CCC ist uneingeschränkt geeignet zur Nutzung mit FileVault-verschlüsselten Volumes (HFS+ und APFS, bedenken Sie jedoch, dass Apple das Erzeugen von HFS+ verschlüsselten Volumes unter Big Sur oder neuer nicht mehr unterstützt).
Standard-Backup: Verschlüsselung auf einem Volume aktivieren, auf dem macOS nicht installiert wird
Wenn Sie kein startfähiges Backup erstellen und auch macOS nicht auf Ihrem Backup-Volume installieren möchten, haben Sie zwei Möglichkeiten zur Verschlüsselung Ihres Backups:
- Neues Backup: Löschen und formatieren Sie das Backup-Volume als APFS verschlüsselt im Festplattendienstprogramm.
- Vorhandenes Backup: Rechtsklicken Sie im Finder auf das APFS-formatierte Volume und wählen Sie die Option zum Verschlüsseln des Volumes. (Hinweis: War dieses Backup zuvor Bestandteil eines vollständigen System-Backups, erzeugt der Finder einen Fehler „Interner Fehler“ oder meldet „Diese Festplatte hat macOS Benutzer“. Wenn Sie diese Mitteilung sehen, müssen Sie das Volume stattdessen als APFS-verschlüsselt im Festplattendienstprogramm löschen und neu erstellen).
Startfähige Backups: Verschlüsselung auf einem Volume aktivieren, dass eine macOS-Installation enthält (oder enthalten wird)
Wenn Sie ein startfähiges verschlüsseltes Backup erstellen möchten, gehen Sie wie folgt vor:
- Befolgen Sie die CCC-Dokumentation zum Vorbereiten der Backup-Festplatte auf eine macOS-Sicherung. Wählen Sie APFS als Format aus, aber formatieren Sie das Volume nicht verschlüsselt.
- Erstellen Sie ein Backup Ihres Startvolumes mithilfe von CCC auf dem unverschlüsselten Zielvolume. [Nutzer von Big Sur (oder neuer) verwenden bitte den Assistenten für alte startfähige Backups]
- Halten Sie beim Neustart Ihres Mac die Alt-Taste (Intel-Macs) bzw. die Power-Taste (Apple Silicon Macs) gedrückt und wählen Sie Ihre Backup-Festplatte als Startvolume.
- Aktivieren Sie die FileVault-Verschlüsselung in den Systemeinstellungen unter Sicherheit.
- Sobald die Verschlüsselungsprozedur beginnt, können Sie Ihren Mac neu starten – er startet automatisch in Ihr primäres Startvolume zurück.
- Konfigurieren Sie CCC, sodass auf Ihrem verschlüsselten Backup-Volume regelmäßig Backups gesichert werden.
Sie müssen nicht abwarten, bis die Konversion abgeschlossen wurde, bevor Sie vom tatsächlichen Startvolume aus neu starten
Sie müssen nicht warten, bis dieser Vorgang abgeschlossen ist, bevor Sie Ihre Backup-Festplatte wieder verwenden. Sie können einfach die FileVault-Verschlüsselung aktivieren und dann sofort über Ihr eigentliches Startvolume neu starten. Die Konversion läuft im Hintergrund weiter. Die Verschlüsselung wird fortgesetzt, solange die Backup-Festplatte angeschlossen ist. macOS bietet keine einfache Möglichkeit, den Fortschritt der Konversion anzuzeigen, Sie können jedoch in Terminal den Befehl fdesetup status -device "/Volumes/CCC Backup" -extend eingeben, um ihn aufzurufen. Einige Nutzer haben festgestellt, dass die Konversion nicht fortgesetzt wird, solange sie sich nicht mit einem Administratoraccount anmelden, während der Computer vom Produktions-Startvolume gestartet ist.
Während der Verschlüsselungskonversion muss der Mac mit dem Stromnetz verbunden bleiben
Wir haben einige Berichte von Nutzern mit macOS Catalina erhalten, die darauf hinweisen, dass die Verschlüsselungskonversion dauerhaft angehalten wird, wenn der Computer während dieses Vorgangs vom Stromnetz getrennt wird. Wir konnten dieses Ergebnis auf unseren Computern nicht reproduzieren – normalerweise wird die Verschlüsselungskonversion bei der Trennung vom Stromnetz angehalten, bei erneuter Verbindung jedoch fortgesetzt. Die uns erreichenden Berichte legen jedoch nahe, dass diesem Verhalten ein Problem zugrunde liegt, das womöglich mit macOS Catalina eingeführt wurde. Zur Vermeidung dieses Problems empfehlen wir, den Mac während der Verschlüsselungskonversion durchgehend mit dem Stromnetz verbunden zu halten. Wenn angezeigt wird, dass die Verschlüsselungskonversion pausiert wurde, schließen Sie das System über Nacht an eine Steckdose an.
Und wenn ich nicht möchte, dass meine privaten Daten unverschlüsselt auf dem Ziel liegen?
Durch Aktivierung von FileVault ist das Volume zunächst unverschlüsselt und wird dann über mehrere Stunden hinweg verschlüsselt. Wenn die Verschlüsselung erfolgreich abgeschlossen ist, verbleibt meist keine Spur der unverschlüsselten Daten auf dieser Festplatte. Es gibt jedoch ein paar Einschränkungen. Wenn Ihr Backup-Volume eine SSD ist und Sie Dateien von der SSD löschen, bevor Sie die Verschlüsselung aktivieren, verschiebt die SSD diese noch nicht verschlüsselten Blocks in den inaktiven Bereich (Wear Leveling), und diese Daten könnten von Experten wiederhergestellt werden. Schlägt die Verschlüsselung fehl, sind die Daten eventuell ebenfalls wiederherstellbar. Ist keines dieser Szenarios akzeptabel, empfehlen wir Ihnen, vertrauliche Daten aus dem ersten Backup auszuschließen. Aber nicht den gesamten Benutzerordner – Sie müssen mindestens einen Ordner aus Ihrem Benutzer in das Backup integrieren, damit Sie sich im Backup mit Ihrem Benutzer anmelden können.
Nachdem Sie von diesem Backup-Volume gestartet haben und FileVault aktiviert haben, können Sie mit Ihrem Startvolume neu starten, die ausgeschlossenen Dateien wieder hinzufügen und das Backup erneut durchführen, um auch diese Dateien zu sichern. Sämtlich auf dieses Volume kopierten Daten werden nun direkt und sofort verschlüsselt.
Hinweis für Nutzer von Big Sur (oder neuer): Nutzen Sie nicht den Assistenten für alte startfähige Backups zum Anlegen Ihres Backupplans, da Sie damit keine Inhalte aus einer Kopie des gesamten Volumes ausschließen können. Nach Abschluss des ersten Standard-Backups installieren Sie macOS auf dem Ziel. Aktivieren Sie nach der Installation FileVault und starten Sie Ihren Mac mit Ihrem regulären Startvolume neu. Führen Sie den CCC Backupplan erneut, aber ohne die Ausschlüsse aus.
Zugehörige Artikel
- Häufig gestellte Fragen zum verschlüsseln des Backup-Volumes
- Das Disk Center
- [Apple Knowledgebase] Weitere Informationen zu FileVault
„Ihr Unternehmen, Ihre Schule oder Institution hat einen Wiederherstellungsschlüssel eingerichtet“
Wenn Sie Daten von einem Mac mit zentral verwaltetem FileVault-Wiederherstellungsschlüssel übertragen haben, kann das Vorhandensein dieses Schlüssels die Aktivierung von FileVault verhindern. Sie können diesen Schlüssel im Terminal-Programm entfernen:
sudo rm -f /Library/Keychains/FileVaultMaster.cer /Library/Keychains/FileVaultMaster.keychain
sudo fdesetup removerecovery -institutional
sudo fdesetup changerecovery -personal
Befolgen Sie dann weiter die Anweisungen oben zum Aktivieren von FileVault in den Systemeinstellungen.
Alternativ können Sie /Library/Keychains/FileVaultMaster.cer und /Library/Keychains/FileVaultMaster.keychain Dateien von Ihrem CCC Backupplan ausschließen, um das Kopieren dieser Dateien auf Ihr Backup-Volume zu verhindern.