MacBook Pro 2018 - T2 verhindert Datenrettung

[Jan Gruber]

MacBook Pro 2018 - T2 verhindert Datenrettung

Vor mittlerweile zwei Wochen hat Apple eine neue Generation des MacBook Pro vorgestellt. Neben einigen Änderungen im Hinblick auf die Leistung gibt es auch eine neue Generation der Touch Bar. Der eigene Apple T2 wird jetzt ebenso im MacBook Pro verbaut, bisher kam dieser nur im iMac Pro zum Einsatz. Der neue Chip bringt offenbar auch Nachteile mit sich, so erschwert er die Datenrettung erheblich.

Apple hat die Touch Bar Ende 2016 gemeinsam mit dem MacBook Pro vorgestellt. Die letzten beiden Versionen besitzen einen eigenen Anschluss auf dem Logic Board zur Rettung der Daten, dieser lässt sich laut iFixit im neuen Modell nicht mehr finden.
Apple T2 und die Datenrettung


Der Grund dafür dürfte der neue T2 Prozessor sein. Wie im iMac Pro übernimmt dieser auch die Verschlüsselung der Festplatte im neuen MacBook Pro. Damit wird es sehr schwierig die Festplatte auszulesen, sofern das Notebook nicht mehr betriebsfähig ist.

Via MacRumors

 

[Bananenbieger]

It's not a bug, it's a feature!

Ein Backup sollte eigentlich jeder haben. Wer in der Praxis eine Datenrettung braucht, hat eben halt einige Dekaden lang jeden Hinweis auf die Notwendigkeit von Backups vollständig ignoriert.

Und in Zeiten der Geheimdienstskandale und CSU-Polizeistaatphantasien ist es für den einzelnen Nutzer ziemlich gut, dass man von außen nicht so einfach an die Daten kommt.

 

[ottomane]

Finde ich auch top. So muss es sein.

 

[Wuchtbrumme]

Witzig, nein traurig, finde ich nur, dass man vor etlichen Jahren noch Bevölkerungsinitiativen wie "Kein TPM!" hatte.
Apple ist gut?
Hatte das google nicht auch von sich behauptet?

 

[echo.park]

Wie gewünscht.

 

[Mitglied 87291]

Dann gebe ich mal Kontra.

Ich finds ziemlich abenteuerlich bei einem Business-Produkt die Datenrettung mehr oder weniger auszuschließen. Natürlich hab eich auch Backups und empfehle sie jedem. Es gibt aber nunmal Szenarien in denen man eine Back-Up Platte nicht immer mitschleppt. Wenn dann 2-3 Tage Arbeit beim Kunden weg sind...

 

[echo.park]

Ich habe eine externe Festplatte von Seagate mit sage und schreibe 7 mm Dicke. Die kann man auch mit zum Kunden nehmen. Also echt.

 

[Wuchtbrumme]

abseits der TPM-Analogie möchte ich mal behaupten, dass wir hier über relativ begrenzte Probleme reden. Das wichtigste sind nun einmal die Backups und eine Datenrettungsoption war allenfalls eine für den begrenzten Schaden, dass nämlich die SSD bzw. Logicboard noch weitestgehend funktionsfähig und der Mac noch bootbar war - wie es ähnlich auch in allen anderen Fällen professioneller Datenretter gilt.

Wie oft gibt es den Fall, wie oft versagt die SSD komplett, wie oft ist das Logicboard hinüber? Bei einem Wasserschaden braucht man sich darüber keine Gedanken machen, beim mit-dem-Auto-drüber-fahren auch nicht, bei Defekt der SSD nicht, bei Überspannung nicht. Dieser glückliche begrenzte Fall ist ein Bruchteil aller möglichen Schäden.

 

[MichaNbg]

Ich habe eine externe Festplatte von Seagate mit sage und schreibe 7 mm Dicke. Die kann man auch mit zum Kunden nehmen. Also echt.

Ich hoffe, diese externe Platte ist auch verschlüsselt, im Idealfall mit einem externen Hardware-Token der getrennt von der Platte transportiert wird. So als Mindestmaß an Sicherheit.

Nur mal so als reality check: würdest du bei uns Geschäftsdaten, noch dazu Kundendaten, auf einem externen Datenträger ablegen, wäre das im Idealfall ein Grund zur Abmahnung (wenn dein Chef dich sehr, sehr lieb hat und sich verdammt stark für dich einsetzt). Im Normalfall aber eine sofortige Kündigung mit Freistellung bis Ende der Laufzeit.

Ja, das meine ich Ernst.

 

[Wuchtbrumme]

[...]

dafür ist es auch egal, ob diese Festplatte verschlüsselt ist oder nicht.
Allerdings gibt es durchaus Daten, die mal an den Kunden gegeben werden sollen und nicht jeder Kunde will es auch verschlüsselt (!).

Zurück zum Thema: Dass SSDs ohne relevanten Hit auf die Performance in als sicher geltenden Algorithmen verschlüsseln können, gibt es schon mehrere Jahre. Ich bin also ein wenig perplex, warum nun auf einmal ein externer Chip dafür zuständig sein sollte. Das ist zum einen auf den ersten Blick die Lösung eines Problems, das keines war, und führt thematisch zurück zum TPM. Allerdings könnte es weitere Vorteile bzw. Vorteile haben, die ich noch nicht kenne oder verstanden habe. Einer könnte die Absicherung des Bootvorgangs zu zertifizierten Bootdaten sein, die Integrität des Systems schützen - man denke z.B. an staatliche Stellen (nicht jeder Staat wird als "good" angesehen), die einem bei der Einreise unbeobachtet einen USB-Stick einstecken, der das EFI modifiziert...

 

[marcozingel]

Kann die bunte Gedankenwelt von Apple schon länger nicht mehr nachvollziehen...

 

[MichaNbg]

Allerdings gibt es durchaus Daten, die mal an den Kunden gegeben werden sollen und nicht jeder Kunde will es auch verschlüsselt (!).

Das kann der Kunde wollen wie er möchte. Müssen Daten auf externen Datenträgern transportiert werden, was selten genug der Fall ist, werden diese nach oben stehenden Standard transportiert. D.h. verschlüsselte Platte mit Hardware-Dongle und PIN.

Habe noch nie erlebt, dass ein Kunde hier etwas "dagegen" gehabt hätte, dass seine Daten bestmöglich gesichert werden, dass selbst im Falle eines Verlusts niemand etwas damit anfangen kann, weil mindestens die Hardwarekomponente zur Entschlüsselung fehlt.

 

[echo.park]

Ich hoffe, diese externe Platte ist auch verschlüsselt, im Idealfall mit einem externen Hardware-Token der getrennt von der Platte transportiert wird. So als Mindestmaß an Sicherheit.

Nur mal so als reality check: würdest du bei uns Geschäftsdaten, noch dazu Kundendaten, auf einem externen Datenträger ablegen, wäre das im Idealfall ein Grund zur Abmahnung (wenn dein Chef dich sehr, sehr lieb hat und sich verdammt stark für dich einsetzt). Im Normalfall aber eine sofortige Kündigung mit Freistellung bis Ende der Laufzeit.

Ja, das meine ich Ernst.

Natürlich verschlüsselt. Genauso wie auch die interne Platte. Macht keinen Unterschied. Ob ich nun das MacBook dabei habe, oder noch zusätzlich die externe Platte.

 

[Wuchtbrumme]

Das kann der Kunde wollen wie er möchte. Müssen Daten auf externen Datenträgern transportiert werden, was selten genug der Fall ist, werden diese nach oben stehenden Standard transportiert. D.h. verschlüsselte Platte mit Hardware-Dongle und PIN.

natürlich ist Verschlüsselung erstrebenswert und man tut was man kann. Man hat aber teils mit Kunden zu tun, die noch uiuiui von 1999 einsetzen... anyway, die werden drauf hingewiesen und das ist auf ihr eigenes Risiko (und ist die absolute Ausnahme).

 

[echo.park]

Allerdings könnte es weitere Vorteile bzw. Vorteile haben, die ich noch nicht kenne oder verstanden habe.

Durch FileVault wird ja immer das gesamte Volume verschlüsselt und halt eben auch "entsperrt" als Ganzes, sobald man sich anmeldet. Durch Hardwareverschlüsselung lassen sich wohl separate Segmente getrennt voneinander verschlüsseln und entsperren, so ist es bei einem iPhone. Alles "on the fly". So ist nicht immer gleich alles frei, nur das was benötigt wird. Vielleicht ändert sich so auch das Verhalten der Verschlüsselung im Ruhezustand des Mac.

Ich glaube auch der neue Chip geht Hand in Hand mit APFS, welches die Verschlüsselung ja auch anderes angehen soll.

Aber ich reime mir hier nur zusammen, was ich mal gelesen oder gehört habe.

 

[MichaNbg]

Natürlich verschlüsselt. Genauso wie auch die interne Platte. Macht keinen Unterschied. Ob ich nun das MacBook dabei habe, oder noch zusätzlich die externe Platte.

Wie gesagt, bei uns ein normalerweise nicht zu verhandelnder Kündigungsgrund auch für den Außendienst. Externe Datenträger sind strengstens verboten.

 

[echo.park]

Wie gesagt, bei uns ein normalerweise nicht zu verhandelnder Kündigungsgrund auch für den Außendienst. Externe Datenträger sind strengstens verboten.

Tolle Wurst. FileVault und die interne Platte, oder FileVault und die externe Platte, das macht nun wirklich KEINERLEI Unterschied. Wer denkt sich denn solche bescheuerten Regelungen aus? Nach der Logik wären auch keine MacBooks erlaubt.

 

[ottomane]

Nach der Logik wären auch keine MacBooks erlaubt.

Eben, denn das ist auch ein Datenträger. Ebenso wie ein Terminkalender oder ein Fahrtenbuch. In so mancher Richtlinie steht schlichtweg Unsinn.

 

[MichaNbg]

Tolle Wurst. FileVault und die interne Platte, oder FileVault und die externe Platte, das macht nun wirklich KEINERLEI Unterschied. Wer denkt sich denn solche bescheuerten Regelungen aus? Nach der Logik wären auch keine MacBooks erlaubt.

Wenn man nicht viel von Datensicherheit und Datenschutz hält, ist das einfach eine "bescheuerte Regelung".

Alle anderen erkennen, dass Notebooks eben "sein müssen", diese werden bestmöglich geschützt (d.h. Festplattenverschlüsselung, Schlüssel dafür liegt auch hier auf einer SmartCard -> zwei Faktoren). Davon abgesehen wird jeder angehalten, Geschäfts- und Kundendaten ausschließlich im Unternehmensnetz zu speichern.

Externe Datenträger jedoch müssen nicht sein und sind bestens geeignet, Daten zu kopieren und aus dem Unternehmen zu schmuggeln. Vielleicht sogar unabsichtlich, weil man die Festplatte vergessen hat zu verschlüsseln und dann lässt man aus Versehen seine Tasche im Zug liegen, o.ä.

--> Externe Datenträger sind verboten.


Geschäfts- und vor allem Kundendaten haben auf externen, transportablen Datenträgern nichts verloren. Auch nicht als Backup.

Wenn man natürlich nicht mit schützenswerten Kundendaten (bsp. Geschäftszahlen, Produktpläne, usw.) arbeitet, ist das vielleicht nicht so eng.

 

[Bananenbieger]

Witzig, nein traurig, finde ich nur, dass man vor etlichen Jahren noch Bevölkerungsinitiativen wie "Kein TPM!" hatte.
Apple ist gut?

Zumindest macht es Apple den Behörden extrem schwer, die Bürger auszuspionieren.

Der gemeine Bürger ist aber oftmals auch nicht in der Lage, Dinge richtig einzuordnen (und da nehme ich mich nicht aus!). Die Cloud scheint ja in den Augen der meisten Menschen der Teufel in Persona zu sein. Da vertraut man lieber auf die eigenen Geräte zuhause, die aber meist physikalisch ungesichert, nicht 24/7 überwacht und nicht regelmäßig mit Patches versorgt werden.
Die Rechenzentren von Amazon hingegen sind der feuchte Traum eines jeden Sicherheitsfanatikers. Selbst in den AWS Büros weit entfernt von den Rechenzentren macht man als Externer keinen einzigen Schritt ohne den Wachschutz im Nacken.

Wenn dann 2-3 Tage Arbeit beim Kunden weg sind...

In den meisten Fällen wird man aber die Arbeitsergebnisse problemlos vorher sichern können. Wenn es sich nicht gerade um zig 100 MB RAW Files oder gar 8K Rohvideo handelt.
Source-code ist jedenfalls schnell eingecheckt und auch Excel und PowerPoints sind schnell ins Unternehmen übertragen.

Aber selbst wenn: Besser 2-3 Arbeitstage vergeudet als den kompletten Laptopinhalt von böswilligen Menschen kopiert. Letzteres wird gerne in China gemacht.

Eben, denn das ist auch ein Datenträger. Ebenso wie ein Terminkalender oder ein Fahrtenbuch. In so mancher Richtlinie steht schlichtweg Unsinn.

Bei einem deutschen Autohersteller musste ich mal die Laptop-Kamera abkleben. Das iPad durfte aber problemlos mit auf das Werksgelände - und zwar ohne abgeklebte Kameras.
Und bei einem anderen Autohersteller waren die Vorgaben an die IT-Sicherheit so komplex, dass sich praktisch niemand im Detail dran gehalten hat. War aber kein Problem, weil die gelebten Verfahren trotzdem recht sicher waren.