Das Erscheinen von Mac OS X 10.7 «Lion» mit vielen bereits von Microsoft Windows bekannten Funktionen – SCNR! – steht unmittelbar bevor. Viele Weblogs veröffentlichen aus diesem Grund Empfehlungen, wie man seinen Mac für die Aktualisierung vorbereiten soll. Für alle, die nicht warten können, bis die ersten gröberen Fehler behoben sind und all ihre Anwendungen wirklich «Lion»-tauglich erscheinen, halte ich zur Vorbereitung nur etwas notwendig, ja für unverzichtbar: Datensicherung!

Bild via «nichewp»-Weblog.

Ich verwende für meine Datensicherung SuperDuper! – die aktuelle Version ist bereits «Lion»-kompatibel und die kostenlose Version genügt um sein bestehendes System als zuverlässige Datensicherung zu klonen. Im Fall der Fälle ist eine solche Datensicherung wesentlich effizienter für die Wiederherstellung als mittels «Time Machine» (oder gar via «Time Capsule») gesicherte Daten. Ausserdem kann man ab Datensicherungen von SuperDuper! bei Bedarf auch direkt starten, das heisst sogar ohne Wiederherstellung weiterarbeiten.

Für jene Mac OS X-Benutzer, die VileFault FileVault verwenden, eine weitere Empfehlung: Mac vor der «Lion»-Aktualisierung entschlüsseln. So kann man direkt nach der Mac OS X-«Lion»-Aktualisierung auf die neue FileVault-Version umsteigen.

P.S.: Das Schweizer Apple-Portal «macprime.ch» bittet um Unterstützung durch den Kauf von Mac OS X «Lion» über den entsprechenden «macprime.ch»-Partner-Weblink. Wieso auch nicht?

Schütze alle Daten auf deinem Mac jetzt noch besser mit der XTS-AES 128 Datenverschlüsselung auf Volume-Ebene. Die Erstverschlüsselung erfolgt schnell und unauffällig – während du arbeitest, wird alles im Hintergrund verschlüsselt. FileVault bietet auch Verschlüsselung für deine externen Laufwerke und erlaubt es, alle Daten sofort von deinem Mac zu löschen.

Vielen Dank für die zahlreichen Leserhinweise per E-Mail!

Obiges Diagramm zeigt die erzielten Punkte mit Xbench, nachfolgende Diagramme die jeweils benötigte Zeit in Sekunden.

FileVault führt ebenfalls zu einer Leistungseinbusse, doch fällt diese wesentlich geringer aus als bei der Verwendung von PGP WDE. Leider ist die Nutzung von FileVault dabei mit zahlreichen Nachteilen verbunden, insbesondere funktioniert die stündliche Datensicherung mit «Time Machine» nicht … wie meistens bei Fragen der Sicherheit muss man als Benutzer auch in diesem Fall entscheiden, wo die eigenen Prioritäten liegen.

«FileVault nicht mehr sicher: Forscher knacken Festplatten-Verschlüsselung»

… schreibt Lars Schenk per Kommentar in seinem Weblog.

Zuerst einmal: Don’t panic! Bedauerlicherweise hat FileVault viele Schwächen, aber mangels Alternativen bleibt FileVault weiterhin empfehlenswert für alle Mac-Benutzer, die ihr Benutzerverzeichnis schützen möchten, insbesondere auch auf MacBooks. Das von Lars Schenk erwähnte neue Sicherheitsproblem ist zwar unerfreulich, doch werden FileVault und all die anderen davon betroffenen Verschlüsselungslösungen dadurch glücklicherweise nicht nutzlos.

Heise Online beschreibt das neue Sicherheitsproblem wie folgt:

Festplatten- und Datei-Verschlüsselung mit Bitlocker unter Vista, dm-crypt in Linux, mit TrueCrypt oder auch Apples FileVault galt bislang als sicher. Forscher … haben nun demonstriert, wie man mit physischem Zugriff auf angeschaltete Rechner oder Rechner im Standby-Modus mit einfachen Mitteln an die Schlüssel zur Entschlüsselung gelangen kann.

Die Forscher nutzen den Effekt aus, dass Daten im DRAM nicht sofort nach der Kappung der Stromzufuhr verloren gehen, sondern erst nach einem kurzen Zeitraum von wenigen Sekunden bis hin zu einer Minute. … Bei der Kühlung mit flüssigem Stickstoff erreichten die Forscher [sogar] eine Haltbarkeit der Daten im Stundenbereich.

[…]

In den Speicherabbildern kann man nach den Schlüsseln für die Festplattenverschlüsselung suchen. Da nach dem Ausschalten schon Informationen in den Speicherzellen verloren gegangen sein können, haben die Forscher einige Algorithmen entwickelt, mit denen sie Passwörter auch bei geringen Fehlern aufspüren und in kurzer Zeit wiederherstellen können.

[…]

Im Ergebnis unerfreulich, aber kein Grund zur Panik!

FileVault selbst funktioniert wie gewohnt und es gilt wie schon bisher, dass man sich bei der Verwendung von FileVault jeweils als Benutzer abmelden oder das System herunterfahren sollte. Ohne Benutzerabmeldung sind die mit FileVault geschützten Daten unverschlüsselt zugänglich, ohne Herunterfahren stellt sich das oben beschriebene Sicherheitsproblem mit dem Arbeitsspeicher. Schaltet man ein System hingegen aus, lässt sich der Arbeitsspeicher schon nach kurzer Zeit nicht mehr auslesen, es sei denn, man erlaubt jemandem, den Arbeitsspeicher zu kühlen und damit das Auslesen während längerer Zeit zu ermöglichen …

Umfassende Informationen zum Thema sind unter http://citp.princeton.edu/memory/ zu finden.

