MacBook Pro 2018 - T2 verhindert Datenrettung

[Jan Gruber]

Ich war bei der News sehr gespannt wie sie aufgenommen wird - und muss sagen Apfeltalk ist echt die beste Community
In anderen Bereichen wo die Info rund ging war das wieder Grund für geflame - ich bin da aber auch auf der Seite von Apple. Ich finde das eigentlich sehr sehr gut. Abgesehen davon dass der Fall sehr sehr selten eintritt das ein Notebook komplett tod ist (und noch was rettbar ist) gibt es genug Lösungen - Cloud, da muss ich mir keine Gedanken über die Tragbarkeit des Mediums machen, oder eben ne kleine, verschlüsselte, SSD - es gibt wirklich genug Lösungen, da muss keine Backdoor per Design eingebaut sein.

 

[MichaNbg]

Wäre ja auch ziemlich blödsinnig, sich darüber zu beschweren, dass als sicher klassifizierte Daten im Zweifel auch wirklich SICHER sind. Wenn die zur Entschlüsselung notwendiges Komponente ausfällt wäre es ein GAU, könnte Apple trotzdem irgendwie an die Daten ran

 

[FrankR]

Hmm, irgendwie verstehe ich die Argumentation nicht so richtig: was ist technisch der Unterschied zwischen verschlüsselten Daten auf der SSD intern im MBP und verschlüsselt auf einem externem Datenträger? Ich kann auch vergessen die interne SSD zu verschlüsseln und mein MBP im Zug liegenlassen - für Langfinger sicher auch interessanter als eine externe HD...

Und welchen Grund sollte es bei hochsensiblen Daten überhaupt geben, diese auf einem Notebook zu speichern und nicht nur über das Netzwerk via Gigabit-Ethernet/Fibrechannel/... darauf zuzugreifen (von Caches mal abgesehen, die ja dann auch beim Ausloggen sicher gelöscht werden können)?

BTW (und ernst gemeint) - welche Lösung für FileVault + externem Key (via USB) oder SmartCard + Drive) gibt es eigentlich und sind empfehlenswert?

 

[FrankR]

Geschäfts- und vor allem Kundendaten haben auf externen, transportablen Datenträgern nichts verloren. Auch nicht als Backup.

Auf was erstellt man dann sonst Backups, wenn nicht auf externen verschlüsselten Datenträgern. Also wir setzten verschlüsselte LTO Tapes ein, die dann für die Archivierung bzw. Desaster-Recovery in ein Bankschliessfach kommen.

 

[Wuchtbrumme]

BTW (und ernst gemeint) - welche Lösung für FileVault + externem Key (via USB) oder SmartCard + Drive) gibt es eigentlich und sind empfehlenswert?

keine. Es hat mal eine gegeben (weiss nicht ob es die immer noch gibt), aber die ist nicht wirklich praxistauglich in kleinen Buden. Interessant wird es, wenn man eine eigene IT hat, die auch die Manpower und die Knowledge hat, sich mit Verschlüsselung und der Infrastruktur und der Wartung davon auseinanderzusetzen. Ich glaube, wir reden da >500 MA.

 

[MichaNbg]

Hmm, irgendwie verstehe ich die Argumentation nicht so richtig: was ist technisch der Unterschied zwischen verschlüsselten Daten auf der SSD intern im MBP und verschlüsselt auf einem externem Datenträger? Ich kann auch vergessen die interne SSD zu verschlüsseln und mein MBP im Zug liegenlassen - für Langfinger sicher auch interessanter als eine externe HD...

Bei uns würdest du nichts vergessen können, weil du dein Notebook selbstverständlich vorkonfiguriert bekommst. Natürlich wie geschrieben mit Zwei-Faktoren-Sicherheit. Nur Passwort bringt nichts.

Und welchen Grund sollte es bei hochsensiblen Daten überhaupt geben, diese auf einem Notebook zu speichern und nicht nur über das Netzwerk via Gigabit-Ethernet/Fibrechannel/... darauf zuzugreifen (von Caches mal abgesehen, die ja dann auch beim Ausloggen sicher gelöscht werden können)?

Gar keinen. Deshalb sollen sensible Daten auch das Untnehmensnetz nicht verlassen. Entsprechend müssen auch keine sensiblen Daten von einem Notebook gesichert werden

BTW (und ernst gemeint) - welche Lösung für FileVault + externem Key (via USB) oder SmartCard + Drive) gibt es eigentlich und sind empfehlenswert?

Gute Frage. Würde mich auch interessieren.

 

[Wuchtbrumme]

Gute Frage. Würde mich auch interessieren.

https://www.mcafee.com/enterprise/de-de/assets/data-sheets/ds-complete-data-protection.pdf

 

[MichaNbg]

Auf was erstellt man dann sonst Backups, wenn nicht auf externen verschlüsselten Datenträgern. Also wir setzten verschlüsselte LTO Tapes ein, die dann für die Archivierung bzw. Desaster-Recovery in ein Bankschliessfach kommen.

Das ist jetzt aber nichts, was du in der Weltgeschichte herumfährst, mit zum Kunden nimmst und irgendwo liegen lassen kannst. Davon abgesehen, dass hoffentlich niemand außer dem Chef und dem zuständigen Admin den Schlüssel kennt.

Und gegen Innentäter mit Vorsatz bist du eh ab einem gewissen Zeitpunkt machtlos.

 

[Mitglied 87291]

Verhindert das eigentlich auch ein neuaufsetzen des Geräts?

 

[Wuchtbrumme]

Verhindert das eigentlich auch ein neuaufsetzen des Geräts?

äh - beziehst Du Dich auf die genannte Software? Falls ja, könnte es sein, weil man vermutlich eh ein modifiziertes EFI bräuchte, wenn man wirklich "Endpoint" sicher sein wollte. Aber ich habe die Software noch nie begrabbelt, ich kann's nicht sagen. Wenn's kein angepasstes EFI hat, dann bleibt nur die Kombination aus FileVault und Firmwarekennwort, um eine Wiederherstellung auszuschließen.

 

[Jan Gruber]

Was sich bei mir beruflich bewährt hat: Vernünftiges Netz, Daten immer auf dem Server. Ich hab quasi nur ein OS auf meinen Dienstrechnern ^^

 

[Benutzer 190524]

Was sich bei mir beruflich bewährt hat: Vernünftiges Netz, Daten immer auf dem Server. Ich hab quasi nur ein OS auf meinen Dienstrechnern ^^

Absolut richtig.. Das war auch der Grund meines Stirnrunzelns als sich die User über den exorbitanten Preis der 4TB SSD Variante im MBpro 2018 mokiert hatten... wer braucht dass und ist im Tausch quasi eine Nullnummer.. System, Programme, Lokales Verzeichnis auf dem maximal vom Notepad zwischengespeichert wurde... alles andere ist am Server... muss so sein hier hauen 25000 Clients in die tasten.. das wäre ein nogo bei der Verwaltung und im Service.. und Privat liegt’s auch am Server oder in der Cloud...

 

[matzl]

Weiß nicht wie man sich diese Entscheidung von Apple schönreden kann ... natürlich sind Backups pflicht, aber was ist denn jetzt geil daran, wenn es durch den Chip erschwert wurde? :rolleyes:

 

[MichaNbg]

Wieso wird ein Backup durch den Chip erschwert?

 

[Bananenbieger]

Weiß nicht wie man sich diese Entscheidung von Apple schönreden kann ... natürlich sind Backups pflicht, aber was ist denn jetzt geil daran, wenn es durch den Chip erschwert wurde? :rolleyes:

Wie schon mehrfach von Nutzern geschrieben: Das ist ein Sicherheitsfeature.

 

[matzl]

Wieso wird ein Backup durch den Chip erschwert?

Die Datenrettung, da ging irgendwas im Satz unter

Wie schon mehrfach von Nutzern geschrieben: Das ist ein Sicherheitsfeature.

Ich kenne mich mit der Materie leider wenig aus, ist es denn so viel sicherer als vorher? Mir ist zumindest bis dato kein FileVault 2 Hack bekannt.

 

[tjp]

Alle anderen erkennen, dass Notebooks eben "sein müssen", diese werden bestmöglich geschützt (d.h. Festplattenverschlüsselung, Schlüssel dafür liegt auch hier auf einer SmartCard -> zwei Faktoren). Davon abgesehen wird jeder angehalten, Geschäfts- und Kundendaten ausschließlich im Unternehmensnetz zu speichern.

Massenweise Placebos – es wird soviel Unsinniges in Unternehmen eingesetzt, weil viele nicht wissen was wirklich etwas bringt. Das Hauptproblem dabei ist die Faulheit der Mitarbeiter. Das ist der beste Angriffsvektor.

Externe Datenträger jedoch müssen nicht sein und sind bestens geeignet, Daten zu kopieren und aus dem Unternehmen zu schmuggeln.

Das ist das geringste Problem, da die meisten Mitarbeiter nicht wirklich Zugriff auf wichtige Daten haben. Externe Datenträger sind eine Gefahr, weil sie dazu dienen können Schadsoftware in das Unternehmen einzutragen. Dank USB 3.0 ist es nun möglich mit einem präpariertem USB-Stick direkt in den Kernelspace eines laufenden Computers zuzugreifen. D.h. man hat den Computer direkt übernommen. Dazu reicht es aus einen „gefunden“ USB-Stick in den richtigen Computer zu stecken. Von dort aus kann das gesamte Netz übernommen werden. Kundendaten auf verschlüsselten (nur mit Passwort) externen Datenträgern sind ärgerlich, aber nicht wirklich ein Problem. Es gibt Ausnahmen, aber der übliche Angreifer steckt nicht so viel Energie in so etwas hinein. Wer die Kenntnisse hat, will in die Firmencomputer direkt hinein.

Geschäfts- und vor allem Kundendaten haben auf externen, transportablen Datenträgern nichts verloren. Auch nicht als Backup.

Tape-Libaries sind in größeren Firmen das Maß der Dinge für Backups, und man sollte tunlichst Tapes für den Brandfall auslagern.

 

[Balkenende]

So ist es. Munter Tapes fertigen auch hier in unserer Kanzlei.

Daten sind nur auf Servern. Zu Auswärtsterminen werden Daten auf einem iPad als PDF mitgenommen. Wer ein MB oder sonstigen Laptop hat und mitnehmen will, bekommt auch nur PDFs von aktueller Akte.

Wer neue Daten aufnehmen will, kann das auf das mobile Service tun und rüber damit bei Rückkehr im Laden.

USB Sticks wie externe Platten habe ich hier verboten. Auch für partner der Kanzlei.

Von daher sind insgesamt alle Datenrettungen von Mobilgeräten obsolet und sowas wie der T2, der unbefugte Dritte im Fall des Diebstahls abwettert für mich beruflich UND auch privat die bessere Wahl.

Auch im privaten sind Backups Pflicht wie ebenfalls leicht zu erledigen. Als Minimum kann jeder unbedarfte User jedenfalls Time Machine nutzen, auch wenn das kein Backup im eigentlichen Sinne ist.

 

[MichaNbg]

Massenweise Placebos – es wird soviel Unsinniges in Unternehmen eingesetzt, weil viele nicht wissen was wirklich etwas bringt. Das Hauptproblem dabei ist die Faulheit der Mitarbeiter. Das ist der beste Angriffsvektor.

Durch den zweiten Faktor nimmst du der "Faulheit" etwas Wind aus den Segeln. Ohne den Chip bringt dir dann auch das irgendwo auf den Computer gepinselte Passwort nichts mehr.

Wenn natürlich die SmartCard zusammen mit dem Notebook und dem aufgeschriebenem PIN-Code irgendwo herumliegt und dazu auch noch Benutzerkennung und Passwort, ist Essig. Aber alles kannst eben nicht aufhalten.

Weiterhin zum xten mal: sensitive Daten haben auch auf Notebooks nichts verloren. Die gehören ausschließlich ins Unternehmensnetz. Dies sollte sogar für Kleinstbetriebe gelten.

Tape-Libaries sind in größeren Firmen das Maß der Dinge für Backups, und man sollte tunlichst Tapes für den Brandfall auslagern.

Das hatten wir weiter oben schon.

Zum einen nimmt man in kleineren Unternehmen diese Tapes bestimmt nicht mit in den Zug oder zum Kunden sondern auf direktem Wege zum Tresor.

Zum anderen wird auch bei größeren Unternehmen niemand mit Tapes herum laufen sondern sein Backupsystem in weiteren, räumlich getrennten Standorten betreiben. Bei mehrfachen Standorten wird dann sowieso über Kreuz gesichert. Bänder ggf. sogar von Bandrobotern in abgeschlossenen Systemen bedient. Auch da kommt idR kein normaler Mitarbeiter ran und den Standort verlassen diese Tapes schon gar nicht.

 

[tjp]

Wenn natürlich die SmartCard zusammen mit dem Notebook und dem aufgeschriebenem PIN-Code irgendwo herumliegt und dazu auch noch Benutzerkennung und Passwort, ist Essig. Aber alles kannst eben nicht aufhalten.

Aber genau das ist das übliche Problem bei Mitarbeitern außerhalb der IT-Abteilung. Der Zweifaktor-Placebo lenkt nur davon ab, dass die Mitarbeiter die eigentliche Schwachstelle sind, und dann liegt im Zweifelsfall alles zusammen an einem Ort, so dass man als Datendieb leichtes Spiel hat. Je mehr Aufwand man betreibt die Daten abzusichern, desto mehr wird das unterlaufen.

Zum einen nimmt man in kleineren Unternehmen diese Tapes bestimmt nicht mit in den Zug oder zum Kunden sondern auf direktem Wege zum Tresor.

Wenn der Tresor nicht gegen Feuer gesichert ist, ist das kein gangbarer Weg. Dann ist es sinnvoller Chef nimmt die verschlüsselten Tapes mit nach Hause und schließt sie dort weg, sonst ist in einem Brandfall der kompletten Datenbestand weg.

Zum anderen wird auch bei größeren Unternehmen niemand mit Tapes herum laufen sondern sein Backupsystem in weiteren, räumlich getrennten Standorten betreiben. Bei mehrfachen Standorten wird dann sowieso über Kreuz gesichert. Bänder ggf. sogar von Bandrobotern in abgeschlossenen Systemen bedient. Auch da kommt idR kein normaler Mitarbeiter ran und den Standort verlassen diese Tapes schon gar nicht.

Da reden wir über Groß-IT, das ist die Ausnahme und nicht die Regeln.