Gibt es eine Möglichkeit einen Ordner zu verschlüsseln, ohne diesen "Dreh" mit dem leeren Image über das Festplattendienstprogramm? Dachte Filefault (man beachte den Teil File im Namen) würde sowas bieten, aber so wie ich es sehe, ist Filefault nur für ganze Platten möglich. Klar, ein Workaround mit einer Extra-Partition ist logisch, mir wäre aber ein Szenario am liebsten, bei dem das Klicken auf einen geschützten Ordner eine Passwortabfrage auslöst. Fremdsoftware würde ich gerne meiden, in Hinsicht auf längere Zukunftsaussichten.

Ach so, mein System ist aktuell Mojave. Vielleicht geht sowas ja mit einem neuerem OS.

Danke für Tipps

tMan beachte außerdem das "fault" im Namen, was ja Fehler heißt.

Vielleicht hat Apple das deshalb FileVault genannt. Was Gewölbe, Tresor für Dateien bedeutet.

Und mir zumindest ist keine Möglichkeit zum Ordnerverschlüsseln ohne Drittanbieterprogramme bekannt. Images und FileVault sichern meiner Meinung nach eigentlich auch genug ab.

Guten Morgen, Du kannst Ordner mit BoxCrypter problemlos verschlüsseln. Es klappt mit Ordnern in der Cloud, Netzwerk oder lokal.

Nicht wirklich. Das Programm arbeitet eigentlich auch mit dem "verschlüsseltes Image"-Ansatz, nur ohne dass man das direkt sieht.

Nein, denn das ergibt technisch keinen Sinn.

Ganz kurz erklärt: Du kannst jeden Ordner bereits mit Berechtigungen schützen. Administratoren können diese Berechtigungen durch Kennworteingabe umgehen. Theoretisch könnte aber auch jeder andere diese Berechtigungen umgehen, indem er den Datenträger physisch an einen anderen Computer mit anderen Benutzer-Accounts anschließt. Der Schutz dagegen wiederum ist eine Vollverschlüsselung des ganzen Datenträgers und genau das macht FileVault.

Danke für die Hinweise. Das mit den Berechtigungen ist mir auch durch den Kopf gegangen, da ist mir aber eingefallen wie einfach dies zu umgehen ist.

Schade, dass eine "einfache" ordnerbasierte Verschlüsselung nicht geht. Ist dies den ein technisches Problem oder eher ein gerade nicht benötigtes Feature und wird darum nicht durch Apple nicht umgesetzt?

Soweit meine Unkenntnis reicht, kann ja ein Laufwerk in einem Ordner eingehangen werden. Filevault müsste dann ja "nur" diesen Ordner als Laufwerk behandeln. Oder ist genau dieser Gedanke das Prinzip von diesem Image basierten Prinzip?

Anyway, dank euch für die Hilfe, die Kenntnisse und Tipps.

Ich hatte doch erklärt, dass das ein ziemlich sinnloses Feature wäre.

Ja.

Die Erklärung habe ich aber nicht verstanden. Was wäre an einem verschlüsselten ZIP-Archiv, das eine Lösung für die gestellte Aufgabe wäre, sinnlos?

Als ob ausgerechnet Apple Garant für Beständigkeit wäre.

Es gibt hier immer wieder Stimmen von Nutzern, die Apple-Software gezielt vermeiden wegen längerer Zukunftsaussichten.

Und sowas wie verschlüsselte ZIP-Archive sind Unix-Technologie, auf die vielleicht eine nette GUI gepappt wird. Das ist das Beständigste überhaupt in der IT-Welt.

Man kann Ordner nicht verschlüsseln.
Ordner sind eine virtuelle Struktur, die dir in einer Scheinwelt erleichtern, Dateien zu organisieren.
Ob du nun ein Tool verwendest oder dir vorgaukeln lässt, der Ordner wäre verschlüsselt ist erst mal egal.
Es ändert sich lediglich der Komfort, die Transparenz, mit der das Ganze aus Benutzersicht geschieht.

Die von Weia genannte Idee mit der ZIP Verschlüsselung hätte ich auch in den Raum gestellt.

Woher kommt dein Abneigung gegenüber dem Festplatten-Dienstprogramm, mit den ggf. verschlüsselten Image-Dateien, die es erzeugen kann.?
Einmal anlegen und bei Bedarf mounten.

Und um in der virtuellen Welt zu bleiben.
Du kannst dir auch einen Alias auf das Image anlegen, der wie ein Ordner wirkt.

Zentrale Frage
Was willst du schützen?
Weshalb?
Vor wem?

Du kannst Concealer von belightsoft verwenden. Das macht sowas was du dir vorstellst. Ich benutze das auch. Es ist sicher und man kann auch nicht durch ausbauen der Festplatte in ein anderes System die Daten lesbar /sichtbar machen. Die verschlüsselten Archive sind nämlich nicht sichtbar nach verriegelung auf deinem Computer. Also wer nicht weiss das sie exisieren, weiss auch nichts davon und findet demzufolge auch nichts. Vielleicht hilft dir das weiter.

Das ist Unsinn. Genauso könntest Du sagen, Dateien sind eine virtuelle Struktur, die dir in einer Scheinwelt erleichtern, Bits zu organisieren.

Alle Software ist virtuell. Es kommt nur darauf an, wie intuitiv und handhabbar sie sich dem Nutzer darstellt.
Was heißt „lediglich“? Nur darum geht es. Die Verschlüsselung von Bitstrukturen als solche ist doch Standard.

Und da ist die Variante mit den DMGs einfach ein monströses Provisorium. Ich will einen Ordner verschlüsseln, soll dazu aber eine virtuelle Festplatte kreieren und mounten, auf die ich den fraglichen Order verschiebe? Geht’s noch mehr mit der Kirche ums Dorf?

ZIP-Archive zu verschlüsseln ist eine Standardfunktion auf Unix-Ebene, für die es nur keine GUI in macOS gibt. Es gibt x GUIs dafür im App Store, aber ich habe auf die Schnelle (mehr Zeit habe ich gerade nicht) keine gefunden, die die naheliegende Metapher nutzt, das verschlüsselte ZIP-Archiv eines Ordners im Finder nicht mit dem ZIP-Icon, sondern einem Verschlüsselter Ordner-Icon darzustellen.

PS: Wie wär’s z.B. mit Keka?

Also ich kann Keka empfehlen, einfaches Tool, das in unterschiedliche Arten verschlüsselt, schnell und unkompliziert.

https://www.keka.io/en/

Und nebenbei: Zukunftssicher, da auf GitHub gehostete Open Source Software.

Dann sind es hoffentlich keine Daten, auf die mal jemand anders nach einem Unfall oder Tod zugreifen muß (okay, ich bin da etwas paranoid).
Und das Konzept "Sicherheit durch Verstecken" hilft auch nur, wenn die Daten trotzdem irgendwie verschlüsselt sind oder durch einen Mechanismus unsichtbar gemacht werden, der geheim ist.

Ich hadere mit Deinem "sinnlos". Kann sein, dass so ein Feature technisch nicht implementierbar ist. Aber als Anwender würde ich mich freuen, wenn ich im Finder in der Symbolleiste ein Button finden würde, um den gerade selektierten Ordner mit einem Kennwort zu versehen. Und dann dieser Ordner auch wirklich verschlüsselt wird und nicht nur per Rechtevergabe geschützt ist.

Dank Dir dennoch sehr für die Mühe mir zu Antworten. Sowas schätze ich sehr.

Das guck ich mir mal an. Danke

Das sollte Apple so langsam mal in den Finder einbauen können,ob das Unix Darvin Unterbau und den Zugriffsrechten her geht kann ich nicht sagen.

- Dateien, die nur mir sichtbar sein sollen. Erben würden bei Bedarf das Kennwort erfahren.

- Die Bandbreite ist groß und sicher nicht nur bei mir. Hier mal ein gebasteltes Szenario: von Finanzdaten bis Schmuddelkram, von Fremdgehemails bis geheime Überraschungspartypläne für seine Frau. Alles denkbar. Ich stell mir eine Situation vor, bei der sich ein Paar mit Kindern ein Familien-Macbook teilen. Wenn da ein Kind kurz googelt, wird es schnell herausfinden, wie er den normalen Userschutz aushebelt.

Viel Fantasie benötigt man nicht, um noch tausende weitere Szenarien zu basteln.

- Vor allen außer mir und denen, denen ich es erlaube.

Ich sag ja, ich bin da paranoid, aber wenn ich da gerade noch ein Passwort röcheln kann auf dem Sterbebett... ich würde zumindest im letzten Willen klarmachen, daß das unsichtbare Dateien liegen. Also wenn es Zeugs ist, das vererbt werden soll. Und das PW irgendwo versteckt hinterlegen.
Und es geht ja, je nachdem um welche Daten es geht, nicht nur um den Tod. Schlaganfall, schwere Erkrankung, Entführung, Demenz, eine Kopfverletzung mit Gedächtnisverlust ... und irgendwer müsste das Geschäft übernehmen, Akten einsehen oder sonst was.
Manche erinnern sich vielleicht an den Fall, wo jemand Millionen an Bitcoin-Werten verwaltete und dann starb, ohne daß jemand das Passwort wusste. Der hatte nicht mal mehr die Chance, wen anzuröcheln.
Dafür lag das Wallet irgendwo, wo man nur eine beschränkte Anzahl an Zugriffsversuchen hat...
Geld ist futsch (und anscheinend nicht mal so, daß jemand anders das Vergnügen hätte).
Es ist halt ein Unterschied, ob es um irgendwelche Zugangskennwörter zu Foren oder Clouds geht oder um effektiv verschlüsselte Dateien.
Ich will keine Panik verbreiten (von der ich mich am Ende selbst anstecken lassen würde), nur darauf hinweisen, daß man sich halt Gedanken machen sollte beim Verschlüsseln und warum man den Zugang verhindern will und welche "Hintertürchen" man vielleicht einbaut.
Will man Zugriffe von Hackern verhindern, kann man Passwörter auf Papier festhalten, vielleicht versteckt oder im Schließfach. Befürchtet man einen Behördenzugriff mit Hausdurchsuchung, wird's natürlich schwieriger.

Wenn etwas auf der SSD des Mac liegt, betrachte ich das eigentlich schon als verschlüsselt. Bei einem Grenzübertritt in die USA könnte ich aber dazu gezwungen werden, Zugriff zu erteilen. Dann kann die Funktion sinnvoll sein, eine Datei oder eine Partition (im weitesten Sinne als Teil einer Festplatte) zu verstecken. Das geht mit VeraCrypt. Stichwort "glaubhafte Abstreitbarkeit" (Wiki)

Zweites Szenario wäre, dass ich jemandem eine verschlüsselte Datei gebe oder sie auf unterschiedlichen Rechnern, z.B. Windows, nutzen möchte. Das geht auch mit VeraCrypt. Das Programm passt auch auf einen USB-Stick.

Drittes Szenario wäre die Verschlüsselung in der Cloud, weil diese nicht verschlüsselt ist. Das ließe sich mit Cryptomator machen samt Finder-Integration. Ein Abo für eine Verschlüsselungssoftware wie das ähnliche Boxcryptor würde mir widerstreben, da ich auch ohne Geld und Abo zugreifen können muss.

Die verschlüsselten Image-Datei finde ich umständlich anzulegen. Aber die Nutzung ist doch ganz praktisch. Und mit einem "." zu Beginn des Dateinamens auch nicht offensichtlich für jeden erkennbar vorhanden.

Das ist problemlos möglich und wäre in wenigen Stunden Arbeit geschehen; den Löwenanteil der Arbeit hätte der Grafiker, der ein Verschlossener Order-Icon erstellen müsste.

Das eigentliche Unix-Programm – zip – ist seit eh und je Bestandteil von macOS und kann auf der Kommandozeile problemlos ein von einem Ordner erstelltes Zip-Archiv verschlüsseln. Ich nutze das regelmäßig. Es gibt nur eben keine in den Finder integrierte GUI dafür.

Für Cryptomator benötigt man übrigens keine Cloud. Einfach ein lokaler, verschlüsselter Ordner (der Wahrnehmung nach). Zum Entschlüsseln braucht man halt wieder ein installiertes Cryptomator.

Der Komfort mit den verschlüsselten Images lässt sich in einigen Anwendungsfällen etwas verbessern:

Man kann ausserhalb des Images Aliase auf Dateien und Ordner im Image anlegen.
Wenn man auf so ein Alias klickt, wird automatisch das Image gemounted (mit Passwortabfrage, falls das nicht in der keychain gespeichert wurde) und die Datei / der Ordner geöffnet.

Früher konnte man diese Aliase auch ins Dock legen. Das hat apple aber leider kaputt gemacht (also reinlegen kann man sie, aber sie mounten von dort das Image nicht mehr).

Genau solche "Lösungen" hat der Fragesteller von Anfang an ausgeschlossen.

Außerdem wurde ausdrücklich nur das Konstrukt "verschlüsselter Ordner" als sinnlos bezeichnet. Nochmal: einen Ordner kann man bereits mit Berechtigungen ausreichend schützen. Nur in Fällen, bei denen ein physischer Angriff auf den gesamten Datenträger möglich ist, schützt das nicht. Und da löst eine Komplettverschlüsselung des Datenträgers das Problem.

Das Argument zieht nicht. Beim DMG gibt es einen Mehraufwand beim Erstellen, beim ZIP-Archiv gibt es dagegen den ähnlichen Mehraufwand beim Lesen. Bei konventionellen ZIP-Programmen wird das gesamte Archiv entpackt und entschlüsselte Kopien aller Dateien angelegt, selbst wenn nur eine geöffnet werden soll. (Natürlich könnte man das vereinfachen, aber darum geht es bei der Fragestellung nicht.)

Ich hatte doch genau das Gegenteil gesagt: Natürlich könnte man so etwas implementieren. Aber bei genauerem Nachdenken stellt man fest, dass man das eigentlich gar nicht haben will.

Bei aktuellen Macs ist der gesamte Flash-Speicher immer verschlüsselt. Auch deshalb ist das Vorhaben sinnlos.
In neueren Versionen von macOS kann dazu jede einzelne Datei noch einmal "doppelt" verschlüsselt werden. Das liegt allerdings im Moment im Ermessen der jeweiligen Anwenderprogramme und ist keine für den Benutzer sichtbare Funktion.

Aha, und wie geht das bei einem aktuellen Mac mit aktuellem macOS?

Selbstverständlich sind die Daten verschlüsselt und mit Passwort gesichert udn zusätzlich versteckt, sogar 256 aes. Man darf nur sein Passwort nicht vergessen. Aber genau das will ja der TE. Passwort eingeben was nur er kennt und schon kann er drauf zugreifen, fertig. Und andere eben nicht. Aber egal, jedem das seine, ich benutze es und es funktioniert.

Hat er? Ich wüsste nicht, wo.
Ja, und genau da kann ich diese Bezeichnung nicht nachvollziehen.
In vielen Fällen sind Zugriffsrechte nicht das Mittel der Wahl und eine insgesamt verschlüsselte Festplatte ebensowenig. Beispiel: Ich lasse in meiner Wohnung meinen Rechner für einen Augenblick unbeaufsichtigt laufen und schwupp hat jemand Einsicht in Dinge, wo ich das nicht wollte. Oder ich sitze zusammen mit Freund oder Familienmitglied vor dem Rechner, um etwas zu zeigen, und dessen Blick fällt auf den Ordner xy mit Frage, was da denn drin sei, und er klickt rasch drauf. Und und und … Es gibt x Situationen, wo es sinnvoll ist, ganz spezifisch einen Ordner zu schützen, auch wenn man im Nutzerkonto angemeldet ist.
„nur“ ist gut. Außerdem gibt es gute Gründe gegen eine Komplettverschlüsselung einer Festplatte wegen ein paar Megabyte vertraulicher Daten; Kanonen und Spatzen und so.
Bei DMGs wird auch das gesamte DMG entschlüsselt. Außerdem geht es bei vertraulichen Daten meist um geringe Datenmengen, wenn nicht gerade die eigene Pornovideosammlung geschützt werden soll. Da ist der Aufwand des Entpackens doch schnurz, wichtig ist die simple Metapher für die Handhabung. Und da gäbe es nichts Simpleres als einen Ordner mit Schloss, der auf Doppelklick und Passworteingabe hin zum Ordner ohne Schloss wird.
Du. Nicht man. Ich zum Beispiel will genau das; mit einer Verschlüsselung der gesamten Festplatte wäre mir in keiner Weise geholfen, das wäre nur eine Sollbruchstelle mehr.

Da bei aktueller Hardware sowieso verschlüsselt wird, fällt mir kein einziger guter Grund ein meine SSD nicht mit meinem eigenen Schlüssel zu verschlüsseln. Von gefühlten Gründen "Kanonen und Spatzen" mal abgesehen, kannst Du ja mal die von Dir erwähnten guten Gründe mitteilen, mir fallen keine ein.

