Zunehmend aggressiv fordert Apple Nutzer von macOS dazu auf, die zusätzlich mögliche SSD-Verschlüsselung FileVault zu aktivieren – etwa bei größeren Updates des Betriebssystems oder beim Wechsel auf eine neue Version, wie jetzt etwa bei macOS 26 Tahoe, das seit September verfügbar ist.

Wer die eigentlich sinnvolle Rechnerabsicherung nutzt, kann aber in einem bestimmten Fall ohne weitere Warnung in die Bredouille geraten: Betreiber von „Headless“-Macs, also solchen, die ohne Maus, Tastatur und Bildschirm ferngesteuert werden – im Heimnetz oder bei entsprechender Freigabe auch per Tunneling, Dynamic DNS und/oder Port Forwarding im offenen Internet. Das Problem: Das System bootet zunächst nur ein Mini-macOS, um die FileVault-Entschlüsselung zu ermöglichen. Apple Remote Desktop, macOS-Screensharing oder VNC sind dann noch nicht aktiv. Man kommt also nicht mehr an den Rechner, die Fernsteuerung ist zunächst gesperrt.

Sicherheitsschicht fällt weg

Apple sieht das als Sicherheitsmerkmal: FileVault soll nur durch physisch vor Ort befindliche Personen entschlüsselt werden können. Das Problem betrifft jeden normalen Neu- oder frischen Systemstart, mit Ausnahme von macOS-Updates – dann erfolgt üblicherweise ein automatischer Login. Aber auch darauf sollte man sich nicht verlassen. Das FileVault-Problem besteht schon seit Längerem.

Die einfachste Empfehlung bleibt, die zusätzliche SSD-Verschlüsselung auf Headless-Maschinen wieder zu deaktivieren, sobald man sich wieder hat einloggen können (via Bildschirm, Maus und Tastatur). Grundsätzlich unverschlüsselt arbeitet das System dennoch nicht: Apple nutzt standardmäßig eine Verschlüsselung über den SSD-Controller – FileVault bietet aber eine zusätzliche Sicherheitsschicht gegen verschiedene Formen physischer Angriffe.

Entsperren im Pre-Boot-Dialog

Alternativ bietet Apple seit macOS 26 allerdings noch eine weitere Möglichkeit: Via SSH im Terminal ist dort erstmals eine Remote-Entschlüsselung für FileVault möglich. Damit fällt das Problem des Aussperrens weg. Dazu muss man SSH zunächst in den Systemeinstellungen aktivieren („Remote Login“). Leider ist es bislang nicht möglich, zwischen „regulärem“ SSH und dieser Pre-Boot-Phase zu unterscheiden – man schaltet stets beides frei.

Nach der Aktivierung sollte man sich einmal testweise vor einem Reboot eingeloggt haben, um sicherzustellen, dass SSH funktioniert. Danach kommt beim Einloggen ein spezieller Output: Hier heißt es, das System sei „locked“ und müsse mit einem Account (dem für FileVault eingerichteten) entsperrt werden. Tut man dies, wird FileVault entschlüsselt und das normale Booten erfolgt – Remote Desktop & Co. sind danach wie gewohnt nutzbar. Einen Nachteil gibt es: Via WLAN ist der Login offenbar nicht möglich, es muss mindestens eine physische LAN-Verbindung bestehen.