Backup "relativ" ransomware sicher

[obuda]

Hallo. Ich habe bereits ein wenig gesucht, aber nur bedingt nützliche Antworten gefunden.

In der Vergangenheit hatte ich versucht ein Backup über das Netzwerk auf meine Raspi Server zu erstellen. Da es letztlich zu langsam war hat es nicht wirklich funktioniert. Der Raspi schreibt mit 20MB/s. Mein Netzwerk (PowerLan) ist noch langsamer. Dies war der Versuch einer räumlichen Trennung + Linux.

Also hängt die Platte wieder direkt am Rechner. Ja, eine räumliche Trennung ist nicht gegeben, weiß ich. Ein CloudBackup ist aufgrund der Größe für mich auch keine vernünftige Lösung. Das inkrementelle Backup würde funktionieren, aber das einmalige und gelegentliche Fullbackup dauert ja ewig bei ~2TB und 16MBit.
Die externe Platte hängt nun als Partition B im System. B wie Backup 😅

Neben dem System, sollen Daten wie Doc, pdf, etc gesichert werden, aber auch das Foto-Laufwerk. Eine gute Komprimierung an der Quelle schon etwas bewirken, wenn auch keine Wunder.
Acronis erzeugt bei mir kaum Last, weder auf der CPU noch auf der Platte, weiß jemand wieso?

Wenn ich jetzt aber die externe Festplatte am (Windows)Rechner anschließe, habe ich eigentlich immer das Problem, dass das System stets Schreibrechte hat und somit alles schön verschlüsselt werden kann, ohne das ich es merke. Also kein Backup gegen Ransomware, nur gegen Hardwareausfälle. Ein An- und Abstöpsel würde zwar funktionieren, aber ja der Mensch ist faul und somit ist die Qualität der dauerhaften Sicherung wieder eine andere Frage.

Gibt es irgendwo eine Anleitung wie man zB das Laufwerk zunächst mountet, dann per Software (Acronis o.ä.) ein Backup erstellt und es danach unmountet? Nix perfektes, aber zumindest eine weitere Hürde.
Oder die Möglichkeit, dass die erzeugten Backup Dateien vom Hostrechner ohne z.B. besonderes Passwort nicht verändert werden können? Nach vollständigen Backup ändert ein Script die Zugriffrechte der erstellten Dateien.

Ich möchte keinen zweiten Rechner z.B. mit Linux dafür haben. Letztlich müsste dieser auch neben dem eigentlichen Desktoprechner stehen.

Jemand eine Idee, oder einen Hinweis wo ich weitergehende Info finde?
Ich möchte keine 100% Lösung. Und mein Heimrechner ist keine IT Abteilung einer großen Firma wo der Angreifer viel Lösegeld erwarten kann. Also muss meine Backupstrategie auch nicht auf dem selben Niveau sein. Alles eine Frage von Kosten/Aufwand/nutzen. Für mich wie für einen mögliche Angreifer.


Vielen Dank vorab

 

[NPC]

PC Zugriff auf NAS "Partition 1" geben (lesen + schreiben); PC erstellt Backups auf Partition 1. Dienst auf NAS kopiert Daten 1x täglich von Partition 1 auf "Partition 2". PC hat, wenn überhaupt, nur Leserechte auf Partition 2. Nachdem Daten erfolgreich kopiert wurden, werden die Daten auf Partition 1 gelöscht.

Szenarien:

• Malware verschlüsselt PC und löscht Backups/NAS: Partition 1 wird gelöscht, Partition 2 bleibt erhalten
• Restore eines Backups: im besten Falle gibt es das aktuellste Backup von Partition 1, sonst von Partition 2

 

[GrayWolf]

Backups sind nicht etwas was man mit einer Bastellösung löst. Das Geld was du dir sparst bereust du im Worstcase doppelt und dreifach.

Für das was du machen willst würde ich dir ein NAS (4x Platten im RAID-10) empfehlen. Durch die Betriebssystemtrennung kannst du zb einfach eine File auf das NAS kopieren und diese dann für die Veränderung (Schreibrecht) sperren.

 

[Giggity]

Die externe Platte hängt nun als Partition B im System. B wie Backup 😅

Laufwerksbuchstabe A und B würde ich leer lassen das waren mal Diskettenlaufwerke und das kann zu Problemen führen.

Die kostengünstige Lösung ist eine externe Festplatte die man nur für ein Backup anschließt.

Die faule Methode wäre ein NAS zb DS118 für 160€ die nur 1x pro Woche hochfährt zum Backup.

Ransomeware sicher sind nur offline Backups die am besten physisch getrennt werden.

 

[Cardhu]

wo der Angreifer viel Lösegeld erwarten kann.

Das funktioniert so auch nicht
Das Zeug wird verteilt und es ist dann dein Pech, dass deine Daten weg sind. Egal ob Privat oder Unternehmen. Die Software analysiert ja nicht zuerst dein Gehalt und dein Bankguthaben etc^^
Alles was theoretisch abrufbar ist übers Netzwerk, ist eben nicht sicher.
Kauf dir einfach 3 Festplatten und mach entsprechend oft Backups. Die eine alle Woche, die andere alle Monat und die Dritte ist einfach ein Status vom aktuellen System. Oder lass die letzte meinetwegen weg.

Du wirst leider nicht drumherum kommen ab und zu was gegen deine Faulheit zu machen. Ich selbst mache ausschließlich Vollbackups. Und das viel zu selten.
Aber entweder man macht es richtig oder man kann es auch sein lassen. Weil was bringt dir ein schlechter Schutz, der im Falle eines Falles nix bringt? Dann kannst du es auch ganz lassen.

 

[Giggity]

Aber entweder man macht es richtig oder man kann es auch sein lassen. Weil was bringt dir ein schlechter Schutz, der im Falle eines Falles nix bringt? Dann kannst du es auch ganz lassen.

Ganz so schwarz oder weiss würde ich es nicht sehen. Selbst ein älteres Backup einspielen zu können ist schon einiges Wert.

Wenn ich nur 1x im Monat ein Backup mache ist mein Datenverlust eben etwas größer oder ich verwende für Dokumente zb das kostenlose MS OneDrive mit 5GB.

Dann habe ich nochmal die Chance etwas verringert. Das geht dann halt auf Kosten des Datenschutzes.

 

[Cardhu]

Selbst ein älteres Backup einspielen zu können ist schon einiges Wert.

Natürlich ist das was wert
Aber er will doch einen Netzwerkspeicher ins Spiel bringen, weil er keine Lust hat was manuell anzuschließen. Das wird dann im Zweifel dennoch mitverschlüsselt. Und dann ist das einfach Käse. Das bringt bei Hardwareausfall was, aber nicht für den gewünschten Einsatzzweck etwas.

Auch Cloudspeicher können mitverschlüsselt werden

 

[Giggity]

https://support.microsoft.com/en-us...ur-files-0d90ec50-6bfd-40f4-acc7-b8c12c73637f

Ich weiß allerdings nicht genau ob das für die 5GB kostenlos auch gilt.

 

[Cardhu]

"If you're not a subscriber, your first notification and recovery is free"
Wird wohl beim ersten Mal passen.
Würde ich mich darauf verlassen? Ich sag mal: Nein

 

[GrayWolf]

Naja jetzt an einer öffentlichen Aussage von MS zu Zweifeln ist schon nicht förderlich. Das wäre im Falle des Falles ja justizabel.

 

[Cardhu]

Gehen wir davon aus, dass sich die Sachen nicht entschlüsseln lassen und es bei MS zu einem dummerweise zeitlich passenden Ausfall von Backups kommt. Willste die dann verklagen? Viel Spaß
Oder soll es förderlich sein bei Backups eher leichtsinnig zu sein? Ich weiß ja nicht.

 

[GrayWolf]

"zeitlich passenden Ausfall von Backup" da hat sich jemand nicht nachhaltig mit der Materie befasst.

