Alte HFS+ Platten können Probleme machen
Apples T2-Macs: Wer extern booten will, sollte mit APFS formatieren
Der von Apple in neuen Mac-Modellen verbaute T2-Prozessor sorgt für zusätzliche Sicherheit, bringt aber auch Einschränkungen mit sich. Damit ausgestattete Geräte können nicht von externen Festplatten starten, die verschlüsselt und mit Apples altem „Mac OS Extended“-Dateiformat HFS+ formatiert sind.
Dem Apple-Support zufolge handelt es sich hierbei weniger um einen Fehler, als vielmehr um eine Sicherheitsfunktion. Einem Leser zufolge wollten Apple-Techniker bezüglich des Sachverhalts noch an höher Stelle nachhaken, gingen aber davon aus, dass es sich um einen gewolltes Verhalten handle.
Mike Bombich, Entwickler des Backup-Programms Carbon Copy Cloner, hat das Thema in einem seiner Blogbeiträge aufgegriffen. Während ein mit T2-Chip ausgestatteter Mac grundsätzlich auch von externen Festplatten startet, funktioniert dies nicht, wenn das Betriebssystem auf einem mit FileVault geschützten HFS+-Volume liegt. Bombich schließt zwar nicht aus, dass es sich um einen Fehler in der Firmware der Geräte handeln könnte, rät jedoch dazu, auch auf externen Platten Apples neues Dateisystem APFS zu verwenden.
Dumm nur, wenn die externen Laufwerke bereits existieren. Dann ist zumindest nach aktuellem Stand der Dinge das Starten eines T2-Mac von solch einem Laufwerk aus nicht möglich. Ein Leser berichtet hier übrigens, dass sein neuer Mac mini auch den Start von einem unverschlüsselten HFS-Volume verweigert.
T2-Chip garantiert zusätzliche Sicherheit
Apple informiert hier ausführlich über die Macs mit T2-Prozessor. Aktuell sind dies der iMac Pro, die Mac-mini-Modelle ab 2018, die MacBook-Air-Modelle ab 2018 und die MacBook-Pro-Modelle ab 2018. Standardmäßig werden diese Geräte so ausgeliefert, dass sie jeglichen Start von einer externen Festplatte verweigern. Über die neue Systemfunktion „Sicheres Starten“ können Besitzer der Geräte die Zügel diesbezüglich lockern, wenn nötig.
Ein weiterer Vorzug der neuen Macs ist die Speicherverschlüsselung. Diese Funktion verhindert unter anderem sogenannte „Cold Boot“-Angriffe und lässt die mit dem T2-Chip ausgestatteten Macs in den Augen von Sicherheitsforschern deutlich besser als das Gros der Konkurrenz dastehen.
Es ist zumindest beim Mac Mini nicht möglich von extern zu starten bevor nicht zumindest das erste mal ein User eingerichtet wurde.
Also bei einem fabrikneuen nach der Speicher Erweiterung kannst nicht einfach extern starten um zu prüfen ob alles ok ist.
Nicht mal die Apple Diagnose oder Internet Recovery kann man starten. Erst nach der Einrichtung des Users kann man die Internet Recovery laden und die Sicherheitseinstellungen darüber ändern.
Ich muss (nach kurzem Hyperventielieren) die Überschrift des Artikels ein Bisschen korrigieren, denn von UNVERSCHLÜSSELTEN HFS+ Laufwerken bootet mein MBP 2018 klaglos. Die Einschränkung scheint nur zu gelten, wenn man mit verschlüsselten HFS+ Laufwerken arbeitet (das wiederum kann ich nicht testen).
Wichtig ist aber, dass ihr eurem MAc das Booten von extern überhaupt erlaubt, heißt, das im oben verlinkten Artikel (https://support.apple.com/de-de/HT208330) beschriebene Vorgehen einmal durchzumachen.
Puh. Ich fürchtete gerade, dass ich mein Backup neu machen muss…
@Phi: Welche der drei Einstellmöglichkeiten hast Du gewählt um von ner externen Platte problemlos starten zu können? Danke für Deine Antwort.
Rein theoretisch sollte für das externe Booten einzig und allein der unterste Punkt „Starten von externen Medien erlauben“ das Notwendige und die drei Einträge im oberen Block irrelevant sein.
Ich hab mich allerdings für die drastische Variante entschieden. „Ohne Sicherheit“ im oberen Bereich (und unten das externe Booten natürlich erlaubt).
Nun neige ich aber auch zur persönlichen Einstellung „ich entscheide selber, was ich kaputt mache, ich bade es ja auch selber aus“, weshalb ich generell die meisten „Schutz“-Funktionen von Apple deaktiviere (die mich persönlich mehr nerven als sie mir nutzen bringen).
Wenn du jemand bist, der SIP und dem Boot-Schutz und Konsorten was abgewinnen kannst, dann würde ich mehrstufig vorgehen:
Erstmal alles abschalten wie ich und schauen, ob dein Gerät bootet. Wenn ja, würde ich eventuell auf die mittlere Stufe zurückgehen uns schauen, ob es dann auch noch geht. Wenn ja, super, dann könntest du auch die volle Sicherheit mal testen.
Mir ist nämlich aus dem Stand nicht vollständig klar, was die oberen drei Optionen überhaupt tun, wenn ich ein OSX boote (ein Linux dagegen würde wahrscheinlich auf Stufe 1 und 2 nicht gehen laufen, da die nicht von Apple signiert sind). Aber wie gehabt: meiner Theorie nach sollten die oberen drei Punkte egal sein, so lange du von der externen Platte ein OSX bootest.
Nachdem mein langer Kommentar nicht auftaucht, hier die Kurzfassung:
Relevant müsste eigentlich nur der unterste Punkt „Starten von externen Medien erlauben“ sein (sofern du ein OSX booten magst).
Ich hab bei mir im oberen Bereich allerdings auch „Ohne Sicherheit“ eingestellt, aber eher aus Trotz denn aus Notwendigkeit.
Mal angenommen ich hab aus Versehen die SSD gelöscht- wie kriege ich das System drauf? Steh nämlich gerade vor einem Problem.