- Sir Apfelot - Seit über 20 Jahren Apple-Ritter aus Leidenschaft
Kapitel in diesem Beitrag:
- 1 Was ist FileVault eigentlich?
- 2 Bei welchem Szenario schützt FileVault meine Daten?
- 3 FileVault Passwort vergessen?
- 4 iCloud-Konto als Notfall-Lösung aktivieren
- 5 Wichtig: Neben FileVault auch die Backups verschlüsseln
- 6 Wie lange dauert die FileVault Verschlüsselung?
- 7 Kann man externe Festplatten und Datenträger mit FileVault verschlüsseln?
- 8 FileVault Verschlüsselung aufheben
- 9 Performance-Einbußen durch die Festplattenverschlüsselung?
- 10 Offene Fragen zu FileVault?
- 11 Vielleicht auch interessant?
Als vor Kurzem der Beitrag über das sichere Löschen von SSD Speichern online ging, kam relativ schnell von einem Leser die Frage, warum die Festplattenverschlüsselung "FileVault" nicht stärker von Apple in den Vordergrund gestellt wird. Gerade in Hinsicht auf die Datensicherheit ist das Verschlüsseln der Festplatte eine Maßnahme, die wirklich jeder Benutzer erledigen kann, denn Apple macht diesen Vorgang angenehm einfach.
Seit FileVault 2 unterstützt die Apple-Verschlüsselung auch das Absichern von kompletten Festplatten (Foto: TheDigitalWay/Pixabay).
Was ist FileVault eigentlich?
Der Begriff "FileVault" ist eine Wort-Erfindung von Apple, die sie für den sperrigen Begriff "Festplattenverschlüsselung" verwenden. Man nutzt FileVault aus diesem Grund auch nur beim Macs und nicht bei Windows Rechnern.
Das FileVault Feature ist unter macOS in der Lage einzelne Partitionen oder auch ganze Volumes zu verschlüsseln. Dies können SD-Karten, Festplatten, SDD Speicher, USB-Sticks oder ähnliches sein, was am Mac als Volume erkannt wird.
Eingeführt wurde die Festplattenverschlüsselung FileVault 2 (vorher konnten keine Volumes, sondern nur persönliche Daten verschlüsselt werden) übrigens mit Mac OS X Lion (10.7) im Jahr 2011. Es basiert auf der Verschlüsselungtsechnik XTS-AES 128.
Bei welchem Szenario schützt FileVault meine Daten?
Wenn der Mac mit einem Kennwort geschützt ist, scheint FileVault etwas "doppelt gemoppelt". In der Praxis ist FileVault jedoch der eigentlich wirksame Schutz, während das Benutzer-Kennwort eher vor der Manipulation des Systems oder vor dem unbefugten Benutzen des Macs hilft.
Wird der Mac zum Beispiel gestohlen, können die Diebe die Festplatte ausbauen und in ein externes Festplattengehäuse einbauen. Auf diese Weise können sie – wenn man kein FileVault aktiviert hat – einfach mit einem anderen Computer auf die Festplatte und die darauf befindlichen Daten zugreifen.
Ist die Festplattenverschlüsselung aktiviert, sehen die Diebe auf der Festplatte nur "Datensalat" und können keine Dateien oder Ordner erkennen.
FileVault Passwort vergessen?
Wer FileVault aktiviert, sollte sich den Wiederherstellungsschlüssel und das verwendete Kennwort am besten als Ausdruck irgendwo aufbewahren. Vergisst man das Kennwort, kann man die Festplattenverschlüsselung noch mit dem Wiederherstellungsschlüssel "knacken". Ist dieser auch nicht mehr verfügbar, kommt man nicht mehr an seine Daten ran.
Dies gilt übrigens auch für Apple Service Partner: Ohne FileVault Kennwort oder Wiederherstellungsschlüssel können auch deren Mitarbeiter nicht auf die Festplatte zugreifen.
Hat man das FileVault-Kennwort vergessen, hilft in der Regel nur der Wiederherstellungskey – oder das iCloud Konto, wenn man es als Notfallhilfe aktiviert hat.
iCloud-Konto als Notfall-Lösung aktivieren
Apple hat eine Option in FileVault eingebaut, die man bei der Aktivierung von FileVault einschalten kann. Dabei kann man folgende Einstellung wählen:
Mein iCloud-Account darf meine Festplatte entsperren
Ist dies aktiviert, kann im Notfall immer noch über das iCloud Konto eine Wiederherstellung des FileVault-Schlüssels erfolgen.
Komfortabler als der Wiederherstellungsschlüssel ist es, das iCloud-Konto als Notfall-Option zu verwenden.
Wichtig: Neben FileVault auch die Backups verschlüsseln
Wer FileVault nutzt, aber nebenher die Time Machine unverschlüsselte Backups erstellen lässt, kann sich die Arbeit im Prinzip sparen. Wenn alle Daten unverschlüsselt auf der Backup-Festplatte liegen, ist eine Festplattenverschlüsselung des Systemvolumes relativ sinnfrei. Aus dem Grund nicht vergessen, unter "Systemeinstellungen" > "Time Machine" > "Optionen" > entsprechende Festplatte anklicken die Option "Backups verschlüsseln" zu aktivieren.
Unter den "Optionen" findet man bei Time Machine die Möglichkeit, das Backup zu verschlüsseln.
Wie lange dauert die FileVault Verschlüsselung?
Eine Frage, die man nur grob beantworten kann. Die Zeit, die der Mac für die Verschlüsselung benötigt, wenn man FileVault aktiviert hat, ist natürlich sowohl von der Menge der Daten als auch von der Leistungsfähigkeit des Mac abhängig. Ich würde von einigen Stunden ausgehen, die dieser Prozess in Anspruch nimmt.
Da der Mac dies allerdings im Hintergrund macht, kann man während des Vorgangs weiter mit dem Gerät arbeiten. In dem FileVault Fenster kann man währenddessen auch den Fortschritt prüfen und sehen, wie lange es noch ungefähr dauern wird.
Wichtig: Die Verschlüsselung ist ein einmaliger Vorgang. Man muss also nur dieses eine Mal damit leben, dass der Mac im Hintergrund alle Daten verschlüsselt.
Über das Kontextmenü (rechte Maustaste) lassen sich auch externe Medien verschlüsseln.
Kann man externe Festplatten und Datenträger mit FileVault verschlüsseln?
Ja, auch dies ist sehr einfach mit macOS möglich. Um ein Volume zu verschlüsseln, öffnet man ein Finder-Fenster oder drückt die Tastenkombination CMD + SHIFT + C. In der linken Spalte sind unter "Orte" die ganzen Festplatten und Datenträger zu finden, die derzeit am Mac gemounted sind. Man klickt nun mit der rechten Maustaste auf das entsprechende Volume und wählt im Kontextmenü "Volume XYZ verschlüsseln".
Nun öffnet sich ein Fenster, in dem man zweimal das Passwort für die Verschlüsselung sowie eine Merkhilfe eingeben kann. Ist das erledigt, startet man mit dem Button" Laufwerk verschlüsseln" den Vorgang. Ab sofort muss beim Verbinden des Volumes mit dem Mac dann das Passwort eingegeben werden, um die Inhalte einsehen zu können.
FileVault Verschlüsselung aufheben
Möchte man ein Volume nicht länger mit FileVault sichern, kann man die Option "FileVault" – wie beim Aktivieren – über die Sicherheitsoptionen deaktivieren. Natürlich dauert auch dieser Vorgang wieder seine Zeit. Man kann den Mac allerdings nebenbei weiter verwenden.
Performance-Einbußen durch die Festplattenverschlüsselung?
Ich habe vor mehreren Jahren schon über lange Zeit mein MacBook Pro mit verschlüsselter Festplatte genutzt. Aus meiner Sicht kommt es durch dieses Feature zu keiner Verlangsamung des Mac. Es kann sein, dass es technisch gesehen einen messbaren Unterschied gibt, aber in der alltäglichen Verwendung ist mir dieser nicht aufgefallen.
Offene Fragen zu FileVault?
Hast du noch Fragen zur Festplattenverschlüsselung FileVault, die ich hier nicht beantwortet habe? Dann hinterlasse mir gerne einen Kommentar. Ich versuche alles zu beantworten.
Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.
Vielleicht auch interessant?
Gelöst: Neuer macOS Benutzer wird im Anmeldefenster beim Neustart nicht angezeigt
Apple Mail Fehlercode 10673 – Fehler beim Anklicken von Links und Anhängen am Mac
Video-Einsteigerkurs "Umstieg auf Mac" von Axel Mammitzsch
Programme vom Mac deinstallieren und alle übrig gebliebenen Dateien bereinigen
Mac: Luminar AI stürzt bei jedem Start ab
Mac-Fehlermeldung: Error while installing – Expecting value: line 1 column 1 (char 0)
Mac-App: CalcTape rechnet mit Notizen
Mac-Tipp: Schnelle Bildschirmfreigabe mit Bordmitteln
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.
26 Kommentare
Hallo, Sir!
Das Kontextmenü zeigt bei MacOS 10.7.5 für Volumes keine Verschlüsselungsmöglichkeit an. Mach ich irgendwas falsch?
Keinen Schimmer! Bei mir unter Catalina wird die Verschlüsselung im Kontextmenü angezeigt. Vielleicht gab es das unter 10.7.5 noch nicht?
Danke für die Antwort! (Da ich keine Benachrichtigung bekommen habe, erst jetzt meine Reaktion.)
Ich habe inzwischen herausgefunden, dass das bei Lion (10.7.5) nur über das Terminal mit „diskutil” möglich sein soll. Siehe
https://www.macwelt.de/ratgeber/Daten-verschluesseln-mit-Filevault-auf-Festplatten-und-USB-Sticks-6550147.html#abschnitt-2-verschluesselung-ueber-das-terminal
Ah, ok. Das wusste ich nicht. Man lernt nie aus! :D Aber danke für deine Rückmeldung/Aufklärung.
Im von mir verlinkten Artikel ist zwar in der Überschrift von „Mountain Lion” die Rede, aber mit dem Terminal und diskutil geht’s auch mit Lion. 1,5 TB einer externen Festplatte dauern über FireWire (bis zu 800 MBit/sec) hochgerechnet etwa 30 Stunden. (Bin noch nicht fertig.) Es wird anscheinend kein Wiederherstellungsschlüssel angelegt.
Noch eine Frage: Kann man eigentlich den Rechner abdrehen, wenn eine Platte (nicht die mit dem OS) noch nicht fertig verschlüsselt ist, und ihn später weitermachen lassen?
Ich denke ja, da der Prozess ja im Hintergrund läuft. Aber ich würde dringend zum "Abschalten" Menüpunkt raten und nicht einfach den Stecker ziehen. :D Aber das versteht sich sicher von selbst… ;-)
Man kann den Rechner abdrehen, auch wenn die Verschlüsselung einer (externen) Festplatte noch nicht fertig ist. (Ob es auch mit der Systemfestplatte ght, weiß ich nicht.) Der Rechner fährt ganz normal runter, und beim nächsten Aufdrehen, macht die Verschlüsselung einfach von selbst weiter.
Hast du es auf gut Glück ausprobiert???
Ich habe den Rechner während der Verschlüsselung einer nicht so wichtigen Backup-Festplatte mit diskutil über „Apfelmenü –> Ausschalten…” abgeschaltet. Keine besonderen Vorkommnisse. Beim nächsten Anmelden ging der Prozess einfach weiter, was ich mit diskutil cs list überprüfen und beobachten konnte.
AH, danke für den Befehl! Der ist auch hilfreich, wenn man sehen möchte, was er so macht. :D
Die interne Festplatte mit dem Betriebssystem habe ich über FileVault verschlüsselt. Die wird beim Anmelden meines Admin-Benutzeraccounts einfach gemountet. Andere mit diskutil verschlüsselte Festplatten verlangen nun nach dem Anmelden das Passwort. (Es geht mir ja darum, dass man durch das Einbauen so einer Festplatte in einen anderen Rechner ohne Passwort keinen Zugriff hat, was ja nun passt.) Ich möchte aber, dass diese Festplatten automatisch gemountet werden, wenn ich mich anmelde. Das müsste doch mit einem Skript, das von selbst als Anmeldeobjekt startet möglich sein. Ich habe ohnehin ein Startscript (als Applescript) laufen. Wie aber spreche ich die jeweiligen Festplatten an? Wie über Applescript? Oder wie über das Terminal?
tell application "Terminal"
do script with command "[…]"
end tell
Hallo Subhash! Ich glaube, in dem Bereich hast du mehr Ahnung als ich. Da kann ich leider keine Tipps geben. :D
Das Passwort im Schlüsselbund speichern zu lassen nützt übrigens anscheinend nicht.
Hallo Subhash! Hast du dir mal das Script "Unlock" angeschaut? Vielleicht bringt dich das weiter… Zitat: "Unlock allows the system to unlock and mount Core Storage encrypted volumes during boot. In other words, this allows you to log in as a user whose home directory is on an encrypted secondary disk without any problems."
Hallo Sir, nein, das Script „Unlock” kenne ich nicht. Ich habe es mit AppleScript aber so hinbekommen:
tell application "Terminal"
do script with command "diskutil cs unlockVolume [UUID] -passphrase MeinUnknackbaresPasswort"
end tell
Wobei [UUID] mit der CoreStorage UUID des „Logical Volumes” zu ersetzen ist, die mit „diskutil cs list” im Terminal zu finden ist.
Alternativ schreibt man sich ein Shellscript mit dem obigen Terminalbefehl.
Jedenfalls habe ich das jetzt in meinem Startscript stehen, und obwohl kurz die Dialoge erscheinen, man möge das jeweilige Passwort für die drei verschlüsselten Festplatten eingeben, werden die Terminalbefehle über AppleScript akzeptiert, die Dialoge verschwinden und die Platten werden gemountet. Gut, so ist das recht praktisch. Mich stört nur ein bisschen, dass die Passworte offen im Skript stehen.
Hi Subhash! Danke für die Ergänzung des Skriptes! Das ist praktisch. Und eigentlich ist das Passwort im Script ja kein Problem, da man das Script ja nur sehen kann, wenn man sowieso schon mit dem PW eingeloggt ist.
Ich habe mir jetzt doch noch einmal alle Passworte in der Schlüsselbundverwaltung gespeichert, weil ich sie über den Schlüsselbund ohne Passwort im Script abrufen wollte. Sie werden dann automatisch im Schlüsselbund „Anmeldung” gespeichert. Der Aufruf über Terminal lautete dann so: „diskutil cs unlockVolume [UUID] -recoverykeychain /Users/MeinBenutzer/Library/Keychains/login.keychain”
Und siehe da, der Terminalbefehl im AppleScript ist doch nicht nötig, die Festplatten werden automatisch gemountet! Anscheinend habe ich beim ersten versuch etwas falsch gemacht oder falsch verstanden. So ist das jetzt ja noch einfacher. Dafür ist gar kein Startscript notwendig.
Überhaupt ist die ganze Umständlichkeit nur bei „Lion” (MacOS 10.7) gegeben. Mit späteren Betriebssystemen geht’s angeblich schon über das Kontextmenü der Festplatte im Finder wie du ja oben schreibst.
Die Platte muss auch als „Mac OS Extended (Journaled)“ oder APFS formatiert sein. Eine Kopie der Startplatte lässt sich derzeit idiotischerweise NICHT verschlüsseln. Ich habe noch nicht herausgefunden warum, nur DASS.
Somit habe ich aber ein echtes Problem… so nützt alle Verschlüsselung nichts, wenn die Backups ohne sind! *kopfschüttel*
Glückauf, Ollie
Dummerweise wird einem auch nicht angezeigt, WAS nicht stimmt oder was man ändern muss, wenn man eine andere HD zu verschlüsseln sucht. Der Eintrag im Kontextemnü ist dann einfach nicht vorhanden. Und über Catalina geht es über Sicherheit->FileVault auch nicht mehr, darüber kann man blöderweise ausschließlich die interne Platte verschlüsseln. Hier hat Apple sich echt wieder M$-Mechanismen angenähert, alles unnötig komplizierter zu machen :-(
Hallo Ollie! Das liegt daran, dass das Backup-Programm nur die Dateien kopieren kann. Wenn du das Backup verschlüssel möchtest, musst du die Festplatte, auf der das Backup laden soll, verschlüsseln. Das klappt bei mir problemlos unter Catalina.
Hi Jens,
ich wollte in mein altes MacBook Pro eine SSD einbauen. System: High Sierra. Kann ich die alte HD mit den Daten einfach in ein Gehäuse einbauen und als externe Platte nutzen?
Ich kann mich nicht mehr erinnern, ob die HD verschlüsselt ist, noch ob die Backups der Time Machine es sind. Wo sehe ich das?
In einem Tutorial habe ich jedenfalls gelesen, dass man die Verschlüsselung für das ehemalige System Volume aufheben sollte. Eigentlich dürfte das doch nur notwendig sein, wenn man das Passwort nicht kennt. Oder fehlt mir da eine entscheidende Info?
Viele Grüße
Marie
Hallo Marie! Ja, du kannst die Festplatte einfach in ein externes Gehäuse bauen. Ich bin nicht 100% sicher, ob du dann mit dem Passwort die Verschlüsselung aufheben kannst, oder ob der Mac vielleicht irgendwas daran auszusetzen hat. Wegen Time Machine: Das müsstest du eigentlich am Mac unter Systemeinstellungen > Time Machine erkennen. Wenn dort noch die Platte ausgewählt ist. Ansonsten sehe ich es an meinen Platten nicht mehr. Früher gab es mal eine Datei "Sparsebundle", welche auf dem Time Machine Volume lag, aber bei mir ist das nicht mehr so… Da gibt es nur noch einen Spotlight-V100 Ordner und der ist auf jeder Festplatte. Du siehst ihn, wenn du mit der Tastenkombination CMD + SHIFT + . (Punkt) die unsichtbaren Dateien sichtbar machst.
Hallo,
danke für den interessanten Artikel. Nachdem ich in den letzten Jahren TimeMachine Backups auf einer externen Festplatten erstellt hatte, möchte ich nun wieder zu einem klassischen Backup wechseln. Also die Dateien von meinem iMac (SSD) regelmäßig auf zwei externen SSDs lokal spiegeln (doppeltes Backup). Also nicht mehr das ganze System als Backup sichern. Dazu möchte ich zwei externe SSDs und das Programm Sync Folders Pro verwenden. Ich möchte nicht über ein Netzwerk gehen, da ich die Daten ausschließlich lokal verwende.
Und jetzt zu meiner Frage. Kann ich meine interne sowie die beiden externen SSDs mit FileVault verschlüsseln und die internen Daten trotzdem regelmäßig auf den externen SSDs sichern? Mein technisches Wissen ist begrenzt. Für eine zielführende Antwort wäre ich sehr dankbar.
Hallo Piet! Ja, das sollte gehen. Du hast die Festplatten ja quasi unverschlüsselt sichtbar, wenn du eingeloggt bist, da das FileVault-Passwort sehr früh beim Booten abgefragt wird. Du kannst daher sicher mit dem Tool arbeiten und Daten kopieren.
Was aktuell aber nicht mehr so einfach ist, ist das Backup der Systemplatte. macOS hat ja seit ein paar Versionen schon eine Aufteilung zwischen Macintosh HD Daten und Macintosh HD. Und du kannst nur die persönlichen Daten sichern. macOS lässt mittlerweile das Kopieren einer Systempartition MIT der Möglichkeit, davon zu booten, nicht mehr zu. Das ist allerdings ein Sicherheitsfeature, das durchaus sinnvoll ist.
Vielen Dank für die schnelle Antwort. Ein TimeMachine-Backup bzw. ein System-Backup ist für mich auch keine Option mehr. Mein alter iMac (HDD) ließ sich nur noch bis OS Catalina updaten. Nachdem er sich von einer Sekunde auf die andere verabschiedete, musste ich auf dem neuen iMac (macOS Monterey) das gesamte alte Catalina-System wiederherstellen, um an meine Daten zu kommen, eine Katastrophe. TimeMachine ist sicher eine tolle Sache, wenn ich es am selben Rechner verwende. Unter dem Strich ist ein separates externes Backup meiner Daten und die Neuinstallation des Systems, falls es mal erforderlich wird, die bessere Alternative. Unter Monterey und den neuen SSDs kann ich die Basisinstallation innerhalb kürzester Zeit ja ohnehin direkt auf meinem Mac wiederherstellen, wenn ich es richtig nachgelesen habe. Also, nochmals vielen Dank für die Antwort. Werde es dann jetzt einfach mal in der Praxis testen. Beste Grüße Peter Schwartz