Bundesamt für Sicherheit in der Informationstechnik

M 4.379 Sichere Datenhaltung und sicherer Transport unter Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Unter Mac OS X können Disk-Images erstellt werden. Disk-Images stellen sich wie Dateien dar, enthalten jedoch intern ein eigenes Dateisystem, das per Doppelklick als virtuelles Laufwerk in das System eingebunden werden kann. Disk-Images können komprimiert und verschlüsselt werden. Jedes Mac OS X System kann die so erzeugten Disk-Images problemlos lesen. Auf anderen Plattformen ist dafür zusätzliche Software notwendig. Grundsätzlich sollte darauf geachtet werden, dass vertrauliche Informationen unter Mac OS X nur in einem verschlüsselten Disk-Image oder mittels einer anderen geeigneten Verschlüsselungsmethode transportiert und gelagert werden. Die Benutzer müssen im Umgang mit Disk-Images geschult sein.

Wird ein Disk-Image von einem vorhandenen Verzeichnis erstellt, so werden zwei Einstellungsmöglichkeiten angeboten. Einmal kann das Image-Format ausgewählt werden, zum Beispiel "Komprimiert", "Nur lesen" oder "Lesen/Schreiben". Für genaue Abbilder von CD s/ DVD s ist das Image-Format "DVD/CD-Master" geeignet. Zum anderen wird eine Verschlüsselung angeboten. Befinden sich vertrauliche Informationen im Disk-Image, sollte es verschlüsselt werden. Hierfür sollte eine 256-Bit- AES -Verschlüsselung sowie ein komplexes Passwort gewählt und triviale Passwörter vermieden werden (siehe M 2.11 Regelung des Passwortgebrauchs ).

Soll ein neues, leeres Disk-Image erstellt werden, stehen im Gegensatz zu einem Image aus einem vorhandenen Ordner weitere Einstellungsmöglichkeiten zur Verfügung. Die wichtigsten Optionen sind das Einstellen der maximalen Größe des Disk-Images sowie die Wahl des Image-Formats. Wird ein "Mitwachsendes Bundle-Image" gewählt, so wird Festplattenspeicher nur dann belegt, wenn er benötigt wird. Das Image wächst mit den hinzugefügten Daten. Das "Mitwachsende Bundle-Image" schrumpft jedoch nicht, wenn Daten wieder daraus entfernt werden. Belegter Speicher lässt sich jedoch mit dem Befehl "hdiutil compact namedesimages" freigeben. Dieser Befehl funktioniert nur auf Computern, die sich nicht im Batterie-Betrieb befinden. Eine weitere Einstellung bei einem neu erstellen Disk-Image ist die Wahl zwischen den gängigen Dateisystemen von Apple und Microsoft.

Das Kennwort für das Disk-Image kann ebenfalls wie andere vertrauliche Informationen im Schlüsselbund als "sichere Notiz" abgelegt werden. Dann sind jedoch die Maßnahmen in M 4.371 Konfiguration von Mac OS X Clients umzusetzen. Arbeiten mehrere Personen mit einem Disk-Image, muss ein zentraler, sicherer Ablageort gewählt werden, damit das aktuelle Passwort jedem autorisierten Mitarbeiter zur Verfügung steht.

Prüffragen:

  • Werden Daten unter Mac OS X sicher vorgehalten und transportiert?

  • Ist jeder Benutzer von Mac OS X im Umgang mit Disk-Images geschult?

  • Wird ein starkes Passwort zum Schutz der Mac OS X Disk-Images verwendet?

  • Wird das Passwort von Mac OS X Disk-Images an einem geeigneten Ort aufbewahrt?

Stand: 13. EL Stand 2013