Hi Zusammen

ich habe hier einen iMac abzugeben und wollte vorher die Platte sicher löschen. Aber soweit ich weiss gibt es das bei SSDs nicht mehr. Ist das korrekt? Muss man das nicht mehr machen weil die Daten nicht wiederherstellbar sind? Oder wie kann man eine platte zum verkauf nun vorbereiten dass es sicher ist?

Nicht ganz. Aber die in macOS aufrufbare Funktion zum Sicheren Löschen war immer nur für magnetische Festplatten geeignet und funktioniert auf SSDs nicht. Deshalb bietet macOS sie für SSDs nicht an.

SSDs können nur über einen speziellen Hardware-Befehl sicher gelöscht werden. Das wird aber von macOS nicht unterstützt. Man braucht dazu entweder ein Programm des SSD-Herstellers, bzw. bootbare Minibetriebssysteme, die diese Funktion bereitstellen. Das hängt vom Typ des iMac und vom Typ der SSD ab.

Falls während der ganzen Lebensdauer der SSD FileVault eingeschaltet war oder es sich um einen Mac mit T2-Sicherheitsprozessor (gab es bei iMacs aber nicht) oder mit Apple Silicon-Prozessor handelt, wären die Daten tatsächlich nicht wiederherstellbar, wenn man alle Volumes mit dem Festplattendienstprogramm löscht. Nur in dem Fall könnte man auf Sicheres Löschen verzichten.

Bei Apple-Silicon-Hardware und Verwendung von Monterey gibt es alternativ auch noch die Funktion "Diesen Mac löschen" in den Systemeinstellungen oder im Wiederherstellungssystem, was den Vorteil hat, dass das Betriebssystem (und nur das) erhalten bleibt.

Für Intel-Macs gibt es eine Lösung names Parted Magic .
Damit kann man sich ein Boot-Volume anlegen und diesen "Secure Erase"-Befehl für SSDs auslösen.
Kostet 13 USD

Du kannst FileVault aktivieren, die Platte vollständig verschlüsseln lassen.
Dann extern hochstarten (Stick oder Internet) und die Platte platt machen und neu installieren

Hab da jetzt ein grosses Fragezeichen:
Im FestplattendienstprogramLöschenSicherheitsoptionen kann ich mit Leerdaten beschreiben.
Die Funktion wird auch bei einer SSD angeboten (gerade probiert, aber nicht vollzogen)
Ist das jetzt sinnlos oder wird die Option einfach auf ner SSD nicht durchgeführt oder mit Fehlermeldung abgebrochen???
Einen Flashstick habe ich aber auf diesem Weg schon mit Leerdaten beschrieben...

Nein, das funktioniert nicht hundertprozentig, denn aufgrund der Funktionsweise einer SSD hat der Computer keine Chance zu ermitteln, was "vollständige Platte" konkret bedeutet.

Im Prinzip ja. Es gab mal alte Versionen des Festplattendienstprogramms, bei denen für SSDs noch keine Sperre für diese Sicherheitsoptionen vorgesehen war. Das ist als Bug anzusehen.

Man kann das problemlos aufrufen und verwenden, aber man hat dann keine Garantie (genau wie bei nachträglichem FileVault), dass der Computer tatsächlich Zugriff auf den vollständigen Speicher hatte. Die Hardware der SSD kann das selbständig entscheiden. Aufgrund der Überprovisionierung wird meistens ein ungelöschter Teil zurückbleiben.

ok danke Marcel
Nachdem jeder Schreibvorgang potentiel die Lebensdauer einer SSD verkürzt und das LeerDaten beschreiben allenfals einen Teilerfolg bringt
scheint der Verzicht wieder mal die bessere Wahl zu sein

Wieder was dazu gelehrnt....

Das wusste ich nicht. Ich dachte es wird jede Datei verschlüsselt

Es wird das gesamte Volume mit allen Dateien und Ordnern verschlüsselt. In einer SSD ist aber mehr Speicher eingebaut, als der Computer "sehen" kann. Auf welche Teile der physischen SSD ein Volume gerade abgebildet wird, "weiß" der Computer nicht. Das ändert die SSD nach eigenem Ermessen bei jedem Schreibvorgang, um für gleichmäßige Abnutzung, schnelles Bereitstellen leerer Flash-Blöcke, und Sperren kaputter Flash-Blöcke zu sorgen.

Das heißt wenn man FileVault nachträglich einschaltet, kann die SSD immer noch alte unverschlüsselte Daten gespeichert haben, ohne dass der Computer das mitbekommen kann. Deshalb kann eine SSD nur unter eigener Kontrolle "alles" löschen und dafür stellt sie ja auch extra einen Wartungsbefehl bereit.

Es gab für Macs immer mal wieder das kostenlose Programm "Paragon DiskWiper", um genau das zu tun. Da Apple aber immer mehr Teile der Hardware abschottet, musste das Programm vom Markt genommen werden. Für aktuelle Macs wäre es auch sinnlos, da die bereits per Hardware vollverschlüsseln und deshalb keine Löschung von Inhalten mehr nötig ist.

Das waren schon sehr gut und richtige Tipps.
Weitere Quellen:
- Heise
- BSI

Wenn es eine austauschbare SSD ist, kann man auch über einen Austausch nachdenken - oder die SSD in einen PC einbauen und das Hersteller-Tool verwenden. Manche Hersteller bieten für Intel-Macs auch bootbare DOS-Umgebungen an. Je nachdem, an wen der iMac abgetreten wird, wäre ein Austausch aber die sicherste Lösung.

Man wird sehen, ob es da von Apple eine Lösung für M1 geben wird. Die werden auch bald im Gebrauchtmarkt auftauchen und den Flash-Speicher kann man ja nicht wirklich löschen. Ein Problem, welches auch bei iDevices auftreten kann (gab hier ja mal einen Thread).

Welche Macs verschlüsseln denn voll per Hardware, wie von Marcel angesprochen?
Danke!

Diese: