Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Datenschutz auf dem Mac – Fünf Möglichkeiten, die eigenen Daten zu verschlüsseln

Das Thema Datenschutz im Internet ist spätestens seit den Geheimdienst-Enthüllungen des ehemaligen NSA-Angestellten Edward Snowden in der Mitte der Gesellschaft angekommen. Selbst Menschen, die sich nicht besonders für Computer interessieren, sind mittlerweile sensibilisiert auf die Gefahren, die eine allumfassende Geheimdienst-Überwachung im Internet mit sich bringt. Aber wie ist es mit dem Datenschutz auf dem Rechner zuhause bestellt? Oder externen Festplatten und USB-Sticks?

Auch wer um Cloud-Dienste einen großen Bogen macht und seine Daten grundsätzlich nur offline lagert, ist vor Datendiebstahl nicht geschützt. Hundertprozentige Sicherheit vor Datenklau gibt es zwar nicht, aber man kann es Datendieben sehr schwer machen. Wir stellen fünf Möglichkeiten vor (FileVault 2, Festplattendienstprogramm, GPG Suite, TrueCrypt, Western Digital Security), wie man seine Daten auf dem Mac wirkungsvoll verschlüsselt und damit vor Fremdzugriff bewahrt.



FileVault 2

In OS X Lion (10.7) erhielt der bereits von früheren Betriebssystem-Versionen bekannte Verschlüsselungsdienst FileVault ein Update auf Version 2. Verbesserungen von FileVault 2 gegenüber Version 1 sind die Verschlüsselungsmethode XTS-AES 128 und die Möglichkeit, nicht mehr nur das Home-Verzeichnis eines Users verschlüsseln zu können, sondern gleich die gesamte Festplatte bzw. Partition, auf der OS X installiert ist.

FileVault lässt sich Apple-typisch schnell und unkompliziert aktivieren über Systemeinstellungen-Sicherheit-FileVault. Nach der Aktivierung fordert OS X einen Neustart, um mit dem Verschlüsselungsprozess beginnen zu können. Manche Nutzer berichten von einem geänderten Tastaturlayout im Bootscreen nach dem Neustart, wodurch die Passworteingabe eventuell erschwert wird – man sollte also vor der Eingabe des Passworts prüfen, ob am rechten oberen Rand des Monitors "deutsch" bzw. die gewünschte Länderwahl steht. Während der Verschlüsselung kann der Mac aber ganz normal benutzt werden, da FileVault unauffällig im Hintergrund werkelt.

Allerdings gilt es zu beachten, dass FileVault ein „Alles oder Nichts“-Dienst ist – entweder der User verschlüsselt seine gesamte Mac-Partition oder alles bleibt ungeschützt. Es gibt keine Option, nur einzelne Verzeichnisse, Ordner oder Dateien zu schützen. Es ist aber möglich, andere Partitionen oder externe Speichermedien wie USB-Sticks zu verschlüsseln. Auf neueren Macs mit den Standard-SSDs von Apple sollte es keine spürbare Verringerung der System-Geschwindigkeit geben – allerdings berichten einige Nutzer älterer Macs (Core 2 Duo) und/oder Third-Party-SSDs mit Sandforce-Controller von teils deutlichen Leistungseinbrüchen.

Alle von FileVault verschlüsselten Partitionen oder Speichersticks müssen eine GUID-Partitionstabelle vorweisen – USB-Sticks etwa mit den verbreiteten Windows-Dateisystemen FAT32 oder exFAT werden also nicht unterstützt. Die eingeschränkte Unterstützung von Partitionstabellen führt zu einer weiteren FileVault-Eigenschaft, die für manche User ein Problem darstellen dürfte: Es werden nur Macs unterstützt. Mit FileVault 2 verschlüsselte Medien lassen sich nur mit einem Mac ab OS X Lion (10.7) und entsprechender Recovery-Partition entsperren.

Fazit: Leicht zu bedienende und optimal in OS X integrierte Verschlüsselungs-Lösung von Apple. Weniger gelungen sind die fehlende Flexibilität und die Beschränkung auf Macs.



Festplattendienstprogramm

OS X bietet neben FileVault eine praktische, aber etwas versteckte Option im Festplattendienstprogramm zum Verschlüsseln von Daten. Dabei ist die Methode über das Festplattendienstprogramm sogar deutlich flexibler als FileVault, da beliebige Dateien und Ordner auch einzeln verschlüsselt werden können.

Möchte man seine Daten vor unbefugtem Zugriff schützen, wählt man unter Dienstprogramme-Festplattendiensprogramm die Option „Neues Image“ aus. Dort erhält man umfangreiche Auswahlmöglichkeiten zur Erstellung eines Festplatten-Images in beliebiger Größe – der User bestimmt unter anderem das Dateiformat (auch FAT32 ist möglich), die Partitionstabelle und die Verschlüsselung (128 oder 256 Bit-AES).

Besonders interessant ist das Image-Format – hier kann sich der User für „Mitwachsendes Image“ entscheiden. Dies bewirkt, dass das erstellte Image mit einer Größe von z.B. 100 MB den Speicherplatz erst belegt, sobald auch 100 MB an Daten hineingepackt wurden – wurde nur eine PDF mit 2 MB gesichert, belegt das Image auch nur 2 MB. Normale Images sind statisch und haben stets die gleiche Größe.

Ähnlich wie FileVault hat auch das mit dem Festplattendienstprogramm erstellte Image mit dem Nachteil der Proprietät zu kämpfen – nur mit einem Mac kann man darauf zugreifen.

Fazit: Etwas versteckte Funktion, die dem User flexible Möglichkeiten für Ordner- und Dateiverschlüsselung bietet – die geschützten Daten lassen sich jedoch ausschließlich auf Macs öffnen.



GPG Suite

Die Open-Source-Community bietet mit der GPG Suite eine plattformübergreifende Möglichkeit, Mails, Dateien und sogar einzelne Dateiinhalte zu verschlüsseln. Da es hier vorrangig um Datei- und Verzeichnisverschlüsselung geht, sei die Mailverschlüsselung nur am Rande erwähnt – E-Mail-Verkehr lässt sich damit aber effizient vor dem Einblick Unbefugter schützen.

Ist die Installation abgeschlossen, muss zunächst im sogenannten „GPG Schlüsselbund“ eine Identität angelegt werden, die auch das für das spätere Entschlüsseln benötigte Passwort enthält. Danach aktiviert man am besten noch unter Systemeinstellungen-Tastatur-Kurzbefehle-Dienste die benötigten OpenPGP-Einträge unter „Text“ und „Dateien und Ordner“, um später über die rechte Maustaste schnell OpenPGP aktivieren zu können.

Über das Kontextmenü (Dienste-OpenPGP) lassen sich nun beliebige Dateien oder ganze Ordner verschlüsseln. Praktisch ist, dass sich über die zuvor festgelegten Identitäten + Passwort genau festlegen lässt, wer auf die Daten zugreifen darf und wer nicht. Zusammen mit der Mail-Verschlüsselung lässt sich so relativ unkompliziert ein plattform- und rechnerübergreifender Austausch verschlüsselter Daten realisieren.

Innerhalb von z.B. Textedit-Dateien lassen sich sogar ausgewählte Passagen verschlüsseln. Der User markiert dafür einfach die zu schützenden Wörter bzw. Sätze und aktiviert per Kontextmenü die gewünschte PGP-Verschlüsselung – auf dem gleichen Weg kann der Text auch wieder kenntlich gemacht werden. Für eine umfassende Auseinandersetzung mit den Funktionen von GPG Suite – insbesondere auch der E-Mail-Verschlüsselung – empfiehlt sich das englische Youtube-Tutorial von ScreenCastsOnline (http://www.youtube.com/watch?v=lMxWUw5I9tg).

Die GPG Suite ist zwar nur für OS X (ab 10.6) erhältlich – da es sich aber lediglich um eine GUI für den plattformübergreifenden Open-Source-Codierer GNU Privacy Guard (GnuPG) handelt, lassen sich die mit GPG verschlüsselten Dateien auf diversen Betriebssystemen wie Windows und Linux öffnen. Windows-User greifen z.B. zu Gpg4win, unter Linux bietet sich Seahorse (Ubuntu) an.

Fazit: Praktische Open-Source-Lösung zum plattformübergreifenden Austausch geschützter Daten – zudem ist die E-Mail-Verschlüsselung ein großer Bonus.



TrueCrypt

Ein weiterer Vertreter von plattformübergreifender Open-Source-Software ist TrueCrypt. Die Funktionsweise ist ähnlich wie im bereits vorgestellten Festplattendienstprogramm. Der User entscheidet sich entweder für ein verschlüsseltes virtuelles Laufwerk für Dateien bzw. Ordner oder die komplette Verschlüsselung einer Partition bzw. eines Laufwerks/USB-Sticks – die komplette Verschlüsselung der Betriebsystem-Partition ist allerdings nicht möglich.

Für einzelne zu schützende Dateien empfiehlt sich das virtuelle Laufwerk, die Komplett-Verschlüsselung kann z.B. auf USB-Sticks mit ausschließlich schützenswerten Daten sinnvoll sein. Daten werden in wenigen Schritten abgesichert (am Beispiel des virtuellen Laufwerks). Der User entscheidet sich zunächst für den Speicherort des TrueCrypt Datei-Containers, wählt dann den Algorithmus der Verschlüsselung (u.a. AES und TwoFish) – wobei auch mehrere Methoden kombiniert werden können – und bestimmt schließlich die Größe der zu erstellenden Datei.

Nach dem Festlegen eines Passworts und Dateisystems (FAT oder Mac OS Extended) wird das virtuelle Volume zunächst als ungemountete Datei erstellt. Dieses File lässt sich über TrueCrypt mounten und mit beliebigen Dateien befüllen, solange die Speichergrenze nicht überschritten wird. Analog dazu kann man komplette Partitionen bzw. Laufwerke verschlüsseln.

TrueCrypt ist kostenlos und unterstützt OS X bereits ab Version 10.4 (Tiger) – zudem funktioniert das Programm unter Windows (ab XP) und Linux (ab Kernel 2.6). Einem Austausch von verschlüsselten Volumen und Laufwerken innerhalb plattformübergreifender – auch älterer – Betriebsysteme steht damit nichts im Weg.

Fazit: Einfache Verschlüsselung einzelner Daten oder ganzer Laufwerke. Empfehlenswert auch für ältere Betriebsysteme, die von neueren Diensten nicht mehr unterstützt werden.



Western Digital Security

Der Festplattenhersteller Western Digital bietet für Besitzer einer externen WD-Platte eine proprietäre Möglichkeit zur Datenverschlüsselung. Damit kann der Nutzer schnell und einfach die gesamte Festplatte verschlüsseln, ohne sich in komplexere Drittanbieter-Programme einarbeiten zu müssen. Tatsächlich sind die Optionen ziemlich übersichtlich.

Die Grundidee ist, das komplette Laufwerk per Passwort zu sichern – mehr kann der User aber nicht einstellen. Um die Funktion zu nutzen, installiert der Nutzer „WD Security für Mac“. Das Programm kann beliebig viele der unterstützten WD-Platten mit einem Passwort schützen.

Die Funktionsweise ist mit mit FileVault vergleichbar – allerdings nur anwendbar auf externe Festplatten von Western Digital. Das Laufwerk ist damit vor unberechtigtem Zugriff gesperrt, wenn der Rechner aus ist, der Nutzer die Festplatte vom Mac trennt oder den Ruhezustand aktiviert.

Die Option „Automatisches Entsperren aktivieren für Benutzer“ sollte verwendet werden, wenn man im eigenen Mac-Account nicht nach jedem Neustart das Passwort von WD Security eingeben möchte. Western Digital bietet das rudimentäre Verschlüsselungsprogramm für Apple-Rechner (ab OS X 10.6) und Windows-PCs – allerdings ist es vom Festplattenmodell abhängig, ob tatsächlich beide Betriebsysteme unterstützt werden.

Fazit: Rudimentäre Lösung für externe WD-Platten. Wer mehr möchte als nur den Passwortschutz eines kompletten Laufwerks, greift z.B. zu einer der anderen hier vorgestellten Software-Lösungen.