Sicheres Backup mit Bitlocker?
 

Hallo zusammen,

derzeit stelle ich meinen Backupplan komplett um und würde von euch gerne eine Meinung einholen.

Zunächst mal, was ich mir generell vorstelle:

• 1 Platte, auf der ein wöchentliches Backup gemacht wird, steht bei mir zuhause.
• 1 Platte, auf die etwa jeden Monat ein Backup gemacht wird, steht bei meinen Eltern.
• 2 Platten, von denen auf jeweils eine jeden Tag ein Backup gemacht und die nach einer Woche durch die andere, die in einem Bankschließfach lagert, ausgetauscht wird.

Nun zu meiner Frage:
Die beiden Platten, die ich im Wechsel verwende sollen das Wiedehrerstellungsmedium der Wahl sein. Hier habe ich jedoch die Sorge, dass ein Malwarefang am Tag vor dem Austausch die Daten beider Platten kompromittieren könnte.
Meine Überlegung war daher, auf jeder Platte zwei Partitionen zu erstellen und damit für vier Wochen jeweils eine Partition zu haben (Platte1: Woche 1 & 3, Platte2: Woche 2 & 4, nach 4 wieder von vorne). Die Partitionen verschlüssle ich jeweils unter Verwendung unterschiedlicher Passwörter mit Bitlocker.
Somit wären nur zwei der vier Partitionen betroffen, wenn ich mir Malware am Tag vor einem Tausch einfange.

Gehe ich Recht in der Annahme, dass die Daten der anderen Partitionen entweder nicht kompromittiert sind oder aber die Verschlüsselung durch die Malware beschädigt wurde und sie sich somit nicht mehr entschlüsseln lässt (ich somit also sicher sein kann, dass die Daten in Ordnung sind, wenn sich die Partition entschlüsseln lässt)?

Ich hoffe, man versteht so ungefähr was ich meine.
Für bessere Ideen bin ich übrigens auch offen!

Viele Grüße
mP765

Also was ich so in den letzten Wochen und Monaten im Internet gelesen habe, ist eine Festplatte bzw Partition auf einer Festplatte deren Daten verschlüsselt sind, nicht sicher vor Ransomware. Anders gesagt: schlägt ein Ransomware bei dir zu, verschlüsselt er auch die Daten auf deiner Partition die du selbst mit einem Verschlüsselungs Programm wie Bitlocker usw. verschlüsselt hast und die Daten wären für dich so lange verloren bis du entweder zahlst oder es ein Entschlüsselungs Tool gibt für den Ransomware an den du geraten bist.

Das bedeutet aber, dass ich in jedem Fall sehe, ob mit den Daten alles in Ordnung ist? Bzw. andersrum: Wenn ich die Partition nicht mehr entschlüsseln kann, war Ransomware (oder irgendwas anderes an Malware) am Werk - wenn ich sie aber entschlüsseln kann, ist mit den entschlüsselten Daten alles in Ordnung?
Immer vorausgesetzt natürlich, dass ich die Malware rechtzeitig entdecke und ich nicht eine Partition öffne, deren Daten dann kompromittiert werden könnten.

Wobei das ja immernoch ein Problem ist :dummguck:: Wenn ich nicht bemerke, dass da irgendwas gerade alles verschlüsselt, und ich die andere Platte anschließe, sind ja nachher beide Platten nicht mehr zu gebrauchen. Wahrscheinlich sind dann auch noch an dem Tag das Wochenbackup und das Monatsbackup auf einen Tag gefallen und ich hab gar nichts mehr :daumenrunter:
Schade, dass vier Festplatten teurer sind als zwei :D

Viele Grüße
mP765

Laufwerks- bzw Dateisystemverschlüsselung wurde nicht für sichere Backups konzipiert. Es soll verhindern, dass Unbefugte an Daten herankommen. Mit Sicherung vor ransoms hat das Ganze rein garnix zu tun.

Nein, wie kommst du auf diesen Unfug? :wtf:
Wenn du ein Bitlocker-Laufwerk entschlüsselst und dann statt eigenen Dateien CRYPT oder LOCKY siehst, was ist dann? Oder meinst du ein ransom kann nicht auf ein gemountetes Bitlocker-Laufwerk zugreifen?

Wenn duein Bitlockerlaufwerk sschon garnicht öffnen/mounten kannst hast du ein noch größeres Problem. :kaffee:

Verschlüsselung bedeutet im Recoveryfall: mehr und größere Probleme, wenn nicht sogar unüberwindbare.

Ne, das meinte ich auch gar nicht. Ich möchte die Daten verschlüsseln, damit die Daten verschlüsselt sind.
Mir ist dann nur der Gedanke gekommen, dass die Verschlüsselung nebenbei noch einen Indikator darstellen könnte, ob Malware Schaden angerichtet hat, weil sie dabei die Verschlüsselung zerstört und die Entschlüsselung somit verhindert.

Auch das meinte ich etwas anders (ich habs heute aber auch mit anders meinen :D): Ich greife ja erst drei Wochen später wieder auf eine bestimmte Partition zu. Mal angenommen, ich habe innerhalb dieses Zeitraums Malware bemerkt (und mit eurer Hilfe beseitigt) und bin mir sicher, dass zum dem Zeitpunkt, zu dem ich die Partition das letzte Mal geschlossen habe, noch nichts schädliches unterwegs war. Dann müsste ich mir doch eigentlich auch sicher sein können, dass die Daten der Partition in Ordnung sind, weil Malware nicht an die Daten direkt, sondern nur an die verschlüsselten Daten drankommt. Wenn sie an die Verschlüsselung geht, lassen sich die Daten nicht mehr entschlüsseln, und wenn nicht, ist alles okay.
Aber ich seh schon, da ist ein Knick in der Logik. Ich kann ja gar nicht wissen, wann genau ich mir die Malware eingefangen habe :stirn:
Dann weiß ich jetzt auch nicht mehr weiter... Hast du Links, wo "malwaresicherere" Backuplösungen beschrieben werden (oder eine Idee)?
Blöd... Aber da sind halt auch Firmendaten drauf, die einem möglichen Einbrecher nicht einfach so in die Hände fallen sollten...

Viele Grüße
mP765

Wenn du das Bitlocker-Volume nicht mehr mounten kannst, bedeutet das nicht notwendigerweise, dass Malware da was kaputtgemacht hat.


Wenn du einen verseuchten Rechner sichern musst, aber die älteren Backups auf dem dem Sicherungslaufwerk behalten und nicht gefährden willst gibt es wohl nur eine Lösung: den zu sichernden Rechner runterfahren, von sicherem ro Medium booten wie zB Ubuntu MATE von DVD im Ausprobiermodus. Ich weiß aber nicht, ob Bitlocker da so einfach geht.

Okay... Würdest du meinen im ersten Post beschriebenen Backupplan dann als sinnvoll und ausreichend betrachten?

Ich hab viel mehr Sorge, dass meinen Backups was passiert. Der Rechner ist verzichtbar.

Ich hab mal gelesen, dass jemand mit dislocker (da der Link immer wieder verschwindet: hxxp://www.hsc.fr/ressources/outils/dislocker/) gute Erfahrungen gemacht hat. Sollte also gehen.

Viele Grüße
mP765

Ich bin mir zu 99,99% sicher, dass du auf einer Bitlocker verschlüsselten Partition Dateien nicht voneinder unterscheiden kannst. Aber wenn die Ransomware die Platte mountet und einfach nur die 0er und 1er drauf verschlüsselt sind die natürlich weg.

Allgemein der gesamte Plan wäre mir persönlich zu mühsam. Aber kommt natürlich darauf an, wie wichtig die Daten sind. Allgemein würde ich empfehlen wichtige Daten sofort zu Backuppen anstatt tägliche Backups (kommt aber auch auf die Menge deiner Dateien an).

WAS soll mit den Backups passieren :wtf: wenn das Backup durch ist, bewahst du diese doch in einem Schrank auf oder nicht

Ob dein Backupplan ausreichend ist, kann ich doch nicht beurteilen, wenn du meinst es muss ne tägliche Sicherung her und es reicht dir wenn du max. zwei Tage zurückkannst...

Ein "echtes" Generationenprinzip sieht anders aus. Da man man dann:

- vier Medien/Laufwerke für die Wochentage (Montag bis Donnerstag)
- vier für die Wochen im Monat (Woche1 - Woche4 oder auch Freitag1 bis Freitag4; es kann Monate mit fünf Freitagen geben)
- zwölf Monatslaufwerke

Dieses Prinzip wendet man aber eher bei Sicherungen auf Bänder an. Mehr dazu da => https://de.wikipedia.org/wiki/Generationenprinzip

Darf man erfahren, um wieviel MB, GB, TB es sich täglich handelt?

Hast du einen Vorschlag für einen alternativen Plan?

Täglich reicht eigentlich. Wenn dann mal 10 Stunden Arbeit weg sind, sind sie eben weg.
Was würdest du denn für eine Echtzeitsicherung empfehlen? Es müsste schon irgendwas Richtung reverse incremental sein, damit ich den aktuellen Satz immer komplett habe.
Im Moment sichere ich, indem bereits gesicherte Dateien mit Hardlinks in den neuen Satz verlinkt werden und neue Dateien eben dazukopiert werden. Damit hab ich in jeder Sicherung einen kompletten Satz der Daten.

Eben genau das Szenario, dass Malware die Dateien des Backups kompromittiert.

So viel Geld hat man als Student nur leider nicht :D

Klar: Die Daten, die gesichert werden müssen, sind etwa 260-280GB. Davon werden idR täglich 3-10GB verändert.

Viele Grüße
mP765

Aha. Und wo gibt es Malware, die einen nicht angeschlossenen Datenträger, der im Schrank verwahrt wird, manipuliert? :kaffee:

Und warum erzählst du uns vorher was von Firmendaten?
Bist du als Student ein ultrabilliger Admin-Ersatz für die Firma?
Und wer sagt, dass du das aus eigener Tasche zahlen musst? Kann die Firma ihre Sachen nicht selbst bezahlen? :balla:

Also ich machs so: Wichtige Dateien werden immer sofort auf Google Drive geladen. Wichtig im Sinne von ich will sie nicht verlieren, nichts Privates. Falls es was privates is verschlüssel ich das mit GPG und haus dann aufs Drive. Bevor ich den PC abdreh geb ich das noch auf meine externe Festplatte. Mir reicht das. Es gibt die Chance von einem Ausfall, aber ich muss schon ziemliches Pech haben dass meine interne HDD, interne SSD, externe HDD und Google Drive nicht funktionieren.

Hierbei muss es aber jeder selbst wissen wie sicher er es haben will. Ich kann nicht den Stand von vor einem Jahr wiederherstellen, brauch ich aber auch nicht.

Die Grundfragen die du dir für eine Backupstrategie denken solltest sind:

Wie viel Aufwand darf das kosten?
Wie sicher müssen die Daten sein?
Wie lange möchte ich alte Daten archivieren?

Edit:

Hab das mit den Firmendaten erst jetzt gelesen. Die würde ich dann wohl doch auf eine extra Platte packen. Ich geb aber Cosinus recht, da hat sich eigentlich die Firma drum zu kümmern.

Die wirds bestimmt auch bald geben :zunge:
Ich meine aber eher, dass sie beim nächsten Mal anschließen (eben am nächsten Tag) einfach alle meine Daten tötet!

Ich bin HiWi :) Und das ist leider ein bisschen komplizierter: Die Hardware, die wir da haben, ist so schlecht, dass ich für viele Dinge meinen Privatrechner nehmen muss. Und da nichtmal neue VGA-Kabel angeschafft werden, wird mit bestimmt auch kein Backup bezahlt. Und falls jemand sagen möchte, dass das ein ziemlich unguter Zustand ist: Das weiß ich selbst. Es ist aber leider nicht zu ändern. Ich werde weiterhin meinen Privatrechner benutzen müssen und bin weiterhin selbst für die Sicherung der Daten zuständig. Und wenn von mir aus Daten zu Unbefugte gelangen, bin ich auch alleine der Schuldige. :headbang:


@Deathkid535:
Das wäre mir in meiner derzeitigen Situation etwas zu wenig Sicherheit...

Viele Grüße
mP765

Hast du zuviele schlechte Filme gesehen?? :wtf:

Wenn du dir solche Sorgen machst hau doch alle Daten auf 2 HDDs (Also doppelt) :kaffee:

Auf jeden Fall! :rolleyes:
Aber auch was über die Geschwindigkeit von z.B. Locky gelesen.

Mein neuer Plan sieht ja sogar 4 vor...

Viele Grüße
mP765

Die Firma macht sich ja gar keine Sorgen um die Sicherheit.
Denn wenn sie erlaubt ,dass du deinen privaten PC in das Netzwerk einbringst, schmeisst sie alle Sicherheitsvorkehrungen über den Haufen.
Wenn du deinen PC zb Laptop mit nach Hause nimmst und ihn privat nutzt kannst du ja garnicht für die Sicherheit garantieren.

Sind denn die Firmendaten nicht so wichtig, dass du sogar ein vollkommenes Backup bei deinen Eltern lagern darfst?

Du hast Deathkid535 nicht verstanden. Er meinte, dass du das selbe Backup auf 2 Platten bringst.
Du hast ja vor, 4 Platten nacheinander in Abständen zu nutzen.

Du musst dein Sicherheitskonzept grundlegend neu strukturieren.

Die macht sich um so vieles keine Gedanken...

Wenn irgendwas meine Daten kompromittiert, sind aber dann immernoch beide Backups verloren, weil beide an den PC angeschlossen sind für die Sicherung.

Nicht ganz. Ich nehme zwei Platten nacheinander in Abständen, aber auf einer dritten Platte wird zusätzlich wöchentlich und auf einer vierten zusätzlich monatlich gesichert.

Da komme ich nur mit dem "wie" nicht so richtig weiter...

Viele Grüße
mP765

Was denn jetzt, deine Daten oder Firmendaten. So langsam liest man von dir nur noch kräftige Widersprüche.

Meiner Meinung nach sollte man dafür USB Festplatten verwenden, die nach der Datensicherung wieder ausgeschaltet bzw abgestöpselt werden können, dann sind die USB Festplatten offline, Ransomware hat dann keinen Zugriff auf die Offline USB Festplatten und deren Daten darauf werden nicht verschlüsselt.

Wir drehen uns im Kreis.
Für ein richtiges Backupkonzept ist kein Geld da.

Da bleibt dann nur noch deine Version. Aber..... nichts zusätzlich auf die Platte bringen.
Für wöchentlich und monatlich eine EXTRA Platte.

Optimal wären in deiner Situation 7 Platten.
Je Wochentag eine und eine für wöchentlich und eine für monatlich.
Keine mit nach Hause nehmen, sondern dem Chef überlassen wo er sie deponiert.:Boogie:

Oder wenigstens 5.
Alle 2 Tage und eine wöchentlich und eine monatlich.

Kein Geld da, keine Lust, muss alles nicht sein. Aber Daten sind ja extrem wichtig. Als Backupoperator kommt aber ein billiger Student zum Einsatz, die arme Sau ist dann für alles verantwortlich und haftet.

Statt dann Backups auf (LTO-)Tapes zu machen muss der billige studentische Ersatzadmin dann mit USB-Platten jonglieren.

Ist ja ne tolle Firma, so tun als wenn man das Thema oberwichtig nimmt, dann aber zugenähte Hosentaschen zeigt :rofl: :lach: Kranke Welt da draußen....

Eigentlich nicht. Aber ich fasse meine Situation gerne nochmal zusammen, vielleicht hilft das:
Ich möchte meine Daten, die auf meinem privaten PC gespeichert sind, sichern. Darunter sind auch Firmendaten - immer die Projekte, an denen ich aktuell arbeite.
Da Firmendaten dabei sind, sollte das Backup verschlüsselt sein.
Ich sichere weder den Firmenserver noch alle Firmendaten, sondern lediglich meinen privaten PC.

Könnten sie aber eben werden, wenn ich die Platten einstecke, weil ich nicht bemerkt habe, dass Ransomware gerade ihr Unwesen treibt.

So wars gedacht.

Das stimmt zwar alles tatsächlich so, aber das bin nicht ich. Ich will nur meinen privaten Rechner sichern.

Mir wurde nur gesagt, dass ich selbst dafür zu sorgen habe, dass ich die Projekte, die ich auf meinem privaten PC lagere, sichere und vor allem gegen unbefugten Zugriff schütze.

Viele Grüße
mP765

Sicher dein System entsprechend ab mit Tools und einem Virenschutz Programm das einen guten proaktiven Schutz hat so etwas wie Emsisoft Anti Malware oder installiere neben deinem vorhandenen Virenschutz Programm etwas wie Hitman Pro Alert oder Win AntiRansom und mache die Backups/Images nicht nur auf eine USB Festplatte sondern identisch auf 2 verschiedene USB Festplatten und lasse die offline wenn sie nicht benutzt/gebraucht werden.

Achsoooooooo.
Das sieht doch schon mal ganz anders aus.
Du willst deinen Laptop sichern und die Daten von deinem Projekt in der Firma musst du geheimhalten.
Also bezahlst du jede Backuplösung.

Jetzt kommt es drauf an, was du sonst noch so mit dem Laptop machst. Spielen, alle mögliche Programme installieren, Server installieren usw, oder wirklich nur für normale Anwendungen im Privaten Bereich.

PC schön sauber halten, vernünftige Antivirenlösung, Backup auf deine 4 angedachten Platten.
Datenpartition mit den betrieblichen Daten verschlüsseln.
Laptop niemals in den Energiesparmodus-->Ruhemodus fahren und dann transportieren.

Okay, das klingt doch schonmal sehr gut, danke für den Tipp :)
Emisoft hatte ich noch nie Werde ich mir mal ansehen. Ist das das, was ihr empfehlt?

Ganz genau!

Von allem etwas. Es sind Spiele drauf, ich hab einige Programme installiert (aber immer die gleichen, es kommt eigentlich nie großartig was dazu) und lokale Server gibts auch (NodeJS und ab und zu bekomme ich was für XAMPP).

Wenn ich das nächste Mal Windows neu installiere soll eh die komplette Festplatte mit Bitlocker verschlüsselt werden. In letzter Zeit wurden so vielen Kommilitonen ihre Laptops geklaut, dass ich da lieber auf Nummer sicher gehen werde.

Und wieder muss man Gewohnheiten ändern :rolleyes: Es ist so schön einfach, bis zur letzten Sekunde zu arbeiten, den Laptop zuzuklappen und zum Bus zu rennen...

Viele Grüße
mP765

Ja das wird hier empfohlen und wenn du es kaufen willst, schreib schrauber eine PN, dann bekommst du es 25% günstiger;)
Falls du es noch nicht machst, dann mach neben Backups der Daten die dir nicht verloren gehen sollen auf eine USB Festplatte auch regelmässige Backups/Images deines Systems mit zum Beispiel Macrium Reflect Free, Aomei Backupper Standard, Paragon Backup & Recovery Free oder einem ähnlichen Programm.

Das hat sich vorhin aber völlig anders angehört :wtf: naja :kaffee:

Für dein Laptop kannst du du dir gern mal Veeam Endpoint Backup anschauen

Wenn du zuklappst und dann zum Bus rennst und dann das Teil abhanden kommt wird es eng für dich.
Dieser Ruhemodus ist ein Sicherheitsrisiko.
Auch wenn du deine Platte verschlüsselt hast und Passwörter vergeben hast, reicht eine kleine Flasche flüssiger Stickstoff und deine Daten stehen morgen im WWW zum runterladen bereit.