So retten Sie Daten von einem verschlüsselten Apple APFS-Volume

Apple setzt hohe Maßstäbe beim Schutz von Benutzerdaten und integriert eine Vielzahl von Sicherheitsfunktionen in alle Geräte seines Ökosystems. Den Kern dieses Schutzes bildet die Verschlüsselung, die primäre Verteidigung gegen unbefugten Zugriff und ein wesentlicher Bestandteil des modernen APFS-Dateisystems. Die APFS-Verschlüsselung schützt Informationen äußerst wirksam vor Eindringlingen, kann jedoch auf der anderen Seite für legitime Benutzer eine Herausforderung darstellen. Wenn es auf einem verschlüsselten APFS-Volume zu Datenverlust kommt – sei es aufgrund menschlicher Fehler, eines Stromausfalls oder anderer Probleme – ist eine Datenrettung nur unter bestimmten Bedingungen möglich, die die Entschlüsselung des Speichers erlauben. Glücklicherweise können die von einem verschlüsselten APFS-Volume verlorenen Dateien (egal, ob auf einem internen Laufwerk oder einem externen Gerät) in den meisten Fällen wiederhergestellt werden, wenn das richtige Kennwort oder der richtige Wiederherstellungsschlüssel verfügbar ist und die entsprechende Software verwendet wird. Diese Anleitung zeigt, wie Sie mit verschiedenen Editionen von UFS Explorer den APFS-Speicher sicher entschlüsseln und die verlorenen Daten retten.

Allgemeine Besonderheiten der APFS-Verschlüsselung

Im Gegensatz zu HFS+ verfügt das moderne APFS-Dateisystem von Apple (eingesetzt in macOS 10.13 High Sierra und höher) über native Unterstützung für die Verschlüsselung. Dadurch ist es in der Lage, kritische Benutzerdaten auf Dateisystemebene zu schützen, ohne dass eine zusätzliche Abstraktionsebene durch Core Storage erforderlich ist. Gleichzeitig wird jedes Volume in einem APFS-Container von der Verschlüsselungs-Engine als unabhängige Einheit behandelt und kann daher über eigene Verschlüsselungseinstellungen verfügen.

Benutzer können die APFS-Verschlüsselung für das Startlaufwerk ihres Mac während der ersten Systemeinrichtung aktivieren oder später über die FileVault-Funktion von macOS. Nicht-Systemvolumes können von Anfang an als APFS (verschlüsselt) formatiert oder nachträglich über den Finder verschlüsselt werden. Die APFS-Verschlüsselung ist auch für alle externen digitalen Medien verfügbar, einschließlich externer Laufwerke und USB-Sticks.

Die Verschlüsselung basiert auf dem AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 128 Bit oder 256 Bit. Während der zugrunde liegende Standard auf allen Geräten gleich bleibt, kann die Art und Weise seiner Anwendung je nach den Hardwaremöglichkeiten des Mac erheblich abweichen. Auf manchen Macs erfolgt dies rein über die Software, während auf anderen die Verschlüsselung interner Laufwerke durch Hardwareunterstützung abgesichert ist. In diesem Sinne kann die APFS-Verschlüsselung in softwaregesteuerte und hardwareunterstützte Verschlüsselung eingeteilt werden.

Hardwaregestützte APFS-Verschlüsselung

Neuere Apple-Geräte, die mit dem Apple T2-Sicherheitschip oder Apple Silicon-Prozessoren ausgestattet sind, verwenden hardwaregestützte Verschlüsselung. In diesem Szenario werden die Verschlüsselungs- und Entschlüsselungsprozesse für das interne Laufwerk vom Chip selbst übernommen. Verschlüsselungsschlüssel werden in einem isolierten Teil des Chips gespeichert, der sogenannten Secure Enclave. Erweiterte Sicherheitstechniken ermöglichen macOS die Interaktion mit der Komponente für Entschlüsselungsvorgänge, der direkte Zugriff auf die Rohverschlüsselungsschlüssel ist jedoch vollständig blockiert. Derzeit sind keine Methoden zum Extrahieren oder Übertragen dieser hardwarespezifischen Schlüssel bekannt. Außerhalb der Secure Enclave bleiben sie unzugänglich, auch für Anwendungen zur Datenrettung. Und da die Verschlüsselungsschlüssel direkt an die jeweilige Hardware gebunden sind, kann ein verschlüsseltes internes Laufwerk nicht verschoben und von einem anderen Computer aus darauf zugegriffen werden.

Softwaregesteuerte APFS-Verschlüsselung

Diese Methode funktioniert auf allen externen Apple-Geräten sowie auf älteren Macs, die keine dedizierte Unterstützung für die Hardware-Verschlüsselung haben. Die APFS-Verschlüsselung hängt dann vollständig von den vom Benutzer bereitgestellten Anmeldeinformationen ab und kann auf Folgendem basieren:

• Benutzerkennwort – die primäre Methode zum Entsperren des verschlüsselten Volumes. Der Benutzer legt dieses Kennwort beim Aktivieren der Verschlüsselung fest und gibt es jedes Mal ein, wenn er sich beim Mac-Benutzerkonto anmeldet oder auf ein verschlüsseltes externes Gerät zugreift.

• Wiederherstellungsschlüssel – eine Zeichenfolge aus 24 alphanumerischen Zeichen, die von macOS automatisch als Backup für den Zugriff auf das verschlüsselte Startlaufwerk generiert wird, wenn das Benutzerkennwort nicht verfügbar ist.

• iCloud-Konto – das Benutzerkonto, das mit dem jeweiligen Mac verknüpft ist und die Informationen zum Wiederherstellungsschlüssel sicher speichert, wobei der eigentliche Schlüssel dem Benutzer nie angezeigt wird. Diese Option kann beim Verschlüsseln des Mac-Systemlaufwerks ausgewählt werden. Durch die Anmeldung beim iCloud-Konto wird dann der verschlüsselte Speicher entsperrt, ähnlich wie bei einem Wiederherstellungsschlüssel.

• Institutioneller Wiederherstellungsschlüssel – ein spezieller Wiederherstellungsschlüssel, der nur in Organisationsumgebungen verwendet wird. Er wird vor der Aktivierung der Verschlüsselung auf dem Gerät erstellt und ermöglicht dem Administrator den Zugriff darauf, ohne über das persönliche Kennwort oder den Wiederherstellungsschlüssel des Benutzers zu verfügen.

Daher kann ein APFS-Volume mit einem gültigen Benutzerkennwort oder einem der Wiederherstellungsschlüssel entschlüsselt werden, ohne dass zusätzliche Hardware erforderlich ist. Die zur Entschlüsselung notwendigen Details werden jedoch als Geheimtext in den APFS-Metadaten gespeichert. Werden kritische Bereiche des Speichers aufgrund von logischen oder physischen Defekte beschädigt, ist es möglicherweise nicht mehr möglich, eingegebene Anmeldeinformationen zu überprüfen und die Daten wieder lesbar zu machen, selbst wenn das Kennwort oder der Wiederherstellungsschlüssel korrekt ist.

Der einfachste Weg, den Speicher zu entschlüsseln, besteht darin, das Kennwort des Benutzers einzugeben, wenn Sie von UFS Explorer dazu aufgefordert werden. Wenn das Kennwort fehlt, ist die einzige Alternative, den Wiederherstellungsschlüssel zu finden, sofern dieser während der ersten Einrichtung der Verschlüsselung auf dem internen Startlaufwerk des Mac erstellt wurde. Je nach Präferenz können Benutzer Folgendes wählen:

• Den Schlüssel zu kopieren und in einem sicheren Dokument, einem Passwort-Manager, einer Cloud oder auf einem anderen Datenträger zu speichern.

• Den Schlüssel auszudrucken und als physisches Dokument aufzubewahren.

Wenn sowohl das Kennwort als auch der Wiederherstellungsschlüssel verloren gegangen sind und keine Backups vorhanden sind, ist die Entschlüsselung der Daten nicht mehr möglich. Dies führt dazu, dass das verschlüsselte APFS-Volume dauerhaft unzugänglich wird.

Verschlüsselte APFS-Wiederherstellung mithilfe eines Kennworts oder Wiederherstellungsschlüssels

UFS Explorer dient als zuverlässige Lösung zur Datenwiederherstellung auf APFS-Volumes, die durch softwareverwaltete Verschlüsselung geschützt sind. Das Produkt ist in vier verschiedenen Editionen erhältlich – Standard, RAID, Network RAID and Professional – die alle die APFS-Verschlüsselungstechnologie unterstützen. Die Programme sind insofern flexibel, als sie die Entschlüsselung des Speichers mithilfe einer der beiden Methoden von APFS ermöglichen: einem Kennwort oder einem Wiederherstellungsschlüssel.

Während der grundsätzliche Prozess der Entschlüsselung und Datenrettung bei allen Editionen und Entschlüsselungsmethoden gleich bleibt, können bestimmte Schritte je nach der von Ihnen verwendeten Edition der Software leicht variieren.

In UFS Explorer der Editionen Standard, RAID oder Network RAID

1. Schließen Sie Ihr von Apple APFS gesperrtes Gerät an den Computer an.

Verbinden Sie die verschlüsselte tragbare Festplatte mit Ihrem Mac. Im Falle eines internen Speichers müssen Sie ihn vom Computer entfernen und mit einem anderen PC als sekundäres Laufwerk verwenden oder Ihren Mac mithilfe von UFS Explorer Backup and Emergency Recovery CD in einer sicheren Umgebung starten. Man kann auch auf demselben Mac arbeiten, aber dieser Ansatz erfordert das Deaktivieren des Systemintegritätsschutzes, wie in Entsperren des Zugriffs auf macOS-Laufwerke beschrieben. Letztere Option ist jedoch aufgrund der hohen Wahrscheinlichkeit, dass die Daten überschrieben werden, nicht ratsam.

Hinweis: Verlassen Sie sich bitte auf die Anweisungen, um die Festplatte an das Motherboard anzuschließen oder das Laufwerk extern über einen USB-zu-SATA-Adapter zu verbinden.

2. Installieren und führen Sie UFS Explorer Standard Recovery, UFS Explorer RAID Recovery oder UFS Explorer Network RAID aus.

Öffnen Sie die Software mit erhöhten Rechten, indem Sie den richtigen Benutzernamen und das richtige Passwort eingeben. Das Programm listet alle verbundenen Laufwerke im linken Bereich auf. Die logischen Volumes jedes physischen Geräts werden darunter angezeigt.

Hinweis: Wenn Sie Probleme mit der Installation des Programms haben, lesen Sie bitte die Installationsanleitung für die verwendete Edition von UFS Explorer.

3. Finden Sie das erforderliche verschlüsselte APFS-Volume unter den angezeigten Speichern.

Untersuchen Sie die Liste auf das Vorhandensein einer APFS-Partition, die mit einem gelben Vorhängeschloss-Symbol gekennzeichnet ist.

Hinweis: Wenn Sie mehr darüber erfahren möchten, wie verschiedene Laufwerke und Volumes in der Oberfläche von UFS Explorer gekennzeichnet werden, lesen Sie bitte den Artikel Identifizierung verschiedener Speicher und Technologien.

4. Entschlüsseln Sie den Speicher in der Anwendung, um seinen Inhalt zu entsperren.

Obwohl das Dateisystem als zugänglich gekennzeichnet sein kann, können keine gültigen Daten davon abgerufen werden, bis es entschlüsselt ist. Öffnen Sie dazu das Kontextmenü des Volumes und wählen Sie darin die Option "Verschlüsseltes APFS-Volume entschlüsseln". Geben Sie im geöffneten Dialog das korrekte Benutzerkennwort ein oder fügen Sie den Wiederherstellungsschlüssel in das entsprechende Feld ein.

5. Führen Sie einen Scan auf dem entschlüsselten Volume durch, um gelöschte oder verlorene Dateien wiederherzustellen.

Nach erfolgreicher Entschlüsselung wird das Volume entsperrt und sein Inhalt ist im Programm zugänglich. Sie können auch nach gelöschten oder verlorenen Dateien suchen, indem Sie den Speicher scannen. Holen Sie sich das Tool "Diesen Speicher scannen" aus der Symbolleiste, deaktivieren Sie alle Dateisysteme außer APFS und klicken Sie auf die Schaltfläche "Scan starten".

Hinweis: Weitere Informationen zum Anpassen des Scans finden Sie in der Anleitung zum Scannen eines Laufwerks mit UFS Explorer.

6. Haken Sie die erforderlichen wiederhergestellten Elemente ab und speichern Sie sie an einem anderen Ort.

Navigieren Sie nach Abschluss des Scanvorgangs durch das von der Anwendung rekonstruierte Dateisystem und finden Sie die benötigten Ordner und Dateien. Klicken Sie dann auf "Auswahl bestimmen", aktivieren Sie die Kontrollkästchen daneben und klicken Sie auf "Auswahl speichern". Geben Sie danach einen sicheren Zielspeicher zum Kopieren an.

Hinweis: Die Informationen in Auswertung und Speicherung der Ergebnisse der Datenwiederherstellung können Ihnen die Arbeit mit den erhaltenen Ordnern und Dateien erleichtern.

Hinweis: Wenn Sie die geretteten Daten in einem Netzwerkordner speichern möchten, lesen Sie bitte die bereitgestellte Anleitung.

In UFS Explorer Professional Recovery

1. Schließen Sie Ihr verschlüsseltes Gerät mit Apple-APFS an den Computer an.

Schließen Sie die verschlüsselte externe Festplatte an den Mac an. Wenn Sie mit dem Systemlaufwerk arbeiten, um Zugriff darauf zu erhalten, müssen Sie es vom Computer extrahieren und als sekundäre Festplatte an einen anderen Computer anschließen oder Ihren Mac in einer sicheren Umgebung mit UFS Explorer Backup and Emergency Recovery CD starten. Es ist auch möglich, auf demselben Mac zu arbeiten, wenn Sie den Systemintegritätsschutz deaktivieren, wie in Entsperren des Zugriffs auf macOS-Laufwerke beschrieben, aber diese Option wird angesichts des hohen Risikos, dass die Daten überschrieben werden, nicht empfohlen.

Hinweis: Verlassen Sie sich bitte auf die Anleitungen, um die Festplatte an das Motherboard anzuschließen oder das Laufwerk extern über einen USB-zu-SATA-Adapter zu verbinden.

2. Installieren und starten Sie UFS Explorer Professional Recovery.

Starten Sie das Programm mit Administratorrechten, indem Sie den richtigen Benutzer/das richtige Kennwort in das Popup-Fenster eingeben. Die Anwendung zeigt alle angeschlossenen Laufwerke in der Liste der verbundenen Speicher im linken Bereich an. Unter jedem physischen Gerät werden die logischen Volumen platziert.

Hinweis: Wenn Sie Probleme mit der Installation des Programms haben, lesen Sie bitte die Installationsanleitung für UFS Explorer Professional Recovery.

3. Wählen Sie das erforderliche verschlüsselte APFS-Volume aus der Speicherliste aus.

Durchsuchen Sie die Liste, um die erforderliche verschlüsselte APFS-Partition zu finden, die mit einem gelben Vorhängeschlosssymbol gekennzeichnet ist.

Hinweis: Wenn Sie mehr darüber erfahren möchten, wie verschiedene Laufwerke und Volumes in der Oberfläche von UFS Explorer gekennzeichnet werden, lesen Sie bitte den Artikel Identifizierung verschiedener Speicher und Technologien.

4. Verwenden Sie das von der Software bereitgestellte Entschlüsselungstool, um die Daten zu öffnen.

Obwohl die Partition als zugänglich markiert ist, können die darin enthaltenen Daten erst nach Entschlüsselung gelesen werden. Öffnen Sie das Volume-Kontextmenü, wählen Sie die Option "Verschlüsselte Speicherung entschlüsseln" und anschließend die Methode "Entschlüsselung von APFS Volumes". Geben Sie das richtige Benutzerkennwort ein oder kopieren Sie den Wiederherstellungsschlüssel, einschließlich aller Bindestriche, in das Feld.

5. Scannen Sie den entschlüsselten Speicher, um gelöschte oder verlorene Dateien wiederherzustellen.

Nachdem die Entschlüsselung abgeschlossen ist, können Sie auf die verfügbaren Dateien in der Software-Oberfläche zugreifen. Sie können die gelöschten oder verlorenen auch finden, indem Sie den Speicher scannen. Um den Scan auszuführen, wählen Sie das entsprechende Tool in der Symbolleiste aus, deaktivieren Sie alle zusätzlichen Dateisysteme mit Ausnahme von APFS und klicken Sie auf "Scan starten".

Hinweis: Weitere Informationen zum Anpassen des Scans finden Sie in der Anleitung zum Scannen eines Laufwerks mit UFS Explorer.

6. Wählen Sie die benötigten wiederhergestellten Objekte aus und kopieren Sie sie auf eine andere Festplatte.

Wenn der Vorgang abgeschlossen ist, können Sie das vom Programm wiederhergestellte Dateisystem durchsuchen, um die erforderlichen Ordner und Dateien zu finden. Um diejenigen zu definieren, die gespeichert werden sollen, klicken Sie auf "Auswahl bestimmen", markieren Sie sie mit Häkchen und klicken Sie auf "Auswahl speichern". Wählen Sie anschließend einen sicheren Zielordner für die geretteten Objekte.

Hinweis: Die Informationen in Auswertung und Speicherung der Ergebnisse der Datenwiederherstellung können Ihnen die Arbeit mit den erhaltenen Ordnern und Dateien erleichtern.

Hinweis: Wenn Sie die geretteten Daten in einem Netzwerkordner speichern möchten, lesen Sie bitte die bereitgestellte Anweisung.

Verschlüsselte APFS-Wiederherstellung in einer Videoanleitung

Der gesamte Vorgang wird auch im folgenden Video gezeigt:

Auf YouTube ansehen

Letzte Aktualisierung: 17. Dezember 2024