Bundesamt für Sicherheit in der Informationstechnik

M 4.372 Einsatz von FileVault unter Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Seit der Mac OS X-Version "Panther" (10.3) können Benutzerordner mit FileVault mit dem Algorithmus AES -128 verschlüsselt werden. Das Haupt-FileVault-Kennwort wird jedoch mit RSA -1024 verschlüsselt, was zu einem effektiven Verschlüsselungsschutz von 112 Bit führt. FileVault ist direkt in das Betriebssystem integriert, es wird keine zusätzliche Software benötigt, um den Benutzerordner zu verschlüsseln.

Weil FileVault sehr einfach zu benutzen ist, wird empfohlen, die Benutzerverzeichnisse generell zu verschlüsseln. Das gilt besonders für sensible Informationen auf mobilen Rechnern, die einem erhöhten Diebstahlsrisiko ausgesetzt sind. FileVault kann hierfür eine Alternative sein.

FileVault schützt die Informationen nur, wenn der Client ordnungsgemäß heruntergefahren wurde oder der Benutzer noch nicht angemeldet ist. Nachdem sich der Benutzer erfolgreich angemeldet hat, wird das von FileVault verschlüsselte Disk-Image in das System als Benutzerverzeichnis ("home") eingebunden und steht zur Verfügung. Zu keinem Zeitpunkt wird das gesamte Disk-Image entschlüsselt, es werden nur die gerade benötigten Teile in den Arbeitsspeicher geladen. Die Verschlüsselung der Datei erfolgt wieder, sobald sie sich nicht mehr im Arbeitsspeicher befindet. Meldet sich der Benutzer ab, wird das von FileVault verschlüsselte Disk-Image aus dem Dateisystem ausgehängt und die Dateien sind geschützt.

Können sich die Benutzer ohne Authentisierung am Client anmelden ("Automatische Anmeldung"), werden die mit FileVault geschützten Informationen ohne Passwortabfrage entschlüsselt. Für wirksamen Schutz der Informationen durch FileVault muss die automatische Anmeldung deaktiviert und ein ausreichend sicheres Passwort gewählt werden (siehe M 2.11 Regelung des Passwortgebrauchs ).

Vorbereitung des Einsatzes von FileVault

Mit FileVault können nur Benutzerverzeichnisse geschützt werden, die auf "Mac OS Extended"-Dateisystemen abgelegt sind und bei denen der Zusatz "Case sensitive" bzw. "Groß- und Kleinschreibung" nicht aktiviert wurde. Soll FileVault eingesetzt werden, empfiehlt es sich, das Dateisystem "Mac OS Extended (Journaled)" für die Partition mit den Benutzerverzeichnissen zu verwenden.

Generell wird empfohlen, die Benutzerverzeichnisse auf einer separaten Partition zu installieren. Bei der Planung der Größe der Partitionen und des benötigten Festplattenspeichers ist zu beachten, dass während der Verschlüsselung zusätzlich Festplattenspeicher in der Größe des zu verschlüsselnden Benutzerordners benötigt wird. Diese Anforderung liegt an der Arbeitsweise von FileVault. Wird FileVault für einen Benutzer aktiviert, so erstellt Mac OS X ein verschlüsseltes Disk-Image, kopiert alle Daten aus dem bestehenden Benutzerordner in das Disk-Image und löscht danach den originalen Benutzerordner. Es sollte verhindert werden, dass die gelöschten, unverschlüsselten Benutzerordner wieder hergestellt werden können. Das lässt sich durch die Auswahl der Einstellung "sicheres Löschen verwenden" gewährleisten.

FileVault aktivieren

Damit FileVault genutzt werden kann, muss es aktiviert werden. FileVault kann bereits beim Erstellen eines neuen Benutzers aktiviert werden, indem die Einstellung "FileVault-Schutz aktivieren" in den Benutzereigenschaften angewählt wird.

Um FileVault nachträglich für den angemeldeten Benutzer zu aktivieren, muss unter "Systemeinstellungen | Sicherheit | FileVault" die Schaltfläche "FileVault aktivieren" angewählt werden. In beiden Fällen sollte aufgrund der oben beschriebenen Arbeitsweise von FileVault zusätzlich unbedingt die Einstellung "sicheres Löschen verwenden" gewählt werden. Die Einstellung "sicheren virtuellen Speicher verwenden" sollte ebenfalls aktiviert werden, da sonst Informationen oder gar das Passwort unverschlüsselt in /var/vm abgelegt werden.

Datenwiederherstellung

Der Administrator muss ein Hauptkennwort für die jeweiligen Computer festlegen, um alle FileVault-verschlüsselten Benutzerordner auf den Computern wiederherstellen zu können, falls ein FileVault-Benutzerpasswort verloren geht. Das Wiederherstellungskennwort sollte ausreichend komplex sein (siehe M 2.11 Regelung des Passwortgebrauchs ). Wenn das Wiederherstellungskennwort aus Effizienzgründen für verschiedene Clients identisch gewählt wird, dann muss unbedingt ein ausreichend komplexes Passwort genutzt werden.

Besteht der Verdacht, dass das Hauptkennwort publik wurde, weil es zum Beispiel an einem ungesicherten Ort aufbewahrt worden ist, muss es sofort geändert werden, da sonst der Zugriff auf alle auf dem Computer befindlichen verschlüsselten Daten möglich ist.

Das Hauptkennwort sollte an einer geeigneten Stelle aufbewahrt werden, damit die Daten in einem Störfall schnell und personalunabhängig durch einen Administrator wiederhergestellt werden können (siehe M 2.22 Hinterlegen des Passwortes ).

FileVault in Verbindung mit Energiesparmodi

Ein Client unter Mac OS X, der aktuell nicht benutzt wird und auch nicht ausgeschaltet ist, kann sich in einem Energiesparmodus befinden. Hierzu zählt unter anderem der sogenannte Ruhezustand. Bei Mac OS X wird damit sowohl ein Zustand beschrieben, in dem der Computer den Inhalt des RAM auf der Festplatte speichert, als auch ein Zustand, in dem nur der aktuelle Inhalt des Arbeitsspeichers eingefroren wird.

Unter Mac OS X verbleiben im Ruhezustand die Informationen zum FileVault-Passwort im Arbeitsspeicher (RAM) oder auf der Festplatte des Clients. Dadurch ist die Vertraulichkeit der FileVault-verschlüsselten Daten gefährdet. Bei einem höheren Schutzbedarf wird empfohlen, einen Client unter Mac OS X nicht unbeaufsichtigt im Ruhezustand zu belassen. Alternativ muss der Benutzer sich abmelden und den Client ausschalten. Die Bildschirmsperre stellt, wie der Ruhezustand, eine Gefahr für die Vertraulichkeit dar, weil auch hier die Passwortinformationen im RAM vorhanden sind und ausgelesen werden könnten.

Sensibilisierung der Benutzer

Die Benutzer müssen darüber informiert werden, dass FileVault nur den eigenen Benutzerordner verschlüsselt und dies auch nur, wenn der Client unter Mac OS X ordnungsgemäß heruntergefahren wurde. Im Weiterem müssen die Benutzer darüber informiert werden, wie sie mit den Energiesparmodi in Verbindung mit FileVault-Verschlüsselung umgehen sollten und dass der Administrator die Daten beim Verlust des Passworts mit dem Hauptkennwort wiederherstellen kann. Weiterführende Informationen zum Thema sichere Datenablage und Datentransport sind in M 4.379 Sichere Datenhaltung und sicherer Transport unter Mac OS X beschrieben.

Abgrenzung der Eignung von FileVault

FileVault bietet keine Einstellungsmöglichkeit, welche Dateien verschlüsselt werden. Es wird ausschließlich der Benutzerordner verschlüsselt. Potentiell können aber auch Daten in anderen Verzeichnissen schützenswerte Informationen enthalten. So beinhalten die Verzeichnisse /Library/Logs und /var/log diverse Log-Dateien mit detaillierten Systeminformationen, die Verzeichnisse /Library/Caches und /tmp beinhalten temporäre Dateien bzw. Cache-Dateien von einigen Datensicherungsprogrammen und in /Library/Preferences befinden sich systemweite Einstellungsdateien. Somit sollten bei einem höheren Schutzbedarf statt FileVault andere Verschlüsselungsprogramme eingesetzt werden, die die gesamte Festplatte verschlüsseln können.

Prüffragen:

  • Wird das "Mac OS Extended (Journaled)"-Dateisystem für die Partitionen benutzt, die mit FileVault verschlüsselt werden sollen und ist dort der Zusatz "Case sensitive" bzw. "Groß- und Kleinschreibung" abgewählt?

  • Sind beim Einsatz von FileVault ein ausreichend starkes Benutzerkennwort für Mac OS X gesetzt und die automatische Anmeldung deaktiviert worden?

  • Ist ein ausreichend starkes Haupt-FileVault-Kennwort für Mac OS X gesetzt und sicher hinterlegt?

  • Ist den Mac OS X Benutzern bekannt, dass mit FileVault nur der persönliche Benutzerordner verschlüsselt wird?

  • Wissen die Mac OS X Benutzer, dass sie mithilfe des Haupt-FileVault-Kennworts ihre Daten im Fall des Verlusts des Benutzerkennworts wiederherstellen können?

Stand: 13. EL Stand 2013