Festplattenverschlüsselung FileVault: Apple umgeht BitLocker-„Falle“ in macOS 26

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Nach Berichten, dass Microsoft auf richterlichen Beschluss auf seinen Cloud-Servern abgelegte Schlüssel für den lokalen SSD-Schutz BitLocker herausrückt, fragen sich macOS-Nutzer, ob ihnen Ähnliches droht. Darauf gab es, zumindest bis macOS 26 alias Tahoe, im Stil von Radio Eriwan nur eine Antwort: „Im Prinzip ja, aber …“

Zugriff ohne Advanced Data Protection zumindest denkbar

Vor dem im Herbst erschienenen neuen Betriebssystem konnten Nutzer bei FileVault entscheiden: Entweder die Verschlüsselung läuft rein lokal und man schreibt sich einen – im Übrigen nur einmal auftauchenden – Wiederherstellungsschlüssel (Recovery Key) auf – oder man hinterlegte diesen in iCloud, konnte also mit seinem Apple-Account dann auch gleich FileVault entschlüsseln. Entschied man sich für diesen Weg, drohte ähnliches Ungemach wie bei Microsofts BitLocker: Sofern staatliche Stellen Apple dazu bewegten, Zugriff auf den Apple-Account samt iCloud zu erteilen, war auch Zugriff auf FileVault möglich. Derzeit ist unklar, wie, ob und wie oft so etwas bereits geschah – eine entsprechende Anfrage seitens Mac & i bearbeitet der iPhone-Konzern noch.

Eine potenzielle Lösung gab es hierfür indes, auch wenn sie nicht standardmäßig vom Betriebssystem empfohlen wurde: die Verwendung des erweiterten Datenschutzes für iCloud, auf Englisch Advanced Data Protection, kurz ADP. Die seit Ende 2022 / Anfang 2023 verfügbare Technik sorgt dafür, dass alle sensiblen Inhalte, die bei Apple lagern, (endlich) Ende-zu-Ende-verschlüsselt werden und auch Apple selbst – und damit mit Gerichtsbeschluss ausgestattete Behörden, die bei Apple vorstellig werden – keinen Zugriff auf diese hat. Damit war dann auch der FileVault-Zugang gesichert. Das Problem: Viele Nutzer kennen oder finden ADP schlicht nicht oder fürchten sich gar vor der Funktion, da ihnen Apple nach Aktivierung bei Verlust ihres Passworts nicht mehr helfen kann (dafür gibt es aber andere Möglichkeiten).

Mit macOS 26 wird FileVault sicherer

Vorspultaste zu macOS 26: Das neue Betriebssystem hat FileVault nun standardmäßig sicherer gemacht. Denn: Statt den Recovery Key auf Wunsch in iCloud abzulegen, wo Apple gegebenenfalls herankommt, wird hier der iCloud-Schlüsselbund verwendet. Dieser arbeitet von Beginn an Ende-zu-Ende-verschlüsselt und konnte damit von Apple noch nie eingesehen werden. Zugriff erfolgt nur in Kombination von Passwort und zweitem Faktor, an den auch Apple nicht gelangen kann, da dieser an einem Gerät hängt, das sich im Besitz des Nutzers befindet.

Störend an FileVault in Tahoe: Apple fragt nicht mehr nach, ob eine Synchronisation erfolgen soll oder nicht. Ist der iCloud-Schlüsselbund aktiv (zu erkennen daran, dass „Passwörter“ in den Apple-Account-Einstellungen für iCloud aktiv ist), landet der Wiederherstellungsschlüssel automatisch darin, man kann dies nicht mehr, wie bei der unsicheren reinen iCloud-Hinterlegung in macOS 15 und zuvor, unterbinden. Nützlich ist in macOS 26 jedoch, dass man den Wiederherstellungsschlüssel in den FileVault-Einstellungen beliebig oft wieder anzeigen lassen kann. Diesen sollte man unbedingt notieren und an einem sicheren Ort aufbewahren, egal ob man den iCloud-Schlüsselbund verwendet oder nicht.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden Preisvergleich jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)