… Apple schreibt, man könne die «Recovered Files» üblicherweise problemlos löschen und solle allenfalls mit dem Entwickler der betroffenen Anwendung Kontakt aufnehmen …

You can retrieve useful files by dragging them out of the Trash. In most cases, however, the temporary files are not important and it is safe to empty your Trash. Check with the manufacturer of the application if you are not sure.

… interessanterweise befindet sich unter den «Recovered Files» meistens der temporäre Ordner für PDF-Downloads. Hoffentlich nehmen nun nicht alle Kontakt mit Apple auf!

Mac OS X bietet mit FileVault die Möglichkeit, die eigenen Benutzerdaten verschlüsseln zu lassen. Leider verwenden viele Mac-Benutzer FileVault nicht; einige glauben, sie hätten nichts zu verbergen, die meisten aber fürchten sich vor einem FileVault-bedingten Datenverlust oder lassen sich von den zahlreichen bestehenden FileVault-Schwächen abschrecken.

Bild: Flickr-Benutzer «96dotsperinch», BY-NC 2.0-Lizenz von Creative Commons

Gleichzeitig ist Verschlüsselung aber für jeden mobilen Mac-Benutzer eine Notwendigkeit – Stichwort «Diebstahlgefahr»! – und unter all den heute verfügbaren Verschlüsselungslösungen für den Mac stellt FileVault weiterhin die beste akzeptabelste Lösung dar. FileVault in der Mac OS X «Leopard»-Version nutzt darüber hinaus so genannte Sparse Bundles, was gegenüber den früher verwendeten Disk Images die Stabilität wesentlich verbessert. Nachfolgend deshalb acht Tipps für das sichere Einrichten von FileVault – für Ergänzungen, Fehlermeldungen und weitere Fragen in diesem Zusammenhang steht wie gewohnt die Kommentarfunktion zur Verfügung …

1. Sichere Grundkonfiguration von Mac OS X gewährleisten

Das sichere Einrichten und Nutzen von FileVault setzt voraus, dass die grundlegende Sicherheit von Mac OS X bereits gewährleistet ist – siehe dazu «10 × Mac OS X «Leopard»-Sicherheit für Anfänger» für die entsprechende Grundkonfiguration.

Besonders wichtig für FileVault ist, dass man über zwei Benutzer verfügt – man arbeitet als gewöhnlicher Benutzer, kann sich bei Bedarf aber als Administrator anmelden. Weiter wichtig sind die Verwendung von sicherem virtuellen Speicher, das Setzen von sicheren Benutzerpasswörtern und die Passwortabfragen beim Anmelden sowie nach dem Beenden von Ruhezustand und Bildschirmschoner. Erklärungen dazu finden sich in den oben bereits erwähnten Anfängertipps zur Sicherheit von Mac OS X «Leopard».

2. Datensicherung vor dem Aktivieren von FileVault durchführen

FileVault läuft unter Mac OS X «Leopard» sehr stabil, aber für den Fall der Fälle sollte man vor dem Aktivieren von FileVault eine Sicherungskopie des gesamten Systems anlegen. Man kann dafür «Time Machine» verwenden, aber auch ein Programm wie «SuperDuper!». Dabei muss man darauf achten, dass die Sicherheitskopie zur Wiederherstellung taugt, das heisst sie muss alle Benutzerdaten enthalten und die Wiederherstellung muss tatsächlich funktionieren – beides sollte man im eigenen Interesse gewissenhaft überprüfen.

3. Benutzerdaten von der FileVault-Verschlüsselung ausschliessen

FileVault verschlüsselt das gesamte Benutzerverzeichnis, Ausnahmen lassen sich nicht definieren. Benutzerdaten, die man nicht von FileVault verschlüsseln lassen möchte, muss man deshalb aus dem eigenen Benutzerverzeichnis anderswo hin verschieben – ein möglicher Verschiebungsort ist Ordner «Für alle Benutzer». In diesem Ordner liegen übrigens auch die (allerdings verschlüsselten) Daten der P2P-Speicherlösung «Wuala».

Für das Verschieben, das heisst den Verzicht auf die FileVault-Verschlüsselung für ausgewählte Benutzerdaten, spricht im Wesentlichen der negative Einfluss von FileVault auf die Systemleistung. FileVault kann beispielsweise die Virtualisierung mit Paralles Desktop oder VMware Fusion spürbar verlangsamen.

4. Speicherplatz für FileVault freigeben

Beim Aktivieren von FileVault wird ein verschlüsseltes Sparse Bundle erstellt, wohin dann die Benutzerdaten kopiert werden. Erst nach dem Kopieren in das Sparse Bundle werden die Benutzerdaten am bisherigen Speicherort gelöscht. In der Folge muss für das Aktivieren von FileVault der Speicherplatz für die Benutzerdaten doppelt zur Verfügung stehen; ist dies nicht der Fall, wird das Aktivieren von FileVault mit einer Fehlermeldung abgebrochen und man muss temporär den notwendigen Speicherplatz freigeben. Am einfachsten ist das Freigeben durch ein «Zwischenlagern» der entsprechenden Daten auf einer externen Festplatte; nach dem Aktivieren von FileVault kann man die «zwischengelagerten» Daten wieder zurück verschieben.

5. FileVault aktivieren

Nach den vier oben beschriebenen Schritten kann man FileVault – endlich! – aktivieren. Dazu ruft man die FileVault-Konfiguration unter Systemeinstellungen / Sicherheit / FileVault auf und wählt «FileVault aktivieren».

Da man seine Benutzerdaten per Verschlüsselung vor unbefugtem Zugriff schützen möchte, sollte man das sichere Löschen («Sicheres Löschen verwenden») der bisher unverschlüsselt gespeicherten Benutzerdaten verwenden. Damit wird durch mehrfaches Überschreiben verhindert, dass die mit FileVault neu verschlüsselten Benutzerdaten wiederhergestellt werden können.

Für den Fall, dass noch kein Hauptkennwort definiert wurde, muss man vor dem Einrichten ein solches eingeben. Das Hauptkennwort dient dem Freischalten der FileVault-Verschlüsselung, falls ein Benutzer sein Passwort für die Benutzeranmeldung (und damit auch FileVault) vergessen hat. Das Hauptkennwort muss deshalb genauso sicher gewählt werden wie das Benutzerpasswort, denn beide Passwörter erlauben den Zugriff auf die verschlüsselten FileVault-Daten.

6. Warten, warten, warten …

Das Aktivieren von FileVault nimmt viel Zeit in Anspruch, häufig einige Stunden. Hat man sich für das «sichere Löschen» entschieden, folgt nach dem eigentlichen Aktivieren von FileVault eine weitere Wartezeit für das sichere Löschen. Der Zeitbedarf für das sichere Löschen hängt von der zu löschenden Menge an unverschlüsselten Benutzerdaten ab und kann je nach Datenmenge unzählige Stunden betragen.

Während dem Aktivieren von FileVault kann man mit dem entsprechenden Mac-System nicht arbeiten. Man sollte deshalb für das Aktivieren von FileVault einen Zeitraum auswählen, während dem man das eigene System nicht benötigt, beispielsweise während der Nacht – Verschlüsselung sowie Löschung im Rahmen der Aktivierung von FileVault erfolgen automatisch und ohne weitere Benutzereingaben.

7. Mac OS X zum ersten Mal mit FileVault nutzen

Nach dem Aktivieren von FileVault kann man sich als Benutzer anmelden; im Rahmen der Anmeldung wird das verschlüsselte Sparse Bundle eingehängt (gemountet) und steht danach als Benutzerverzeichnis zur Verfügung. Es ist erfahrungsgemäss nützlich, wenn man sich direkt nach dem Aktivieren von FileVault zwei Mal anmeldet, das heisst man meldet sich an, ab und wieder an … Speicherort des Sparse Bundles ist das Benutzerhauptverzeichnis, wo es als nicht sichtbare Datei namens .benutzername.sparsebundle liegt.

Das Suchen mit Spotlight funktioniert nach dem Aktivieren von FileVault häufig nicht mehr. Dieses Problem kann man lösen, indem man die «Privatsphären»-Einstellungen von Spotlight aufruft (Systemeinstellungen / Spotlight / Privatsphäre), sein Benutzerverzeichnis hinzufügt und wieder entfernt. Danach sollte Spotlight mit dem Indexieren der mit Spotlight verschlüsselten Benutzerdaten beginnen.

8. Mac OS X mit FileVault sicher nutzen

Bei der alltäglichen Nutzung von Mac OS X mit FileVault ist wichtig zu beachten, dass die Verschlüsselung von FileVault nur schützt, wenn der entsprechende Benutzer abgemeldet ist. Man sollte sich deshalb die Abmeldung als Benutzer angewöhnen, sobald man seinen Mac für einige Zeit nicht benötigt, beispielsweise in der Nacht oder beim Transport.

Die Benutzerabmeldung ist darüber hinaus auch notwendig um die Datensicherung mit «Time Machine» durchführen zu können. Bei der Verwendung von FileVault erfolgt diese nicht mehr stündlich und mit Versionen der gesicherten Daten, sondern nur noch (aber immerhin!) bei der Benutzerabmeldung. Da diese Datensicherung nicht über das notwendige Minimum hinausgeht, empfiehlt sich eine erweiterte Datensicherung:

Einerseits kann man über sein «Administrator»-Benutzerkonto das gesamte System mit dem bereits erwähnten «SuperDuper!» regelmässig sichern, andererseits kann man ein Datensicherungsprogramm verwenden, das während der Verwendung von mit FileVault geschützten Benutzerdaten funktioniert. Letzteres ist beispielsweise mit «Jungle Disk» möglich, das die Benutzerdaten auch gleich noch extern (und halbwegs sicher verschlüsselt) auf Servern von Amazon speichert – mit dem Nachteil, dass sowohl das Programm «Jungle Disk» als auch das Speichern bei Amazon kostenpflichtig sind.

Apropos «Time Machine»: Hat man vor dem Aktivieren von FileVault bereits «Time Machine» für die Datensicherung genutzt, liegen die bisherigen Versionen der nun verschlüsselten Benutzerdaten unverschlüsselt auf der «Time Machine»-Festplatte. Es ist deshalb ratsam, die «Time Machine»-Festplatte sicher zu löschen und danach die Datensicherung mit «Time Machine» nochmals neu in Angriff zu nehmen. Das sichere Löschen der «Time Machine»-Festplatte ist im Festplattendienstprogramm möglich: «Time Machine»-Festplatte auswählen und danach «Löschen» mit «Sicherheitsoptionen …» / «Löschen in 7 Durchgängen» oder «Löschen in 35 Durchgängen» durchführen.

Fazit zu 8 × Tipps für das sichere Einrichten von FileVault

Die Verwendung von FileVault lohnt sich trotz allen damit verbundenen Mühen – jedenfalls dann, wenn man auf einem mobilen Mac über Benutzerdaten verfügt, die schützenswert sind, das heisst eigentlich immer und überall … auch wer keine beruflichen Geheimhaltungspflichten zwingend beachten muss, ist froh, dass seine Benutzerdaten nicht frei zugänglich sind, wenn der entsprechende Mac gestohlen wird oder schlicht irgendwo vergessen geht. Ähnlich wie bei der Datensicherung muss man für FileVault leider einen erheblichen Aufwand für einen Fall betreiben, der hoffentlich nie eintritt – tritt der schlimmste Fall aber ein, erweist sich FileVault als unersetzlich …

Der Dieb soll allerdings keine Freude an seinem Gerät haben. Mit den verschlüsselten Daten auf dem Rechner wird er nichts anfangen können […].

… wie beispielsweise auch Chaos Computer Club (CCC)-«Hacker» Tim Pritlove nach dem Diebstahl seines PowerBook als Glück im Unglück feststellen konnte.

FileVault ist seit «Panther» Bestandteil von Mac OS X und dient der sicheren Verschlüsselung der Benutzerdaten. Apple empfiehlt FileVault mit den folgenden Worten …

«Wenn Sie vertrauliche Informationen auf Ihrem Computer speichern, empfiehlt sich die Verwendung von FileVault. Wenn Sie beispielsweise die gesamten Finanzdaten Ihrer Firma auf Ihrem Mobilcomputer abgelegt haben, könnten Unbefugte im Falle eines Verlusts Ihres Computers Zugriff auf vertrauliche Daten erhalten und Ihrer Firma schaden. Sind Sie von Ihrem Account abgemeldet, wenn Ihr Computer verloren geht, und ist FileVault aktiviert, so sind Ihre Informationen geschützt.»

… im Blogeintrag zur Sicherheit von Mac OS X «Leopard» wurde die Verwendung von FileVault empfohlen, insbesondere auch für MacBook (Pro)-Benutzer. Gleichzeitig wurde angedeutet, dass FileVault unter einigen Schwächen leidet. Da FileVault auch in Kommentaren zu anderen Blogeinträgen immer wieder thematisiert wurde, finden sich nachfolgend die aus meiner Sicht zehn bedeutendsten Schwächen von FileVault in der Mac OS X «Leopard»-Version – wie immer mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar). Die Verwendung von FileVault bleibt dabei trotz allen Schwächen empfehlenswert, denn bislang gibt es auf dem Mac schlicht keine Alternativen!

1. Beschränkung der FileVault-Verschlüsselung auf Benutzerdaten

«[…] FileVault erstellt ein separates Volume für Ihren Benutzerordner und verschlüsselt dessen Inhalt. Die Daten in Ihrem Benutzerordner werden verschlüsselt und Ihre Informationen sind vor unbefugtem Zugriff geschützt, falls Ihr Computer verloren geht oder gestohlen wird. […]»

… so beschreibt Apple die Funktionsweise von FileVault, das heisst FileVault verschlüsselt ausschliesslich die Benutzerdaten im Benutzerverzeichnis /Benutzer/Benutzername/ – alle anderen Daten auf dem System werden von FileVault nicht erfasst. Damit kein Risiko besteht, dass zu schützende Daten unverschlüsselt gespeichert bleiben, wäre es wünschenswert, wenn FileVault die gesamte Festplatte verschlüsseln könnte. Leider bietet FileVault diesen Funktionsumfang bislang nicht und generell scheint es für den Mac im Gegensatz zu Microsoft Windows keine Lösungen für die Verschlüsselung der gesamten Festplatte zu geben.

2. Verwendung von schwacher Verschlüsselung für FileVault

Apple bewirbt die Sicherheit von FileVault unter anderem mit Verweis auf die Verwendung von AES-128 …

«[…] FileVault verwendet den neusten, durch die US-Regierung geprüften Verschlüsselungsstandard, den Advanced Encryption Standard mit 128-Bit-Schlüsseln (AES-128).»

… leider erläutert Apple nicht, wieso für das Verschlüsseln von gewöhnlichen Disk Images unter Mac OS X «Leopard» die stärkere Verschlüsselung mit AES-256 zur Verfügung steht, während FileVault weiterhin «nur» mit AES-128 verschlüsselt. AES-256 kann die Systemleistung im Vergleich zu AES-128 zwar negativ beeinflussen (siehe dazu auch unten) und AES-128 gilt (vorläufig noch) als ausreichend, aber diese Entscheidung sollte auch bei FileVault dem Benutzer überlassen bleiben.

Apple erwähnt weiter nicht, dass für die FileVault-Verschlüsselung nicht allein AES-128 verwendet wird, sondern daneben RSA-1024 und 3DES-EDE eingesetzt werden. Unerfreulich daran ist, dass die Verschlüsselung per RSA-1024 und 3DES-EDE deutlich schwächer ist als jene allein mit AES-128.

Im Bezug auf diese und weitere Verschlüsselungsschwächen von FileVault ist ein Blick auf eine entsprechende Präsentation von Jacob Appelbaum und Ralph-Philipp Weinmann, die am 23. Chaos Communication Congress Ende Dezember 2006 gehalten wurde, lohnenswert (PDF-Datei).

3. Speicherplatz- und Zeitbedarf von FileVault für Aktivierung und Deaktivierung

FileVault speichert die Benutzerdaten wie oben erwähnt in einem verschlüsselten Sparse Disk Image (beziehungsweise in einem verschlüsselten Sparse Bundle seit Mac OS X «Leopard»). Aus diesem Grund kann FileVault nur aktiviert oder deaktiviert werden, wenn mindestens gleich viel Speicherplatz zur Verfügung steht wie Benutzerdaten zu verschlüsseln oder zu entschlüsseln sind. In vielen Fällen muss man seine Benutzerdaten deshalb teilweise auf externe Festplatten «auslagern» um FileVault aktivieren oder deaktivieren zu können – FileVault zeigt ansonsten eine Fehlermeldung an.

Neben dem Speicherplatzbedarf ist auch der Zeitaufwand für die Verwendung von FileVault nicht zu unterschätzen. Das Aktivieren von FileVault kann je nach Menge der Benutzerdaten und beim empfehlenswerten «sicheren Löschen» Stunden dauern, dito das Deaktivieren. Hinzu kommt der Zeitbedarf für das Komprimieren des Sparse Bundle bei der Benutzerabmeldung und allenfalls auch noch die Datensicherung mit «Time Machine» (siehe unten).

Obiges gilt auch für Aktualisierungen von Mac OS X oder wenn das Sparse Bundle von FileVault vergrössert werden soll; im ersten Fall ist es teilweise empfehlenswert, teilweise notwendig, FileVault zu deaktivieren, im zweiten Fall führt kein Weg daran vorbei – schreibt Apple …

«Die maximale Größe eines FileVault-Benutzerordners entspricht dem verfügbaren Speicherplatz auf der Festplatte bei aktiviertem FileVault. Wenn Sie einen mit FileVault geschützten Account und den zugehörigen Benutzerordner auf einen anderen Computer migrieren, ändert sich die maximale Größe nicht. Ist auf dem neuen Computer mehr Speicherplatz auf der Festplatte verfügbar, bleibt die Größe also dennoch gleich. […] Damit Sie die maximale Größe des FileVault-Benutzerordners erhöhen können, müssen Sie FileVault deaktivieren und anschließend wieder aktivieren. Wenn FileVault wieder aktiviert wird, legt das Programm die maximale Größe entsprechend des auf der neuen Festplatte verfügbaren Speicherplatzes fest.»

4. Virtueller Speicher standardmässig ohne Verschlüsselung

Apple selbst weist darauf hin, dass der virtuelle Speicher im Bezug auf die FileVault-Verschlüsselung ein Risiko darstellen kann …

«Der Arbeitsspeicher (RAM) Ihres Computers enthält keine Informationen, wenn der Computer ausgeschaltet ist. Moderne Computer verwenden virtuellen Speicher als Abhilfe bei Problemen, die durch unzureichenden Arbeitsspeicher verursacht werden. Der virtuelle Speicher tauscht Daten zwischen Ihrer Festplatte und dem Arbeitsspeicher aus. Es besteht die Möglichkeit, dass vertrauliche Daten, die sich während Ihrer Arbeit im Arbeitsspeicher des Computers befinden, auf die Festplatte des virtuellen Speichers geschrieben werden und dort verfügbar sind, bis sie überschrieben werden. […] Wenn Sie sichergehen möchten, dass keine vertraulichen Daten auf Ihrer Festplatte verbleiben, können Sie einen sicheren virtuellen Speicher verwenden. Der sichere virtuelle Speicher verschlüsselt die Daten, die auf die Festplatte geschrieben werden.»

… sieht aber anscheinend trotzdem keinen Grund, gleichzeitig mit FileVault auch den sicheren virtuellen Speicher zu aktivieren – der Benutzer muss sich selbst darum kümmern.

5. Einschränkungen bei der Datensicherung mit «Time Machine»

«Time Machine», das standardmässige Programm zur Datensicherung mit Mac OS X «Leopard», unterstützt FileVault nicht vollständig – beim Aktivieren von FileVault erscheint eine entsprechende Warnung.

FileVault führt im Wesentlichen zu folgenden zwei Einschränkungen für die Datensicherung mit «Time Machine»:

Die Datensicherung findet einerseits nur statt, wenn man sich als Benutzer abmeldet – während der Abmeldung wird nicht nur das verschlüsselte Sparse Bundle von FileVault komprimiert, sondern im Anschluss an die Komprimierung sichert «Time Machine» jene Teile aus dem Sparse Bundle, die seit der letzten Datensicherung verändert wurden. Die stündliche Datensicherung von «Time Machine» funktioniert somit mit FileVault nicht, man kann «Time Machine» einzig und allein beim Abmelden als Benutzer zur Datensicherung nutzen.

Andererseits steht für die Datenwiederherstellung die (gewöhnungsbedürftige) «Galaxis»-Benutzeroberfläche von «Time Machine» nicht zur Verfügung. Man muss stattdessen das von «Time Machine» gesicherte verschlüsselte Sparse Bundle manuell im Finder öffnen um Daten wiederherstellen zu können.

In jedem Fall und unabhängig von FileVault sowie «Time Machine» gilt, dass die Datensicherung durch die Verschlüsselung von Daten anspruchsvoller wird. Nicht nur geht wie im Fall von «Time Machine» Komfort verloren, sondern man muss die verschlüsselten Benutzerdaten ergänzend dazu besonders sorgfältig sichern um gegen Fehler bei der Verschlüsselung gewappnet zu sein. Die entsprechende Empfehlung von Apple lautet deshalb wie folgt:

«Always remember to make a backup of your important data before using any erase or encryption options, as any rewriting of data includes a risk of data loss.»

6. Sicherheit von FileVault in Abhängigkeit von zwei Passwörtern

Die Sicherheit von Verschlüsselung und damit auch von FileVault steht und fällt bekanntlich mit den verwendeten Passwörtern; die Verschlüsselung ist grundsätzlich nur so sicher wie die entsprechenden Passwörter. Für FileVault müssen gleich zwei sichere Passwörter gewählt werden:

Einerseits dient das Benutzerpasswort, das auch für die Anmeldung des Benutzers genutzt wird, als standardmässiges Passwort für FileVault. Andererseits muss beim Aktivieren von FileVault ein Hauptpasswort gesetzt werden – dieses ermöglicht Administratoren das Deaktivieren von FileVault für den Fall, dass ein Benutzer sein Passwort vergisst. Da beide Passwörter den Zugriff auf die mit FileVault verschlüsselten Benutzerdaten ermöglichen, müssen beide gleichermassen sicher gewählt werden – Mac OS X unterstützt den Benutzer mit einem entsprechenden Assistenten.

Tipps, wie man sichere Passwörter erstellt, findet man unter anderem im «ririanproject»-Blog (via imgriff.com und «ToolBlog»).

In diesem Zusammenhang ist wichtig zu betonen, dass sich unter Mac OS X zwar das Benutzerpasswort viel zu sehr einfach zurücksetzen lässt, nicht aber die Verschlüsselung mit FileVault. Ohne Benutzerpasswort oder Hauptpasswort ist ein Zugriff auf mit FileVault-geschützte BenutzerdDaten regulär nicht möglich. Entsprechend warnt Apple vor diesem Risiko beim Verwenden von FileVault …

«[…] Wenn der Administrator des Computers das Hauptkennwort nicht kennt und der Benutzer des durch FileVault geschützten Accounts das Anmeldekennwort vergessen hat, sind die Daten im Benutzerordner verloren.»

… wohl nicht umsonst mehr als einmal …

«Achtung: Sie sollten sich das Hauptkennwort immer gut merken. Wenn Sie das Programm “FileVault” aktivieren und dann sowohl Ihr Anmeldekennwort als auch das Hauptkennwort vergessen, können Sie sich nicht mehr bei Ihrem Account anmelden und Ihre Dateien und Einstellungen sind unwiderruflich verloren.»

7. Negative Auswirkungen von FileVault auf die Systemleistung

Verschlüsselung belastet Prozessor(en) und Festplatte(n) zusätzlich, so auch bei der Verwendung von FileVault. Auf weniger leistungsfähigen oder mobilen Macs sowie beim Bearbeiten von grossen Dateien kann sich dies spürbar negativ auf die Systemleistung auswirken. Apple selbst empfiehlt deshalb insbesondere für iMovie …

«If you are using Mac OS X 10.3 or later, make sure the project you are working on isn’t saved in a folder that’s protected by FileVault.»

… und für GarageBand …

«FileVault can cause reading data from your Home directory to be significantly slower. To improve performance, open System Preferences, click the Security tab, and turn off FileVault, or move and keep your songs outside of your Home directory.»

… den Verzicht auf FileVault beziehungsweise das Speichern der entsprechenden Daten ausserhalb des Benutzerverzeichnisses. Letzteres ist eine unglückliche Empfehlung, denn FileVault verschlüsselt zwar nur das Benutzerverzeichnis (siehe oben), dieses aber umfassend, das heisst es lassen sich keine Benutzerdaten von der FileVault-Verschlüsselung ausschliessen. Zwar lassen sich Benutzerdaten problemlos ausserhalb des eigenen Benutzerverzeichnisses speichern, doch besteht dort die Gefahr, dass andere Benutzer auch darauf zugreifen können, je nach Konfiguration der Benutzerrechte auf dem entsprechenden Mac.

8. Gefahr von Datenverlust bei der Verwendung von FileVault

Verschlüsselung wie jene von FileVault kann zu einem Datenverlust führen, wenn das Schreiben der verschlüsselten Daten überraschend unterbrochen wird – beispielsweise durch einen Systemabsturz oder einen Stromausfall, aber auch durch Fehler in Mac OS X und FileVault selbst.

Meiner Erfahrung nach läuft FileVault stabil und übersteht auch den einen oder anderen Systemabsturz. Dennoch möchte ich mich nicht allein darauf verlassen und sichere meine verschlüsselten Benutzerdaten regelmässig (siehe auch oben zur Datensicherung mit «Time Machine») – sicher ist sicher …

9. FileVault ≠ Freie Open Source-Software

«Security through obscurity» bezeichnet den Versuch, Sicherheit zu erreichen, indem die verwendeten Sicherheitsmechanismen geheimgehalten werden. Da es erfahrungsgemäss in den meisten Fällen beim Versuch bleibt, ist «Security through obscurity» für Verschlüsselung verpönt.

Sichere Verschlüsselung basiert auf sicheren und offenen Verfahren, nicht auf Geheimhaltung – so beispielsweise auch bei den Verschlüsselungsmethoden, die Apple für FileVault verwendet (siehe oben). Abgesehen davon ist FileVault leider weitgehend eine Variante von «Security through obscurity»; FileVault ist nur in Teilen offen dokumentiert und der Quelltext weitgehend «Closed Source» …

10. Weitere Schwächen von FileVault

Einige weitere Schwächen von FileVault betreffen das Suchen mit Spotlight – es funktioniert bei einigen FileVault-Benutzern nicht mehr – und den Zugriff per Firewire-«Target Disk Mode». Letztere Schwäche kann nicht vollständig behoben werden, doch stellt ein Extensible Firmware Interface (EFI)- oder Open Firmware-Passwort einen gewissen Schutz dar – mehr dazu direkt bei Apple.

Fazit zu 10 × Schwächen von FileVault

Im Ergebnis sind für FileVault zahlreiche Schwächen zu verzeichnen und es ist zu hoffen, dass Apple FileVault weiter verbessert. Gleichzeitig wurden für FileVault in Mac OS X «Tiger» bislang aber noch keine eigentlichen Sicherheitslücken bekannt und insofern bleibt FileVault empfehlenswert, zumal es schlicht an Alternativen fehlt – gewöhnliche verschlüsselte Disk Images können FileVault nicht ersetzen, da sich damit insbesondere das /Library/-Benutzerverzeichnis nicht verschlüsseln lässt.

Beim alltäglichen Arbeiten mit FileVault ist ausserdem zu beachten, wogegen FileVault schützt und wogegen nicht: FileVault schützt vor dem Zugriff auf die Benutzerdaten, sofern man sich als Benutzer abgemeldet oder seinen Mac runtergefahren hat. FileVault schützt wie alle vergleichbaren Anwendungen hingegen nicht vor Viren und wird ein Mac gestohlen, während man gerade damit arbeitet, ist für den Dieb der Zugriff auf FileVault-geschützte Benutzerdaten möglich …

Nachtrag: «8 × Tipps für das sichere Einrichten von FileVault».

… wobei sich selbstverständlich jeder selbst denken kann, was geschieht, wenn man seine FileVault-Passwörter vergisst – eine Wiederherstellung der mit FileVault geschützten Benutzerdaten ohne Passwort wäre nicht im Sinn des Erfinders!

Das Erscheinen von Mac OS X 10.5 «Leopard» war für zahlreiche Microsoft Windows-Benutzer Anlass für den Umstieg auf einen Bildschirmspiegel Computer von Apple und in der Folge gehen bei MacMacken immer wieder E-Mail-Anfragen zur sicheren Konfiguration von Mac OS X «Leopard» ein. Aus diesem Grund finden sich nachfolgend einige der die zehn wichtigsten Anfängertipps für ein sicheres Mac OS X «Leopard» – ohne Anspruch auf Vollständigkeit und mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar) …

1. Arbeit als Benutzer statt Administrator

Beim alltäglichen Arbeiten mit einem Mac sollte man sich immer als Benutzer und nicht als Administrator anmelden, denn umfassende administrative Befugnisse werden nur selten benötigt und stellen beim alltäglichen Arbeiten ein unnötiges Sicherheitsrisiko dar. Man sollte sich deshalb nur bei tatsächlichem Bedarf als Administrator anmelden beziehungsweise sich nur dann als Administrator identifizieren, wenn die eigenen Benutzerrechte ausnahmsweise nicht genügen und Mac OS X «Leopard» entsprechend die Anmeldung als Administrator fordert.

Die Benutzerkonfiguration findet sich unter Systemeinstellungen / Benutzer. Beim Einrichten von neuen Benutzern wählt man für gewöhnliche Benutzer «Standard»; bei bestehenden Benutzern deaktiviert man «Der Benutzer darf diesen Computer verwalten».

Bei dieser Gelegenheit sollte man auch gleich den «Gast-Account» deaktivieren, es sei denn, man hat für diese (allerdings gefährliche) Funktion tatsächlich Verwendung.

2. Verwendung von Passwortabfragen

Die wichtigsten Passwortabfragen auf dem Mac sollte man unter Systemeinstellungen / Sicherheit / Allgemein unbedingt aktivieren, insbesondere auch «Automatisches Anmelden deaktivieren». Weiter wichtig sind die «Kennwortabfrage beim Beenden des Ruhezustandes oder des Bildschirmschoners», die «Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung» sowie die Verwendung von sicherem virtuellem Speicher.

Mac OS X «Leopard» unterstützt bei der Auswahl sicherer Passwörter mit einem entsprechenden Assistenten.

Für die Kennwortabfrage beim Beenden des Bildschirmschoners muss selbstverständlich ein Bildschirmschoner aktiviert sein (Systemeinstellungen / Schreibtisch & Bildschirmschoner / Bildschirmschoner). Konfiguriert man eine aktive Ecke für den Bildschirmschoner, lässt sich das System mit der entsprechenden Mausbewegung komfortabel «sperren» (Systemeinstellungen / Exposé & Spaces / Aktive Ecken).

Darüber hinaus besteht die Möglichkeit, bereits beim Mac-Start durch das Extensible Firmware Interface (EFI) ein Passwort abfragen zu lassen.

3. Schlüsselbund «Anmeldung» mit eigenem Passwort

Für die Anmeldung am System und den standardmässigen Schlüsselbund «Anmeldung» sollte man unterschiedliche Passwörter verwenden. Das Passwort für den Schlüsselbund «Anmeldung» kann man über die Schlüsselbundverwaltung unter Bearbeiten / Kennwort für Schlüsselbund «Anmeldung» ändern … anpassen. Empfehlenswert ist auch der Schutz des Schlüsselbundes beim Wechsel in den Ruhezustand (Bearbeiten / Einstellungen für den Schlüsselbund «Anmeldung» ändern …).

4. Verwendung der Software-Aktualisierung

Die Software-Aktualisierung von Mac OS X «Leopard» sollte man täglich nach Updates suchen und wichtige Updates automatisch runterladen lassen (Software-Aktualisierung / Einstellungen / Planmässige Überprüfung). Wer keinen ganzen Tag auf eine allfällige Aktualisierung warten möchte, beispielsweise bei Sicherheitslücken in Mac OS X «Leopard», wirft regelmässig einen Blick auf die «Apple Downloads» auf der Apple-Website oder startet die Software-Aktualisierung bei Bedarf manuell.

5. Achtsamkeit im Umgang mit Dateien aus dem Internet

Safari, der standardmässige Browser von Mac OS X «Leopard», glaubt selbst erkennen zu können, ob ein Download aus dem Internet sicher ist oder nicht, und öffnet «sichere» Dateien nach dem Download automatisch. Unter Einstellungen … / Allgemein / «Sichere» Dateien nach dem Laden öffnen kann man diesen gefährlichen Automatismus von Safari deaktivieren.

In jedem Fall sollte man unter Mac OS X «Leopard» Dateien aus dem Internet mit Achtsamkeit begegnen und insbesondere keine Programme und sonstigen Dateien aus wenig zuverlässigen Quellen downloaden. Trojaner werden häufig über den Download aus unzuverlässigen Quellen verbreitet und stellen auch für ein Mac-System eine Bedrohung dar.

Gleiches gilt selbstverständlich auch für Dateien, die man per E-Mail empfängt (typischerweise als Anhang, Anlage oder Attachment).

6. Datensicherung mit Time Machine

Mit Time Maschine verfügt Mac OS X «Leopard» über ein eigenes Backupprogramm, das regelmässig alle Daten auf eine externe Festplatte sichert. Mit Time Machine kann man dabei nicht bloss gelöschte Dateien wiederherstellen, sondern auch auf ältere Versionen von Dateien zugreifen. Da ein Datenverlust auch auf dem Mac jederzeit möglich ist, beispielsweise durch ein technisches Problem mit der internen Festplatte oder durch einen Fehler des Benutzers, ist die Verwendung von Time Machine aus Sicht der Datensicherheit empfehlenswert, selbst wenn das Backupprogramm in der aktuellen Version noch mit einigen Macken ärgert.

7. Deaktivierung von «Sharing»

Unter Systemeinstellungen / Sharing bietet Mac OS X «Leopard» zahlreiche Möglichkeiten für «Sharing», das heisst für den Zugriff anderer auf den eigenen Mac, beispielsweise um Dateien oder Drucker zu teilen. Wer darauf verzichten kann, sollte keinerlei «Sharing»-Möglichkeiten aktivieren beziehungsweise etwaige aktivierte «Sharing»-Möglichkeiten deaktivieren.

8. Verwendung von FileVault

Mit FileVault kann man auf einem Mac die eigenen Benutzerdaten verschlüsseln, was sich insbesondere für MacBook (Pro)-Benutzer empfiehlt (Systemeinstellungen / Sicherheit / FileVault) – trotz allen Nachteilen von FileVault, denn ganz ohne Verschlüsselung liegen zum Beispiel bei einem Notebook-Diebstahl alle Benutzerdaten frei zugänglich auf der MacBook-Festplatte. Gleichzeitig mit FileVault sollte man auch die Verwendung von sicherem virtuellem Speicher aktivieren (Systemeinstellungen / Sicherheit / Allgemein).

Bei FileVault ist die Auswahl eines sicheren Passwortes von grösster Bedeutung, denn nur so ist die Verschlüsselung überhaupt sinnvoll. Ebenso sollte man das FileVault-Passwort nicht auf dem Mac selbst speichern, sondern dafür sein BRAIN 1.0 einsetzen, das heisst sich das Passwort schlicht merken.

Weitere Informationen zur Verwendung von FileVault finden sich im MacMacken-Blogeintrag «8 × Tipps für das sichere Einrichten von FileVault».

9. Aktivierung der Firewall von Mac OS X «Leopard»

Mac OS X «Leopard» verfügt über eine eigene Firewall, die man mit der Einstellung «Alle eingehenden Verbindungen blockieren» (Mac OS X 10.5.0) beziehungsweise «Nur notwendige Dienste erlauben» (Mac OS X 10.5.1) aktivieren sollte (Systemeinstellungen / Sicherheit / Firewall) – mit dieser Einstellung lassen sich ab Mac OS X 10.5.1 auch die in Mac OS X 10.5.0 bestehenden Probleme mit Skype und World of Warcraft umgehen.

10. WLAN nur mit Verschlüsselung

Kabellose Verbindungen per WLAN nur verschlüsselt zu nutzen, sollte eigentlich unabhängig vom verwendeten Betriebssystem eine Selbstverständlichkeit darstellen. Dennoch konnten beispielsweise kürzlich am Schweizer BlogCamp viele unverschlüsselte WLAN-Verbindungen (auch von Mac-Benutzern) mitprotokolliert werden, ähnlich wie schon per dsniff an der re:publica … im eigenen WLAN daheim sollte man deshalb WPA2 (mit AES-Verschlüsselung) verwenden, in öffentlichen WLANs wie am erwähnten BlogCamp ein Virtual Private Network (VPN) nutzen. Für Letzteres bietet sich beispielsweise die Nutzung von SwissVPN an (leider kostenpflichtig).

The Login & Keychain Update 1.0 for Mac OS X 10.5 Leopard is recommended for all Leopard installations. It addresses issues you may encounter when:

* Logging in with an account originally created in Mac OS X 10.1 or earlier that has a password of 8 or more characters.
* Connecting to some 802.11b/g wireless networks.
* Changing the password of a FileVault-protected account.

… die Aktualisierung kann man unter wie gewohnt direkt bei Apple oder über die Softwareaktualisierung downloaden; nach der Installation ist ein Neustart des Systems notwendig.

Klar, es gibt FileVault, aber damit kann man leider nur das Benutzerverzeichnis verschlüsseln und die Verwendung von FileVault führt zu Problemen mit Spotlight, unter anderem… hat Steve Jobs auf seinem Notebook etwa keine Daten, die schützenswert sind?

4064 GB Festplattenspeicher? Nein, FileVault benötigt natürlich nicht derart viel freien Speicher auf der Festplatte, aber zumindest genug um das Benutzerverzeichnis vollständig kopieren zu können… schade, dass FileVault im Gegensatz zu anderen gängigen Verschlüsselungsprogrammen nicht «on the fly» und ohne zusätzliche Kopie der zu schützenden Daten verschlüsseln kann!

«Eigentlich», denn bedauerlicherweise funktioniert Spotlight bei aktiviertem FileVault nicht mehr korrekt, jedenfalls bei meinem vierwöchigen Versuch mit FileVault im Juli und August 2007: Spotlight stand zwar grundsätzlich noch zur Verfügung, aber die Suchergebnisse waren äusserst dürftig – der Suchindex umfasste auch lediglich einige 100 KBs – und in Apple Mail war nur noch die Suche nach einzelnen E-Mail-Feldern (zum Beispiel «Absender») möglich. Teilweise meldete Spotlight, es sei noch für Stunden mit Indexieren beschäftigt und war während dieser Zeit dann gar nicht mehr verfügbar. In der Folge war ich gezwungen, FileVault wieder zu deaktivieren.

Ich hoffe nun, dass Spotlight wenigstens im neuen Mac OS X «Leopard» auch bei aktiviertem FileVault korrekt arbeiten wird, ganz abgesehen davon, dass Apple dem Mac endlich zeitgemässe Funktionen für die Verschlüsselung der Benutzerdaten «spendieren» sollte…