Evil E-Lex schrieb:
Zudem birgt es das Risiko, dadurch dass es immer mit dem Netzwerk verbunden ist, Ziel eines Verschlüsselungstrojaners zu werden.
Dieses Risiko kann durch richtige, überlegte Konfiguration so weitestgehend minimiert werden.
Ein Verschlüsselungstrojaner braucht, um diese Backups verschlüsseln zu können, Schreibrechte auf der jeweiligen Freigabe des NAS. Diese hat er in der Regel nur, wenn auch der am PC angemeldete Benutzer Schreibrechte dort hat.
Eine vernünftige Backupsoftware unterstützt auch das Anmelden am NAS mit anderen Anmeldeinformationen. Wenn man nun auf dem NAS einen separaten Benutzer für das Backup anlegt (der auf dem PC selbst nicht mal existieren muss), kann man die Rechte so setzen, dass auch nur der Backupbenutzer dort Schreibrechte hat. Dem Standard-PC-Benutzer gibt man dort, wenn überhaupt, nur Leserechte. Aber eigentlich braucht der dort vorläufig nicht mal zum Lesen reinkommen. Somit müsste jetzt ein Verschlüsselungstrojaner schon mal die (verschlüsselt gespeicherten) Anmeldeinformationen aus der Backupsoftware auslesen und verwerten können. Damit liegt die Latte schon mal ein ordentliches Stück höher.
Noch weiter auf die Spitze treiben kann man das zum Beispiel wie ich es mache, mit Synology Active Backup for Business. Hier erfolgt Backup und Restore über den installierten Client und Dienst. Der muss sich zwar auch am NAS anmelden, und dort existiert auch eine Freigabe für die Backups. Aus dieser Freigabe kann ich aber sogar den Nutzer der sich über den Client anm NAS anmeldet aussperren, da der Zugriff eben nicht über SMB-Freigaben erfolgt, sondern proprietär vom Client übernommen wird. Hier hat Ransomware ganz schlechte Karten. Prinzipiell ist es natürlich nicht unmöglich, aber dazu müsste zunächst vom PC aus die Konfiguration des NAS manipuliert werden.
Und jetzt kommts: sollte es nun wider jeglichen Erwartens dazu kommen, dass diese Backups verschlüsselt werden, warten noch Snapshots als letzte Verteidigungslinie. Die sichern bei mir übrigens auch alle vom PC aus erreichbaren Freigaben nochmal ab. Somit kann ein Verschlüsselungstrojaner bei mir sein Werk nicht vollständig verrichten, weil vorher das NAS vollläuft. Die Daten werden ja nicht gelöscht oder überschrieben, sondern separat neu geschrieben. und von 108 TB sind bei mir aktuell gerade ca. 10 TB frei. Dann ist Schluss.
Daher finde ich ist Ransomware nicht das grösste Risiko, bei auf NAS gelagerten Backups. Im Gegenteil, es ist sogar recht gut beherrschbar, wenn man sich damit auseinandersetzt. Und zwar PC-seitig absolut durch passive Massnahmen. Ich brauche keine Aktive Überwachung meiner Backups, wie es so manche Backup-Suite mittlerweile anbietet. Alles Quatsch in meinen Augen. Das sind Bequemlichkeitslösungen, die Leute die sich nicht auskennen, in falsche Sicherheit wiegen. Ransomware schiesst diesen Überwachungsdienst ab und das wars. Probleme sind eher so Ereignisse wie Blitzeinschlag/Überspannung, was natürlich dann im schlimmsten Fall das Original und das Backup betrifft. Daher macht es ja dann Sinn, nochmal ein Backup extern und offline zu haben, ggf. auch off-Site.
zumindest zunächst. Steige in die "Backup-Welt" gerade erst ein. Als erster Schritt eben alles zusammenbringen und ist wie ich es verstehe, primär eine Budget-Frage. Bin gerne offen für andere Vorschläge wie ich für 400-500€ ca. 14TB Daten als ersten Schritt gut sichere. Die günstige NAS mit zunächst einer 16/18TB Platte liegt bei ca. 450€. 
