Moin zusammen

Ich hab hier eine externe Platte die ich quasi immer dabei habe. Sie ist teils Backup als auch Datengrab für unterwegs. Nun ist es tatsächlich einem Kollegen passiert das ihm ebenso eine Festplatte abhanden kam. Er sagte zwar es ist nichts wichtiges drauf aber irgendwie wurde mir da ganz mulmig.

Womit kann man eine externe Platte so sichern das wenn sie abhanden kommt auch nicht gelesen werden kann?

Gibt es da Bordmittel oder Apps? Es sollte vielleicht egal sein an welchen Rechner man ansteckt und so eine Passwortabfrage starten.

Gibt es da sowas?

Mit der rechten Maustaste auf die Platte klicken und im Kontextmenü verschlüsseln anwählen@@Bigflitzer

Da es hier primär ein Apple Forum ist, wäre eigentlich die erste Antwort: FileVault ("Bordmittel"), welches eine Full Disk Encryption (FDE) ist.
Wenn damit "egal welcher Mac" gemeint ist: weiterhin FileVault.

Wenn allerdings auch andere Betriebssysteme (Windows, Linux) gemeint sind, dann geht das nicht mehr damit.
Würde hier vermutlich als nächstes zu VeraCrypt greifen. Eine Client Installation muss aber vorgenommen werden.
Ich kenne erstmal nur die Container-basierte Verschlüsselung - aber wenn ich es richtig gelesen habe kann man mit VeraCrypt auch eine FDE erstellen. Wäre dann vermutlich Geschmackssache.

Anleitung:

Das wäre die falsche Antwort, denn FileVault ist keine Verschlüsselung und kann hier auch nicht verwendet werden. Gefragt war doch nach einer externen Platte. Die Antwort von @bernds ist richtig.

FileVault nennt man nur das Verfahren, mit der die Verschlüsselung eines macOS-Startvolumes koordiniert wird. Auf andere Volumes ist es nicht anwendbar. Über FileVault wird das Problem gelöst, dass ein Benutzer-Account des jeweiligen Betriebssystems noch vor dem Start von macOS das Start-Volume entschlüsseln kann, obwohl zu dem Zeitpunkt noch gar kein vollwertiges Betriebssystem läuft.

Da hat es ja schnell geklappt mir auch das offensichtliche anzuzeigen. Das probiere ich beides mal aus. Vielen Dank für die schnelle Reaktion.

Marcel Bresink
ok, es mag sein, dass du es damit 100% richtig gestellt hast, dennoch wird FileVault denke ich im allgemeinen "Mac"-Sprachgebrauch durchaus als Synonym für Festplattenverschlüsselung gebraucht. Zumindest sollte keiner damit ein Verständnisproblem haben was gemeint ist

Das würde ich so nicht behaupten und das kann bei aktuellen Macs auch schnell zu großer Verwirrung führen, denn dort ist die interne SSD ja immer verschlüsselt, selbst wenn FileVault ausgeschaltet ist.

Native Festplattenverschlüsselung auf dem Mac bedeutet entweder die Nutzung des Dateisystems "HFS+ (verschlüsselt)", oder "APFS (verschlüsselt)", wobei jeweils AES-XTS-Verschlüsselung, wahlweise mit 128 Bit oder 256 Bit Schlüssellänge zum Einsatz kommt.

Ist dann aber halt falsch. So wie Leute "GPS" für alle Arten von Ortung verwenden. Oder aktuell "Agenten" für alle Arten von KI Kann man beim Kaffekränzchen so machen, aber nicht, wenn man ersthaft technische Lösungen diskutiert.

Ich kann auch noch verschlüsselte Images empfehlen:
https://www.mactechnews.de/news/article/Laufwerks-Images-Mitwachsend-beschreibbar-oder-Bundle-welches-ist-schneller-185902.html

Für besonders sensible Daten, habe ich davon mehrere auf der internen SSD und öffne sie nur, wenn nötig. Per script oder manuell kann man sie schnell mal auf ein externes Medium kopieren. Ich trage z.B. kleine USB-Sticks immer in der Brieftasche herum.

Hallo,

ich nutze die verschlüsselten Images für wichtige Daten. Um da ran zu kommen benötigst Du drei unterschiedlich Passwörter ( Mac entsperren; Image entsperren und Datei entsperren – letzteres ist nicht wirklich so sicher, aber immerhin noch ein Schutz mehr… ).

Externe Medien ( Ganz oder einzelne Partitionen ) verschlüssle ich IMMER komplett. Wenn Du mit Backup nicht TimeMachine, sondern einfach händische oder via App erstellte Backups meinst, dann würde ich die HDD/SSD ebenfalls IMMER komplett verschlüsseln.

Wenn die dann weg ist, ist zumeist der Aufwand für den Finder/ Dieb so groß, dass es ihn meist nicht interessiert. Denn die Frage ist: Hat er die ob des Inhalts oder ob des Wertes der HDD/SSD gestohlen ? Interessiert ihn nur das Medium, wird er es einfach nur löschen und selbst damit weiter arbeiten. Tja, beim Inhalt wird es kritischer und dann weiß man nie, wie viel Aufwand jemand damit treibt… Aber generell halte ich persönlich das dann für sicher, wenn die Passwörter lang und komplex sind und die Verschlüsselungsmethode aktuell ist. Aber 100%ige Sicherheit gibt es eh nie…

Marcel Bresink: Spricht Deiner Meinung nach etwas dagegen, wenn man die gesamte externe HDD/SSD mit Apple-Bordmitteln ( APFS encrypted ) verschlüsselt ? Oder ist das eine eher unsichere Art der Verschlüsselung ??

Danke, Gruß, C.

Warum sollte etwas dagegen sprechen? Diese Methode wird sowohl vom NIST (amerikanische Normungsbehörde) als auch vom BSI (deutsches Bundesamt für Sicherheit in der Informationstechnik) als "sicher" eingestuft. Es wird das gleiche Verschlüsselungsverfahren verwendet, das auch BitLocker, TrueCrypt, VeraCrypt, etc. nutzen.

Das MTN Forum ist mehr Kaffeekränzchen als eine professionelle Supportanlaufstelle 🤷

Könnte ich meine beiden TM-Platten nachträglich verschlüsseln, oder müsste ich die BackUps dann neu starten? (zwei HDD mit APFS formatiert)
Und hätte das dann einen signifikanten Geschwindigkeitsnachteil?

Wenn Du die rechteMaus/Verschlüsseln-Methode wählst, bleiben die vorhandenen Inhalte unverschlüsselt, neu geschriebene werden verschlüsselt.

Zumindest was die NIST Erwähnung betrifft: das Vertrauen wurde ja massiv beschädigt nachdem bekannt wurde, dass vorsätzlich quasi eine Backdoor in einen Algorithmus eingebaut wurde, der einen Teilaspekt für Verschlüsselungen darstellt, so dass es der NSA erleichtert wurde Verschlüsselungen zu knacken, die eben solche NIST Standards implementiert haben.

OK, aber das nützt ja faktisch kaum was, wenn das erste – und komplette – Backup weiter unverschlüsselt bleibt.

Das stimmt nicht. Du hast wahrscheinlich eine Sicherheitswarnung von Apple falsch verstanden.

Auch das ist technisch irreführend. Bei Time Machine ist jedes Backup komplett.

Nein, die Verschlüsselung läuft parallel mit Hardware-Unterstützung im Prozessor.

Das heißt, die komplette Platte würde über die rechte-Maustaste-Variante verschlüsselt?


Ja, zum darauf-zugreifen, aber technisch werden nach dem ersten Backup doch nur noch die geänderten Daten wirklich »gesichert« und ansonsten Verweise angelegt. So steht es bei wikipedia:

Sonst wäre die Platte nach dem zweiten oder dritten BackUp voll.

Ja, natürlich. Aber die Platte bleibt während der Verschlüsselung nutzbar, was heißt, dass vorübergehend ein Zustand "einige Daten sind bereits verschlüsselt, andere noch nicht" eintritt und dass macOS die Datenblöcke einer noch nicht verschlüsselten Datei zunächst einmal schützt, bis hundertprozentig sicher ist, dass die verschlüsselte Kopie in Ordnung und gespeichert ist. Das wiederum heißt, dass nach Ende der Umwandlung im "leeren" Teil der Platte eventuell unverschlüsselte Reste von Dateien liegen bleiben können. Mit entsprechender Spezial-Software könnte man diese Reste wieder sichtbar machen und vielleicht auslesen.

Apple weist mit einer Sicherheitswarnung auf diesen Umstand hin. Diese Warnung ist leicht misszuverstehen.

Das spielt keine Rolle. Mehr oder weniger ist es ja nur ein technischer Trick, Datenblöcke, die sich zwischen verschiedenen Time Machine-Sicherungen nicht ändern, nur ein einziges Mal zu speichern, um so Speicherplatz zu sparen.

Das war früher mal so. Seit macOS 11 verwenden Time-Machine-Zielmedien, die APFS nutzen, ein ganz anderes Verfahren, um Speicherplatz zu sparen. Der Wikipedia-Artikel ist stark veraltet und stimmt in weiten Teilen nicht, bzw. nicht mehr.

Ist der Unterschied zwischen heute und früher denn nicht nur, zumindest im Prinzip, daß heute dank APFS nur noch geänderte Blöcke gesichert werden, nicht mehr ganze Dateien? Und daß APFS statt Hardlinks irgendwie ein eigenes System einsetzt, das aber für den Endnutzer genauso aussieht?
Kein Wunder, daß es auf der Welt so chaotisch zugeht im Moment.

Ich finde es auch schwierig, eine etwas klare Sicht zur Verschlüsselung zu erlangen.

Zum einen kann ich beim Löschvorgang im FDP wählen, ob ich eine verschlüsselte APFS-Platte haben möchte oder nicht,
zum anderen kann ich später mit der Rechte-Maus-Methode erreichen, dass der Inhalt der Platte (wie gerade gelernt) vollständig verschlüsselt wird.

Was ist bitte zwischen den beiden Alternativen der Unterschied? Marcel, es wäre schön, wenn Du vielleicht dazu ein paar erhellende Worte schreiben kannst.

Im ersten Fall ist das Volume leer, im zweiten Fall enthält es Daten.

Vielen Dank!

Bitte ändere ihn dann halt. Das geht auch ganz ohne Registrierung.

Sowas mache ich ab und zu. Deshalb habe ich seit über 15 Jahren unter anderem eine Wikipedia-Registrierung und kenne den Aufwand bei der Korrektur und Erstellung von Artikeln. In diesem speziellen Fall ist der Artikel so stark veraltet, dass er neu geschrieben werden müsste. Ich schätze das auf über 10 Stunden Arbeit ein, was im Moment so nebenbei leider nicht drin ist.