Time-Machine-Backup-Image nachträglich verschlüsseln

Einmal nicht aufgepasst und schon ist das Time-Machine-Backup nicht verschlüsselt. Über die normale Oberfläche in den Systemeinstellungen kann die Verschlüsselung allerdings nicht nachträglich aktivieren. Stattdessen startet Time Machine dann ein komplett neues Backup und der alte Verlauf ist nicht mehr vorhanden.

Allerdings gibt es eine Möglichkeit, sofern es sich bei dem Backup um ein sogenanntes „Sparsebundle“, also ein Image, handelt. In meinem Fall läuft ein solches auf einem Synology NAS. Je nach Menge der Daten innerhalb des Backups ist die Umstellung allerdings „etwas“ zeitintensiv. In meinem Fall bei knapp 500 GB Daten hat es durch die Limitierung auf rund 50 MiB/s im Netzwerk etwa 6,5 Stunden gedauert.

Dennoch nachfolgend die Anleitung, wie man sein Time-Machine-Backup-Image nachträglich verschlüsseln kann:

  1. Wenn die automatisierte Erstellung von Time-Machine-Backups aktiv ist, diese zuerst unter Systemeinstellungen > Time Machine deaktivieren.
  2. Über SMB/AFP bzw. seiner ansonsten genutzten Methode (beispielsweise USB) auf das Laufwerk zugreifen, in welchem sich das Time-Machine-Backup befindet. Es muss demnach über den Finder erreichbar sein.
  3. Über das Terminal in das Verzeichnis wechseln, in welchem sich das Sparsebundle befindet. In meinem Fall ist das Verzeichnis /mnt/timemachine, wodurch der Befehl folgendermaßen aussieht:
    cd /mnt/timemachine
  4. Folgenden Befehl eingeben, um das Image zu verschlüsseln:
    hdiutil convert Matzes\ MacBook\ Pro.sparsebundle/ -format UDSB -encryption -o Matzes\ MacBook\ Pro\ Encrypted.sparsebundle/
    In meinem Fall heißt die Ursprungsdatei Matzes\ MacBook\ Pro.sparsebundle und die verschlüsselte danach Matzes\ MacBook\ Pro\ Encrypted.sparsebundle.
    Die \ sind übrigens wichtig, wenn danach ein Leerzeichen folgt und dürfen nicht entfernt werden.

    Tipp: Nach Beginn des Tippens des Dateinamens einfach mal die Tab-Taste drücken. Damit wird der Name in der Regel automatisch vervollständigt.
  5. Das Terminal fragt nun nach einem Passwort für das verschlüsselte Sparsebundle, das man dann zweimal eingeben muss.

Danach läuft der Vorgang dann, was seine Zeit dauern kann, wie bereits eingangs erwähnt. Die Ausgabe am Ende sah bei mir folgendermaßen aus:

GPT Header (Primary GPT Header : 1) lesen …
GPT Partition Data (Primary GPT Table : 2) lesen …
(Apple_Free : 3) lesen …
EFI System Partition (C12A7328-F81F-11D2-BA4B-00A0C93EC93B : 4) lesen …
disk image (Apple_HFSX : 5) lesen …
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….
(Apple_Free : 6) lesen …
GPT Partition Data (Backup GPT Table : 7) lesen …
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….
GPT Header (Backup GPT Header :
lesen …
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….
Dauer: 6h 31m 08.594s
Geschwindigkeit: 18.7M Byte/s
Ersparnis: 14.1 %
created: /mnt/timemachine/Matzes MacBook Pro Encrypted.sparsebundle

Tipp: Für eine nicht unerhebliche Beschleunigung sollte bei einem Netzwerk-Laufwerk definitiv ein LAN-Kabel statt WLAN genutzt werden.

Zu Testzwecken habe ich nun in dem Verzeichnis, in welchem meine beiden Sparsebundles nun liegen, einen neuen Ordner erstellt und das alte Sparsebundle darin verschoben und das neue umbenannt, sodass der Dateiname mit dem alten identisch ist. Das sieht von der Ordnerstruktur her dann folgendermaßen aus:

timemachine
|-- Matzes\ MacBook\ Pro.sparsebundle
`-- done
    `-- Matzes\ MacBook\ Pro.sparsebundleCode-Sprache: JavaScript (javascript)

Leider werden durch den Vorgang beim Verschlüsseln nicht alle Dateien in das neue Sparsebundle verschoben. Diese sind dann sichtbar, wenn man auf das alte Sparsebundle einen Rechtsklick macht und dann „Paketinhalt anzeigen“ auswählt. Folgende vier Dateien müssen dann vom alten ins neue Sparsebundle kopiert werden:

com.apple.TimeMachine.MachineID.bckup
com.apple.TimeMachine.MachineID.plist
com.apple.TimeMachine.Results.plist
com.apple.TimeMachine.SnapshotHistory.plistCode-Sprache: CSS (css)
Time-Machine-plist-Dateien

Startet man nun das Backup erneut, erhält man auch die erwartete Meldung, dass sich die Identität des Backup-Volumes geändert hat:

Die Identität des Backup-Volumes hat sich seit dem letzten Backup geändert

Daraufhin muss man dann das Passwort eingeben, welches man zum Verschlüsseln des Sparsebundles angegeben hat und das Backup beginnt. Bei mir war das erste Backup danach um einiges größer, nämlich rund 12,5 GiB statt der üblichen 500–700 MiB.

4 Kommentare zu “Time-Machine-Backup-Image nachträglich verschlüsseln

  1. Stimmt so nicht (mehr).
    MacOS 10.15: Man kann unter Systemeinstellungen – Time Machine unten „Backup-Volume hinzufügen oder entfernen“ anklicken und das gewünschte unverschlüsselte Volume mit Klick auf „Volume entfernen“ nicht mehr verwenden.
    Dann das gleiche Volume unten in der Liste „Verfügbare Volumes“ auswählen und den Haken „Backups verschlüsseln“ anklicken.
    Das Volume wird nun automatisch verschlüsselt, alle bisherigen Backups werden übernommen.

    1. Das kann ich so nicht bestätigen. Bei mir kommt bei der erneuten Auswahl folgende Abfrage:
      Das Volume „Time Machine Test“ enthält bereits ein unverschlüsseltes Backup für diesen Computer.

      In dem Moment muss man das Backup entweder unverschlüsselt verwenden oder aber man löscht die bisherigen Backups. Eine Übernahme ist bei mir nicht möglich.

      1. Bei mir kommt es darauf an, ob es sich um ein lokales Backup handelt, oder ein freigegebenes Volume. Das erstere kann einfach verschlüsselt werden. Das freigegebene möchte das vorhandene Backup löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert