Da passiert es aus heiterem Himmel – der heißgeliebte Rechenknecht ist weg – gestohlen – und jetzt?
Abgesehen vom finanziellen Verlust an Hardware, was ist mit den persönlichen Daten? Sind diese verschlüsselt? Oder kann jetzt jeder Eure Urlaubsfotos im Netz verbreiten (was noch ein harmloses Szenario ist)?
Klar, heutzutage hat man ja Time Machine und Co. und bespielt seine (hoffentlich vorher und regelmäßig) gesicherten Daten einfach wieder auf den neuen Rechner. Und die persönlichen Daten auf dem gestohlenen Rechner? Da wird sich ja bestimmt keiner für interessieren, oder?
Softwareschmieden, die Verschlüsselungssoftware anbieten, argumentieren mit Verlusten von im Schnitt $55.000 für ein einziges gestohlenes Notebook (im Geschäftsleben). Eine gewaltige Zahl meine ich.
Doch wie sieht es im privaten Umfeld aus? Wie sicher glaubt Ihr eure Daten? Was macht Ihr wenn der Fall der Fälle eintritt? Seid Ihr vorbereitet?
Was ich immer noch für mich persönlich suche, ist eine Verschlüsselung der gesamten Festplatte. Kein Hantieren mit FileVault, TrueCrypt und Co. Wer von euch hat bereits Erfahrung mit derartiger Software gesammelt? Was könnt ihr empfehlen? Oder macht ihr euch über die Sicherheit eurer Daten wenig bis gar keine Gedanken?
[Image Credits: Safe aus dem Finance Icon Set]
{ 38 comments… read them below or add one }
Ich benutze fürs MacBook “Espionage”.
Ich muss ganz ehrlich zugeben: Ich predige immer für Datensicherheit zu sorgen und auch vor Verschlüsselungen nicht halt zu machen aber ich bin nicht wirklich das Musterbeispiel.
Was die Datensicherungen angeht, habe ich alle meine Dokumente auf den Rechnern in einem Git-Repository, welches dafür sorgt, dass sie mit diesem Repository einerseits revisioniert werden und andererseits nach Änderungen an einen Server übertragen werden (git push). Dieser Server läuft mit meiner üblichen Server-Backup-Policy, ist also recht gut gesichert. (Backups werden hochgradig verschlüsselt via Cloud vorgehalten, so dass ein Datenverlust da weitestgehend ausgeschlossen ist.)
Mein MacBook hängt solange es zu Hause ist zusätzlich noch an der TimeMachine Platte, so dass ein Restore auf diesen Datenbestand jederzeit möglich ist. (Selbst schon ausprobiert, nachdem mir bei einem Festplatten-Crash alle Daten zerstört wurden. Neue Festplatte eingebaut, Backup wiederhergestellt und schon läuft wieder alles.)
Was bei mir nicht dem Musterbeispiel entspricht ist ganz einfach der Fakt, dass meine Daten nicht verschlüsselt auf den Geräten vorliegen. Wer also physischen Zugriff auf meine Rechner bekommt und meine Accounts knackt (oder das System einfach via *nix-CD bootet) kann alle Daten auslesen, die auf dem Gerät vorgehalten werden.
Ich benutze auch Espionage. Damit hab ich meine Mails, privaten Fotos und Dokumente mit 256Bit-Verschlüsselung gesichert. Der Rest (also Filme, Musik, etc.) ist nur durch’s Betriebssystem geschützt. Das Programm ist echt super: unkompliziert und (glaube und hoffe ich) effektiv …
Ich hoffe, Dein Passwort entspricht AES-256 …
Hmmm, interessante Frage… Sensible Datenn (digitale Bankunterlagen etc.) werden mit TrueCrypt verschlüsselt. Die Sammlung der Urlaubsfotos sind auf externen Festplatten gesichert. Also unterwegs mit dem Laptop hab ich die gar nicht dabei. Da muss schon jemand einbrechen.
Naja, würde mir aber auch eine einfache Lösung wünschen, die es Dieben erschwert an die Daten zu kommen.
Beim iPhone geht das schon in die richtige Richtung.
Ich habe auch Espionage verwendet, so lange bis die Software nicht mehr mit dem Helper kommunizieren konnte. Selbst nach einer Neuinstallation war die Software nicht mehr zur korrekten Funktion zu bewegen. Aktuell verwende ich Knox um die wichtigsten Daten sicher zu halten.
Nur eine kleine Anmerkung:
Wenn mit Verschlüsselung gearbeitet wird, werden die Daten auch empfindlicher. Ist auf der gesamten Festplatte auch nur ein Bit verdreht (bildlich Gepsrochen), sind alle Daten hin.
Es ist also großer Wert auf (unverschlüsselte) Datensicherung zu legen.
Hm, kannte beide Softwares noch nicht. Bin mir nicht sicher was ich jetzt eher kaufen sollte? Knox macht eigentlich das was ich bis jetzt immer per Hand gemacht hab, einfach verschlüsselte OS X Images (wahrscheinlich kann es auch welche die mitwachsen?). Espionage gibt ja damit an mehr zu können …. hm …
Home auf einer extra Partition, welche komplett mit truecrypt verschlüsselt ist. Per sleepwaker dismountet bzw. mountet(pw wird erfragt) . Komplette HDD wird mit Timemachine bzw. CCC gesichert.
Für mich eine optimale Lösung da meine Daten so immer sicher sind. Außer jemand klaut mir mein Book vom Schreibtisch runter.
greez
dondom
Ich habe alle Fotos auf meinen externen Festplatten. Und den Rest der “wichtigen” Dateien sichere ich regelmäßig, passwortgeschützt auf meinem Webspace.
Für vollständige Festplattenverschlüsselung kommt auf dem Mac eigentlich nur PGP WDE in Frage. Die Leistungseinbussen sind aber leider gravierend, insbesondere bei Verwendung einer SSD:
http://www.macmacken.com/2010/11/22/langsames-macbook-air-durch-pgp-whole-disk-encryption-wde/
Macs, die ich mobil nutze, verschlüssele ich mittels PGP WDE (Festplatte) oder FileVault (SSD). FileVault verhindert allerdings die regelmässige Datensicherung mit «Time Machine», so dass ich FileVault nur auf Zweit-Macs empfehlen kann, deren Daten synchronisiert und anderswo gesichert werden.
Backups verschlüssele ich grundsätzlich nicht, denn Verschlüsselung erhöht jeweils die Wahrscheinlichkeit, dass die Wiederherstellung nicht mehr funktioniert – und sei es nur, weil das Kennwort nicht mehr funktioniert … eine Ausnahme bilden selbstverständlich Backups, die ich ausserhalb der eigenen vier Wände lagere.
Espionage, Knox, usw. sind AFAIK Benutzeroberflächen für verschlüsselte Disk Images und Sparse Bundles von Mac OS X. Wer den Komfort mag, kann solche Anwendungen verwenden, notwendig sind sie aber nicht – das Festplatten-Dienstprogramm und der Finder bieten die entsprechenden Funktionen auch.
Wie darf ich das verstehen? Kann das Festplattendienstprogramm wie Espionage Dateien/Ordner verschlüsseln?
Korrekt. Mit dem FDP kann man von Ordnern verschlüsselte Images erstellen, die dann gemounted werden können. Halt’ nicht so bequem wie Knox/Espionage – aber mit Bordmitteln dennoch komfortabel genug.
BTW: Ich setze KNox, Espionage und FDP ein.
Nein, das Festplattendienstprogramm kann verschlüsselte Disk Images und Sparse Bundles erstellen, in die dann Ordner und Dateien gelegt werden können. Espionage, Knox, usw. machen diese Funktionalität über eine +/- komfortable Benutzeroberfläche zugänglich, erweitern den eigentlichen Funktionsumfang von Mac OS X nicht.
Das Festplattendienstprogramm (FDP) kann auch gezielt von Ordnern ein (bpw. verschlüsseltes) Image erstellen
, nicht nur leere Images erstellen, die dann nachträglich befüllt werden müssen.
Merci, das war mir nicht bewusst - auch wenn das Ergebnis identisch ist, aber immerhin eine Zeitersparnis beim Erstellen!
Hi,
ich nutze auf meinem MB Checkpoint Full-Disk-Encryption. Gefühlt ohne Geschwindigkeitseinbußen, messen kann ich mangels Zweit-MB nicht
Backup mache ich (unverschlüsselt) via TM auf eine TC. Klarer Nachteil: booten von DVD (um z.B. die MB-Partition zu reparieren) geht nur nach kompletter Entschlüsselung (und das dauert ne Nacht)
Aber so kann mir halt keiner die Daten klauen, wenn er das MB “erbeutet”… Ist mir so lieber.
Michael
Michael, wo kann man Checkpoint FDE kaufen?
Wo ist denn das Problem mit TrueCrypt die ganze Platte zu verschlüsselt?
Hi,
das Boot-LW verschlüsselt TrueCrypt nur unter Windows. Die Pre-Boot-Auth braucht ein BIOS und kann nicht mit EFI.
Leider
Erstmal danke für die vielen Kommentare. Es schein ja ein Thema zu sein was doch den Einen oder Anderen interessiert.
Ihr werdet es vielleicht nicht glauben, aber Espionage kannte ich noch gar nicht. Die Integration ins MacOS sieht aber sehr gut aus. Mal sehen – ich teste das mal. Als ich noch “damals” unter diversen Linux-Derivaten unterwegs war habe ich eigentlich immer mit TrueCrypt gearbeitet. Das mit der Indexierung der Suchen war aber immer etwas kniffelig. Das gleiche Problem habe ich bei meinem Mac. Wenn ich verschlüsselte Container benutze versagt oftmals Spotligt – schade. Aber ich bleibe dran und werde euch gerne berichten.
Spotlight funktioniert auch mit Daten in verschlüsselten Disk Images, usw., aber erst nach dem Öffnen und je nach Umfang der Daten dauert das Indizieren dann gewisse Zeit.
Aber ist es nicht das was man eigentlich will? Wenn ich schon einen Grund habe meine Daten in einem verschlüsselten Container zu verstecken, will ich dann wirklich, dass sie in einem unverschlüsselten Suchindex zu finden sind? Meiner Meinung nach macht es entweder Sinn eine Komplettverschlüsselung zu fahren und darin dann den Suchindex zu nutzen oder aber ein kleines Volume, welches nur die Daten enthält und dafür verschlüsselt aber nicht indiziert ist.
Gebe ich dir völlig Recht! Deshalb bin ich ja auf der Suche nach einer Komplettverschlüsselung. Natürlich am Besten als Open Source Projekt. Leider war meine Suche bis dato erfolglos. Aber Checkpoint Full-Disk-Encryption ist glaube ich eine gute Wahl. Mal sehen….
Wie sieht es denn mit Hardware Verschlüsselung aus?
Seagate bietet ja entsprechende Festplatten
http://www.seagate.com/www/en-us/products/laptops/laptop-hard-drives/
und mittlerweile ist auch für EFI eine entsprechende Software vorhanden
http://www.winmagic.com/products/full-disk-encryption-for-mac
Klar RAM und Sleep Problematik bleiben bestehen, aber ansonsten klingt das nach einer performanten und automatisierten Lösung.
Jemand schon Erfahrungen gesammelt???
Tolles Thema und ein sehr interessanter Artikel! Auch ich habe mich mit dem Thema beschäftigen müssen! Nicht weil mein Macbook Pro geklaut wurde, nein viel einfacher, die Festplatte ist kaputt gegangen. Sch…
Also habe ich folgende Lösung gewählt wie ich mittels Truecrypt Daten in der Dropbox verschlüssele und somit sicher gemacht habe. Sorry, für den Link, wenn er nicht gewünscht ist, einfach löschen!
Ich hoffe ich kann dem einen oder anderen hier helfen!
Gruß und schönen 1. Advent
Matthias
Ja, sehr guter Artikel! Bin vor kurzem mit brutaler Gewalt auf das Thema gestoßen worden: Einbruch, iMac weg!
Die TimeMachine Festplatte haben sie zum Glück dagelassen.
Aber was, wenn der Dieb mein Adminpasswort mit der System CD zurücksetzt? Dann hat er Zugriff auf:
- alle Mails (“Hier die Logindaten für meinen Server: xxxxxx, yyyyyyy”)
- alle FTP bookmarks von Cyberduck
- alle Bilder (auch die, die man eigentich nicht bei facebook sehen wollte)
- IQC, AIM, Skype …
- Kontoauszüge, Schriftverkehr …
Für alle Weblogins benutzte ich immerhin 1Password (kann ich sehr empfehlen). Mit der iPhone App habe ich dann 2 Tage lang mich in alle Accounts (Mail, FTP, Server, Chats, …) eingeloggt und Passworte geändert. (bin seit 1994 online, da sammelt sich einiges an)
Das wollte ich eigentlich nicht mehr erleben. Nachdem die Backuplösung mit TimeMachine so gut funktioniert, wollte ich jetzt meine Daten richtig verschlüsseln.
Backup versus Verschlüsselung
Grundsätzlich scheinen sich einfaches Backup und sichere Verschlüsselung fast auszuschließen: mit dem einen will man Daten zugänglich machen, mit dem anderen eben gerade nicht.
Zu FileFault hab ich das hier gelesen: http://www.macmacken.com/2007/12/09/10-schwaechen-von-filevault/ , andere Programme hab ich garnicht erst probiert, denn das Backup hat für mich Priorität 1.
Ich hab dann was handgestricktes gebaut: verschlüsseltes DMG mit allen wichtigen Daten aus Users/Library (Safari, Mail, Adressbook, Calenders, Keychain) per Symbolic link (NICHT Alias, das klappt nicht). Das DMG liegt in den Startup Items.
Mehr zu Symbolic links: http://hints.macworld.com/article.php?story=2001110610290643
Allerdings besteht auch hier das Problem mit dem Backup.
Hab also noch keine wirklich schöne Lösung gefunden.
PGP WDE kann ich aus eigener Erfahrung empfehlen, wenn man mit der damit verbundenen Leistungseinbusse leben kann. Bei Macs mit Festplatte konnte und kann ich es, bei solchen mit SSD leider nicht.
Bei Macs mit SSD verwende ich momentan FileVault. Ich führe auf diesen Macs allerdings keine Datensicherung durch, sondern synchronisiere die Daten und sichere sie faktisch so. FileVault hat wie im verlinkten Blogartikel erwähnt zahlreiche Nachteile, aber mittlerweile halte ich das fehlende regelmässige «Time Machine»-Backup für den gravierendsten Nachteil.
Ich sichere meine Daten mit Time Machine (wie die meisten).
Aber wenn jemand fremdes an meinen Mac will, braucht er mein (System)Passwort, weil dieses auch beim erwachen aus dem Ruhemodus oder auch Bildschirmschoner gebraucht wird.
So fühle ich mich relativ sicher, aber wenn einer die Daten will (meine Daten?), kommt er da auch dran.
Grüße
Ich arbeite schon lange mit den OSX Bordmitteln.
- encrypted disk image
- symbolic links für die wichtigsten Anwendungsverzeichnisse
Die check point FDE Lösung klingt interessant. Wo kann man die Mac OSX Version kaufen und was kostet eine Lizenz?
@ Tiron
Wie organisierst du deine Backups? Schreibt TimeMachine jedes mal das ganze DMG neu ins Backup? Sichert TM Änderungen im DMG, solange es geöffnet ist?
@Mirko:
Time Machine sichert AFAIK nur geschlossene Disk Images, diese aber jeweils vollständige. Eine Alternative bilden Sparse Bundles, wie sie seit Mac OS X 10.5 verfügbar sind.
@ Mirko Schröder
Hat denn der Dieb Zugriff auf die Passwörter im Schlüsselbund? Ich habe alles im Schlüsselbund abgelegt und fühlte mich bisher sicher. Das Schlüsselbund hat bei mir ein eigenes “starkes” Passwort. Safari und Firefox verbiete ich immer, sich die Passwörter von Websites zu merken.-
@ Ralph
Mit dem Admin Passwort hat man mit Hilfe des Programms Schlüsselbund/KeychainAccess Zugriff auf alle gespeicherten Passworte.
Wenn man nun das Admin Passwort mit der System CD zurücksetzen kann, hat man wohl logischerweise mit dem neu gesetzen Admin Passwort ebenso Zugriff auf alle gespeicherten Passworte. (Man korrigiere mich ggf., ich hab es tatsächlich noch nicht ausprobiert)
Worst Case Zenario: mit einer System CD gehe ich in deiner Mittagspause an deinen Rechner, setze das Admin Passwort zurück, klaue Facebook, Twitter, Email, ICQ Passworte und bin nach 20 Minuten wieder weg. Dann logge ich mich bei mir zuhause mit deinen Daten ein, ändere alle Zugangsdaten, schreibe in deinem Namen böse Mitteilungen und Emails.
Bis du diesen Sachverhalt aufgeklärt hast, bist du eventuell schon gefeuert.
Warum macht Apple also sowas “Unsicheres” mit dem Zurücksetzen des Admin Passwortes? Weil sonst alle die nicht so versierten Apple User alle ihre Daten verlören, nur weil sie “dieses doofe Passwort” vergessen haben.
Ich korrigiere dich: Völliger Blödsinn, was du da schreibst.
Beim Zürücksetzen des Kennworts wird das Schlüsselbundkennwort AUSDRÜCKLICH NICHT ersetzt.
@ dr3do
Danke für den Hinweis, das muss ich natürlich tatsächlich mal ausprobieren.
Weisst du zufällig, was dann mit Programmen nach dem Zurücksetzen des Admin Passworts passiert, die auf den Schlüsselbund zugreifen (ICQ, Cyberduck, Website-Logins …) ? Fragen die dann nach dem alten Admin Passwort? Oder loggen die sich wie gewohnt automatisch ein?
Wie sollen sich die Apps automatisch einloggen, wenn der Schlüssebund nicht automatisch entsperrt werden kann, weil das neue Benutzer-Kennwort nicht (mehr) mit dem Schlüsselbund-Kennwort übereinstimmt?
Genau, gar nicht. Daher fragen Sie nach dem Schlüsselbund-Kennwort (und nicht nach dem Admin-Passwort; was aber häufig aus Bequemlichkeitsgründen identisch ist).
Standardmässig ist es unter Mac OS X identisch. Im Ergebnis ist das Minus an Sicherheit allerdings nicht dramatisch – eben weil das Schlüsselbund-Passwort nicht zurückgesetzt werden kann.
{ 1 trackback }