TS251A: Verschlüsselung der HDD und Backup-Fragen

    Hallo,


    ich weiß, dass die TS251A wie ich sie gekauft habe, damit beworben wurde, dass sie die darauf gespeicherten Daten verschlüsseln kann.


    Wie läuft das ab? Was passiert wenn das NAS stirbt? Dann hab ich verschlüsselte HDDs + Backup die die nirgends mehr entschlüsseln kann?


    Und: Aktuell hängt als Backup HDD eine externe USB 3.1 HDD am NAS USB dran auf die 1x wöchentlich durch das Hybrid Backup App die gesamte HDD im NAS gesynct wird. Da die externe HDD dauerhaft am USB hängt, ist ja eigentlich die Gefahr hoch, dass ein Verschlüsselungs-Trojaner mir die externe HDD auch verschlüsselt. Gibt es daher die Möglichkeit die externe HDD nach dem sync vom USB zu trennen und vor einem sync automatisch zu erkennen? Habt ihr Vorschläge wie ich das Backup besser mache?

    Zitat von bandchef

    Was passiert wenn das NAS stirbt? Dann hab ich verschlüsselte HDDs + Backup die die nirgends mehr entschlüsseln kann?

    Wenn Du einen Storage Pool hast, dann kannst Du die Daten ohnehin nur in einem QNAP auslesen... eine verschlüsselte Disk kannst Du in einem anderen QNAP ebenfalls wieder verwenden.
    Das Backup selbst ist von der Verschlüsseluing ausgenommen, es wird ja nur die Disk im NAS verschlüsselt, die backup Disk kannst Du separat verschlüsseln und auch mit entsprechend von QNAP bereitgestelltem Tool zB unter Windows auslesen (vorausgesetzt Windows kommt mit dem Dateisystem auf der USB zurecht).

    Zitat von bandchef

    Da die externe HDD dauerhaft am USB hängt, ist ja eigentlich die Gefahr hoch, dass ein Verschlüsselungs-Trojaner mir die externe HDD auch verschlüsselt.

    Nicht nur das... durch ein Schaden am NAS oder durch Überspannung kann die Disk zusammen mit dem NAS zerstört werden, wenn die beiden verbunden sind.
    Allein dass Quelldaten und Backup nebeneinanderstehen birgt schon gewisse Gefahren.

    Zitat von bandchef

    Gibt es daher die Möglichkeit die externe HDD nach dem sync vom USB zu trennen und vor einem sync automatisch zu erkennen?

    Ja, die Disk kann automatisch nach dem Backup ausgeworfen werden und ein Backup kann automatisch starten, sobald die Disk verbunden wird.

    Manche schalten die Disk mit einer Zeitschaltuhr ein und aus, dann klappt das wohl ganz gut automatisiert, halt mit dem Beigeschmack, dass die Disk immer noch neben dem NAS steht und stets zumindest physisch verbunden ist. Aber das würde es zumindest schonmal ein Bisschen besser machen...

    Das Hilft gegen Ransomware aber auch nur bedingt, denn unter Umständen bekommst Du ja gar nicht mit, dass die Daten verschlüsselt sind, bevor das Backup anfängt. Du könntest in dem Fall etwas Glück haben, da oftmals die Originaldateien umbenannt werden, sodass die nicht verschlüsselten Daten im Backup verbleiben (vorausgesetzt dass "gelöschte Dateien beibehalten" werden).

    Sollte eine Malware die Dateien aber nicht umbenennen, stehst Du mit einem Sync blöd da, da würde Dir dann ein versioniertes Backup (kein Sync) helfen.

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Zitat von bandchef

    Wie läuft das ab? Was passiert wenn das NAS stirbt? Dann hab ich verschlüsselte HDDs + Backup die die nirgends mehr entschlüsseln kann?

    :thumbup: Ganz wichtige Überlegung.


    Die Festplatten aus dem NAS kannst du eigentlich nur in einem anderen Qnap-NAS wieder einlesen, wie schon tiermutter schreibt. Egal ob verschlüsselt oder nicht, ein Raid mit mehreren LVM-Volumes (es gibt auch unsichtbare Systemvolumes) an einem anderen Rechner wieder zusammenzubauen, erfordert sehr gute Kenntnisse des LVM-Aufbaus. Da ist es dann eigentlich auch egal, ob das Ding noch verschlüsselt ist oder nicht. Am anderen NAS hingegen kannst du den vorhandenen Schlüssel/Passwort einfach wieder benutzen.


    Beim Backup auf USB-Platte sieht das anders aus. Die kann an jedem Linux-Rechner ausgelesen werden. Zum Entschlüsseln hilft cryptsetup. Es gibt Anleitungen dazu.


    Das Backup wird natürlich gerade auch im Katastrophenfall gebraucht, wenn womöglich Passwort und Schlüssel zum Entschlüsseln nicht mehr gefunden werden. Daher rate ich im privaten Bereich, wenn es nicht um hochsensible Firmendaten geht, von einer Verschlüsselung des Backups ab. Bei der Backup-Festplatte besteht, im Gegensatz zu Smartphone und Notebook, auch nicht die Gefahr, dass man sie in U-Bahn oder Hotel vergisst.


    Wenn du dennoch das Backup verschlüsseln möchtest: Probier einmal aus, ob du ohne NAS an die Daten kommst.

    Zitat von tiermutter

    Das Hilft gegen Ransomware aber auch nur bedingt, denn unter Umständen bekommst Du ja gar nicht mit, dass die Daten verschlüsselt sind, bevor das Backup anfängt.

    Vor allem könnte es sein, dass die Ransomware dann läuft, wenn zufälligerweise gerade ein Backup gemacht wird. Dann kann die Ransomware doch das Backup zerstören.


    Daher muss es immer (mindestens) ein Backup geben, das nicht mit dem NAS verbunden ist. Einfache Möglichkeiten sind z. B. zwei wechselnd eingesteckte USB-Festplatten, von denen eine immer in einem anderen Zimmer (besser andere Wohnung) ist. Wenn z. B. alle vier Wochen gewechselt wird, gehen bei einem Ransomware-Angriff maximal vier Wochen verloren. Und wenn eigene Doofheit der Grund war, warum man das Backup braucht, dann gibt es auf der gerade angeschlossenen Platte ein aktuelles Backup.