hast, insbesondere auch im Zusammenhang mit FileVault, möchte ich bei Gelegenheit zurückkommen. Besten Dank für Deine Anmerkungen!

Die tägliche Arbeit wird schon umständlicher und langsamer, wenn man das alles so einstellt. Wie du so schön sagst: bei allen Sicherheitseinstellungen muss Brain 1.0 entscheiden, ob (und vor allem wann) man sie braucht und wann nicht. ich nutze z. B. FileVault überhaupt nicht (du wahrscheinlich auch nicht?!), statt dessen sind die wirklich vertraulichen Daten für sich verschlüsselt in Disk-Images. (Die könntest du deiner Liste noch hinzufügen - sind in meinen Augen deutlich praktischer als FileVault und vor allem viel weniger riskant).

Nicht nur das FileVault-Passwort entscheidet über die Sicherheit sondern vor allem das Login-Passwort. Das wird schließlich zum Entschlüsseln der Daten verwendet. Damit das Ganze Sinn macht, sollte also das Login-Passwort mindestens 8 Buchstaben, Zahlen und Sonderzeichen haben. Bei wem macht ein derartiger Aufwand Sinn? Vielleicht ein Rechtsanwalt oder ein Steuerprüfer oder ähnliche Berufe mit hochbrisanten Daten. Aber Otto Normaluser?

Vor allem wenn ich das damit verbundene Risiko bedenke: Wenn der Anwender sein Passwort vergisst, es schließlich über die SystemCD zurücksetzt, und sich dann wundert, dass er seine Daten trotzdem nicht sieht. Ich leiste viel zu oft Support um mir da noch irgendwelche Illusionen zu machen: jeder zweite vergisst sein Passwort. Ich weiss nicht, wie oft ich schon mit der SystemCD Zugänge wieder freigemacht habe. Aber mit FileVault sind bei vergessenem Passwort alle Daten weg, unwiderruflich. Und kein Backup bringt sie wieder, wenn sie dort auch verschlüsselt sind. Würdest du als Supporter das Risiko eingehen? Ich nicht. Niemals würde ich irgend jemand FileVault empfehlen, der nicht in einem Hochsicherheitsbereich arbeitet und somit von Haus aus mit höchsten Sicherheitsanforderungen vertraut ist und die Risiken kennt.

Hast Du FileVault im Zusammenhang mit TimeMachine schon mal getestet? Würde mich interessieren, wie das funktioniert. Sind die Daten im Backup verschlüsselt? Sie sollten es eigentlich sein; wobei ich nicht glaube, dass das machbar ist.

Man sollte diese Sicherheitseinstellungen kennen und dann nutzen, wenn man sie braucht. Das hat zusätzlich den schönen Nebeneffekt, dass man immer wieder über Sicherheit nachdenkt und vor allem immer wieder mal seine Einstellungen kontrolliert.

Solltest Du jemals auf die Idee kommen, AV-Software zu empfehlen, dann lies zuerst bitte http://www.oschad.de/wiki/index.php/Virenscanner genau durch!