Foto-Knipser.eu

just another weblog: Photos, MacOS, Unix, GNU Linux, free libre opensource software, personal micro-blog

filevault - nachträgliches verschlüsseln von geklonten Festplatten (CCC) - leichter als unter Linux?

Ein paar Gedanken zum Thema nachträgliche Verschlüsslung unter MacOS und Erfahrungen, auch im Vergleich zu Linux. Außerdem berichte ich über eine gute Sache in Mac OS, die mir aufgefallen ist, wenn man nachträglich backup-Klone verschlüsselt Meiner Ansicht nach ist das Verschlüsseln von Festplatten Pflicht und man muss kein Technik-Crack sein, um das durchzuführen. Unter MacOS ist es wirklich kinderleicht: Systemeinstellungen -> Sicherheit -> filevault aktivieren und schon wird die Festplatte verschlüsselt. Auf den gleichen Weg lässt sich dies übrigens rückgängig machen.

Dies klappt im laufenden Betrieb und ist auch sinnvoll: Im Gegensatz zu Linuxusern, wird der durchschnittliche Macuser sein System nicht selbst aufsetzen.

Ich gehe deshalb davon aus, dass der überwiegende Teil der Macuser entweder Daten nicht verschlüsselt auf MacOS lagert oder diese erst nachträglich aktiviert.

Aber zurück zu filevault: Wenn im Rechner eine SSD verbaut ist wird man auch keinen Performanceverlust feststellen können. Leider ist unter Linux meiner Meinung nach nicht so einfach nachträglich die Festplatte zu verschlüsseln. In einschlägigen Foren wird empfohlen, dies gleich mit einer Neuinstallation zu verbinden.

Deshalb empfehle ich schon bei der Installation von Linux die Platte zu verschlüsseln.

An dieser Stelle sei aber erwähnt, dass eine Neuninstallation von ubuntu im Gegenteil zu MacOS nur wenige Minuten in Anspruch nimmt. Nachher ist es zwar möglich aber wohl etwas komplizierter als einfach nur ein Häkchen setzen. Beim durchlesen von verschiedenen Foren, wurde für ubuntu oder Manjaro teilweise sogar vertreten: "Lass lieber die Finger davon, das macht alles nur komplizierter". Auch in der Ubuntuwiki ist die Rede von: "diese Entscheidung sollte nicht leichtfertig getroffen" werden. Dem kann ich mich nicht anschließen. Insbesondere, wer ein mobiles Gerät hatte, sollte imho auf jeden Fall aus Datensicherheitsgründen verschlüsseln. Anders zu beurteilen ist dies vielleicht auf älteren Geräten, die ohnehin Geschwindigkeitsnachteile haben.

Filevault hat mich beeindruckt...

Ich sichere meine Daten unter MacOS zum einen mit Timemachine und zum anderen erstelle ich Snapshots mit CCC, also bootfähige Klone meiner SSD in regelmäßigen Abständen. Dabei ist mir neulich aufgefallen, dass mein Backup unverschlüsselt geklont wurde. Ich habe das Zielmedium darum nachträglich verschlüsseln müssen. Dafür kann man übrigens diese Anleitung befolgen. Die nötigen Schritte ist in wenigen Minuten erledigt und man erhält verschlüsselte Backups. Unter Timemachine stellt sich die Frage nicht, da man dort beim Einrichten die Option erhält, verschlüsselte Timemachine Backups zu erstellen. Wer schonmal filevault im laufenden Betrieb aktiviert hat, weiss, dass es eine Weile dauern kann bis MacOS die Daten vollständig verschlüsselt hat.

... und das war der Grund dafür ...

Umso beeindruckter war ich, als ich festgestellt habe, dass man nicht mit dem Klone eingeloggt sein muss, sondern sich nach der begonnenen filevault Verschlüsselung wieder mit seinem Produktivsystem anmelden kann. MacOS ist also in der Lage die Verschlüsselung für den Klon durchzuführen, während man mit dem Produktivsystem arbeitet.

Tipp: mit "diskutil apfs list" kann man auf dem Produktivsystem nachvollziehen ob der Backupclone bereits verschlüsselt wurde

Und wie sieht es mit MobileDevice iPhone/iPad aus?

Selbstverständlich lassen sich die Daten von iPad und Co. auch sichern. Aus Sicherheitsgründen solltet ihr aber unbedingt auf ein icloud Backup verzichten, da diese voraussichtlich unverschlüsselt erfolgt. Abhilfe schafft ihr ein lokales Backup auf Eurem Mac.

zurück