Die Vorstellung ist unschön: Auf einem Apple-Gerät tauchen nach einem Update des Betriebssystems plötzlich die eigenen Daten wieder auf – nachdem man es an Freunde, Familienmitglieder oder Unbekannte weitergegeben hat. Im Zusammenhang mit iOS 17.5 wurden vereinzelt solche Berichte geteilt. Howard Oakley geht in einer Analyse der Datenverwaltung mit APFS und Secure Enclave auf dem Grund und gibt eine Einschätzung, ob dies am Mac möglich wäre, wenn der dafür vorgesehenen Dialog "Alle Einstellungen und Inhalte löschen" genutzt wird.


Dafür zeigt er die Struktur der Betriebssystem-Volumes nach, die bei Apple-Silicon-Macs sowie Intel-Macs mit T2-Chip vorgesehen ist. In einem APFS-Container versammeln sich Preboot-, Recovery- sowie VM-Volumes, die im Normalbetrieb ungenutzt bleiben. Das Systemvolume selbst erscheint nicht als übliches Volume, sondern wird als schreibgeschützter Schnappschuss geladen. Alle Nutzer- und Anwenderdaten befinden sich auf dem "Data"-Volume. Alle Daten darauf sind mit einem Volume Encryption Key (VEK) verschlüsselt, erklärt Oakley. Dieser Schlüssel residiert in der Secure Enclave, die räumlich und logisch von den anderen Prozessorkernen getrennt bleibt. Alle Daten, die vom Daten-Volume gelesen oder auf dies geschrieben werden, passieren die Secure Enclave, denn nur darin geschieht die Ver- und Entschlüsselung.

Auch ohne FileVault sicher
Dieser Mechanismus ist unabhängig davon, ob Anwender FileVault aktiviert haben. Wer die in macOS angebotene optionale Verschlüsselung aktiviert, fügt der Verschlüsselung lediglich mit dem Key Encryption Key (KEK) einen weiteren Faktor hinzu, der die Laufwerksentschlüsselung zusätzlich absichert: erst wenn der Anwender das Nutzerkennwort eingibt, wird der VEK selbst entschlüsselt und steht für Ver- sowie Entschlüsselungen von Anwenderdaten bereit. Dazu kommen noch weitere Faktoren, nämlich die einzigartige Hardware-ID und xART (zur Verteidigung gegen kompromittierte Speicherzugriffe).

Sicheres Löschen verwirft die Schlüssel
Wenn nun ein Anwender unter macOS die Funktion "Alle Daten und Einstellungen" löscht, werden die Informationen in der Secure Enclave gelöscht. Das macht Informationen auf dem Flash-Speicher zu unbrauchbarem Zeichensalat – nichts davon ist ohne den VEK zu Dokumenten oder Bildern rekonstruierbar. Oakley erklärt dies am Beispiel von macOS. Dies lässt sich aber auf iOS übertragen, schließlich hat Apple die entsprechenden Technologien zuerst auf der Mobilplattform eingeführt: Eine Secure Enclave ist beim iPhone beispielsweise seit Einführung des Touch-ID-Sensors Teil der Architektur. Damit die Löschfunktion von macOS angeboten wird, ist ein T2-Chip oder Apple Silicon notwendig – ältere Macs müssen eigenhändig FileVault aktivieren und das Volume im Festplattendienstprogramm zurücksetzen.

Abmelden bei Apple-ID reicht nicht
Darum ist es so wichtig, den vorgesehenen Dialog unter "Einstellungen/Allgemein/[Gerät] übertragen/zurücksetzen" zu nutzen. Dieses Werkzeug übernimmt das Abmelden bei iCloud, Apple Music und im Apple Store, um dann die VEKs für alle Daten-Volumes zu löschen. Dann kann nicht einmal eine fehlerhafte Foto-Importroutine Bilder wiederherstellen, denn die Daten lassen sich nicht finden. Zum Schluss scheltet Oakley noch die IT-Blogs, die einen einzelnen Bericht von wiederhergestellten Bildern trotz zurückgesetztem Gerät ungeprüft übernommen haben – der ursprüngliche Reddit-Beitrag ist mittlerweile gelöscht.