Neue Backup Strategie wegen Verschlüsselung Trojaner

    Hallo Community!


    Ich habe in der letzten Zeit viel mit Verschlüsselungstrojaner in der Firma zu tun und überdenke mein
    Sicherungskonzept.


    Ich habe zwei TS-212p im Einsatz und sichere einmal am Tag die Freigegebene HDD per RTRR auf die HDD im 2 Bay.
    1:1 Sicherung


    In der Nacht dann nochmals auf meine zweite TS-212p ie bei einem Freund steht. Hier eine 1:1 Kopie
    (jedoch die gelöschten Datein erde nicht gelöscht.) War bis jetzt okay. die 2 HDD in der Bay 2 nutzt
    mein Freund als Cloudspeicher.


    Hatte jetzt mal mit einem Verschlüsselungstrojaner zu tun der die Datei Endung nicht änderte
    aber trotzdem verschlüsselt. Dann wären alle meine Daten putsch und nur noch mit Bezahlung
    zum entschlüsseln, wenn ich es nicht Rechtzeitug merke.


    Für eine Wochensicherung zusätzlich auf der NAS habe ich keinen Platz je Platte 2TB und ca.
    1,3 TB belegt.


    Jetzt überlege ich mi eine externe Platte zusätzlich zu kaufen um eine Wochen bzw. Monatssicherung
    zu machen.


    Jetzt meine Frage 1:
    Meine NAS steht auf einem Schrank ganz weit oben. Ich will diese Externe Festplatte nur über RTRR sichern,
    wenn ich Lustund Laune habe, zb.: Alle 14 Tage, ich will die Sicherung selber anstossen. Kann ich die Externe HDD
    an der NAS hängen lassen und wenn sich jemand einen Trojaner einfängt bin ich dann sicher ?
    Ich weiß nicht genau wie die Qnap das mit einem externen Speicher löst, wenn man diesen nur ab und zu verwendet.
    Ist dieser dann immer online für die Qnap ? Kann man manuell die HDD auswerfen und dann wieder einfügen?


    Jetzt meine Frage 2:
    Schaltet die Qnap die HDD aus, geht diese in den Standby ?
    Interessante Modelle:
    Toshiba Canvio Connect II 2 TB
    Western Digital My Passport Ultra


    Ich hoffe Ihr könnt mir da bitte weiterhelfen, denn ich würde meine Daten gerne als geschützt ansehen.

    Hallo,


    also du kannst bei dem Backup-Job einstellen, dass der externe Datenträger nach dem sichern ausgeworfen wird. Dann kannst du die Paltte ruhi dran hängen lassen. Das System hat dann keine Zugriff mehr drauf. Um die Festpaltte wieder aktiv zu bekommen müsstet du die Festplatte kurz ab- und wieder anstöppseln, oder das NAS neustarten. Sollte das NAS auf Grund eines Stromausfalls sich neustarten ist die Festpaltte im anschluss auch wieder für das NAS verfügbar. Somit könnte ein Trojaner in dieser Zeit dann auch zugriff erlangen.


    Ich selbst sichere aus diesem Grund immer in bestimmte Share mit eine speziell dazu angelegten User. Nur der spezielle Backup-User hat schreibrechte darauf. Somit kann der Crypto-Trojaner der ja normal unter den Rechten des User am PC, oder den gespeichter Netzwerkkennwörtern läuft wenig schaden anrichten.


    Cryto-Trojaner sind echt was perverses, die Dinges suchen das komplette Netzwerk und verschlüsseln alles, wo sie Schreibrechte dazu finden. Hatte selbst schon mal bei einem Kunden das Vergrüngen. Aber durch die oben genannte Strategie war das Backup keine Problem, denn diese waren sicher.

    Auch ich mache mir seit langem Gedanken, wie man die Daten einer Firma so sichern kann, das sie vor den verschlüsselungs - Trojanern sicher sind.
    Anfangs hatte ich ein Backup auf einen FTP angestrebt. Eine entsprechende Software sicher immer dann, wenn sich eine Datei verändert hat, diese auf einen FTP und zwar so, das mir immer bis zu 10 Kopien dieser Datei erhalten sind, also eine Art Timeline. Das klappte auch bestens.
    Nun hatte sich die Firma, die ich betreue, den QNAP 451U zugelegt und ich sachte mir, das so eine moderne Maschine doch in der Lage sein sollte, mir vernünftige Backup Methoden zur Verfügung zu stellen, mit der man das selbe erreichen kann.
    Aber schade, leider ist Backup für den QNAP wohl nicht so seine stärke.


    Wenn ich per RSYNC auf einen anderen NAS sicher will, wäre das prima, weil RSYNC ein eigenes Passwort für den Zugang verlangt, womit ich einem Crypto Trojaner den Zugang zu diesem Backup verwehren könnte. ABER...
    Warum in drei Teufels Namen darf man pro Backup Auftrag nur EIN Verzeichnis angeben ? Wieso kann ich nicht 5 oder 10 Verzeichnisse mit einem Backup Auftrag erledigen ?
    Es hätte ja so schön einfach sein können. Backup Auftrag 1 sichert 10 Verzeichnisse am Montag im 01:00 Uhr per RSYNC auf den anderen NAS in ein Verzeichnis Backup/Monat
    Dienstag startet dann ein Backupauftrag, der wieder diese 10 Verzeichnisse per RSYNC auf den anderen NAS in das Verzeichnis Backup/Dienstag sichert.
    usw. usw.
    Damit hätte ich immer für jede Datei 6 bis 7 ältere Versionen. Schlägt ein Crypto Trojaner zu, kann ich eine solche Datei problemlos wiederherstellen, selbst wenn eine Sicherung NACH der Infizierung stattgefunden hat.


    Aber, da man ja nur ein Verzeichnis pro Backupauftrag angeben kann, hisse das...
    10 Verzeichnisse * 7 Tage = 70 Backupaufträge. Ein Horror


    Einziger halbwegs praktikabler Ausweg, man legt auf dem QNAP ein Oberverzeichnis an, z.B. Firma XYZ. Da packt man dann alle anderen Verzeichnisse rein, so, wie man sie jetzt auch hat. Natürlich müssen dann auf allen angeschlossenen Rechnern die Pfade wieder angepasst werden. Fürchterlich.
    ABER, dann muß man nur noch dieses eine Verzeichnis in einen Backupauftrag packen und max. 7 Sicherungsaufträge erstellen.
    Will man öfters sichern, z.B. stündlich, ist diese Lösung allerdings wieder unbrauchbar. Dann wären es 7 * 24 = 168 Sicherungsaufträge. Ufff.


    Übrigens, die Lösung via FTP wird auch von QNAP unterstützt, allerdings kann der keine alten Dateien löschen. Man kann also leider nicht sagen "lege mir 20 Backups an und ab dem 21.ten löschst Du das älteste wieder". Wäre klasse, wenn seitens der Hersteller gerade im Zeitalter der Crypto Trojaner an den Backup Routinen gearbeitet würde.

    Also ein sicheres Backup liegt in der Regel am besten im Bankschliessfach :)


    Ja das mit den Jobs ist echt ein gefummel.


    Ich sichere Mittlerweile mit Veeam Endpoint Backup Free und dann über Rsync. Damit kannst du dein Problem lösen. Mit dem Programm lassen sich auch Server sichern und ist sehr simple in der Bedienung, aber dennoch hocheffektiv.


    Schau es Dir unbedingt mal an.

    Ich löse die Sache mit der externen HDD über eine programmierbare USB Steckdose. Denn selbst wenn die HDD nicht eingehangen ist, so drehen sich die Platten trotzdem und verbrauchen auch unnütz Strom. Das notwendige Tool um die USB Steckdosen zu schalten heist sispmctl und kann via opgk installiert werden.
    Bei mir sieht das dann wie folgt aus:
    1. per sispmctl HDD einschalten
    2. Backupjob via qsync -J den Backup Job anstoßen
    3. HDD auswerfen
    4. HDD ausschalten
    (5.) NAS herunterfahren


    Schritt 5 wird bei mir durchgeführt, weil das oben beschriebene Skript per cron jeden Abend um 22.00 Uhr durchgeführt wird. Am morgen startet es sich dann wieder von selbst, über den "normalen" Powerschedule.

    Also ich habe nun einige Fälle von TeslaCrypt 3,4 und 5 und keiner der Schädlinge befällt alle Dateien, nur die, die er versteht und kennt.
    Speziellen Backup User spielt teilweise keine Rolle.
    Wo er nicht dran gekommen ist sind alle Daten von proprietären Backuptools. Wenn diese dann zusätzlich verschlüsselt sind oder Passwortgeschützt, keine Chance.
    Manchmal ist weniger doch mehr.
    Den Aufwand mit Strategien, aus/an schalten, zig Platten, auslagern, abklemmen könnt ihr euch eigentlich sparen :)

    Wo liegt das Problem ein verschlüsselte Backupdatei zu verschlüsseln, wenn das Tool auf dem Datenträger schreibrechte hat???
    Was wenn der Trojaner die ganze HDD verschlüsselt??? Auch wenn die HDD mit Bitlocker verschlüsselt ist, lässt diese sich trotzdem weiter verschlüsseln.
    So einfach ist das nicht. Ich hatte schon mit ein paar zu tun und finde das Löschen der Volumshadows und die Verschlüsselung der Shares echt pervers. Die Dinger suchen echt bis in die tiefsten teifen eines Netzwerks.
    Und kompletter Datenverlust eines Unternehmens, ciao bella.
    Es ist traurig genug, dass die wenigsten Unternehmen nicht gesetztes Konform Daten sichern.


    @FuXXz
    Bei privaten Daten ist das sicherlich nicht so schlimm. Aber im Unternehmen sind dies sogar gesetzliche Grundlagen der Datensicherung wofür jeder Geschäftsführer Haftbar ist. Also dem Steuerfander lieber nicht erzählen, dass man sich das sparen kann. Wird teuer.

    Dem Steuerfahnder bzw. der Prüfungsstelle ist es eigentlich recht egal, was du mit deinen Daten machst und wie du sie sicherst. Auch wenn du sie gar nicht sicherst, kommt dafür keiner ins Gefängnis :)
    Solange du die gesetzliche Aufbewahrungsfrist einhälst. Also ergibt sich vielleicht daraus eine Pflicht, aber nicht für Backups generell.
    Nur wohl kaum einer lagert Daten 10 oder mehr Jahre ein und nutzt dafür seine Festplatte für den laufenden Betrieb.


    Wenn es gesetztes Konforme Datensicherungen gibt, wäre ich sehr an einer Quelle interessiert. Klingt interessant.


    Meiner Meinung nach kannst du auch mit einem Backup User und mit dem Trennen bestimmter Laufwerke, Opfer werden. Verlassen würde ich mich zumindest auch nicht darauf.


    Ich kenne zudem derzeit keinen bzw. hatte ich bisher keinen Trojaner, der alle Daten verschlüsselt. Die konzentrieren sich meist auf bestimmte Dateiendungen. In allen Fällen waren z.B. Trueimage, Paragon Image, Outlook Pst Dateien nicht betroffen. Beliebt hingegen sind Standardendungen (doc, xls, jpg etc)

    Guckst du hier (Ok ist kein Gesetztetext):

    Zitat von Wikipedia

    Gesetzeslage
    Die Pflicht zur Datensicherung in Betrieben ergibt sich unter anderem aus den gesetzlichen Vorschriften über eine ordnungsgemäße, nachvollziehbare, revisionssichere Buchführung (HGB). Von der kurzzeitigen Aufbewahrung (begrenzt auf einen Tag bis drei oder auch sechs Monate) unterscheidet sich die längerfristige Datenarchivierung, die anderen Gesetzmäßigkeiten unterliegt. Die Grundsätze zur Archivierung und Nachprüfbarkeit digitaler Datenbestände sind in Deutschland seit Januar 2002 für Unternehmen verbindlich in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), herausgegeben vom Bundesfinanzministerium, zusammengefasst.



    Und hier geht es weiter mit der GoBD:
    http://www.bundesfinanzministe…_blob=publicationFile&v=3



    Zitat von FuXXz

    Nur wohl kaum einer lagert Daten 10 oder mehr Jahre ein und nutzt dafür seine Festplatte für den laufenden Betrieb

    Ich schon, hab dafür aber extra Festplatten angeschafft. Was kostet heute schliesslich noch 1TB???



    Lies mal die GoBD, da steht schon ganz klar drin, was zu tun ist und im papierlosen Büro kann man schliesslich schlecht Ordner aufbewahren.


    http://www.bundesfinanzministe…DPdU/2014-11-14-GoBD.html


    Eine gute Richtline zur Datensicherung ist immer die "3-2-1 Regel der Datensicherung"

    • Es sollten mindestens drei Kopien Ihrer Daten vorhanden sein.
    • Speichern Sie die Kopien auf zwei unterschiedlichen Medien.
    • Bewahren Sie eine Backup-Kopie an einem externen Speicherort.

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Zitat-Block eingefügt

    Ja genau, das eben sagte ich doch. Denen geht es nur um die Aufbewahrung. Wie du das machst, ist denen aber egal. Kannst die Daten auch in Vinyl kratzen :), hauptsache die Daten stehn zur Verfügung.


    Eigentlich ging es ja um die Trojaner und daher habe ich generell den Einwurf mit den Fahnder nicht in Relation setzen können, halt einfach weil keine besteht :)


    Wollen wir also nicht weiter den Beitrag verschandeln. Zurück zum Thema, gegen diese Trojaner ist natürlich eine Streuung sehr wichtig. Finde ich.
    Daher führe ich eher die 10-6-10 Regel aus, falls es die gibt :D

    "Veeam® Endpoint Backup™ FREE ist eine einfache und kostenlose Backup-Lösung für Windows-basierte Desktops und Laptops"
    Wie soll das auf einem QNAP laufen ? Ich müßte also ständig einen zusätzlichen Rechner laufen lassen, der sich um die Backups kümmert ?
    Das wäre Unsinn. Wozu habe ich den einen NAS. DER und NUR DER soll für die Datensicherheit da sein.
    Und eine Datensicherung sollte IMMER ohne das eingreifen eines Menschen durchgeführt werden. Menschen machen nun mal Fehler, vergessen etwas oder sind zu faul. Ein tödlicher Fehler.


    Genauso wie das einhängen einer externen Festplatte und der "falschen" Hoffnung, das man damit einem Crypto Trojaner entgehen könnte.
    Ein Crypto Trojaner wird ganz sicher NICHT alle Dateien verschlüsseln, die er findet. Das würde unweigerlich dazu führen, dass das Betriebssystem abstürzt und der Rechner nicht mehr startet. Wie soll er dann noch seine Geldforderungen an den Mann bringen ?
    Es werden also sicher nur ganz bestimmte Dateien verschlüsselt, die einen gewissen Wert darstellen. Für den Privatmann also Fotos und Videos, für Firmen Word Excel usw.
    Und ein guter Trojaner hält sich auch erst mal eine weile bedeckt, erkundet seine Umgebung, sammelt Daten, bevor er dann zuschlägt. Was bringt es also, wenn eine Festplatte irgendwann mal in das System eingebracht wird und darauf gesichert wird ? Ist das System schon verseucht, wird er auch diese Festplatte schlagartig verschlüsseln bzw. die Dateien darauf.


    Wirklich funktionieren kann nur eine Methode. Sicherung auf FTP. Da kommt der Trojaner nicht dran, selbst wenn die Verbindung aktuell besteht, weil er die Zugangsdaten nicht kennt und wohl auch so einfach nicht rausfinden kann.
    Wenn man dann dazu noch verschiedene Versionen sichert, also Montag, Dienstag, Mittwoch usw., sollte man einem Trojaner relativ gelassen entgegen sehen können. Vorausgesetzt man arbeitet regelmäßig mit Word, Excel, so das man auch schnell genug bemerkt, wenn sich ein Trojaner an die Arbeit gemacht hat.


    Es wäre also klasse, wenn QNAP seine Backup Software auf dem Gerät mal etwas auf bohren würde, so das Versioning funktioniert und man mit EINEM Backupauftrag mehrere Verzeichnisse sichern kann. Dann sichern auf ein Medium, das Zugangsdaten oder zumindest ein Passwort benötigt und man hätte vorerst eine Sicherungsmethode, die gegen Crypt Trojaner schützt.


    Übrigens. Das Sichern in die Cloud hilft auch nicht. Viele Trojaner können die Cloud schon befallen, weil diese nun mal gerne als zusätzliches Laufwerk in den Computer eingebunden wird. Also genau überlegen, wie man seine Sicherung aufbaut.

    Die Tatsache, dass nur bestimmte Dateien zum Opfer fallen, war bisher immer mein Vorteil :)


    Worin besteht der Unterschied zwischen einem FTP und einem Laufwerk mit Zugangsrechten für einen bestimmten Benutzer? Beides benötigt Zugangsdaten, beides hat NUR dann Schreibrechte, bei beiden muss irgendwo der Zugang auf dem NAS hinterlegt sein. Ich sehe beide gleich kritisch.
    Was übersehe ich also?
    Zudem kann man nicht immer alles auf FTP sichern, je nachdem wie viel GB Daten es sind.

    Der Unterschied ist ganz einfach. Wenn Du ein Laufwerk mit Benutzerrechten einbindest, hat der Rechner ja Zugriff auf das Laufwerk. Heißt, in dem Moment, wo sich genau dieser Benutzer mit dem Kaufwerk verbindet, kann der Trojaner zuschlagen.
    Bei FTP kann nur die Software, die die Zugangsdaten kennt, auch darauf zugreifen, sonst aber niemand.


    Wieso kann ich nicht alles auf FTP sichern ? Die größe des FTP Speicherplatzes ist allein abhängig von deinem Geldbeutel und da muß jeder für sich entscheiden, wieviel ihm seine Daten wert sind.


    Billiger geht es, wenn man z.B. einen zweiten NAS kauft, die Freigaben dort ausschließlich für FTP frei gibt und dann der erste NAS halt via FTP (geht auch im lokalen Netzwerk) auf den zweiten NAS sichert. Wichtig ist halt, das zu keinem Zeitpunkt irgendein Computer mit Schreibrechten auf das Backupverzeichnis, besser noch gar nicht auf den Backup NAS zugreifen kann.
    Muß man dann doch mal unbedingt da dran, dann halt vom Netzwerk trennen und mit einem garantiert sauberen Rechner verbinden und per Admin darauf zugreifen.


    Wie gesagt. Muß jeder selber wissen, wieviel Geld ihm seine Daten wert sind. Ich mußte den Chef in der von mir betreuten Firma nicht lange überreden. Durch einen fast komplettverlust der Daten weiß er, was es an Arbeit und Geld kosten würde, die alle neu anzulegen, sofern überhaupt möglich.

    Verstehe ich immer noch nicht :( Sorry
    Also das Protokoll FTP hat doch keine besondere Sicherheit, im gegenteil. Ob nun FTP oder SMB.
    Ich erstelle ein Laufwerk oder ein Ordner wie realfreeze schrieb, entziehe alle Rechte und nur gebe nur einem Backup User Schreibrechte.
    Wo ist dann der Unterschied zu der FTP Version? Für beide benötige ich "Zugangsdaten" die dann in der Software gespeichert sind.


    Bei dem FTP geht es nicht um den Speicher, sondern um die Übertragungsgeschwindigkeit. Im Idealfall hat man 50mbit upload. In der Realität kommt das leider zu selten vor.

    Ok, dann mal ausführlicher.
    Du hast einen NAS mit einem Verzeichnis drauf. In deinem Fall realfreeze. Auf dieses Verzeichnis kann man nur mit entsprechenden Zugangsdaten zugreifen (Benutzername und Passwort) ODER "und hier kommts" der Administrator. Der kann da sicher immer drauf zugreifen.
    Das blöde an Windows ist, greift man einmal mit Benutzername und Passwort auf so ein Verzeichnis zu, dann merkt sich das Windows gerne und nach dem nächsten Neustart kann dann sofort auf das Verzeichnis zugegriffen werden. Und das kann DANN eben auch ein Trojaner.
    Auch wäre die Frage zu klären, wie sich das Windows während des Backup verhält. Also nehmen wir an, das Backup startet und greift dann ja auf den Geschützten Ordner zu. Wie sieht es in der Zeit im Explorer aus. Ist das Verzeichnis sichtbar und kann darauf zugegriffen werden ?
    Verstehe mich nicht falsch, aber ich habe bei Windows schon zuviel unerklärlichen Mist erlebt.


    Bei FTP ist das anders. Das wird definitiv nicht als Laufwerk eingebunden oder sonst wie gemountet, das ein anderer als das Programm darauf zugreifen könnte.


    Übrigens. FTP geht nicht nur ins Internet, sondern auch Lokal. Der QNAP unterstützt das auch. Wenn Du also z.B. einen zweiten billigen NAS hast oder dir besorgst, kannst Du via FTP im lokalen Netzwerk sichern und das mit vollem Speed.

    Also die Theorie habe ich dann doch verstanden. Nur ich verstehe nicht die Argumente die dagegen sprechen. Die Dinge, die du schilderst sind bei mir anders.
    Somit reden wir gerade nur aneinander vorbei :)


    Also Windows speichert keine Daten, Passwörter oder sonst was. Es sei denn, ich möchte das so.
    Der Administrator muss keine Rechte haben, es geht auch NUR der Backup Nutzer. Admin ist ja deaktiv.
    Bei jedem Zugriff auf diesen Ordner, kommt die Aufforderung von Benutzer und Passwort.
    Der Ordner oder das Laufwerk ist nicht gemountet, eingebunden oder als Netzlaufwerk verfügbar (das ist für einige Crypt Trojaner schon die Grenze, da sie Netzlaufwerke befallen, mehr nicht).
    Backup Programme die ich nutze, können sich bei jedem Backupjob mit einem Benutzer legitimieren. Sonst steht nirgends das Passwort.

    Administrator ist deaktiviert ? Und wenn Du doch mal dran mußt, weil irgendwas ist ?
    Ich sag ja auch nicht, das deine Variante schlecht ist. Ich habe nur zu bedenken gegeben, das es nach meinem Dafürhalten etwas unsicherer ist, da Windows eben schon mal was speichern kann. Einmal nicht aufgepasst und schwupps, hat es sich die Daten gemerkt. Bei FTP kann das nicht passieren und hat somit für mich einen kleinen Vorteil.
    Wenn Du dich soweit im Griff hast, das Du IMMER weiß, wohin Du klickst und auch garantiert niemals als Admin an den NAS dran muß, gut, dann passt dein System für dich. Ich für meinen Teil versuche den fehlerfaktor Mensch immer so weit wie möglich auszuschließen.

    Es geht ja nicht um schlecht oder gut, Recht oder Unrecht, wir wollen hier ja gemeinsam Möglichkeiten finden. Dazu zählt auch gemeinsam herauszufinden, was sich nur "sicher" anfühlt und was wirklich effektiv ist.
    Und da sehe ich derzeit nun mal noch keinen Mehrwert in der Art des Protokolls. Man darf auch nicht vergessen, dass diese Trojaner ja auch mies sind :)
    Und bevor ich ein Backup benötige, darauf achten was man anklickt und Virenscanner. Dann muss man meistens auch nicht aufs Backup zurückgreifen.
    Die Steckbriefe der derzeit bekannten Crypt Trojaner verraten zudem wo ihre Grenzen sind. Wie anfangs erwähnt, fehlende Netzlaufwerke z.B. oder bestimmte Dateiformate. Da kommen die nicht dran.


    Generell ist es immer zu empfehlen, bei allen Arten von Systemen, nicht den Admin zum Arbeiten zu nehmen, das ist aber auch mehr eine Geschmacksfrage. Daher ist sowohl im Windows als auch auf dem NAS der Administrator deaktiviert oder nicht in Benutzung.
    Muss ich an die Daten, dann nutze ich dafür entweder den Backup User oder halt den Admin.
    Zudem funktionieren ernsthafte Backups nur mit externen Programmen und nicht mit der Software von den NAS Anbietern. Und eben diese Software legitimiert sich eigenständig über Anmeldungen.
    Daher gibt es keine Laufwerke die ich anklicken kann, ich nutze also die UNC Pfade.

    Ich werfe hier mal die direkte Verbindung NAS :arrow: Backup-NAS in den Raum. Wobei das Backup-NAS keine weitere Netzwerkverbindung hat.
    Dann direktes RTRR Backup. Kein Trojaner hat die Chance das RTRR-Kennwort herauszubekommen. Selbst wenn, müsste er das RTRR-Protokoll verstehen.