macOS Sicherheitsgrundlagen: Die Gefahr von unverschlüsselten Daten in den falschen Händen

Verschlüsselung kann für viele Menschen vieles bedeuten. Je nach Erfahrungsstand kann die Verschlüsselung so einfach sein wie das Markieren einer Datei oder eines Ordners, der in einem Verzeichnis versteckt ist, bis hin zum Passwortschutz einer ZIP-Datei mit einem vierundsechzig Zeichen langen Passwort, das mit variablen Leerzeichen gefüllt ist, um Passwort-Cracking-Software für ein Jahrtausend in Schach zu halten. Das bedeutet, dass der Begriff „Verschlüsselung” selbst eine Vielzahl von Möglichkeiten und Variablen umfassen kann, die sich weiter auswirken können, z. B. das Salzen eines Hash-Werts oder das Schreiben einer eigenen Chiffre - allesamt fortgeschrittene kryptografische Themen, die den Rahmen dieses Blogs sprengen würden.

Hier werden wir darüber sprechen:

• Die allgemeinen Funktionen der macOS Verschlüsselung
• Wie FileVault funktioniert (und wie es nicht funktioniert)
• Und die Vorteile der Aktivierung von FV auf Ihrem Mac

Weit zurückliegende Maschine

Bevor wir uns mit den oben genannten Punkten befassen, sollten wir einen kleinen Ausflug ins Jahr 2003 machen. Apple veröffentlichte OS X „Panther” oder Version 10.3, mit der FileVault (FV) eingeführt wurde, die Technologie, die die Datenverschlüsselung im Mac ermöglicht. Wenn diese Funktion aktiviert ist, verschlüsselt FileVault den Inhalt des privaten Datenträgers eines Benutzers/einer Benutzerin nur, indem die Anmeldeinformationen des Benutzers als Methode zum Sperren und Entsperren des Datenträgers verwendet werden, wenn der Benutzer abgemeldet oder erfolgreich authentifiziert ist.

Es ermöglichte die Verschlüsselung durch die Verwendung von Apples Sparse Disk Image — ähnlich einer DMG-Datei, aber verschlüsselt — um den Inhalt des Benutzer-Datenträgers zu enthalten, einschließlich der Verzeichnisse Desktop und Dokumente, unter anderem.

Im Jahr 2007, mit der Veröffentlichung von OS X „Lion” (10.7), wurde die von Apple entwickelte Verschlüsselungstechnologie jedoch mit zusätzlichen Funktionen neu gestaltet und FileVault 2 (FV2) genannt. FV2 ist die Standard-Verschlüsselungstechnologie, die seither in allen Versionen von OS X und macOS verfügbar ist. Auf die Funktionen und die Funktionsweise von FV2 werden wir später noch näher eingehen.

„Wachs auftragen, Wachs abtragen”

So wie Mr. Miyagi, der Meister der Kampfkünste, Daniel-san Karate durch Lektionen lehrte, die die Grundlagen der Verteidigung vereinfachten, hat Apple einen ähnlichen Ansatz für die Aktivierung/Deaktivierung des Sicherheitsschutzes gewählt, den wir heute hier besprechen.

Hinweis: Da die ursprüngliche Version von FV ( legacy FileVault) von FV2 abgelöst wurde, beziehen sich alle weiteren Diskussionen ausschließlich auf FileVault 2.

Einschalten der Verschlüsselung

Die Aktivierung von FV2 ist ein unkompliziertes Verfahren. Unabhängig davon, ob die Aktivierung manuell (durch einen Benutzer*innen) oder automatisiert (durch die IT-Abteilung über MDM) erfolgt, ist der Prozess erforderlich:

1. Authentifizieren Sie sich bei einem Mac mit einer Administrator*innen-Berechtigung.
2. Starten Sie die Systemeinstellungen.
3. Klicken Sie auf den Einstellungsbereich Sicherheit und Datenschutz.
4. Wählen Sie die Registerkarte FileVault.
5. Klicken Sie auf FileVault einschalten.

Das war´s! FV2 ist nun aktiviert und beginnt mit dem Verfahren zur Verschlüsselung Ihrer Daten. Sobald dies abgeschlossen ist, werden Sie aufgefordert, den Computer neu zu starten, um das Verfahren abzuschließen.

Ausschalten der Verschlüsselung

Jetzt, wo Ihr Mac sicher ist, warum sollten Sie das tun?! Es kann einige Gründe geben, FV2 zu deaktivieren, wenn auch nur vorübergehend. Um diese Sicherheitsfunktion zu deaktivieren:

1. Führen Sie die Schritte 1-4 aus.
2. Klicken Sie auf FileVault ausschalten.

Auch hier wird der Mac einige Zeit benötigen, um alle Daten im Hintergrund zu entschlüsseln, während Sie Ihren Mac verwenden. Es ist zu beachten, dass sowohl bei der Aktivierung als auch bei der Deaktivierung von FV2 der Mac wach und an das Netzladegerät angeschlossen sein muss, damit der Verschlüsselungs- bzw. Entschlüsselungsprozess abgeschlossen werden kann.

Speichern von FileVault Wiederherstellungsschlüsseln

Nachdem FV2 aktiviert ist, werden die Benutzer*innen aufgefordert, einen Wiederherstellungsschlüssel zu erstellen und sicher zu speichern. Dies ist ein backdoorZugang, mit dem man seine Daten entschlüsseln kann, wenn der Benutzer*innen sein Kontopasswort ändert, wenn das Konto kompromittiert wird oder wenn er einfach seine Zugangsdaten vergisst.

Die Bedeutung dieses Schlüssels kann nicht hoch genug eingeschätzt werden. Daher wird empfohlen, ihn an einem sicheren Ort aufzubewahren, an dem niemand auf die gesicherten Daten auf dem Laufwerk zugreifen kann, den Sie normalerweise nicht wünschen würden.

Benutzer*innen mit iCloud-Konten, die die cloudbasierte Technologie nutzen möchten, können eine Kopie ihres eindeutigen Wiederherstellungsschlüssels dort speichern. Der Schlüssel ist dabei geschützt und gesichert — nicht einmal Apple kann ihn lesen —, kann aber jederzeit und überall von jedem Gerät mit iCloud-Zugang abgerufen werden, was für zusätzliche Sicherheit sorgt.

IT + FileVault = Automatisierung F-U-N

Während das oben Gesagte zweifellos auf privat und beruflich genutzte Macs zutrifft, gilt das in diesem Abschnitt vorgestellte Szenario im Wesentlichen nur für Unternehmen, die ihre Mac Flotte über eine MDM-Software (Mobile Device Management) wie Jamf Pro verwalten.

MDM-Lösungen ermöglichen es der IT-Abteilung nicht nur, Geräte zentral zu verwalten, sondern sie bieten auch Konfigurationseinstellungen, um die Aktivierung von FV2 zu automatisieren. Darüber hinaus ermöglicht es die Rationalisierung der Verwaltung individueller Wiederherstellungsschlüssel, die für jedes Gerät einzigartig sind, und speichert sie sicher im Datensatz jedes Geräts, um die Verwaltung und den Abruf durch die IT-Abteilung bei Bedarf zu vereinfachen.

Das Administrationshandbuch bietet detaillierte Anleitungen zur Verwendung von Jamf Pro für die Einrichtung und Verwaltung von FileVault 2 und Wiederherstellungsschlüsseln für Ihr Unternehmen. Es enthält ausführliche Informationen für IT-Organisationen, die die Sicherheit ihrer Geräte erhöhen und gleichzeitig ihre Geräteflotte auf der Grundlage bewährter Branchenpraktiken und unter Einhaltung der Sicherheits- und Datenschutzrichtlinien von Apple verwalten möchten.

„Kehren Sie das Bein”

Die größte und wohl auch beste Funktion von FileVault ist die Verschlüsselung. Schließlich ist dies der Hauptgrund, die Sicherheitskontrolle überhaupt erst zu aktivieren, nicht wahr? Der Verschlüsselungsalgorithmus basiert auf der XTS-AES-128-Chiffre mit einem 256-Bit-Schlüssel, der laut Apple dazu beiträgt, „unbefugten Zugriff auf die Informationen auf Ihrer Startup-Disk zu verhindern.”

Ja, Sie haben richtig gelesen. Verschlüsselt den Startup-Datenträger - nicht das Home-Volume des Benutzers/der Benutzerin. Das ist kein Tippfehler, sondern ein wesentlicher Unterschied zwischen FileVault 2 und dem alten FileVault. Sie erinnern sich, dass letzteres nur den Privatordner des Benutzers schützt, der die FileVault-Vorgängerversion aktiviert hat. Dazu muss jeder Benutzer*innen FV aktivieren, um seinen eigenen privaten Ordner zu schützen. Das Home-Volume anderer Benutzer*innen und das Betriebssystem selbst sind dadurch anfällig für Sicherheitsbedrohungen und Angriffe.

FileVault 2 behebt dies jedoch, indem es eine Verschlüsselung der gesamten Festplatte bietet, sobald diese aktiviert ist. Durch die Nutzung des gesamten Datenträgers werden alle darauf gespeicherten Daten effektiv verschlüsselt. Dazu müssen sich die von FV2 autorisierten Benutzer zunächst am Mac anmelden, wodurch die Speicherplatte entsperrt wird und andere Benutzer sich dann anmelden können.

Das Ergebnis? Ein verschlüsseltes System, das die gesamte Speicherplatte umfasst und alle darin enthaltenen Daten ganzheitlich schützt — nicht nur diejenigen, die sich für die sichere Aufbewahrung ihrer Daten entschieden haben.

Geschmeidige Bewegungen

Genau wie die Karate Kid-Filmreihe dem Publikum die unvergesslichen (und oft nachgeahmten) Techniken der Miyagi-Do-Karatekunst näherbrachte: die Trommeltechnik, die Kata und der unvergessliche Kranichkick sind nur einige der charakteristischen Bewegungen, die Daniel-san lernte, um sich bei Turnieren zu verteidigen. In ähnlicher Weise bietet die Verschlüsselungsimplementierung von FileVault 2 den Benutzern mehrere Vorteile, die über die Sicherung der Daten durch Verschlüsselung hinausgehen.

• Die Verschlüsselung der gesamten Festplatte oder der Startfestplatte bedeutet, dass auch der leere, ungenutzte Speicherplatz auf dem Systemlaufwerk gesichert werden muss, um die Angriffsfläche zu verkleinern und zu verhindern, dass böswillige Akteure diesen zum Einschleusen von Malware nutzen. Darüber hinaus wird die Verschlüsselung von Sicherheitsexperten oft als „lastletzter Ausweg”betrachtet, um die Integrität Ihrer persönlichen, geschäftlichen und/oder privaten Daten if zu bewahren, wenn Ihr MacBook Laptop gestohlen wird, das Speicherlaufwerk aus Ihrem Mac-Computer entfernt wird oder andere Formen von festplattenbasierten Angriffen eingesetzt werden, um Ihre Daten zu gefährden.
• FV2-fähige Geräte erfordern, dass jedes Benutzerkonto, das dieses Gerät verwendet, ebenfalls FV-fähig ist. Benutzer*innen, die nicht über das sichere Token verfügen, das mit ihrem Konto verknüpft ist, können sich so lange nicht am Mac anmelden, bis sich ein FV-fähiger Benutzer*innen zuerst authentifiziert und die Festplatte entsperrt hat. Diese Funktion verhindert, dass unbefugte Benutzer*innen auf den Inhalt des Laufwerks zugreifen können – sei es lokal vom Mac aus oder wenn das Laufwerk entfernt und an einen anderen Mac angeschlossen wird, was eine beliebte Art von Datendiebstahl ist.
• Beide Versionen von FileVault halten sich an das Prinzip der Vertraulichkeit der Sicherheitstrias. Das bedeutet, dass die Daten nicht nur vor unbefugten Bedrohungen geschützt sind, sondern dass FV auch die Richtlinien des National Institute of Standards and Technology (NIST) einhält. Das NIST ist eine US-Regierungsbehörde, die neben anderen auf Standards basierenden Programmen Leitlinien für Organisationen zur Verwaltung und Reduzierung von Cybersicherheitsrisiken bereitstellt. Ihre Arbeit an SP 800-179, Revision 1, bietet einen Leitfaden auf Unternehmensebene, der auf Best Practices basiert, um Risiken zu minimieren und gleichzeitig die Sicherheit Ihrer Apple Endgeräte zu stärken.
• Die Verwaltung des Benutzerzugriffs auf FV-fähige Geräte mit Jamf Pro ist eine triviale Angelegenheit, aber für diejenigen, die den manuellen Weg gehen möchten, können Administrator*innen einfach das Terminal nutzen, um den sicheren Token-Zugriff auf Benutzerkonten zu aktivieren/deaktivieren und/oder Passwörter zurückzusetzen, falls erforderlich. Nachfolgend sehen Sie die Ausgabe des Befehls sysadminctl, der für die Verwaltung des Zugriffs pro Benutzerkonto auf mit FileVault 2 verschlüsselte Geräte verwendet wird: