Einen Mac absichern

Weil auf Twitter nach einer Anleitung gefragt wurde, wie eins einen Mac (mindestens OS X 10.7) auf einfache Art möglichst sicher machen kann, schreibe ich hier mal ein ganz kurzes Rezept auf. Falls irgend etwas einfacher ginge, Quatsch ist oder durch etwas anderes ersetzt werden sollte, sagt bitte in den Kommentaren Bescheid!

  1. Systemeinstellungen im Dock anklicken, unter Persönlich auf Sicherheit klicken, im Reiter Allgemein auf Kennwort ändern klicken und ein neues Benutzer*innenpasswort festlegen, das noch nie über das Internet verschickt wurde und aus Klein-, Großbuchstaben und Sonderzeichen besteht. Dieses Passwort merken und nirgendwo aufschreiben!
  2. Im Reiter FileVault auf FileVault aktivieren klicken. Wenn es reicht, dass die aktuell eingeloggte Benutzer*in den Rechner mit ihrem Passwort entschlüsseln kann, einfach auf Weiter klicken. Jetzt wird ein Schlüssel angezeigt. Dieser Schlüssel kann den Rechner entschlüsseln, wenn das Passwort vergessen wurde! Auf einen Zettel schreiben und in den in der Wand festgebolzten Tresor legen. Noch sicherer: Den Schlüssel nicht aufschreiben und einfach das Passwort nicht vergessen.
  3. Im nächsten Schritt auswählen, dass der Schlüssel nicht (!!!) bei Apple gelagert werden soll. Jetzt muss der Rechner neugestartet werden. Nach dem Neustart wird die Platte im Hintergrund verschlüsselt, Daten gehen dabei nicht verloren.
  4. Im Terminal “sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25” und dann das Passwort eingeben. Damit wird der Festplattenschlüssel beim Übergang in den Standby-Modus (zum Beispiel durch Zuklappen des Rechners) vernichtet und die Stromversorgung des Arbeitsspeichers unterbrochen.
  5. Vom Installationsmedium booten (DVD, USB-Stick oder mit cmd-R aus dem Internet), die Tastaturbelegung per Klick auf die Landesflagge so einstellen, wie sie auch im System ist, im Menü Dienstprogramme den Punkt Firmware-Kennwort auswählen. Firmware-Kennwort aktivieren anklicken und ein Passwort zweimal eingeben und merken. Dieses Passwort wird benötigt, wenn der Rechner von einer anderen Platte gestartet werden soll. Neustart zurück ins System.

Der Rechner ist jetzt so sicher wie mit Hausmitteln möglich, wenn er ausgeschaltet oder im Standby ist. Die Sicherheit von Daten, die in das Internet übertragen werden, hat sich dadurch natürlich nicht geändert, und es kann nicht ausgeschlossen werden, dass eines Tages Verfahren bekannt werden oder in Geheimdienstkreisen längst bekannt sind, diese Sicherungen zu umgehen. Aber etwas sicherer ist besser als etwas weniger sicher, und absolute Sicherheit kann es niemals geben.

Nachtrag: Ein eventuelles Backup oder andere Partitionen als die Systempartition sind hiermit nicht automatisch verschlüsselt. Dafür muss wenn gewünscht die Verschlüsselung jeweils extra aktiviert werden, dafür gibt es auch wieder Anleitungen im Internet.

One Response to “Einen Mac absichern”

  1. Linus says:

    Danke, endlich muss ich den Artikel nicht mehr schreiben ;-)

    Passwortlänge und -entropie könnte man noch behandeln.
    So ab `pwgen -sy 10` kann man vermutlich ruhig schlafen, `pwgen -sy 8` sollte (mathematisch gesehen) ausreichen.
    Und auch wenn das Kennwort noch nie über das Internet versendet wurde, sollte es auch nirgendwo außerhalb eine zweite Verwendung finden (zum Beispiel am iPhone oder so)

Was denkst du?