Ein Grund dafür:
Bei einem meiner Bekannten wurde eingebrochen. Der iMac ist weg, Daten komplett unverschlüsselt …

Die habe ich doch gerade eben geschildert:

Ein Schutz besonders vertraulicher Daten auch dann, wenn ich in meinem Nutzerkonto angemeldet bin. Das ist für mich der im Alltag wichtigste Schutz, denn ich bin bis auf die Schlafenszeit (und wenn ich gerade Videos rendere, auch dann nicht) praktisch immer an meinem Mac angemeldet und ich jedenfalls bin niemand, der paranoid drauf achten würde, dass keine anderen, ihm vertrauten Menschen in die Nähe meines Macs mit angemeldetem Nutzerkonto geraten. Der Schutz meiner Daten, wenn ich abgemeldet bin, ist mir also vergleichsweise schnurz; wichtig ist mir der Schutz, wenn ich angemeldet bin.

Ich halte das mit Selbstverständlichkeit auch bei der Schlüsselbundverwaltung so: Harmlose bzw. vom System benötigte Daten wie z.B. mein Login bei MacTechNews oder meine von Mail abgerufenen Mailkonten liege im Schlüsselbund Anmeldung, der bei der Anmeldung im Nutzerkonto automatisch geöffnet wird.

Aber kritische Daten wie z.B. die fürs Online-Banking benötigten liegen in einem eigenen Schlüsselbund, z.B. Bank, der auch ein anderes Passwort besitzt. Wenn ich mich dann auf der Login-Seite einer Bank befinde, setzt Safari die Anmeldedaten zwar nach wie vor automatisch ein, aber nur, nachdem ich explizit das Passwort für den Schlüsselbund Bank eingegeben habe, der sich dann nach 30 Minuten auch wieder von selbst schließt.

Ich halte das für eine völlig normale Sicherheitsstrategie; muss man nicht so machen, aber kann man. Und das von Groeny gewünschte Finder-Feature ist nichts anderes als die geschilderte Schlüsselbundverwaltung-Konfiguration auf den Finder übertragen.
Für Deine Einfallslosigkeit kann ich aber nichts. Meine in den letzten 18 Monaten gekauften SSDs (das würde ich als aktuell gelten lassen) sind allesamt unverschlüsselt.

Das Problem ist dann doch aber das komplett. Wo wäre das Problem, wenn (statt der gesamten Festplatte) nur die vertraulichen Daten verschlüsselt gewesen wären?

Aber ich rede da auch gar nicht dagegen. Wer es machen soll, soll es machen, es gibt in der Tat gute Gründe dafür. Aber eben auch gute dagegen (schonmal Daten von einer defekten verschlüsselten Disk gerettet?). Es ist jedenfalls nicht so, dass eine Verschlüsselung einzelner Daten grundsätzlich sinnlos wäre, weil sowieso alle immer ihre gesamte Festplatte verschlüsseln.

Daran hab ich bei der initialen Frage gedacht. Dort beziehe ich mich noch auf Mojave und alter Hardware.

Aha, und wie geht das bei einem aktuellen Mac mit aktuellem macOS?
[/quote]

Möchtest du eine Lösung für dein Problem oder eine Anleitung wie man das System hackt? Grundlage dafür ist das man lernt richtig zu zitieren

Du, ich versteh sogar nicht, was Du mit meinem Zitat meinst. Und ich habe kein Problem an sich, sondern eine Frage gestellt zur Umgehung vorhandener eher unhandlichen Lösungen und Workarounds. Mit einem Wunsch, das System zu „hacken“ hat meine Threadopener nun mal gar nichts zu tun.

Als APFS angekündigt wurde, hieß es, es könne auf Dateiebene unterschiedliche Schlüssel verwenden. Offenbar ist das bislang nur von Apple nutzbar.

Jein, ich hatte das oben schon als "'doppelte' Verschlüsselung für Dateien" skizziert, die nach Ermessen der jeweiligen Programme gesteuert werden. Das ist keine Funktion, auf die ein Benutzer sichtbar mit selbst vergebenen Schlüsseln zugreifen kann, sondern eine unsichtbare, sozusagen betriebssystemimplizite Funktion, die sich automatisch am gegenwärtigen Sicherheitszustand und Anmeldezustand des Computers orientiert.

Diese Funktion setzt außerdem das Vorhandensein einer Sicheren Enklave per Hardware voraus. Auf iPhones und iPads ist das standardmäßig eingeschaltet. Auf Macs geht das im Moment noch nicht, da macOS immer noch Geräte ohne diese Hardware unterstützen muss. Erst wenn Apple den Support für den Gerätetyp "Intel-Macs ohne T2-Sicherheitsprozessor" offiziell einstellt, kann eine Version von macOS veröffentlicht werden, bei der diese Funktion standardmäßig aktiv ist.