Kommt der eigene Mac abhanden, kombiniert sich der Schmerz über den materiellen Verlust mit einer Sorge um die darauf abgelegten persönlichen Dateien. Von Kontodaten über sensible Firmeninformationen bis hin zu peinlichen Aufnahmen versammelt der Mac-Speicher vielseitiges kompromittierendes Material – in falschen Händen kann all dies maximal schädlich sein. Mit Mac OS X 10.3 (Panther) führte Apple bereits 2003 eine optionale Verschlüsselung ein, die Mac-Anwendern mehr Sicherheit verschaffen sollte. Der Programmierer und Blogger Howard Oakley zeichnet in einem Beitrag die Entwicklungsgeschichte der Mac-Datenverschlüsselung nach.


In den ersten Jahren verschlüsselte Mac OS X lediglich individuelle Benutzerordner. Dafür wurden sämtliche Daten aus /Users/[benutzername] in ein verschlüsseltes virtuelles Laufwerk bewegt. Anfangs nutzte das System dafür mitwachsende Images (Sparse Disk Images), um bei Mac OS X 10.5 (Leopard) auf mitwachsende Bundle-Images (Sparse Disk Bundles) umzusteigen. Die gleichzeitig eingeführte Time Machine zeigte sich anfangs nur bedingt kompatibel mit der Verschlüsselung, welche sich zudem als lückenhaft herausstellte: Auf dem 23. Chaos Communication Congress wurde gezeigt, wie leicht sich FileVault aushebeln ließ.

Ab 2011: FileVault 2
Mit der zweiten Version von FileVault verschlüsselte Mac OS X 10.7 (Lion) ab 2011 dann komplette Systempartitionen. Die Ver- und Entschlüsselung übernahm weiterhin der Prozessor. Aktivierte man FileVault 2, kostete dies dauerhaft Rechenleistung – Oakley gibt einen Richtwert von 3 Prozent an; bei Verwendung von Festplatten anstatt SSDs auch mehr. Zudem musste man einige Zeit einkalkulieren, bis ein Mac das erstmalige Verschlüsseln der Bestandsdaten erledigt hatte – Stunden, ja Tage konnte dies dauern. Dasselbe stand Anwendern bevor, welche FileVault deaktivieren wollten. Immerhin lief bei FileVault 2 dieser Prozess im Hintergrund.

Ab 2017: Secure Enclave
Auf aktuellen Macs lässt sich FileVault in wenigen Sekunden deaktivieren. Überhaupt wirkt sich FileVault im Betrieb nicht merklich auf die Rechenleistung aus. Der Grund ist recht einfach: Die Daten des System-Volume auf der Mac-SSD sind standardmäßig verschlüsselt. Der Volume Encryption Key (VEK) wird für das Verschlüsseln des Festplatteninhalts verwendet. Aktiviert ein Mac-Administrator zusätzlich FileVault, wird ein neuer VEK angelegt und kryptografisch gesichert – der Key Encryption Key (KEK) entsteht. Beim Deaktivieren wird ein VEK wieder dauerhaft entschlüsselt, der KEK verworfen. Ver- und Entschlüsselung finden prozessorunabhängig in der Secure Enclave statt, entweder im T2-Chip (bei Intel-Macs) oder direkt im Apple-Silicon-SoC. Weiterer Vorteil einer standardmäßigen Verschlüsselung: Ist der Mac mit Apple Account über „Wo ist“ registriert, kann man ihn leicht darüber aus der Ferne binnen Sekunden löschen. In einem solchen Fall entfernt macOS lediglich den Volume Encryption Key und macht damit sämtliche Daten unleserlich.


Voraussetzungen für FileVault
FileVault ist sich auf aktuellen macOS-Systemen leicht aktiviert, die Funktion befindet sich ganz unten in den Einstellungen unter „Datenschutz & Sicherheit“. Ein Support-Artikel beschreibt die Vorgehensweise. Wer seinen Mac per iCloud-Account wiederherstellen lassen will, muss lediglich sein Administrationskennwort eingeben. Alternativ kann man einen Wiederherstellungsschlüssel erstellen, den man speichert oder ausdruckt, um ihn an einem sicheren Ort aufzubewahren. Die erstmalige Verschlüsselung mit einem neuen VEK läuft im Hintergrund und wird von der Secure Enclave übernommen. Auf eine macOS-Komfortfunktion müssen Anwender allerdings verzichten: „Automatisches Anmelden“ (ohne Eingabe des Anwenderpassworts) lässt sich nicht mit einer kryptografischen Sicherung kombinieren. Erst wenn man diese Funktion unter Benutzer & Gruppen auf „Deaktiviert“ gesetzt hat, lässt sich FileVault einschalten.