[10.11 El Capitan] Klonen von Fire-Vault geschütztem MacBook

[Bungalow]

Hallo Allerseits,

ich bräuchte euren Rat. Wenn man ein mit Fire-Vault verschlüsseltes MacBook Pro (Late 2014, El Capitan) mit entsprechender Software klont....Gibt es dann irgendwelche Einschränkungen hinsichtlich Funktionalität im Vergleich zum Original? Der Hintergrund ist der dass in meiner Agentur auf Grund des Verdachtes der Steuerhinterziehung sämtliche Hardware beschlagnahmt wurde und dort leider auch mein Privatgerät lag. Da dieses verschlüsselt ist, wurde es im Gegensatz zur meisten sonstigen Hardware nicht herausgegeben nach Sicherung bzw. Spiegelung/Klonen. Die Begründung lautet, dass geprüft werden müsste was ich am Anfang dieses Textes fragte. Eine Herausgabe des Passwortes ist keine Option da sich auch dem Rechner vertrauliche Daten von dritten befinden. Man sagte mir es könnten sich eventuell nicht alle Programme vom Klon der verschlüsselten HD starten, Daten versteckt sein, Clouds nicht vom Klon öffnen lassen (Clouds habe ich noch nie benutzt und wenn es so wäre könnte ich die Passwörter für selbige ja längst geändert haben). Der Prozess zieht sich schon lange und beginnt meine Existenz als Freiberufler zu bedrohen. Ich habe dazu nichts im Netz gefunden und würde die Antwort gerne kennen, da ich davon ausgehe dass sich das Ganze noch Länger zieht und ich deshalb eine Neuanschaffung ins Auge fassen muss. Vielen Dank im voraus.

 

[u0679]

Hast Du kein Backup Deiner Daten, die Du auf ein anderes Gerät spielen kannst?

 

[ottomane]

Ich glaube, er/sie hat kein anderes Gerät und überlegt an einer Neuanschaffung.

 

[Bungalow]

Hast Du kein Backup Deiner Daten, die Du auf ein anderes Gerät spielen kannst?

Ja, den habe ich zu 90%. Darum geht es mir allerdings nicht sondern ob jemand hier im Forum weiß ob es tatsächlich sein kann, dass der Klon meiner verschlüsselten MacBook Harddisc für die Polizei/Staatsanwaltschaft tatsächlich mit Einschränkungen hinsichtlich der Funktionalität und Auswertung nach (äußerst unwahrscheinlicher) Öffnung des FireVault Passwortschutzes verbunden sein könnte, da diese Frage der mir genannte Grund ist warum sich die Herausgabe weiter hinzieht. Sollte das hier jemand jetzt schon bejahen und begründen können, bin ich zu einer Neuanschaffung gezwungen - muss allerdings nicht bis zum Nimmerleinstag auf die Antwort der Experten der Justiz damit unnötig warten. Mir wäre damit sehr geholfen, wenngleich mir bewußt ist dass Antworten immer ohne Gewähr zu verstehen sind. Alles was ich darüber im Internet herausgefunden habe ist ein Klon ein Klon ohne Abstriche. Die Frage ist wohl sehr speziell, deshalb habe ich über Einschränkungen nichts gefunden und hoffe auf die altbewährten Apfeltalk-Kompetenzen ; )

 

[MACaerer]

Soweit mit bekannt ist wird mit FileVault nicht das Laufwerk sondern der Inhalt auf demselben verschlüsselt. Das heißt ein Klon auf ein anderes Laufwerk erzeugt ebenfalls nur einen verschlüsselten Inhalt. Wenn das Passwort entsprechend mächtig ist und nicht so ohne weiteres geknackt werden kann, stehen die Ermittlungsbehörden mit dem Klon vor dem gleichen Dilemma. Andererseits gab es meines Wissen vor nicht allzu langer Zeit eine Gesetzesänderung, mit der die Herausgabe des Passworts in einem entsprechend kritischen Fall erzwungen werden kann. Ob das in deinem Fall zutrifft kann ich nicht beurteilen.

MACaerer

 

[Bungalow]

Danke MACaerer. Das weiß ich. Das Passwort ist definitiv so sicher, dass es selbst aufwändigsten Bemühungen Stand halten würde, die in einem solchen Fall i.d.R. aus ökonomischen Gründen nicht mal in Erwägung gezogen werden. Dass sie dann vor dem Gleichen Problem stehen ist völlig klar, würde aber auch eine Einbehaltung der Hardware überflüssig machen und ich würde das MacBook zurückbekommen. Der Aufwand der Entschlüsselung bleibt, aber wird auch nicht verschlimmert. Es geht darum ob das unrealistische Ziel die Verschlüsselung zu überwinden auch daraufhin exakt zu den Gleichen Auswertungsmöglichkeiten auf der Entschlüsselten HD führen. Sollte es da Einschränkungen geben, wäre dies das Argument die Hardware trotz Klonung nicht heraus zu geben. Die erzwungene Passwort Herausgabe ist nur beispielsweise in England und im amerikanischen Raum juristisch verankert, in Deutschland nicht (Auch nicht bei Mord wie z.B. im Falle des "Maskenmann" Martin N.). Natürlich versucht man mich dennoch mit diesem fadenscheinigen (?) Argument zur Öffnung zu erpressen. Das ist aber wie gesagt keine Option auf Grund von journalistischer Arbeit und Vertrauensdaten von Dritten (u.a. Aktfotografien). Strafrechtlich Relevantes ist auf dem Rechner nicht vorhanden. Noch nicht einmal ein einziges mp3 oder gecrackte Software. Ich habe auch einen ANwalt eingeschaltet, doch auch dieser kann mir diese spezielle Frage nicht beantworten. Meine Recherche hat bisher tendenziell ergeben dass die Ermittlungsbehörde die Gleichen Möglichkeiten hat mit dem Klon wie mit dem MacBook selbst. Oder gibt es da doch die im Raum stehenden Einschränkungen? Nur darum geht es mir.

 

[MACaerer]

Ein Klon erzeugt nicht eine dateiweise sondern eine blockweise erstellte Kopie des Datenträgers. Das heißt der Klon ist wirklich eine 1: 1 Kopie des Originals. Wenn der Klon entschlüsselt wird hat er demnach die selbe Funktionalität wie der originale Datenträger mit problemlosem Zugriff auf alle Apps und damit erzeugten Daten. Was ich natürlich nicht weiß ist, was die Ermittlungsbehörden unter "Klon" verstehen. Wenn sie nur eine Kopie über das MacOs erstellen kann es schon sein, dass es Einschränkungen gibt.

MACaerer

 

[ottomane]

Und wenn die Seriennummer des Datenträgers mit in die Verschlüsselung einfließt? Eben, möglicherweise ist es nicht so einfach.

 

[MACaerer]

Das wäre mit neu und würde auch keinen Sinn machen, weil man dann ein per FileVault verschlüsseltes Laufwerk nicht mehr über ein BackUp wiederherstellen könnte. Soviel ich weiß erfolgt die Verschlüsselung nur über das Passwort.

MACaerer

 

[Rastafari]

Und wenn die Seriennummer des Datenträgers mit in die Verschlüsselung einfließt?

Selbst wenn das der Fall wäre, ergäbe das keinerlei schlüssige Begründung nicht einfach das Original einzubehalten und stattdessen die "möglicherweise funktionsunfähige" Kopie auszuhändigen.
Ist doch logisch dass hier nur Druck zur Herausgabe der Kennworte ausgeübt wird, denn im verschlüsselten Zustand hat der Datenträger für einen Ermittler keinerlei Wert, weder in der Gegenwart noch in noch so ferner Zukunft. Auch 25 Jahre einbehalten wird daran nichts ändern.
Und dass ein RA dies nicht zu interpretieren und entsprechend zu argumentieren versteht - tja, es gibt Anwälte und Rechtsverdrehter.

