26 Kommentare zu „FileVault: Festplatte am Mac verschlüsseln“

          1. Im von mir verlinkten Artikel ist zwar in der Überschrift von „Mountain Lion” die Rede, aber mit dem Terminal und diskutil geht’s auch mit Lion. 1,5 TB einer externen Festplatte dauern über FireWire (bis zu 800 MBit/sec) hochgerechnet etwa 30 Stunden. (Bin noch nicht fertig.) Es wird anscheinend kein Wiederherstellungsschlüssel angelegt.

          2. Noch eine Frage: Kann man eigentlich den Rechner abdrehen, wenn eine Platte (nicht die mit dem OS) noch nicht fertig verschlüsselt ist, und ihn später weitermachen lassen?

          3. Ich denke ja, da der Prozess ja im Hintergrund läuft. Aber ich würde dringend zum “Abschalten” Menüpunkt raten und nicht einfach den Stecker ziehen. :D Aber das versteht sich sicher von selbst… ;-)

          4. Man kann den Rechner abdrehen, auch wenn die Verschlüsselung einer (externen) Festplatte noch nicht fertig ist. (Ob es auch mit der Systemfestplatte ght, weiß ich nicht.) Der Rechner fährt ganz normal runter, und beim nächsten Aufdrehen, macht die Verschlüsselung einfach von selbst weiter.

          5. Ich habe den Rechner während der Verschlüsselung einer nicht so wichtigen Backup-Festplatte mit diskutil über „Apfelmenü –> Ausschalten…” abgeschaltet. Keine besonderen Vorkommnisse. Beim nächsten Anmelden ging der Prozess einfach weiter, was ich mit diskutil cs list überprüfen und beobachten konnte.

          6. Die interne Festplatte mit dem Betriebssystem habe ich über FileVault verschlüsselt. Die wird beim Anmelden meines Admin-Benutzeraccounts einfach gemountet. Andere mit diskutil verschlüsselte Festplatten verlangen nun nach dem Anmelden das Passwort. (Es geht mir ja darum, dass man durch das Einbauen so einer Festplatte in einen anderen Rechner ohne Passwort keinen Zugriff hat, was ja nun passt.) Ich möchte aber, dass diese Festplatten automatisch gemountet werden, wenn ich mich anmelde. Das müsste doch mit einem Skript, das von selbst als Anmeldeobjekt startet möglich sein. Ich habe ohnehin ein Startscript (als Applescript) laufen. Wie aber spreche ich die jeweiligen Festplatten an? Wie über Applescript? Oder wie über das Terminal?

            tell application “Terminal”
            do script with command “[…]”
            end tell

          7. Hallo Subhash! Hast du dir mal das Script “Unlock” angeschaut? Vielleicht bringt dich das weiter… Zitat: “Unlock allows the system to unlock and mount Core Storage encrypted volumes during boot. In other words, this allows you to log in as a user whose home directory is on an encrypted secondary disk without any problems.”

          8. Hallo Sir, nein, das Script „Unlock” kenne ich nicht. Ich habe es mit AppleScript aber so hinbekommen:

            tell application “Terminal”
            do script with command “diskutil cs unlockVolume [UUID] -passphrase MeinUnknackbaresPasswort”
            end tell

            Wobei [UUID] mit der CoreStorage UUID des „Logical Volumes” zu ersetzen ist, die mit „diskutil cs list” im Terminal zu finden ist.
            Alternativ schreibt man sich ein Shellscript mit dem obigen Terminalbefehl.

            Jedenfalls habe ich das jetzt in meinem Startscript stehen, und obwohl kurz die Dialoge erscheinen, man möge das jeweilige Passwort für die drei verschlüsselten Festplatten eingeben, werden die Terminalbefehle über AppleScript akzeptiert, die Dialoge verschwinden und die Platten werden gemountet. Gut, so ist das recht praktisch. Mich stört nur ein bisschen, dass die Passworte offen im Skript stehen.

          9. Hi Subhash! Danke für die Ergänzung des Skriptes! Das ist praktisch. Und eigentlich ist das Passwort im Script ja kein Problem, da man das Script ja nur sehen kann, wenn man sowieso schon mit dem PW eingeloggt ist.

          10. Ich habe mir jetzt doch noch einmal alle Passworte in der Schlüsselbundverwaltung gespeichert, weil ich sie über den Schlüsselbund ohne Passwort im Script abrufen wollte. Sie werden dann automatisch im Schlüsselbund „Anmeldung” gespeichert. Der Aufruf über Terminal lautete dann so: „diskutil cs unlockVolume [UUID] -recoverykeychain /Users/MeinBenutzer/Library/Keychains/login.keychain”

            Und siehe da, der Terminalbefehl im AppleScript ist doch nicht nötig, die Festplatten werden automatisch gemountet! Anscheinend habe ich beim ersten versuch etwas falsch gemacht oder falsch verstanden. So ist das jetzt ja noch einfacher. Dafür ist gar kein Startscript notwendig.

            Überhaupt ist die ganze Umständlichkeit nur bei „Lion” (MacOS 10.7) gegeben. Mit späteren Betriebssystemen geht’s angeblich schon über das Kontextmenü der Festplatte im Finder wie du ja oben schreibst.

    1. Die Platte muss auch als „Mac OS Extended (Journaled)“ oder APFS formatiert sein. Eine Kopie der Startplatte lässt sich derzeit idiotischerweise NICHT verschlüsseln. Ich habe noch nicht herausgefunden warum, nur DASS.
      Somit habe ich aber ein echtes Problem… so nützt alle Verschlüsselung nichts, wenn die Backups ohne sind! *kopfschüttel*

      Glückauf, Ollie

      1. Dummerweise wird einem auch nicht angezeigt, WAS nicht stimmt oder was man ändern muss, wenn man eine andere HD zu verschlüsseln sucht. Der Eintrag im Kontextemnü ist dann einfach nicht vorhanden. Und über Catalina geht es über Sicherheit->FileVault auch nicht mehr, darüber kann man blöderweise ausschließlich die interne Platte verschlüsseln. Hier hat Apple sich echt wieder M$-Mechanismen angenähert, alles unnötig komplizierter zu machen :-(

      2. Hallo Ollie! Das liegt daran, dass das Backup-Programm nur die Dateien kopieren kann. Wenn du das Backup verschlüssel möchtest, musst du die Festplatte, auf der das Backup laden soll, verschlüsseln. Das klappt bei mir problemlos unter Catalina.

  1. Hi Jens,

    ich wollte in mein altes MacBook Pro eine SSD einbauen. System: High Sierra. Kann ich die alte HD mit den Daten einfach in ein Gehäuse einbauen und als externe Platte nutzen?

    Ich kann mich nicht mehr erinnern, ob die HD verschlüsselt ist, noch ob die Backups der Time Machine es sind. Wo sehe ich das?

    In einem Tutorial habe ich jedenfalls gelesen, dass man die Verschlüsselung für das ehemalige System Volume aufheben sollte. Eigentlich dürfte das doch nur notwendig sein, wenn man das Passwort nicht kennt. Oder fehlt mir da eine entscheidende Info?

    Viele Grüße
    Marie

    1. Hallo Marie! Ja, du kannst die Festplatte einfach in ein externes Gehäuse bauen. Ich bin nicht 100% sicher, ob du dann mit dem Passwort die Verschlüsselung aufheben kannst, oder ob der Mac vielleicht irgendwas daran auszusetzen hat. Wegen Time Machine: Das müsstest du eigentlich am Mac unter Systemeinstellungen > Time Machine erkennen. Wenn dort noch die Platte ausgewählt ist. Ansonsten sehe ich es an meinen Platten nicht mehr. Früher gab es mal eine Datei “Sparsebundle”, welche auf dem Time Machine Volume lag, aber bei mir ist das nicht mehr so… Da gibt es nur noch einen Spotlight-V100 Ordner und der ist auf jeder Festplatte. Du siehst ihn, wenn du mit der Tastenkombination CMD + SHIFT + . (Punkt) die unsichtbaren Dateien sichtbar machst.

  2. Hallo,

    danke für den interessanten Artikel. Nachdem ich in den letzten Jahren TimeMachine Backups auf einer externen Festplatten erstellt hatte, möchte ich nun wieder zu einem klassischen Backup wechseln. Also die Dateien von meinem iMac (SSD) regelmäßig auf zwei externen SSDs lokal spiegeln (doppeltes Backup). Also nicht mehr das ganze System als Backup sichern. Dazu möchte ich zwei externe SSDs und das Programm Sync Folders Pro verwenden. Ich möchte nicht über ein Netzwerk gehen, da ich die Daten ausschließlich lokal verwende.

    Und jetzt zu meiner Frage. Kann ich meine interne sowie die beiden externen SSDs mit FileVault verschlüsseln und die internen Daten trotzdem regelmäßig auf den externen SSDs sichern? Mein technisches Wissen ist begrenzt. Für eine zielführende Antwort wäre ich sehr dankbar.

    1. Hallo Piet! Ja, das sollte gehen. Du hast die Festplatten ja quasi unverschlüsselt sichtbar, wenn du eingeloggt bist, da das FileVault-Passwort sehr früh beim Booten abgefragt wird. Du kannst daher sicher mit dem Tool arbeiten und Daten kopieren.
      Was aktuell aber nicht mehr so einfach ist, ist das Backup der Systemplatte. macOS hat ja seit ein paar Versionen schon eine Aufteilung zwischen Macintosh HD Daten und Macintosh HD. Und du kannst nur die persönlichen Daten sichern. macOS lässt mittlerweile das Kopieren einer Systempartition MIT der Möglichkeit, davon zu booten, nicht mehr zu. Das ist allerdings ein Sicherheitsfeature, das durchaus sinnvoll ist.

      1. Vielen Dank für die schnelle Antwort. Ein TimeMachine-Backup bzw. ein System-Backup ist für mich auch keine Option mehr. Mein alter iMac (HDD) ließ sich nur noch bis OS Catalina updaten. Nachdem er sich von einer Sekunde auf die andere verabschiedete, musste ich auf dem neuen iMac (macOS Monterey) das gesamte alte Catalina-System wiederherstellen, um an meine Daten zu kommen, eine Katastrophe. TimeMachine ist sicher eine tolle Sache, wenn ich es am selben Rechner verwende. Unter dem Strich ist ein separates externes Backup meiner Daten und die Neuinstallation des Systems, falls es mal erforderlich wird, die bessere Alternative. Unter Monterey und den neuen SSDs kann ich die Basisinstallation innerhalb kürzester Zeit ja ohnehin direkt auf meinem Mac wiederherstellen, wenn ich es richtig nachgelesen habe. Also, nochmals vielen Dank für die Antwort. Werde es dann jetzt einfach mal in der Praxis testen. Beste Grüße Peter Schwartz

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials