Selbst für 30 % mehr Tempo würde ich nicht auf eine Verschlüsselung verzichten.

Nebula.. ja klar wenn man beim BND oder bei der CIA arbeitet ist natürlich Verschlüsselung der hoch brisanten Daten wichtig !!!
Was für ein Unsinn für normale Alltagsnutzer eines PC oder Mac.

Gesundheitsdaten, Steuererklärung, Banking, Passwörter, Mailarchiv usw. usf.?

Wenn jemand Deinen Mac klaut und mit den Daten auf Deinem Mac Identitätsdiebstahl betreibt wirst Du das sicherlich anders sehen.

Je nach Person sind die Daten mal sensibel und mal nicht. Ein Kollege hat seine kleinen Kinder beim Baden nackt fotografiert. Der Papa denkt sich nichts dabei, da die Bilder doch nur für die Eltern zur Erinnerung sind. Wenn die gleichen Bilder nach einem Diebstahl in einem Kinderpornonetz auftauchen wird der Papa es differenzierter sehen. Das ist nun ein extremes Beispiel, aber für fast alle Daten lassen sich Missbrauchszenarien finden.

Bei mir sind alle macOS Datenträger interne und externe verschlüsselt. Punkt aus

ich meine auch. Auch als Privatperson hat alles verschlüsselt zu sein. Das hat mehrere Vorteile. Einmal sind entsprechend Geschütze Geräte nach einem Diebstahl wertlos, da es keine Möglichkeit gibt sie irgendwie zurückzusetzen. Zum zweiten kursieren nicht auf einmal alle deine Daten bei einem Diebstahl im Netz. Alleine das Schlüsselbund. Ich habe einige hundert Einträge, da gibt es sicherlich eine menge Dubletten, bzw. Einträge von irgendwann mal eingerichteten RasPi Benutzern etc. aber auch diese Anmeldedaten will ich nicht in freier Wildbahn sehen. Verkauf, oder Entsorgung von Altgeräten. Ist das Laufwerk nicht verschlüsselt und wird nur gelöscht, kann man die Daten wiederherstellen. Zu guter letzte. Wenn man nur noch verschlüsselten Traffic nutzt, also nicht nur transportverschlüsselt, sondern E2EE, dann macht man es allen Datenschnüfflern schwerer etwas sinniges zu finden, da sie keine uninteressanten unverschlüsselten Datenströme ausschliessen können. Ein Datenschnüffler müsste mit ganz anderen Parametern auf die Suche gehen um etwas brauchbares abzufangen, wenn eben alles, auch unwichtiges verschlüsselt ist. Schon aus diesem Grund macht es auch Sinn eMail grundsätzlich zu verschlüsseln.

Warum sollte man auf so eine sinnvolle Funktion verzichten, die frei Haus kommt und exakt keine Arbeit macht?

Und außer den erwähnten privaten Daten gibt es auch noch Kunden-/Klienten-/Patienten- etc.-daten. Für manche Menschen, so hört man, soll es nämlich zum ganz normalen Alltag gehören, mit PCs und Macs zu arbeiten.

Bei ausnahmslos jedem, den ich kenne, ist irgendwas auf dem Rechner, was nicht an die Außenwelt gelangen sollte. Bei mir ist es z.B. der Source-Code unserer Programme, bei anderen Bankdaten, Zugangsdaten, "brisante" Fotos....und das alles lässt sich in den richtigen Händen zu viel Geld machen.

Computer werden gestohlen, es wird in Häuser eingebrochen und man vergisst auch mal schnell irgendwo die Tasche mit dem Laptop. Dann ist es doch gut, wenn man sich wenigstens sicher sein kann, dass keiner mit den Daten etwas anfängt.

Man kommt zwar nicht an deine privaten oder auch geschäftlichen Daten dank FV2-Verschlüsselung (das ist korrekt) – zurücksetzen kann man so ein Gerät aber sehr wohl und dann wieder wie ein neues Gerät nutzen!

Denn so etwas verhinderst Du nicht mit einer Verschlüsselung des Gerätes sondern mit der Anbindung an eine Apple ID / einen Apple Account bzw. mit einer Registrierung der Geräte im Apple Business Manager (und dann im Normalfall zusätzlich mit der Anbindung an ein Mobile Device Management System).

Das eine hat mit dem anderen so erst einmal nichts zu tun – wollte das nur klarstellen, damit hier Mitlesende das auch wirklich nicht missverstehen können.

macht es aber aufwändiger. Ist es nicht verschlüsselt und man kommt ins System rein, kann man u.U. auf das Schlüsselbund zugreifen. Damit hat man dann Zugriff auf alles. Ist das System verschlüsselt, muss man sich das Login anderweitig besorgen. Man darf ja eines nicht vergessen, macOS Version XY.X.x ist sicher, keine bekannten Sicherheitslöcher. Packe ich das Ding jetzt ein halbes Jahr in den Schrank und gucke dann noch mal, ist macOS XY.Z.X sicher, aber XY.X.x halt nicht mehr, da mit "Z" ja Löcher gefixt wurden.

Komprimierung ,wie früher bei Windows, geht nicht, oder?

Vielleicht hatte ich davon schon mal gelesen und dann vergessen, aber das ist eine nützliche Info, dass man via Apple Account einen ganzen Mac vom Wiedergebrauch im Falles eines Diebstahls quasi unbrauchbar machen kann.

Leider kommt das mit einem Privacy-Nachteil: denn so weiss zumindest Apple immer welche Maschinen sie wem zuordnen können. Das muss nicht in jeder Situation vorteilhaft sein.

Bei Thinkpads kann man die Laptops schon lange - bevor es gar Intel-Macs gab - so abdichten, dass man mit gestohlenen Geräten nichts anfangen konnte - und das ganz ohne Accountzwang.
Wie das früher im Detail hiess weiss ich nicht mehr, aber gemäss dieser Info heutzutage setzt man ein Festplattenpasswort plus ein BIOS Passwort.


Damit wird Festplatte wie auch Mainboard komplett unbrauchbar und selbst Lenovo kann damit nichts mehr anfangen. Nach Austausch des Boards + neuer Platte geht's dann schon - aber das ist ja praktisch die ganze Einheit bloss ohne Case und Akku.

Das Festplattenpasswort ist aber nicht gleichbedeutend mit FDE (Full Disk Encryption).
Wenn man also wirklich hochsensible Daten drauf hat - wofür sich Nation State Akteure interessieren oder aber Organisationen mit entsprechenden Ressourcen (die bei "normalen Kriminellen" nicht annähernd anzutreffen sind) - empfiehlt sich natürlich FDE ebenfalls zu aktivieren / einzurichten.

Verschlüsselung ist auch zwingend erforderlich wenn der Mac in Reparatur muss. Einfach die SSD ausbauen geht ja nicht.

BIOS Passwörter gibt es schon seit Ewigkeiten. Man kann aber auch dem EFI eines Macs ein Passwd verpassen. Ging schon zu PPC Zeiten, wie es bei den 68k Mac war weiss ich jetzt nicht. Aber richtig gut ist das auch erst seit dem T1(2) Chip. Bei PCs konnte man das BIOS Passwort durch Tausch des EPROMS zurücksetzen, bei neueren Systemen geht das nicht mehr, aber da bietet UEFI genügend Angriffsmöglichkeiten. Wondershare bietet Tools dafür an, musst noch nicht einmal bei den einschlägigen Russen gucken um an passende Tools ranzukommen.
Bei einer WinDOSe muss man also ebenfalls das Laufwerk komplett verschlüsseln und darauf aufpassen, dass der Key dazu nicht auf dem Laufwerk liegt (Defaulteinstellung). Bitlocker ist schon recht sicher, wenn man es richtig macht. Also eine WinDOSe bekommst dicht, UEFI passwd, Verschlüsselung und vernünftiges passwd beim User, keinen Admin User anlegen. Dann hat man recht gute Chancen, dass die Kiste ein paar Monate standhält. Ich wüsste aber nicht das es die Möglichkeit gibt über ein Netzwerk wie dem "find me" sein Gerät zu orten.

Ja, das ist bekannt. Ich beziehe mich explizit auf Thinkpads, die bekannt dafür sind (oder waren? bin nicht uptodate), dass sie eben danach nicht mehr zu gebrauchen sind - und selbst der Hersteller - sprich Lenovo - auch nichts mehr machen kann.
Ja, das ist richtig. Mit dem Unterschied zu Thinkpads: Apple Support kann dennoch ran bzw. dem berechtigten Besitzer aus der Patsche helfen sollte der es mal vergessen. Apple hat also einen Hintertürschlüssel.

Lenovo benutzt auch nur ganz normale BIOS (damals noch Legacy, von Ami, Phoenix o.a.), jetzt eben UEFI und die sind eben nicht sicher.

Apple kann auch nichts machen, wenn man sich nicht um die Wiederherstellung gekümmert hat. Man kann die Geräte über die AppleID verwalten, oder man legt einen Wiederherstellungsschlüssel an. Wenn man das nicht hat, ein passwd im EFI hat, das Laufwerk ist verschlüsselt und man hat sein Passwd für die AppleID nicht (sprich man hat das Gerät geklaut), dann war es das. Auch Eltern kommen nicht an die Geräte ihrer Kinder ran, es sei denn es wurde sich um den Nachlass gekümmert, aber auch dann nur, wenn man sich um die Wiederherstellung gekümmert hat. ist bei den Macs jetzt wie bei den iPhones. Bei den Intel, seit dem T2, bei den AppleSilicon ja über den M-Chip.

Womit du natürlich Recht hast, an ein BIOS passwd kommst du also Otto N nicht dran, da musst schon passende Software oder eben Quellen im Netz anzapfen.
Nach ein bisschen Recherche reicht bei alten Lenovo das entfernen der CMOS Batterie. Bei neueren muss man Pins brücken um das BIOS zurückzusetzen. Also in der Tat, eher etwas für Nerds.

xcomma:

Ein "privacy" Problem sehe ich persönlich bei der Apple ID / Apple Account so erst einmal nicht.

Niemand zwingt Dich, dort mit vorname.nachname@icloud.com oder so zu arbeiten, sprich du kannst das Apple Gerät auch als oma-erna-mag-sahnetorte@icloud.com oder was auch immer anbinden und dann (wenn Du magst) auch ausschließlich die Funktion "Meinen Mac suchen" bzw. "Wo ist" in diesem iCloud-Account aktivieren. Wo siehtst Du da ein "privacy"-Problem?

Dieser "Activation Lock" ist grundsätzlich eine sehr gute Sache.



Allerdings muss man als Firma auch immer folgendes bedenken:

Wenn ein Unternehmen keinen Apple Business Manager (ABM) verwendet und das Gerät nicht in ein MDM eingebunden ist, kann sich jeder Benutzer (z.B. ein/e Mitarbeiter*in) mit seiner privaten Apple-ID anmelden und damit den Activation Lock auf sich selbst registrieren, und das führt im Zweifel zu einem sogenannten "Shadow Lock":

- der Mitarbeiter meldet sich mit privater Apple-ID an, dadurch wird das Gerät mit dieser ID verbunden
- bei einem späteren Werks-Reset kann nur diese Apple-ID das Gerät wieder aktivieren
- das Unternehmen ist ausgesperrt (selbst mit Adminrechten am Gerät) … eine aufwändige "Activation Lock"-Entfernung durch Apple mit Originalrechnung wird nötig (das ist nur physisch vor Ort bei Apple bzw. authorisierten Händlern möglich)

Allein schon aus diesem Grund ist die Einführung eines MDM im Business-Umfeld essentiell. Dabei sind zwei Komponenten wichtig:

Apple Business Manager (ABM):

- verknüpft Geräte beim Kauf direkt mit dem Unternehmen ("Device Enrollment Program" aka DEP)
- die Anbindung der Geräte funktioniert nur bei autorisierten Händlern oder direkt bei Apple (ist bei Bedarf aber auch manuell per "Apple Configurator" möglich)
- ermöglicht eine automatische Registrierung in einem MDM beim ersten Start („Automated Device Enrollment“)

MDM-Lösung:

- erzwingt Richtlinien (kann also u.a. die Verwendung privater Apple-IDs verhindern)
- deaktiviert bzw. kontrolliert "Find My Mac" und "Activation Lock"
- setzt restriktive Einstellungen (z.B. keine Apple-ID, kein App Store, keine Änderung von iCloud-Einstellungen usw.)
- ermöglicht die dauerhafte zentrale Verwaltung sowie Löschung/Deaktivierung bei Diebstahl oder Verlust des Gerätes

Extra Feature (nicht bei allen MDM-Lösungen): "Activation Lock Bypass" im MDM

Viele MDM-Systeme unterstützen die Funktion, den Activation Lock zu umgehen, selbst wenn ein Benutzer ihn gesetzt hat (aber nur, wenn das Gerät über ABM registriert wurde).