 

[Bungalow]

Danke für deine Einschätzung, @MACaerer . Das bestätigt mir meine Vermutung/Einschätzung. Ich hoffe es gibt hier im Forum noch mehr Einschätzungen zu meiner Problematik. @Rastafari es ist nachvollziehbar dass versucht wird, Druck zu erzeugen. Die Frage ist ob das rechtlich in Ordnung ist. Leider gibt es in Deutschland nur die sogenannte Verhältnismäßigkeit die bei 3 Monaten endet. Diese ist längst überschritten und wenn ein Klon die gleichen Möglichkeiten bietet, ist selbst das in Anbetracht des benötigten Zeit- und Arbeitsaufwandes zur Erstellung eines Klones auch in Anbetracht der Standardargumentation "Überlastete Behörden" meiner Auffassung nach zu lang. Das Amtsgericht Reutlingen hat in einem solchen Fall sogar entschieden dass 3 Tage zu lang sind. "Rechtsverdreher" sind m.M. nach Rechtsanwälte, Staatsanwälte und auch die Polizei gleichermaßen, da Recht immer Auslegungssache ist und jeder für seine Interessen kämpft und geschriebenes Gesetz und gesprochene Urteile interpretiert. Und das ist auch gut so, daher halte ich "Rechtsverdreher" für eine zynische Abwertung der wichtigen Arbeit von Menschen die Bürgern helfen sich zu verteidigen im Rahmen gesetzlicher Möglichkeiten. Alles andere würde eine Gewaltenteilung und das Amt des Richters überflüssig machen. Dass der verschlüsselte Datenträger keinerlei Wert hat ist so auch nicht richtig, da die meisten Passwörter und PINs statistisch gesehen geknackt werden (Was von der Qualität der Verschlüsselung bzw. des Passwortes und den aufgewendeten Bemühungen abhängig ist). In ferner Zukunft würde ich erst recht nicht von einer Wertlosigkeit sprechen, da sich im Rahmen von Verjährungsfristen die Möglichkeiten zur Entschlüsselung nicht gerade zurückentwickeln und der Klon weiterhin vorliegt. Nach aktuellem technischen Stand dürfte es in meinem Fall weit über 100 Jahre dauern die Verschlüsselung zu knacken, es sei denn Apple ändert seine Sicherheitspolitik (Stichwort Backdoor). Verschlüsselung ist zum jetzigen Zeitpunkt (zumindest in Deutschland) Bürgerrecht und nach meiner Ansicht elementar für eine Demokratie. Ich wiederhole nochmal dass ich nichts illegales getan habe und auch mein MacBook im unverschlüsselten Zustand zu keinerlei strafrechtlich relevanter Konsequenz führen würde.

Sollte das Thema allgemein hier noch andere interessieren: http://www.spiegel.de/netzwelt/netzpolitik/nsa-und-fbi-verschluesselung-ist-notwehr-a-913083.html

 

[ottomane]

Das wäre mit neu und würde auch keinen Sinn machen, weil man dann ein per FileVault verschlüsseltes Laufwerk nicht mehr über ein BackUp wiederherstellen könnte. Soviel ich weiß erfolgt die Verschlüsselung nur über das Passwort.

Für das Upgrade mit einem JetDrive gibt es eine Anleitung (nicht von Apple natürlich), in der man das FileVault zuerst entschlüsseln muss, bevor man es auf die größere SSD klont. Das brachte mich auf die Idee. Mag aber gut sein, dass es dafür andere technische Gründe gibt (Reorganisation der Daten z.B.).

 

[Bungalow]

Okay, es scheint wohl 1:1 alles mit dem Klon möglich zu sein was auch mit einem Original möglich ist, daher habe ich das verschlüsselte MacBook auf drängen meines Anwaltes von der Polizei nun zurück bekommen. Ein verschlüsselter Mac ist daher wohl kein haltbarer Grund für eine ausgedehntere Beschlagnahmung als ein unverschlüsselter.