G 3.109 Unsachgemäßer Umgang mit FileVault-Verschlüsselung

Unter Mac OS X können die Benutzerverzeichnisse mit dem Programm "FileVault" verschlüsselt werden. Dabei wird der Algorithmus AES -128 eingesetzt. Benutzer können nur mit einem korrekten Passwort auf die mit FileVault-verschlüsselten Daten zugreifen. Das Passwort sollte daher entsprechend stark gewählt sein.

Passwörter können vergessen werden oder in einem Vertretungsfall nicht verfügbar sein.

Um die Daten in diesem Fall trotzdem lesen zu können, ist das Haupt-FileVault-Kennwort vorgesehen. Durch das lokal festgelegte Haupt-FileVault-Kennwort ist es möglich, jeden Benutzerordner des zugehörigen IT-Systems zu entschlüsseln oder das zugehörige Passwort zurückzusetzen. Wird das Haupt-FileVault-Kennwort an einem unsicheren Ort aufbewahrt, können allerdings unter Umständen Unbefugte auf die verschlüsselten Informationen zugreifen.

Gehen sowohl das Benutzer-Passwort als auch das Haupt-FileVault-Kennwort, zum Beispiel wegen eines Feuers oder Diebstahls, verloren, kann dauerhaft nicht mehr auf die mit FileVault-verschlüsselten Daten zugegriffen werden. Das Haupt-FileVault-Kennwort ist mit einem schwächeren Algorithmus ( RSA -1024) geschützt, es ist daher einem höheren Risiko ausgesetzt als die Benutzer-Passwörter.

Mit FileVault ist es nicht möglich, die gesamte Festplatte zu verschlüsseln. Somit kann ein Angreifer, der physikalischen Zugriff auf die Festplatte oder ein Benutzerkonto hat, auf sensible Konfigurationsdateien bzw. -ordner zugreifen. Dazu gehören zum Beispiel:

Unbefugte könnten auch dann Zugriff auf die Informationen erlangen, wenn sich Benutzer am Client ohne Authentisierung anmelden dürfen ("Automatische Anmeldung"). Die mit FileVault geschützten Informationen werden dann ohne Passwortabfrage beim Start des Computers entschlüsselt.

Ein weiteres Problem kann vom Programm "Time Machine" ausgehen. "Time Machine" dient zur Datensicherung unter Mac OS X und kann Kopien von kompletten Festplatten, einzelnen Verzeichnissen oder von FileVault-verschlüsselten Benutzerordnern erzeugen. Die Informationen werden jedoch immer unverschlüsselt auf dem Datensicherungsmedium abgelegt, die Art des Mediums spielt dabei keine Rolle. Es ist darauf zu achten, dass die Sicherungsmedien an einem Ort aufbewahrt werden, zu dem unberechtigte Personen keinen Zugang haben.

Zu beachten ist auch, dass eine Datensicherung mit "Time Machine" bei aktiviertem FileVault erst durchgeführt werden kann, nachdem sich der Benutzer vom System abgemeldet hat. Ist der Client unter Mac OS X gesperrt oder befindet er sich im Ruhezustand, kann keine Datensicherungen durchgeführt werden.

Beispiele: