Macbook verloren/gestohlen - Funktioniert die Sperre?

[Niklas231]

Hallo,

meine Frau hat auf einer Reise ihr Macbook verloren/gestohlen bekommen. Ich hatte darauf die App Wo ist? genutzt, um ihn solchen Fällen sicher zu sein. Der Mac ist mit FileVault verschlüsselt, also sollten die Daten sicher sein?

Die ganze Sache ist nun 1 Woche her, ich habe erst jetzt davon erfahren. Kann es sein, dass der Dieb oder Finder bereits das System neu aufgesetzt hat und das somit meine Apple ID bzw. die Konfiguration in Wo ist? gelöscht wurde und eine Fernsperre/Fernlöschung nun nicht mehr funktioniert? Ist der Mac komplett betrieb unfähig oder könnte der neue Besitzer einfach über eine Wiederherstellung den Mac nutzen?(auch ohne unsere Daten)

Ich hatte diese Sicherung genutzt, aber mich nicht damit auseinander gesetzt, was alles geht und was nicht. Hoffe ihr könnt mir helfen!

 

[errorlog]

Das hängt sehr stark davon ab, welches Modelljahr das Macbook hat. Die Daten sind wohl auf jeden Fall geschützt.

Aber mit einem T2 Chip geht da noch deutlich mehr. Klick

 

[Wuchtbrumme]

Ich hatte diese Sicherung genutzt, aber mich nicht damit auseinander gesetzt, was alles geht und was nicht. Hoffe ihr könnt mir helfen!

Zur Info: FileVault 2 ist nur ein Mechanismus, um ein bootbares System verschlüsselt zu bekommen und startbar zu behalten.
Die Verschlüsselung ist meines Wissens Stand jetzt zumindest nicht als per se unsicher bekannt. Je nach Hardware und je nach Konfiguration (Firmwarekennwort?) könnte die Hardware aber unter Verlustiggehen der bestehenden Daten "weitergenutzt" werden. Bei verlötetem RAM (alle Macbook Pro mit Retina Display ab 2012, alle MBA ab - ui, vermutlich: - ewig) schützt das Firmwarekennwort vor dem Booten eines anderen Datenträgers, richtig sicher ist es dann mit T2 (ab MBP 2017).

Kurzform: Daten vermutlich sicher, immerhin, das habt Ihr richtig gemacht. Die Hardware ist sowieso weg.

Die Wo ist?-Funktion hängt von der Rechnerhardware ab und dem installierten OS (Catalina) ab. Damit sie etwas bringt (sh. oben) müsste sie eigentlich mit T2 und "sicherem Boot" kombiniert werden.

 

[Mitglied 233949]

Der Mac ist mit FileVault verschlüsselt, also sollten die Daten sicher sein?

Ja, der andere kann das System nur neu aufsetzen, wenn er das Passwort für Filevault kennt oder eine neue Festplatte einbaut.

 

[Wuchtbrumme]

Ja, der andere kann das System nur neu aufsetzen, wenn er das Passwort für Filevault kennt oder eine neue Festplatte einbaut.

Natürlich nicht. Das eine hat mit dem anderen erst einmal exakt gar nichts zu tun. Die Verschlüsselung der Festplatte *auf* der Festplatte schützt nur die Daten. Erst bei T2-basierten Macs ist das alles miteinander integriert und verbaselt - aber da kann man auch sowieso nicht einfach eine neue Festplatte einbauen.

 

[errorlog]

Ja, der andere kann das System nur neu aufsetzen, wenn er das Passwort für Filevault kennt oder eine neue Festplatte einbaut.

Ich hatte das weiter oben verlinkt. Die Tx Chips kommunizieren als "closed Source" Hard- und Software unabhängig vom Betriebssystem direkt mit Apple, so wie man es von den IOS-Devices kennt.

Der T2 Chip wird bereits beim Einschalten aktiv. Das Gerät ist im Exremfall ein übergroßer Briefbeschwerer. Filevault bei Geräten ohne T Chip ist eine reine Onlineverschlüsselung vom BS. Da ginge dann mehr durch ein Bios Passwort.

Kommt also wirklich auf das Modell des Macbooks an, ab 2018 ist das Ding halt nur noch als Ersatzteillager zu gebrauchen.

 

[Niklas231]

Es handelt sich um ein relativ altes MacBook Air(2012). Wenn ich mich recht erinnere, sollte noch kein Catalina aufgespielt worden sein(also wurde noch die Mac suchen Funktion genutzt).

Also bringt es nichts, wenn ich den Mac sperre lassen per iCloud? Oder hätte es etwas gebracht, hätte ich es sofort getan? Weil mittlerweile dürfte der Finder/Dieb sicher ein neues OS raufgespielt haben, weil an FileVault kommt man ja nicht so einfach vorbei und deswegen ist die ganze Konfiguration gelöscht und Möglichkeit aus der Ferne den Mac zu suchen/sperren/löschen gibts auch nicht mehr?

Vielen Dankfür die bisherigen sehr informativen Beiträge.

 

[Wuchtbrumme]

Ich werd's nie verstehen. Steht doch nun alles da.
Die Infos, die man braucht und nach denen man gefragt hat, lässt Du nicht raus (Firmwarekennwort gesetzt?).
Und mir ist völlig unklar, was Du erreichen willst und worüber Du Dir jetzt Gedanken zu machen müssen meinst: Die Hardware ist weg. Punkt.

Wenn es Dir darum geht, wie Du am besten einstellst:
"alte" Hardware ohne T2:
-FileVault aktivieren
-Firmwarekennwort setzen

Das war übrigens schon immer so und wird hier seit mindestens 8 Jahren so empfohlen.

neue Hardware mit T2:
-FileVault aktivieren
-Firmwarekennwort setzen
-"sicheren Start" auswählen, keine externen Datenträger erlauben (ist aber optional, das Firmwarekennwort sollte reichen)

 

[Niklas231]

Sorry. Nein, kein Firmware Kennwort.

Mich interessiert vor allem der Sinn von Wo ist bzw Mac suche. Funktionieren diese Apps nur, wenn kein neues OS raufgespielt wurde oder funktionieren diese ähnlich wie bei iPhones(also apple id Bestätigung nach jeder Wiederherstellung), dass selbst nach Wiederherstellung der Mac trotzdem geortet werden kann bzw. man den Entsperrcode braucht.

 

[Wuchtbrumme]

ah, ok.

Mich interessiert vor allem der Sinn von Wo ist bzw Mac suche. Funktionieren diese Apps nur, wenn kein neues OS raufgespielt wurde

Du musst das historisch sehen. Ein Mac ist ja auch ein PC (sogar ein besserer), der sich über die Jahre entwickelt und diese Funktion ursprünglich nicht hatte. Da wird wechselseitig mal von hier, mal von dort ein Feature genommen und implantiert, meist macht es sogar Sinn. Von daher: ja, ursprünglich kommt die Funktion vom iPhone und wurde als Feature zum Mac hinzugefügt, erfordert(e) aber, dass ein Benutzer in iCloud angemeldet ist und dieses Feature aktiv hatte. Außerdem muss das Gerät eingeschaltet und eine Datenverbindung haben. Es ist also sehr ähnlich zum Äquivalent in iOS - dass die Funktion ein iPhone komplett sperrt, sodass man es nur über iCloud (wie einen zweiten Faktor) wieder entsperren kann, kam auch erst vor 2-3 Jahren. Und mit zusätzlicher sowie neuerer Hardware wird das sukzessive auch auf dem Mac besser. Den Diebstahl selbst vermeidet es natürlich immer noch nicht, aber wenn sich herumspricht (ähnlich wie bei iPhones), dass die Geräte bei korrekter Konfiguration nur mehr Ziegelsteine sind, wird hoffentlich auch die Diebstahlquote abnehmen. Andererseits sind auch Angriffe auf iCloud-Konten häufiger geworden (um die Geräte noch entsperren zu können).

Absehbar ist Stand jetzt, dass die Funktion "Wo ist?" (die ja schon umbenamst wurde, um die Aufrüstung auch namentlich deutlich zu machen) als Zentrale zum Sucher aller Apple-Geräte verwendet werden soll und die Funktion selbst deutlich umfangreicher wird - die Geräte werden Bluetooth benutzen, sogar im "ausgeschalteten" Zustand ihren Standort mithilfe eines Peer-to-peer-Netzwerks und strong privacy "weiterreichen". Hier ist die Apple-Erklärung dazu: https://www.apple.com/de/icloud/find-my/

 

[Niklas231]

Okay, vielen Dank für diese ausführliche Erklärung .
Mein Gedankengang war einfach der: Bei iPhones habe ich ja die Möglichkeit ne Sperre reinzuhauen, bzw. selbst ohne ne iCloud Sperre manuell durchzuführen, wird ja bei jedem Wiederherstellen des Gerätes(wie wohl jetzt bei unserem Mac) trotzdem die ID abgefragt. Ich dachte vielleicht ist es so auch beim Mac. Aber das scheint ja nun nicht so zu sein? Nur bei neueren Geräten? Also bei alten Geräten ist Wo ist wohl nutzlos, wenn der Täter das OS neu aufsetzt(im Falle man hat kein Firmware Passwort gesetzt)?

Wie ist das bei neueren Geräten, kommt da dann wie beim iPhone eine Meldung wenn man den Mac wiederherstellen will, dass man das iCloud PW eingeben muss oder wie läuft das?

 

[errorlog]

ist wohl nutzlos, wenn der Täter das OS neu aufsetzt(im Falle man hat kein Firmware Passwort gesetzt)?

Naja, der Mac ist weg, es dürfte Dich dann nicht mehr interessieren, ob er weiter verwendet werden kann, oder als Ersazteillager endet.

Diese Sicherheitschips haben auch Nachteile: gepatchte MaOS Versionen auf "nichtunterstützte" Macs zu installieren, wird in Zukunft nicht mehr möglich sein, wenn Apple das nicht zulassen möchte.

 

[Niklas231]

Naja, der Mac ist weg, es dürfte Dich dann nicht mehr interessieren, ob er weiter verwendet werden kann, oder als Ersazteillager endet.

Falls du so freundlich bist und mich entscheiden lässt, was mich interessiert und was nicht, wäre ich dir sehr verbunden!

 

[Butterfinger]

Muss mann bei der Installation nicht die Apple ID, bzw. das Passwort eingeben, wenn "Wo ist, bzw. Find My Mac" aktiv ist? Oder kann das umgangen werden, wenn man über das Festplattendienstprogramm die Festplatte löscht (da nicht verschlüsselt)?

Bei mir war es so, als ich ein System neu aufsetzen wollte...ist aber schon eine Weile her.

 

[errorlog]

Falls du so freundlich bist und mich entscheiden lässt, was mich interessiert und was nicht, wäre ich dir sehr verbunden!

Und ich wäre dir sehr verbunden, wenn Du dich wieder abgregst und die Dinge nicht aus dem Zusammenhang reißt! Lies einfach mal was ich komplett geschrieben habe, und versuche zu verstehen, dass es mit der Absicht geschehen ist, Dir zu helfen und die Dinge zu erklären.

Naja, der Mac ist weg, es dürfte Dich dann nicht mehr interessieren, ob er weiter verwendet werden kann, oder als Ersazteillager endet.

Diese Sicherheitschips haben auch Nachteile: gepatchte MaOS Versionen auf "nichtunterstützte" Macs zu installieren, wird in Zukunft nicht mehr möglich sein, wenn Apple das nicht zulassen möchte.

Der zweite Teil war der wichtige Part. Den ersten darfst Du gern ignorieren.

Egal, mir fehlen da ein wenig die Worte...

 

[Niklas231]

Und ich wäre dir sehr verbunden, wenn Du dich wieder abgregst und die Dinge nicht aus dem Zusammenhang reißt! Lies einfach mal was ich komplett geschrieben habe, und versuche zu verstehen, dass es mit der Absicht geschehen ist, Dir zu helfen und die Dinge zu erklären.



Der zweite Teil war der wichtige Part. Den ersten darfst Du gern ignorieren.

Egal, mir fehlen da ein wenig die Worte...

Ah sorry, war auch von meiner Seite nicht so gemeint! Danke für die Hilfe jedenfalls

Muss mann bei der Installation nicht die Apple ID, bzw. das Passwort eingeben, wenn "Wo ist, bzw. Find My Mac" aktiv ist? Oder kann das umgangen werden, wenn man über das Festplattendienstprogramm die Festplatte löscht (da nicht verschlüsselt)?

Bei mir war es so, als ich ein System neu aufsetzen wollte...ist aber schon eine Weile her.

Diese Frage interessieren mich auch! -> So wie ich es verstanden habe, muss man sich nur dann mit Apple ID anmelden, wenn man einen neueren Mac mit diesen ominösen T2 Chips hat. Bei den älteren Modellen geht das nicht. Nur dann erscheint mir irgendwie Wo ist sehr eingeschränkt in seiner Vielfalt, denn wo ist der Unterschied zu einer normalen Verschlüsselung(beides hindert einen ins System zu kommen beides ist aber ohne andere Sicherungen über Festplattendienstporgramm zu umgehen)

 

[errorlog]

wo ist der Unterschied zu einer normalen Verschlüsselung

Der T2 Chip geht weit über eine normale (software-) Verschlüsselung hinaus. Der Chip steuert bereits den Rechnerstart und verschlüsselt per Hardware.

Bei einer Software Lösung lassen sich maximal die Daten sichern

 

[Niklas231]

Der T2 Chip geht weit über eine normale (software-) Verschlüsselung hinaus. Der Chip steuert bereits den Rechnerstart und verschlüsselt per Hardware.

Bei einer Software Lösung lassen sich maximal die Daten sichern

Der Unterschied von Wo ist inklusive T2 Chip ist soweit verstanden, da läuft es dann wie beim iPhone. Aber bringt Wo ist wirklich etwas bei älteren Macs ohne T2? So wie ich das verstehe, gibt es kaum Unterschied zur normalen Verschlüsselung. Ok man könnte theoretisch über die Ferne den Mac nachträglich sperren. Aber das geht nur, wenn der Mac komplett ungesichert ist und man einfach als Dieb auf den Mac zugreifen kann(nicht mal ein Benutzerkennwort). Weil sonst kommt man ja nicht ins Internet und nur so funktioniert Wo ist auch. Verstehst du meinen Gedankengang? Daher weiß ich nicht, wie sinnvoll diese App ohne T2 Chip ist.

 

[Marcel Bresink]

Muss mann bei der Installation nicht die Apple ID, bzw. das Passwort eingeben, wenn "Wo ist, bzw. Find My Mac" aktiv ist?

Nein. Je nach Situation muss man das garantiert nur dann, wenn man einen Mac mit T2-Prozessor hat und macOS Catalina installiert ist und man dort die Aktivierungssperre eingeschaltet hat.

Oder kann das umgangen werden, wenn man über das Festplattendienstprogramm die Festplatte löscht (da nicht verschlüsselt)?

Da hört man einen Irrtum heraus. Sobald es möglich ist, ein Fremdbetriebssystem zu booten (d.h. bei älteren Macs falls kein Firmware-Kennwort gesetzt wird und sich die Festplatte noch entnehmen lässt, oder bei Macs mit T2 falls keine Startsperre für externe Datenträger gesetzt ist), dann kann die Festplatte immer gelöscht werden. Ob die Daten vorher verschlüsselt waren oder nicht, ist doch dem Löschen völlig egal.

Bei mir war es so, als ich ein System neu aufsetzen wollte...

Das war möglicherweise etwas ganz anderes. Vor macOS 10.12.4 musste jedes Upgrade von macOS rechtlich über eine Apple-ID lizenziert werden. Bei einer Neuinstallation einer App Store-Version musste diese Apple-ID wieder eingegeben werden, um die Gültigkeit der Lizenz nachzuweisen, quasi als Kaufbestätigung.

Aber bringt Wo ist wirklich etwas bei älteren Macs ohne T2?

Wenn "Wo ist/Finde meinen Mac" auf einem alten Mac ohne T2 eingeschaltet ist, kann der Mac aus der Ferne gesperrt oder gelöscht werden, sobald dieser sich mit dem Internet verbindet.

So wie ich das verstehe, gibt es kaum Unterschied zur normalen Verschlüsselung.

Von der Verschlüsselung ist diese Maßnahme doch komplett unabhängig. Die Verschlüsselung bewirkt, dass man die Daten dieses Macs nicht ohne Weiteres auslesen kann. In vielen Fällen dürften die Daten hundertmal wertvoller als der Mac selbst sein.

Aber das geht nur, wenn der Mac komplett ungesichert ist [...] Weil sonst kommt man ja nicht ins Internet

Das stimmt so nicht. Ein geklauter Mobil-Mac dürfte sich in den meisten Fällen im Ruhezustand befinden und verbindet sich beim ersten Aufklappen sofort mit dem Internet (falls vorhanden). Startet der Dieb den Mac von einem Wiederherstellungssystem, passiert das Gleiche.

 

[Butterfinger]

Da hört man einen Irrtum heraus

Wieso Irrtum? Wenn die Firmware durch ein Passwort geschützt ist (damit meinte ich die Verschlüsselung), dann kann man nicht mehr ins Festplattendienstprogramm booten und die Festplatte nicht löschen, bzw. das System neu aufsetzten.

Das stimmt so nicht. Ein geklauter Mobil-Mac dürfte sich in den meisten Fällen im Ruhezustand befinden und verbindet sich beim ersten Aufklappen sofort mit dem Internet (falls vorhanden). Startet der Dieb den Mac von einem Wiederherstellungssystem, passiert das Gleiche.

Die Voraussetzung ist aber schon ein offenes WLAN, oder? Und verbindet sich der Mac einfach so mit einem WLAN, ohne vorher zu fragen? Wäre mir neu, also das Ungefragte.
Wenn ich jetzt vom Stick starte (so installiere ich immer meine Systeme neu), dann kann ist der Mac doch an sich für den Geschädigten verloren (falls kein Firmware PW vorhanden...so wie bei wahrscheinlich 99% der Apple User). Oder telefoniert der T2 Chip Heim, solange das Gerät in meiner Geräteliste vorhanden ist (wahrscheinlich eher nicht, aufgrund der Datenschutzbestimmungen, sonst könnte man ja nach einem Verkauf, den Käufer stalken)?