 

[Cardhu]

Stimmt, sowas gab es ja noch nie. Ist auch nicht erst letztens bei nem Anbieter passiert. Dann leg ruhig alles brav in die Cloud als einzige Sicherung
Die werden dir wohl kaum garantieren, dass sie was entschlüsseln, was technisch zum großen Teil nicht möglich ist.

 

[coasterblog]

Laufwerksbuchstabe A und B würde ich leer lassen das waren mal Diskettenlaufwerke und das kann zu Problemen führen.

Das Erste ist korrekt, das Zweite kann ich nicht bestätigen. Ich nutze A und B seit Jahren für HDD/SSD und auch für meinen BluRay Brenner. Bisher gab es keine Probleme. Was natürlich nicht heißt dass da was lauern kann, aber in all den Jahren kann ich nichts dergleichen berichten.

edit: B für BluRay fehlt gerade, brauchte das LW für ein anderes System. Ja, mit den Buchstaben und Namen habe ich es mir einfach gemacht ^^
Hätte gerne noch dass die C Pflicht verschwindet und Windows wird zu W oder S für System.

Aber er will doch einen Netzwerkspeicher ins Spiel bringen, weil er keine Lust hat was manuell anzuschließen. Das wird dann im Zweifel dennoch mitverschlüsselt. Und dann ist das einfach Käse

+1

100% sicher gehen = Platte ist physikalisch nicht angeschlossen/stromlos.
Ich sehe auch nicht wo da wirklich das Problem sein soll es einfach so zu machen. Arbeit ist es so gut wie gar nicht, Disziplin kann man erlernen.

 

[redjack1000]

Gibt es irgendwo eine Anleitung wie man zB das Laufwerk zunächst mountet, dann per Software (Acronis o.ä.) ein Backup erstellt und es danach unmountet?

Veeam Backup Agent macht das

CU
redjack

 

[Pete11]

Also muss meine Backupstrategie auch nicht auf dem selben Niveau sein. Alles eine Frage von Kosten/Aufwand/nutzen. Für mich wie für einen mögliche Angreifer.

Da gibt es einen ganz interessanten Artikel "Emotet-sicheres Familien-Backup" in der c´t, siehe hier (Artikel ist kostenpflichtig). Die Überlegungen kann man den eigenen Berdürfnissen anpassen.

 

[Giggity]

edit: B für BluRay fehlt gerade, brauchte das LW für ein anderes System. Ja, mit den Buchstaben und Namen habe ich es mir einfach gemacht ^^

Ich hatte auf A und B mal virtuelle Laufwerke und es gab Probleme mit ein paar Programmen, die konnten das Laufwerk dann nicht finden in der Virtualisierungssoftware oder irgendwas anderes.

Hab auch meinen IT Prof gefragt an was das liegen könnte und der war auch der Meinung das es aus historischen Gründen zu Problemen kommen kann weil man die beiden Laufwerksbuchstaben i.d.R. unbelegt lässt.

In 90% der Fälle funktioniert es und in 10% der Fälle sucht man ewig nach dem Fehler.

 

[M4ttX]

Veeam Backup Agent macht das
Anhang anzeigen 1225202

Das schließt aber bestimmt nicht aus, dass es wieder gemountet wird.

 

[Giggity]

Im privaten Bereich ist das sicherste physikalisch Trennen/stromlos machen bei externer HDD oder NAS.

Ich hab hier eine externe HDD stehen, das USB Kabel zum PC lass ich stecken, ich trenne nur den Stromadapter.

 

[cscmptrbs]

Man könnte auch ein Nas über eine schaltbare Steckdose (per Script schaltbar) benutzen.
Bei Acronis mit dem "Vor Befehl" die Steckdose einschalten und danach mit dem "Nach Befehl" wieder ausschalten. In dem Vor Befehl müsste natürlich ein entsprechend langer Timeout mit drin sein der das booten des Nas auffängt.
Das müsste auch bei USB-Platten gehen die eine externe Stromversorgung haben, also 3,5" HD's.