Bundesamt für Sicherheit in der Informationstechnik

G 3.109 Unsachgemäßer Umgang mit FileVault-Verschlüsselung

Unter Mac OS X können die Benutzerverzeichnisse mit dem Programm "FileVault" verschlüsselt werden. Dabei wird der Algorithmus AES -128 eingesetzt. Benutzer können nur mit einem korrekten Passwort auf die mit FileVault-verschlüsselten Daten zugreifen. Das Passwort sollte daher entsprechend stark gewählt sein.

Passwörter können vergessen werden oder in einem Vertretungsfall nicht verfügbar sein.

Um die Daten in diesem Fall trotzdem lesen zu können, ist das Haupt-FileVault-Kennwort vorgesehen. Durch das lokal festgelegte Haupt-FileVault-Kennwort ist es möglich, jeden Benutzerordner des zugehörigen IT-Systems zu entschlüsseln oder das zugehörige Passwort zurückzusetzen. Wird das Haupt-FileVault-Kennwort an einem unsicheren Ort aufbewahrt, können allerdings unter Umständen Unbefugte auf die verschlüsselten Informationen zugreifen.

Gehen sowohl das Benutzer-Passwort als auch das Haupt-FileVault-Kennwort, zum Beispiel wegen eines Feuers oder Diebstahls, verloren, kann dauerhaft nicht mehr auf die mit FileVault-verschlüsselten Daten zugegriffen werden. Das Haupt-FileVault-Kennwort ist mit einem schwächeren Algorithmus ( RSA -1024) geschützt, es ist daher einem höheren Risiko ausgesetzt als die Benutzer-Passwörter.

Mit FileVault ist es nicht möglich, die gesamte Festplatte zu verschlüsseln. Somit kann ein Angreifer, der physikalischen Zugriff auf die Festplatte oder ein Benutzerkonto hat, auf sensible Konfigurationsdateien bzw. -ordner zugreifen. Dazu gehören zum Beispiel:

  • Protokolldateien in /Library/Logs und /var/log,
  • Cache- und temporäre Dateien in /Library/Caches und /tmp,
  • systemweite Einstellungen in /Library/Preferences,
  • eigener Quelltext in /Developer oder
  • jegliche zusätzlichen Programme, die außerhalb des Benutzerordners abgelegt wurden.

Unbefugte könnten auch dann Zugriff auf die Informationen erlangen, wenn sich Benutzer am Client ohne Authentisierung anmelden dürfen ("Automatische Anmeldung"). Die mit FileVault geschützten Informationen werden dann ohne Passwortabfrage beim Start des Computers entschlüsselt.

Ein weiteres Problem kann vom Programm "Time Machine" ausgehen. "Time Machine" dient zur Datensicherung unter Mac OS X und kann Kopien von kompletten Festplatten, einzelnen Verzeichnissen oder von FileVault-verschlüsselten Benutzerordnern erzeugen. Die Informationen werden jedoch immer unverschlüsselt auf dem Datensicherungsmedium abgelegt, die Art des Mediums spielt dabei keine Rolle. Es ist darauf zu achten, dass die Sicherungsmedien an einem Ort aufbewahrt werden, zu dem unberechtigte Personen keinen Zugang haben.

Zu beachten ist auch, dass eine Datensicherung mit "Time Machine" bei aktiviertem FileVault erst durchgeführt werden kann, nachdem sich der Benutzer vom System abgemeldet hat. Ist der Client unter Mac OS X gesperrt oder befindet er sich im Ruhezustand, kann keine Datensicherungen durchgeführt werden.

Beispiele:

  • In einem Unternehmen werden die Benutzerordner grundsätzlich mit FileVault verschlüsselt. Da die Mitarbeiter davon ausgehen, dass die Daten durch FileVault ausreichend geschützt sind, bitten sie den zuständigen Administrator darum, die automatische Anmeldung am System zu aktivieren, um Zeit zu sparen. Der Administrator befindet sich ebenfalls in dem Irrglauben, dass die Informationen noch durch FileVault geschützt sind. Indem er die automatische Anmeldung am System aktiviert, wird der mit FileVault geschützte Benutzerordner entschlüsselt und Unbefugte können auf die Informationen zugreifen.
  • In einem Unternehmen wird FileVault zur Verschlüsselung und "Time Machine" zur Datensicherung eingesetzt. Die Mitarbeiter schalten den Computer während der Mittagspause und am Abend nicht aus, sondern versetzen ihn nur in den Ruhezustand. Nach mehrtägiger Arbeit am System ohne zwischenzeitliches Ausschalten tritt ein Hardware-Fehler auf, der zu einem Datenverlust führt. Weil der Computer nie ausgeschaltet wurde, ließ FileVault kein Backup durch "Time Machine" zu. Die Arbeit aus den Tagen seit der letzten Sicherung ist dadurch verloren.
  • Auf einem Client unter Mac OS X werden die Benutzerordner mit FileVault verschlüsselt, um ein angemessenes Schutzniveau zu erreichen. Die anschließende Datensicherung wird mit "Time Machine" auf einem entfernten Server abgelegt. Die kopierten Informationen können jedoch von allen Personen eingesehen werden, die Zugriffsrechte auf das jeweilige Verzeichnis haben, da die Informationen von "Time Machine" unverschlüsselt gespeichert wurden. Ein weiteres Problem entsteht beim Verlust des Datenträgers, da die Informationen unverschlüsselt auf dem Datenträger abgelegt sind.

Stand: 13. EL Stand 2013