Hallo liebes Forum,

ich frage mich seit längerem ein paar Dinge was die Sicherheit / Löschung von Daten auf einem Mac mit SSD anbelangt. Ich habe schon gegoogelt, aber nichts genaues zu dem was ich mich frage gefunden.

...Also wenn ich nun einen Mac mit SSD verkaufen möchte habe ich ja viele Möglichkeiten - ich zähle jetzt mal ein paar Sachen auf - um meine Daten vom Wiederherstellen zu schützen.

FileVault
SSD löschen (Festplattendienstpgramm)
SSD im Recovery Mode per Terminal zu löschen, mit Daten (RandomDisk) vollschreiben zu lassen.
SSD löschen / danach öfters partitionieren
Große Dateien nach Löschung auf die SSD kopieren z.b. 4K Videos.
T2 Chip, welche Rolle spielt er genau?

- Nach meinem Verständnis sollte eine Datenwiederherstellung von einer per FileVault verschlüsselten SSD sowieso nicht möglich sein. Dennoch scheint es zu gehen, beruht das dann einfach auf "erraten" des Schlüssels?

- Was passiert, wenn man eine SSD mehrmals hintereinander neu aufsetzt (löschen neues macOS), und dann immer wieder FileVault aktivieren. Werden dann die eventuell verbleibenden "Schnipsel" wieder und wieder neu verschlüsselt? Nach meinem Verständnis dürfte dann eine Wiederherstellung garnicht möglich sein, erinnert mich gerade an den Film Inception

- Wie einfach ist eine SSD wiederherzustellen (unabhängig von der Verschlüsselung) wenn man sie löscht und neu partitioniert?

- Ist es möglich Daten von einer SSD (unabhängig von der Verschlüsselung) wiederherzustellen, wenn man sie danach komplett mit großen Dateien befüllt? Eine SSD hinterlässt ja keine Spuren wie eine HD, oder liege ich da falsch?


Ich freue mich auf eure Antworten liebes Forum,

mfg

JannickOS

Guckst du hier:
Da findet sich schon die eine oder andere Antwort. Hattest du bislang Filevault aktiviert? Dazu ein Passwort, das nicht so leicht raus zu finden ist und du bist schon recht gut aufgestellt. Bei HDs wars früher üblich, die mit Leerdaten zu überschreiben. Aufgrund der unterschiedlichen Funktionsweise von HDs und SSDs ist das aber nicht so ohne weiteres übertragbar.

Hallo maculli,

danke für deine Antwort. Das beantwortet allerdings meine Fragen leider noch nicht so richtig. Ich hoffe noch auf weitere Antworten!

mfg

JannickOS
einfach nach Kochbuch vorgehen: und etwas weniger Paranoia.
Nicht jeder Käufer hat Zeit, Lust und die technischen Möglichkeiten die Daten vom Vorbesitzer zu durchstöbern.

Guten Morgen zusammen,

danke für die Antworten! Ich kenne diese Artikel bereits. Ich hätte gerne konkret Antworten auf meine Fragen, ich möchte den technischen Hintergrund verstehen.

z.B. wie ist es möglich Daten nach mehrmaligen Partitionieren, vollschreiben, löschen usw. noch herzustellen? Wo liegt die technische Begründung? Dann hätte eine SSD ja 3-4x soviel Speicher wie angegeben, wenn man alles wiederherstellen kann...

Danke euch!

Wer behauptet denn sowas?
Und mit welchen nachvollziehbaren Begründungen?

Es behauptet keiner, aber wenn das des Pudels Kern wäre, würde es bestimmt so irgendwo stehen...
...Aber es steht überall nur, dass man SSDs nicht (sicher genug) löschen kann ohne das eine Datenrettung doch möglich ist. Deswegen möchte ich ja gerne den Hintergrund erfahren, warum es auf die von mir beschriebene Weise nicht möglich sein soll ein Wiederherstellen zu verhindern!

mfg

Das liegt daran, dass der steuernde Computer keinen direkten Zugriff auf alle Flash-Zellen der SSD hat. Die SSD kann überprovisioniert sein und zu Reservezwecken mehr Speicher beinhalten, als sie dem Computer vorgaukelt. Es besteht also immer ein Restrisiko, dass im Reservespeicher noch Reste der alten Daten enthalten sind. Wie es genau ist, ist unvorhersagbar, denn welche Blöcke die SSD im Moment verwendet, steuert nur sie selbst über ihre interne Abnutzungsstrategie ("Wear Leveling").

Um wirklich den gesamten Speicher der SSD zu löschen, muss ihr der Befehl "ATA Secure Erase" zugeschickt werden. (Ist in macOS mit Bordmitteln nicht vorgesehen.) Das geht auch nur, wenn das jeweilige SSD-Modell das korrekt unterstützt.

... und dann wird immer noch eine passende Hard-/Software benötigt die diese Daten auch wirklich auslesen kann.

Dann hast du die Artikel nicht gelesen oder verstanden.

Hallo rmayergfx

ich habe diesen Artikel schon gelesen, der einzig relevante Punkt ist eben, dass das OS nicht den vollen Zugriff auf die SSD hat - soweit so gut - das erklärt dann aber immer noch nicht, wie eine mehrmals hintereinander verschlüsselte, gelöschte, wieder beschriebene, wieder verschlüsselte etc. SSD ausgelesen werden können soll?

So wie ich das verstehe verschlüsselt FileVault die ganze SSD und nicht einzelne Dateien, oder kommt FileVault dann "auch nicht" an die reservierten Bereiche? Für mich klingt das irgendwie alles sehr komisch, wenn jmd. sensible Daten auf dem Rechner hat und die dann zufällig im nicht verschlüsselten Bereich liegen, einfach Pech gehabt?

Ganz abgesehen davon, gibt es überhaupt das Experiment einen Mac mit SSD ganz normal nach Apple Vorgabe im Recovery Mode mit dem Festplattendienstprogramm zu löschen und danach den Versuch Daten wiederherzustellen? Wer sagt eigentlich das Apple den Secure ATA Erase Befehl nicht in das FPD eingebaut hat? Und warum sollten sie das nicht tun wenn das die einzig sichere Methode ist? Vorallem da Apple doch sonst so bemüht ist, die Daten zu schützen.

Da frage ich mich ob das alles Sinn macht? Irgendwie ja nicht.

mfg

Jannick

Nicht ganz. FileVault ist zunächst mal nur die Infrastruktur, die die ganze Hierarchie der verschiedenen Schlüssel verwaltet und die es möglich macht, Volumes durch bestimmte Benutzer-Accounts entschlüsseln zu lassen, noch bevor macOS gestartet ist. FileVault greift auf die bestehenden Verschlüsselungsverfahren von HFS+ oder APFS zurück. Diese verschlüsseln jeweils ein ganzes Volume. Ist ein T2-Prozessor vorhanden, simuliert dieser das Verhalten einer SSD, wobei in dem Fall alle Flash-Blöcke des Mac ab Werk verschlüsselt sind.

FileVault kann ja nicht die Beschränkungen der Hardware umgehen, also kommt es natürlich auch nicht an sämtliche Flash-Blöcke, die vorhanden sein könnten. Das spielt aber überhaupt keine Rolle, denn solange das Volume von Anfang an über FileVault verschlüsselt war, ist ja garantiert jeder Block, der jemals beschrieben wurde, immer verschlüsselt gewesen. Deshalb ist das sicher.

Apples Vorgabe ist, FileVault immer einzuschalten. Das ist dann sicher. War die Platte jedoch nicht verschlüsselt, führt das Löschen im Festplattendienstprogramm nur dazu, dass Partitionstabelle und Volume-Stammordner neu geschrieben werden. Alle sonstigen Nutzdaten bleiben unverändert auf der Platte liegen und könnten ausgelesen werden. Da wäre ziemlich viel Wiederherstellung möglich.

Das kann man recht einfach überprüfen. Und bei einer SSD blockiert das Festplattendienstprogramm automatisch alle Funktionen zum "Sicheren Löschen", weil das Programm weiß, dass es das nicht kann.

Danke, sehr guter Text! Es gibt allerdings noch ein Problem. Wenn man einen Mac per TimeMachine wiederherstellt, dann kann man die FileVault Option erst DANACH aktivieren. Frage mich auch was das soll...

Per Terminal geht das allerdings schon, habe ich selbst ausprobiert.

Was ich mich immer noch frage - auch wenn wir geklärt haben, dass Filevault nicht jeden Bereich verschlüsseln kann. Es verschlüsselt logischerweise auch nachträglich alles, weil da wo die Dateien liegen das OS zugriff haben MUSS - wie es sich verhält wenn die SSD mehrmals gelöscht und wieder beschrieben wird und jedes mal neu verschlüsselt wird. Wenn die SSD nun wie auch immer ausgelesen wird, dann denke ich mir mal "frägt" ein Programm nach dem Schlüssel, unabhängig ob der nun vorhanden, erraten wie auch immer wird, aber durch das öftere löschen > verschlüsseln > befüllen > löschen usw. gibt es doch garkeine Möglichkeit mehr an die eventuellen Datenreste von vor 2-3 Lösch/Verschlüsselungsvorgängen ranzukommen?

https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd =11&cad=rja&uact=8&ved=2ahUKEwjiorz7yZfoAhXBC-wKHS_dBmAQFjAK egQIBBAB&url=https%3A%2F%2Fspin.atomicobject.com%2F2017%2F06 %2F13%2Fmacos-disk-utility-erase-ssd%2F&usg=AOvVaw1adbnbnDEm Xq5DWYUJtvnD


Meinung hierzu?

Du kannst zwar die Befehle eingeben, aber die tun dann auf einer SSD nicht das, was sie sollen.

Warum vermischst Du jetzt wieder Löschen und Verschlüsseln? Es war doch geklärt, das Verschlüsseln sicher ist, Löschen jedoch nicht, wobei Du eigentlich noch genau definieren müsstest, was mit Löschen wirklich gemeint ist.

Das Problem beim Löschen hast Du offenbar noch nicht verstanden: Wenn das Betriebssystem an die SSD den Auftrag gibt, einen bestimmten Flash-Block mit Nullen zu überschreiben, "weiß" das Betriebssystem nicht, was mit dem früheren Inhalt dieses Blocks passiert. Das liegt unter alleiniger Kontrolle des SSD-Controllers und das Betriebssystem hat keine Möglichkeit, das in irgendeiner Weise zu beeinflussen. Wenn beispielsweise dieser Block stark abgenutzt ist, könnte sich die SSD entscheiden, ihn nicht zu löschen, sondern das Löschen so lange zu verschieben, bis ein bestimmter Prozentsatz der restlichen Blöcke auch einen gewissen Abnutzungsgrad überschritten hat.

Natürlich wird es beim wiederholten Überschreiben der SSD über ihre Nettokapazität hinaus immer unwahrscheinlicher, dass Flash-Blöcke nicht wiederverwendet (also überschrieben) wurden. Aber ein Unsicherheitsfaktor bleibt. Das Problem ist, dass es bei solchen Fragestellungen üblicherweise auf die rechtliche Situation und nicht auf die technische ankommt.

Nicht sehr seriös. Das Autor weiß nicht was er tut und lässt viele (aber sehr wichtige) Details weg.

Lerne bitte erst einmal im Forum wie man Links richtig einstellt! und nimm die richtige kurze URL von der Homepage.

Also, ich bringe mal Licht ins dunkle warum dieser Thread von mir hier überhaupt gestartet wurde.

Es ist so: Ich möchte mein 2017er MacBook Pro verkaufen und ich habe mir ein neues MacBook bestellt, leider war der Lautsprecher defekt. Deswegen musste ich das ganze Ding zurückschicken. Da man sowas ja kaum vorher testet hatte ich das Backup aus TimeMachine aufgespielt. Es handelt sich um einen MacBook mit T2, also hardwareseitige Verschlüsselung ab Werk. Die FileVault Verschlüsselung kann man ja aber erst NACH dem Backup aufspielen aktivieren, habe ich dann natürlich aktiviert und auch nicht über iCloud entsperren lassen.

Ich habe eine ganze Reihe von Dingen unternommen um das Wiederherstellen so gut wie es geht zu verhindern. Das fing damit an, dass ich den Mac öfters gelöscht habe, macOS neuinstalliert habe, per Internet Recovery das Terminal aufgerissen diskutil randomDisk mehrmals angestoßen, dann jedes mal wieder verschlüsselt und auch einmal "händisch" randvoll mit 4K Videos befüllt.

Ist das nun sicher?

Das was ich wegen dem Löschen und FileVault meinte ist übrigens, dass wenn man den Mac löscht er den FIleVault Key ja auch wegschmeißt (beim T2 soviel ich weiß zusätzlich den aus der SecureEnclave) - jedenfalls denke ich mir, dass wenn ich den Mac mit meinem Backup verschlüssele und dann lösche erstmal nur "White Noise" übrig bleibt, wenn ich dann die SSD wieder neufülle und erneut FileVault aktiviere dann rutscht doch das ursprünglich aufgespielte Backup "immer mehr in die Tiefe" deswegen ja auch mein Inception (der Film) Vergleich.

Richtig soweit?

Nein.

Bei einem Mac mit T2-Prozessor ist die gesamte SSD immer per Hardware vollverschlüsselt, auch wenn FileVault abgeschaltet ist. Wie oben erklärt, richtet das Einschalten von FileVault nur die Infrastruktur ein, damit der Zugang zu den SSD-Schlüsseln an das Anmelden von Benutzer-Accounts geknüpft wird. (Ist FileVault ausgeschaltet, entschlüsselt der Mac selbst bei jedem Start die SSD, ohne dass sich ein Benutzer beim Preboot-System des Mac anmelden muss.)

Das ist bei einem Mac mit T2-Prozessor komplett unnötig.

Das ist auf einer SSD grundsätzlich kontraproduktiv. Es erhöht nur den Verschleiß, hat aber eine undefinierte (und damit nicht sichere) Wirkung. Da in diesem speziellen Fall aber Hardware-Verschlüsselung vorliegt, ist das egal.

Das ist eine ganze Hierarchie von Schlüsseln, bestehend aus einem Hardware-bezogenen Schlüssel im T2-Prozessor, einem Klassenschlüssel, einem Medienschlüssel, Schlüsseln, die aus den Kennworten der berechtigten Benutzer gebildet werden und Volume-Schlüsseln. Der T2-Prozessor stellt sicher, dass bei einem Löschen eines Volumes auch der zugehörige Volume-Schlüssel gelöscht wird, so dass danach auch dieser T2-Prozessor das betroffene Volume nicht mehr entschüsseln kann. Dass dabei die Flash-Blöcke des Volumes nicht wirklich gelöscht wurden, spielt dann keine Rolle mehr.

Guten Morgen vielen Dank für deine Antwort!

Das was ich aber immer noch nicht verstehe, wie wirkt sich ein hintereinander ablaufendes Verschlüsseln > Löschen > Verschlüsseln > Löschen aus. Müsste dann der "Angreifer" nach und nach eine Ebene tiefer gehen wenn jedes mal ein anderes PWD benutzt wurde? Das wüsste ich gerne. Danke

Die Frage ist komplett unverständlich.

Kann es sein, dass Du zu viel NCIS gesehen hast und keine Ahnung von SSDs hast?

Haha

Nein ich schaue sowas nicht. Wieso ist die Frage denn so unverständlich?

Ich versuche es nochmal anders zu erklären.

Ausgangspunkt SSD > löschen > Daten lassen sich einfach wiederherstellen
Ausgangspunkt SSD mit FileVault > löschen > Daten lassen sich einfach wiederherstellen sind aber verschlüsselt
Ausgangspunkt SSD mit FileVault verschlüsselt (Passwort 1) > löschen, FileVault (Passwort 2) > die letzten verschlüsselten Daten lassen sich wiederherstellen sind aber verschlüsselt > Frage Kommt man nun an die Daten die 2-3 Verschlüsselungen zurück liegen ran oder nicht?

In diesem Szenario wird die SSD ja jedesmal wieder befüllt bevor sie wieder gelöscht wird.

Verständlich so? Danke euch

mfg

Wenn Du die SSD 1 x mit Mülldaten vollschreibst, dann war es das. Eine zusätzliche Verschlüsselung ist wie Asche nochmal verbrennen. Was dann wieder herstellbar ist (jenseits der Möglichkeiten von Elementarteilchenphysikern), ist nur der Müll.

Das ist ein Widerspruch in sich. Wenn Du ständig die Bedeutung der Begriffe Löschen, Wiederherstellen und Verschlüsseln ohne Sinn und Verstand durcheinanderwirfst, kann man das nicht mehr ernst nehmen.

Der Begriff "Vollschreiben" lässt sich bei SSDs aber so nicht umsetzen. Nochmal: Das Betriebssystem hat keine Kontrolle über die Frage, wie viele Daten die SSD tatsächlich speichert und ob frühere Daten beim Überschreiben tatsächlich gelöscht werden oder nicht.

Wo genau liegt denn der Fehler? Löschen = was auch immer macOS macht
Wiederherstellen = irgendein Datenrettungsprogramm/Unternehmen
Verschlüsseln = Verschlüsseln (FileVault).

Vielleicht denke ich zu abstrakt, aber Filevault verschlüsselt doch zumindest ALLES wo das OS Zugriff hat.
Demnach werden nach einem Löschen (Festplattendienstprogramm, macOS) und erneutem macOS installieren und dann bei erneuter FileVault Aktivierung doch auch die Bereiche verschlüsselt wo dann noch die alten verschlüsselten Daten liegen oder nicht? Wie eine Zip Datei, die man dann in einen Ordner packt und nochmal zippt.

Nein.

Was ist an der Aussage "das Betriebssystem hat keine Kontrolle darüber, wo die SSD die Daten speichert und wann sie diese überschreibt" denn so schwer zu verstehen?

Ich schreibe aber doch, zumindest die Bereiche auf denen das OS zugreift. FileVault verschlüsselt alles worauf es Zugriff hat, ja/nein?

Es weiß niemand, welches die "Bereiche sind, auf denen das OS zugreift". Der SSD steht es frei, das bei jedem einzelnen Schreibzugriff zu ändern.

Sag mal wie alt oder begriffsstutzig bist du denn ? Warum schreibst du nicht ganz einfach in den Anfangsthread rein das du ein neues defektes Notebook mit T2 gekauft hast und das nun wieder zurückgeschickt werden muss und du wissen möchtest wie du deine eigene Daten am sichersten löschen kannst ? Deine Beiträge haben Kindergartenniveau.

PS: Jeder gewerbliche Anbieter muss und wird den Datenräger sowieso löschen, damit er nicht mit DSGVO oder Viren-/Trojanerproblem in Konflikt kommt.

Schade, dass man gleich so angepampt wird. Es wurden teilweise Fragen von mir nicht beantwortet, deswegen frage ich halt nochmal nach, was ist daran begriffsstutzig?

Ich habe schon verstanden, dass die SSD oder bei einem T2 Mac dieser Chip entscheidet was die SSD wie wohin speichert usw. und das OS "dumm" macht/sieht was die SSD ihm sagt.

Das beantwortet aber trotzdem nicht meine Frage, was mit den Bereichen passiert auf das das OS Zugriff hat. Werden diese erneut verschlüsselt? Oder verschlüsselt FileVault nur "was belegt" ist

Wenn ich eine SSD soweit mit 4K Videos befülle bis der Mac sagt Speicher voll, wieviel "verheimlicht" die SSD wegen Wear-Leveling?

Bei einer neuen SSD wie in meinem Fall dürfte das garnicht in Frage kommen oder?

Und ist es generell einfacher von einem Mac oder iPhone das "in Betrieb" ist, also Benutzer schon abgemeldet/ausgeschaltet mit aktiver PIN/PWD Daten wiederherzustellen oder von einem zurückgesetzt, gibt es da Unterschiede?

Danke euch!

Nochmal: Von der ganzen SSD aus gesehen weiß man nicht, auf welche Bereiche das OS Zugriff hat und das ändert sich auch bei jedem einzelnen Schreibzugriff.

macOS verschlüsselt bei einem verschlüsselten Volume jeden Block, der gerade geschrieben wird. Andere Blöcke darf das System nicht anfassen. Was mit den Daten passiert, die sich vorher in dem überschriebenen Speicherblock befunden haben, ist bei einer SSD nicht vorhersagbar.

Das weiß man nicht, denn das ist Betriebsgeheimnis des SSD-Herstellers.

Was darf nicht in Frage kommen? Eine SSD, bei der einziges Bit beschrieben wurde, ist nicht mehr neu.

Das Problem ist aber, dass bei einem TimeMachine Backup die FileVault Option erst NACH dem Übertragen des Backups aktiviert werden kann. Ich ging deshalb davon aus, dass FileVault zumindest alles verschlüsselt was auch faktisch als Datei/Daten etc. existiert.

Wie schon vor vier Tagen erklärt: Bei einem Computer ohne T2-Prozessor verschlüsselt FileVault das ganze Volume. Das ist mehr als alle Dateien, aber weniger als die ganze SSD.