Wie schnell kommt man an die Daten. MBP Verlust

[Julian1989]

Hallo,

wenn ich mit einem unverschlüsselten Macbook Pro Bahn fahre und ich vergesse das Macbook Pro und es wird geklaut. Wie schnell kommt der Dieb an die Daten? An Passwörter kommt er ja nicht ran, die sind ja verschlüsselt, oder?

Bleibt genug Zeit um das MBP zu sperren?

Wäre dankbar für Aufklärung.

 

[Macbeatnik]

Ob genug Zeit bleibt hängt davon ab, was der Dieb will, die Daten, in der Regel sind die für ihn nicht wichtig oder das Gerät zum verscherbeln.
Wenn er tatsächlich gezielt an die Daten will, alles unverschlüsselte kann er dann sofort und ohne große Anstrengung auslesen oder für späteres auslesen kopieren.
Die Sperre ist eher für das Gerät gedacht, das sperren des Gerätes oder auch die Löschung der Daten ist übrigens auch nur dann möglich, wenn das Gerät ins Netz gebracht wird.

 

[orcymmot]

Wenn du das Gerät nicht verschlüsselt hast ist das eine Sache von Minuten. Denn das Admin-Passwort an sich kann bei physischen Zugriff aufs Gerät relativ einfach zurück gesetzt werden. Und anschließend hat man mit dem neuen Admin PW vollen Zugriff auf alles was auf dem Rechner drauf ist.

Korrigiert mich gerne wenn ich falsch liege, aber ich meine so etwas gelesen zu haben.

 

[Marcel Bresink]

Die Frage lässt sich so nicht beantworten, denn es kommt auch auf die Baureihe des MacBook Pro und das verwendete Betriebssystem an.

• Wenn das Gerät einen T2-Sicherheitsprozessor hat, ist es immer verschlüsselt.
• Wenn das Gerät ein macOS älter als 10.15 hat und es mit dem Internet verbunden ist, kann man es über iCloud oder über Firmenmanagementfunktionen (MDM) fernsperren.
• Wenn das Gerät macOS 10.15 hat, kann es auch ohne Internet-Verbindung ferngesperrt werden, wenn das über das Programm "Wo ist?" eingerichtet wurde.
• Wenn T2 und macOS 10.15 gleichzeitig vorhanden sind, kann zusätzlich noch eine Aktivierungssperre eingerichtet werden. Dann lässt sich auch kein neues Betriebssystem mehr auf dem Mac installieren.

Und anschließend hat man mit dem neuen Admin PW vollen Zugriff auf alles was auf dem Rechner drauf ist

Wenn das ein altes Gerät ist, das nicht verschlüsselt ist, und auf dem kein Firmware-Schutz eingerichtet wurde, braucht man kein Admin-PW. Man greift einfach von einem zweiten Rechner aus über den Target-Modus auf die Festplatte zu.

 

[Julian1989]

Hallo,

ja es handelt sich um ein 15 Zoll Macbook Pro 2019 mit OS X Catalina 10.15.1. Immer verschlüsselt hört sich gut an! FileVault ist also überflüssig?

Ich habe meinem Vater das MBP ohne FileVault installiert. Jetzt frage ich mich: Kann ich es einfach aktivieren oder sind jetzt die Daten schon überall auf der SSD verteilt und damit wiederherstellbar?

 

[Marcel Bresink]

FileVault ist also überflüssig?

Nein, FileVault ist ja die Infrastruktur, die dafür sorgt, dass nur die Benutzer-Accounts dieses Macs an den Schlüssel für die Entschlüsselung der Platte kommen.

Wenn FileVault nicht eingeschaltet ist, entschlüsselt der Mac die Platte jedem, der den Mac einschaltet. Um das zu verhindern, muss es also schon eingerichtet werden. Nur der physische Verschlüsselungsschritt entfällt. FileVault ist auf diesem Typ Mac also innerhalb weniger Sekunden nach der Aktivierung betriebsbereit.

 

[Wuchtbrumme]

Für Deine untere Frage:

Bleibt genug Zeit um das MBP zu sperren?

Kommst Du noch daran, um das zu tun? Wohl eher nicht, von daher erübrigt sich diese Frage. Der Mac muss ja *mit dem Internet verbunden sein*. Dass es das ist, kannst Du aber nicht mehr beeinflussen - folglich musst Du vom Schlimmsten ausgehen und damit ist alles, was nicht verschlüsselt ist, nicht verschlüsselt und damit bei physischem Zugriff erreichbar.

Bei T2-Chip wie im 15" MBP ist über den T2-Chip automatisch eine AES-Verschlüsselung zwischen dem Chip und dem SSD-Teil aktiv (was @Marcel Bresink als "immer verschlüsselt" bezeichnete). Außerdem ist der SSD-Teil auf das Logicboard (Hauptplatine) gelötet. Natürlich sind immer auch Schwächen in dem Verschlüsselungsalgorithmus und der Technik möglich, die die Sicherheitskette schwächen. Aber irgendwo muss man bei der Paranoia auch Grenzen ziehen. Für nicht lohnende Ziele halte ich das für im Augenblick hinreichend sicher.

 

[Julian1989]

Ok, also dank des T2 Chips waren die Daten nie wirklich unverschlüsselt auf der Festplatte, richtig? Das heißt ich muss mir keine Sorgen machen, dass noch unverschlüsselte Daten irgendwo in den SSD Zellen herumlungern?

 

[Wuchtbrumme]

Ok, also dank des T2 Chips waren die Daten nie wirklich unverschlüsselt auf der Festplatte, richtig? Das heißt ich muss mir keine Sorgen machen, dass noch unverschlüsselte Daten irgendwo in den SSD Zellen herumlungern?

davon gehe ich aus

 

[Marcel Bresink]

Ok, also dank des T2 Chips waren die Daten nie wirklich unverschlüsselt auf der Festplatte, richtig?

So ist es.

Der Mac muss ja *mit dem Internet verbunden sein*.

Wie gesagt ist bei Kombination von T2 und Catalina auch das nicht mehr notwendig. Es reicht, wenn sich Apple-Geräte mit modernen Betriebssystemen und eingeschaltetem Bluetooth in der Nähe des geklauten Macs befinden und "Wo ist?" konfiguriert wurde.

 

[Wuchtbrumme]

Wie gesagt ist bei Kombination von T2 und Catalina auch das nicht mehr notwendig. Es reicht, wenn sich Apple-Geräte mit modernen Betriebssystemen und eingeschaltetem Bluetooth in der Nähe des geklauten Macs befinden und "Wo ist?" konfiguriert wurde.

ok, mal angenommen, ich sei Dieb - bekomme ich das Notebook ausgeschaltet (dauerhaft Powerbutton drücken)?

 

[Julian1989]

Na das ist doch mal ne feine Sache. Danke euch!

So ist es.

 

[Julian1989]

Es bringt also keinen Vorteil, bei einem neuen Mac die Daten erst zu migrieren, wenn FileVault auf dem neuen Mac schon eingeschaltet ist? Im Gegensatz zu erst migrieren und dann FileVault einschalten?

 

[Wuchtbrumme]

Es bringt also keinen Vorteil, bei einem neuen Mac die Daten erst zu migrieren, wenn FileVault auf dem neuen Mac schon eingeschaltet ist? Im Gegensatz zu erst migrieren und dann FileVault einschalten?

Nochmal: Mit T2-Chip (wie bei dem MBP 2019 (16") und dem 2020 (13") sind die Daten nie unverschlüsselt. Die Verschlüsselungskomponente von FileVault ist also immer *AN*. Es ist wahrscheinlich etwas unglücklich, dass der FileVault-Aktivierungsbutton in Einstellungen/Sicherheit immer noch da ist, aber was der bei T2-Macs macht, ist lediglich, eine Passwortabfrage davor zu setzen. Verschlüsselt wird das Notebook schon geliefert. Es macht natürlich dennoch Sinn, diese Passwortabfrage davor zu schalten, weil dann der Rechner auch gar nicht mal mehr bootet.

Um Deine Frage zu beantworten: nein, es macht keinen Unterschied, bringt auch keinen Vorteil - weil es diese Situation gar nicht gibt, wenn man unterstellt, dass FileVault die Verschlüsselung ist.