Moin allerseits.
Mir wurde mein Macbook Air geklaut .
Per Icloud ist es im Moment nicht lokalisierbar. Dh. sperren o löschen ist erst machbar , wenn das Ding wieder im Internet hängt .

Passwort ist ziemlich lang. Filevault ist nicht aktiviert .
Meine Frage : kommt jemand an meine Daten ( ist booten über n externes System möglich ?)

Wenn es ein Macbook Air M1/M2 ist, dann ist die interne SSD verschlüsselt, auch wenn File Vault nicht aktiviert ist. In diesem Fall kommt keiner an Deine Daten heran. Genaueres gilt es jetzt rauszufinden ...

Das kommt auf das Modell an. Es gibt im Moment 23 verschiedene Baureihen, die "MacBook Air" heißen. Da muss man schon mehr wissen.

Yepp es ist ein M2 Chip

redbear:

wenn es noch nicht aufgetaucht ist, auch bei Apple online als gestohlen melden,
Seriennummer melden, damit es vielleicht gesperrt werden kann?
(und sicherheitshalber Apple-iD vorsorglich ändern?)

Es ist sicher möglich, den interne Speicher als externer von Außen zu löschen, auslesen. Dann eine Neuinstallation durchführen. Wie es weiter gehen kann, keine Ahnung. Werde Apple nicht mal geklaut haben wollen, also nicht mehr noch was dazu.

In diesem "Handbuch zur Sicherheit der Apple-Plattformen" wird File Vault von Apple ausführlich erklärt
Ich traue mir aber nicht zu, dass hier in weniger Worten verständlich wiederzugeben ... Also auch ohne File Vault ist die intere SSD verschlüsselt, aber ohne zusätzliches Benutzerpasswort. Dein Macbook hat ein langes Anmeldepasswort. Also hoffentlich alles gut.

Du hast Recht , das werde ich sofort machen 👍🏻

Hallo @redbear,

da mir diese Info nicht bewusst war:
habe ich kurz im Internet recherchiert und bin auf folgenden Blog Artikel einer Firma gestossen, die mittlerweile zur Firma hinter 1Password gehört:

"Modern Macs still need FileVault"

Der Artikel stammt von 2020 und beruht daher auf M1 Macs. Ob es einen grundsätzlichen Unterschied zu M2/M3 mittlerweile gibt müsste man mit weiterer Recherche auftreiben, gehe aber mal prinzipiell nicht davon aus.

Die Kurzfassung ist: dass die Info, die Silicon Macs (zumindest mal M1 gemäss Artikel) einen "encrypted" Status melden, fehlinterpretiert wurde von vielen. Es ist nach wie vor möglich und sehr einfach, wenn jemand physischen Zugriff auf ein solches Gerät hat (was deinem Szenario leider entspricht) an die Daten heranzukommen. Im Blogartikel haben sie weniger als 3 Minuten gebraucht. Das was T2 / Secure Enclave ermöglicht ist keinen Zugriff mehr auf eine Platte zu ermöglichen, sobald diese physisch vom Mac getrennt wird.
Alles weitere am besten dem interessanten Artikel entnehmen.
FileVault ist also immer noch zu empfehlen, denn sonst ist gar nichts verschlüsselt.

Habe den Artikel gelesen und gerade mal überprüft:

• Mac Mini M1, Sonoma 14.4
• Power-Button gedrückt gehalten und wie im Artikel beschrieben »Optionen« gewählt.
• Der Wiederherstellungs-Assistent startet und möchte ein Kennwort!
• Ohne dieses stehen nur Neustart, Mac löschen und Startvolume auswählen zur Verfügung.
• Ins Menü, wie im Artikel dargestellt, komme ich ohne Kennwort nicht.

Kann es sein, dass du dich verlaufen hast?

Interessant.
Jetzt ist die Königsfrage : wenn ich ein Startvolumen von nem externen Mac ( oder von ner bootbaren externen Disc) benutze : kommt dann der Dieb an die internen Daten ? oder sind die Dank M-Chip Generation gesichert ...

Ein M-Mac startet grundsätzlich von der internen SSD und funktioniert auch nicht ohne interne SSD.
Es gibt zwar weiterhin die Möglichkeit für ein externes Startvolumen, wie bei einem Intel-Mac, aber damit lässt sich der eigentliche Start von der internen SSD nicht umgehen. Das Startvolumen von einem anderen Mac anzuschließen bringt also überhaupt nichts (dem Dieb).

Leider habe ich kein externes Startvolume, sonst hätte ich das gerne getestet. Dass man davon auf Daten der internen SSD zugreifen könnte, halte ich für ausgeschlossen. Vielleicht weiß das jemand oder kann es prüfen?

Ich denke, dass hier ist eine passende Quelle

Ich konnte kein Datum vom Blogartikel feststellen, ausser dass der im 2020 veröffentlich wurde und es einen Nachtrag am 29.12.2020 noch gab.
Gemäss Wikipedia zu MacOS Versionen kam Big Sur am 12.11.2020 heraus und davor war Catalina die aktuellste MacOS Version für den längsten Zeitraum des Jahres 2020.
Kann es evtl. daran liegen?

Was mich leicht irritiert am Blogartikel ist die Reihenfolge. Denn auch die Apple Support Webseite schreibt, dass beide Rechner schon bereits verbunden sein sollten bzw. als einer der ersten Schritte bevor man das Thema "Share Disk" (im Grunde genommen die neue Benennung unter Silicon des ehemaligen Target Disk Mode) angeht. Ob diese Feinheit nun relevant ist oder nicht, kann ich aktuell nicht testen.

Was für mich noch definitiv unklar ist, auch da es auf verschiedenen Webseiten sowie auch auf Apple Support-Webseiten selber im Konjunktiv beschrieben ist: es scheint nicht immer nach dem Adminpasswort gefragt zu werden. Das muss wohl dann der Fall im vorliegenden Szenario des Blogartikels gewesen sein.
Könnte es sein, dass das Passwort nur dann erfragt wird, wenn FileVault aktiviert ist?

Bei deinem Testsetup hast du aber kein FileVault drin gehabt, sowie waren 2 Macs miteinander verbunden - oder?

Der Artikel ist hier nicht anwendbar, denn er bezieht sich auf Intel-Macs mit T2-Sicherheitsprozessor. Auch da ist der Flash-Speicher immer hardware-verschlüsselt und es gab noch den Target-Disk-Mode.

Share Disk und Target Disk Mode sind keine Umbenennung, sondern arbeiten komplett unterschiedlich. Bei Share Disk arbeitet das Wiederherstellungssystem als SMB-Netzwerkserver, beim Target Disk Mode simuliert die Firmware (ohne laufendes System), als wäre der Mac eine externe Festplatte.

Das ist etwas ungenau. Es ist richtig, dass die interne SSD immer hardware-verschlüsselt ist, aber ohne FileVault wird die Volume-Gruppe des Betriebssystems beim Start des Computers mithilfe von Daten aus der Sicheren Enklave automatisch entschlüsselt bereitgestellt. Dieser Schutz hilft also nur in dem Fall, dass jemand die Flash-Chips aus diesem Rechner auslötet, oder dass das gespeicherte Betriebssystem sonstwie auf einem anderen Mac zur Ausführung gebracht wird.

Auch das ist nicht genau genug. Ein Intel-Mac mit T2 ist in der Standardeinstellung dagegen geschützt, von extern gestartet zu werden. Für einen Mac mit Apple-Chips gilt dieser Schutz nicht. Es ist allerdings richtig, dass er überhaupt nicht mehr startet, wenn die interne SSD kaputt sein sollte.

Ein Mac mit Apple-Chips ist stattdessen dagegen geschützt, nicht von Apple autorisierte Betriebssysteme zu starten. Wenn von einem macOS gestartet wird, das sich im Wiederherstellungsmodus befindet, wird jeder Wartungszugriff auf die System-Volumegruppe verhindert. (Dazu wird ein APFS-Volume-Eigentümer-Schlüssel benötigt.) Ein macOS, das sich nicht im Wartungsmodus befindet, könnte allerdings eine Betriebssysteminstallation lesen, für die FileVault nicht eingeschaltet ist. Aber so ein macOS wird erst gar nicht gestartet, wenn es nicht vorher an die Sichere Enklave genau dieses Macs gekoppelt wurde, so dass auch da ein Schutz besteht.

Wie oben schon gesagt, ist das alles sehr modellabhängig.

Doch, FileVault ist aktiviert.
Und die zwei Macs sollen ja laut dem Artikel erst nach der Auswahl von Share Disk verbunden werden.

Es wäre also für eine Beurteilung notwendig, dass jemand der kein FileVault aktiviert hat, mal testen könnte, ob dann evtl. keine Kennworteingabe erforderlich ist.

Doch, der Blogartikel bezieht sich ebenfalls auf M1 Macs. Einfach nochmal lesen Ja, man könnte es als eine gewisse Ungenauigkeit bezeichnen, wenn man Target Disk Mode erwähnt.
Es geht aber prinzipiell um den Zugriff von einem Mac auf einen anderen Mac.
Wie das letztendlich implementiert ist, was offensichtlich unterschiedlich ist, ist zweitrangig in diesem Kontext, weil es zunächst erstmal nur generell drum geht von einem Mac auf die Daten eines anderen Macs zuzugreifen.
Ob das nun wie früher mit Target Disk Mode oder neuerdings mit Share Disk geschieht, ist bei dem Fokus dieses Threads nicht wirklich so erheblich. Auch wenn es einen technischen Unterschied gibt, zugegeben.

Ok, aber das entspricht ja nicht dem Szenario vom Threadstarter wie auch des Blogartikels. FileVault war nicht aktiviert. Und darum dreht es sich ja primär: kann man auf Daten eines geklauten Silicon Macbooks mit nicht aktiviertem FileVault zugreifen oder nicht.

Muss wohl ein Missverständnis bei Quantas vorliegen. Quantas hat es offensichtlich so aufgefasst, dass der Threadstarter gerne wissen möchte, wie man Zugriff auf ein geklautes Macbook bekommt - was so gesehen natürlich nicht "supportwürdig" hier wäre - aber das wichtige Detail überlesen, dass redbear selber der Geschädigte ist.

Das wird da zwar behauptet, aber bestimmte Details sind für M1-Macs falsch. Für macOS 12 und höher stimmt auch nicht mehr alles.

Doch, das spielt eine große Rolle, da man für Share Disk ein gestartetes Wiederherstellungsbetriebssystem braucht und für Target Disk Mode nicht.

Dachte ich auch einen kurzen Moment. Aber dann hab ich mir seine anderen Beiträge angeschaut...

In Deine eigentliche Frage will ich mich nicht einmischen, das wird ja hier schon diskutiert. Aus Deiner Beschreibung lese ich, dass Du "Wo ist?" aktiviert hast. Damit ist Dein Macbook für niemanden zu gebrauchen. Bei einer Neuinstallation wird immer Dein iCloud-Passwort abgefragt werden und ohne dass, kann niemand den Rechner für sich einrichten. Ist jetzt eigentlich Edelschrott.

Guter Punkt. Das ist die hilfreichste Antwort, aus der klar wird, dass niemand an die Daten kommt.
Meine Begründung (SSD verschüsselt, also sicher) wackelte doch enorm.

Fazit von den Beiträgen hier : ich bin beruhigt
Danke allen , die sich die Mühe gemacht haben, zu antworten 👍🏻 !!!

Neues Macbook Air ist heute bestellt worden. Habe grad die Lieferungsbestätigung für morgen bekommen. Apple ist schon echt sehr fix

Bei mir ist es umgekehrt. Bin mir nicht mehr sicher, ob man nicht doch auf die Daten mit der von xcomma verlinkten Methode bei nicht aktiviertem FileVault zugreifen kann.

Mein Fazit: FileVault grundsätzlich aktivieren!