Apples Festplattenverschlüsselung FileVault ist eine gute Sache, wenn es darum geht Eure sämtlichen Daten auf dem Hauptlaufwerk Eures Macs zu verschlüsseln. Die Funktionsweise und damit die Sicherheit kommt allerdings schon bei einem zweiten Laufwerk an Ihre Grenze. Wir zeigen Euch, wie Ihr dennoch alle Daten sicher verpackt.
Sicherheit geht auch für das zweite Laufwerk vor!
Nützlich kann das für Benutzer von Macs sein, die zwei Laufwerke eingebaut haben, z.B. ältere iMacs mit SSD und Festplatte oder MacBooks, bei denen das optische Laufwerk gegen eine Festplatte oder SSD getauscht wurde. Wurde kein Fusion Drive eingerichtet, so hat man meist das System auf der ersten Platte und die Anwenderdaten auf der anderen. Schaltet man nun FileVault ein, hat man den Salat.
Die Option FileVault ist schnell eingeschaltet: in den Systemeinstellungen > Sicherheit &
Privatsphäre > FileVault könnt Ihr einstellen, dass alle Daten auf Eurer Festplatte verschlüsselt werden sollen. Schaltet Ihr diese Option ein, kann man nicht mehr ohne Passwort auf den Inhalt der Platte zugreifen. Der Unterschied zum Benutzerpasswort ist, dass die Daten tatsächlich verschlüsselt werden und damit echte Sicherheit bieten. Wichtige Warnung: Vergesst Ihr das Passwort und verliert den Wiederherstellungsschlüssel habt Ihr schlicht Pech gehabt und die Daten sind unwiederbringlich verloren. Als Alternative bietet Apple an, den Schlüssel in der Cloud zu speichern. Das wird häufig kritisiert, könnte doch Apple selbst so Eure Daten entschlüsseln. Das stimmt zwar, dennoch nutzen wir diese Option gerne. Die Wahrscheinlichkeit, dass Apple gegen uns ist ist kleiner als das jemand anders unsere Daten sehen möchte oder dass der Schlüssel irgendwie verloren geht.
Die Verschlüsselung selbst dauert einige Minuten bis Stunden, je nachdem wie groß Eure Platte ist und wieviele Daten sich schon darauf befinden. Das ist aber kein Problem, Ihr könnt währenddessen weiterarbeiten. Startet Ihr dann den Rechner neu, fragt nach ein paar Sekunden schon nach Eurem Passwort, und bootet dann erst weiter. Daran ist zu erkennen, dass ohne Eingabe des Passwortes die Daten nicht entschlüsselt werden und das Hochfahren gar nicht möglich ist.
Ist der Rechner einmal hochgefahren, hat die Verschlüsselung unwesentlichen Einfluß auf die Geschwindigkeit. Performance verliert Ihr also nicht. Die Benchmarks zeigen die SSD unverschlüsselt und verschlüsselt sowie die HDD unverschlüsselt und verschlüsselt.
Nun aber zum eigentlichen Problem: Solltet Ihr zwei Laufwerke im Mac haben, wobei sich das Benutzerverzeichnis auf der zweiten Platte befindet, ist mit Einschalten von FileVault automatisch nur die Systemplatte gesichert, die Datenplatte (mit den eigentlich interessanten Daten) wird ignoriert. Das ist natürlich nicht ganz durchdacht. Jetzt könnte man auf die Idee kommen einfach mit Rechtsklick auch die zweite Platte anzuklicken und dort “Verschlüsseln” auswählen. Das machen wir auch einfach mal – Ihr noch nicht, lest erst zu Ende!
Wir nehmen praktischerweise das gleiche Passwort wie für die erste Platte und booten neu. Und zack bleibt der Mac mit einer Fehlermeldung beim Booten hängen. Wie kann das sein? Wir haben doch das richtige Passwort eingegeben? Das ist korrekt, dieses gilt jedoch bei der ersten Abfrage nur für die Systemplatte. Diese ist dann entschlüsselt und der Mac will weiter booten und das Nutzerverzeichnis von der zweiten Platte laden. Dieses ist aber verschlüsselt. Dass wir das gleiche Passwort verwendet haben für die zweite Platte weiß der Mac ja nicht. Der Schlüssel dafür liegt ja im Nutzerverzeichnis – und das ist noch verschlüsselt. Kurz: wir haben uns ausgesperrt.
Wer jetzt keinen zweiten Administratoraccount hat, hat mächtig Pech gehabt. Daher unser Tipp bevor Ihr auch die zweite Platte verschlüsselt: legt Euch einen zweiten Administratoraccount an, dessen Homeverzeichnis auf der ersten Platte verbleibt. Dann könnt Ihr Euch nämlich dort einloggen, von dort die zweite Platte freischalten, den Benutzer wechseln und Euch dann am Hauptnutzeraccount anmelden. Nochmal: verschlüsselt Ihr die zweite Platte und habt keinen Account, der Administratorrechte hat und dessen Homeverzeichnis nur auf der ersten Platte liegt, sind alle Daten futsch! Ein Gastaccount bringt Euch auch nichts, da dieser in der Funktion stark eingeschränkt ist, sobald FileVault einmal aktiviert ist.
Aber jetzt wisst Ihr ja Bescheid und habt einen zweiten Adminnutzer (den Ihr vielleicht emg nennt, wie emergency) und kommt wieder in Euren Hauptaccount. Aber was tun? Es wäre ja ziemlich umständlich sich ständig doppelt einzuloggen nur, um die zweite Platte zu entschlüsseln.
Dafür gibt es ein kleines Programm, dass dem Mac beibringt schon beim Hochfahren die zweite Platte zu entschlüsseln. Es heißt schlicht “Unlock” und stammt vom Entwickler Justin Ridgewell. Die Installation ist extrem einfach. Öffnet einfach Terminal (Dienstprogramme > Terminal) und gebt diese Zeile ein:
curl -L https://raw.github.com/jridgewell/Unlock/master/install.sh | bash
Damit wird das Programm installiert. Es wird Eure zweite Platte finden und nach dem Passwort fragen. Das gebt Ihr ein und das Programm speichert es in der System Keychain auf der ersten Platte. Damit ist alles getan. Beim nächsten Bootvorgang geht alles wie gewohnt. Selbst Updates des Betriebssystems stören diesen Prozess nicht (getestet von 10.12.4 auf 10.12.5).
Aufgepasst aber, wenn Ihr mehrere Nutzer an Eurem Rechner habt: das Programm kann nicht zwischen Nutzern unterscheiden. Ist es installiert, wird bei jedem Bootvorgang auch die zweite Platte entsperrt.
Unlock: FileVault für zweites Laufwerk
