FileVault · Argon Analytik

Was FileVault auf Macs schützt, warum Recovery Keys wichtig sind und wie Verschlüsselung sauber in den Betrieb gehört.

FileVault ist die Festplattenverschlüsselung von macOS. Sie schützt Daten auf dem Mac, wenn das Gerät verloren geht, gestohlen wird oder ein Datenträger ausgebaut wird. Ohne Entsperrung bleiben die gespeicherten Inhalte unlesbar.

Für Unternehmen ist FileVault keine Spezialfunktion, sondern Grundschutz. Ein Mac kann klein, mobil und teuer sein. Noch wichtiger sind aber oft die Daten darauf: Kundendokumente, E-Mails, Zugangsdaten, Projektdateien oder lokal synchronisierte Cloud-Ordner.

Was FileVault schützt

FileVault verschlüsselt das Startvolume. Wer den Mac nicht entsperren kann, kommt nicht einfach an die lokalen Daten. Das ist besonders wichtig bei mobilen Geräten, Aussendienst, Homeoffice und allen Macs, auf denen geschäftliche Daten liegen.

FileVault ersetzt aber kein Backup. Wenn Daten gelöscht, beschädigt oder durch einen Fehler überschrieben werden, hilft Verschlüsselung nicht bei der Wiederherstellung. FileVault schützt Vertraulichkeit, Backup schützt Verfügbarkeit.

Recovery Key

Der Recovery Key ist der Notausgang. Wenn eine berechtigte Person den Mac nicht mehr entsperren kann, braucht der Betrieb einen dokumentierten Wiederherstellungsweg.

Genau hier entstehen viele Probleme. FileVault wird zwar aktiviert, aber niemand weiss später, wo der Recovery Key liegt. Oder der Schlüssel liegt unsicher in einer Notiz, auf die zu viele Personen Zugriff haben. Beides ist schlecht.

In einem sauberen Setup wird der Recovery Key kontrolliert verwaltet. Bei Firmengeräten gehört das in die Geräteverwaltung, also ins MDM, oder in einen klar geregelten sicheren Prozess. Wichtig ist, dass Zugriff und Verantwortung dokumentiert sind.

FileVault und MDM

Mit MDM lässt sich FileVault standardisieren. Das MDM kann Vorgaben setzen, Schlüssel verwalten und den Zustand prüfen. Dadurch wird FileVault nicht von jeder Person einzeln eingerichtet, sondern als Teil des Apple-Workplace-Standards behandelt.

Sinnvoll ist ein Ablauf wie dieser:

FileVault ist auf Firmengeräten Pflicht.
Der Recovery Key wird zentral und sicher hinterlegt.
Support weiss, wie eine Wiederherstellung abläuft.
Austritte und Gerätewechsel sind dokumentiert.
Backup und FileVault werden getrennt geprüft.

Typische Fehler

Der häufigste Fehler ist eine halbe Einführung: FileVault ist irgendwo aktiv, aber nicht kontrolliert. Das sieht besser aus, als es ist. Im Ernstfall fehlt dann der Schlüssel oder niemand weiss, wer ihn verwenden darf.

Ein zweiter Fehler ist falsche Sicherheit. FileVault schützt ein ausgeschaltetes oder gesperrtes Gerät. Es schützt nicht vor jeder laufenden Schadsoftware, vor geteilten Passwörtern oder vor falschen Zugriffsrechten in Cloud-Diensten.

Wann FileVault besonders wichtig ist

FileVault sollte bei Firmengeräten grundsätzlich Standard sein. Besonders wichtig ist es bei Macs, die unterwegs sind, sensible Kundendaten enthalten, von mehreren Personen genutzt werden oder mit lokalen Synchronisationsordnern arbeiten.

Merksatz

FileVault schützt Daten auf verlorenen Geräten. Der Recovery Key entscheidet, ob der Schutz im Betrieb beherrschbar bleibt.