Intel-basierte Macs verfügen über eine EFI-Firmware, die sich um den Startvorgang kümmert. Bei Macs mit Apple-Prozessoren ist dies anders, hier gibt es einen komplett neuen Bootmanager, der direkt im SoC verankert ist. Damit einhergehend fehlt die Möglichkeit, ein Firmware-Passwort festzulegen - ein Umstand, der Admins momentan Sorge bereitet.

Apple empfiehlt, auf ARM-Macs die FileVault-Verschlüsselung zu aktivieren, um ein "gleichwertiges Maß an Sicherheit" wie ein Firmware-Passwort zu erhalten. Doch dies ist nicht die ganze Wahrheit. Wie der Experte Nathaniel Strauss in seinem Blog erläutert, ist es möglich, einen ARM-Mac mit aktiviertem FileVault komplett zurückzusetzen und die SSD zu löschen. Auf Intel-Macs mit aktiviertem FileVault und EFI-Passwortschutz ist dies nicht möglich - hier greift zuvor die EFI-Kennwortabfrage.

 

"Hervorzuheben ist, dass jeder Benutzer mit physischem Zugriff die Festplatte mit oder ohne FileVault löschen kann. Zwar können Sie nicht in recoveryOS booten, ohne zuerst das Kennwort eines FileVault-Benutzers einzugeben, aber die Löschoption ist vor der Authentifizierung vorhanden."

Strauss bringt als Alternative die von iPhones und iPads bekannte Aktivierungssperre ins Spiel, die unter macOS jedoch noch nicht vollständig implementiert ist. Zudem empfiehlt er, Apple in dieser Angelegenheit Feedback zu geben. Nach seinen Angaben scheint sich bei den Kaliforniern inzwischen etwas zu tun:

"Reichen Sie Feedback über die üblichen Apple-Kanäle ein und teilen Sie Ihre Bedenken mit. Durch meine offenen Fälle wurde mir bereits gesagt, dass es irgendeine Art von Antwort durch die Technik geben wird, aber was das ist und wann, ist unbekannt", schreibt Strauss. Eine denkbare Lösung wäre, dass Apple gestattet, via MDM-Software (Geräteverwaltung) ein separates Kennwort für die "Erase Mac"-Funktion festzulegen.

Die Sicherheit der FileVault-Verschlüsselung beeinträchtigt diese Problematik nicht - ohne Passworteingabe ist kein Zugriff auf die Daten möglich.