Menü: WeBLOG
Menü: WeBLOG
WeBLOG
Zurück zur Blog-Übersicht
Das ewige Gejammer über verlorene Daten (27.08.2014)
So langsam können wir es nicht mehr hören - das Wehgeschrei von verlorenen, unwiederbringlichen Daten, wie essentielle Firmen-Dateien oder emotional wichtige Familien- und Urlaubsbilder u.s.w... - sei es verursacht durch Festplattendefekte, durch Viren&Co. wie z.B. über die neueste Ransomware CTB-Locker oder Synolocker oder durch andere Unwägbarkeiten.

Das Zauberwort heisst Datensicherung! Wir wiederholen diese Aussage immerzu aber scheinbar hören sie wenige oder es ist die Bequemlichkeit, um nicht zu sagen Faulheit, die grosses Ungemach bringen kann!
Für alle bisher Unbedarften oder "Kind-in-den Brunnen-gefallen-Geschädigte" nachstehend ein kleines Konzept, wie Daten zuverlässig in einem Backup aufbewahrt werden können:
  • Das Smartphone gehört - wie andere Geräte - ebenso regelmässig gesamtheitlich gesichert, weil dort mittlerweile auch viel aufbewahrt wird. Dies geschieht am besten mit dem heimischen Rechner als Backupziel, z.B. für Android-Phones über "HoloBackup" oder "Titanium-Backup". Letzteres kann auch per Stapelverarvearbeitung regelmässig automatisiert sichern (z.B. auf die externe Speicherkarte).

  • Der Rechner bzw. die Rechner sollten regelmässig auf einem externen Medium gesichert werden, welches nicht dauerhaft mit dem Rechner verbunden ist (Ausnahme NAS*). Dies erledigt man über eine Sicherungssoftware**, die gleich ALLES (nicht nur Daten, sondern auch das Betriebssystem inkl. aller Installationen und Einstellungen sowie der Boot-Partition und alle anderen Partitionen bzw. Festplatten) per Disk-Image auf ein externes Medium wie z.B. ein NAS* (Network Attached Storage) ablegt (zu empfehlen: Buffalo-Produkte). Das NAS hat den Vorteil, über das Netzwerk von allen Rechnern erreichbar zu sein, sprich man kann den Sicherungsprozess gleich automatisieren. Z.B. Rechner eins täglich um 2 Uhr nachts, Rechner zwei täglich um 3 Uhr nachts u.s.w... Das Sicherungs-NAS darf natürlich NICHT über das Internet erreichbar sein, sondern nur aus dem lokalen Netzwerk (LAN/WLAN)!

    Die Smartphone-Sicherung (aus Punkt 1) wäre hier auch gleich mit dabei und zusätzlich auf dem NAS :-)



    *Gegen die Verschlüsselung
    eines NAS durch Ransom-Trojaner kann man sich ebenfalls zuverlässig und nachhaltig schützen: Die schreibberechtigte Netzfreigabe des NAS-Sicherungsverzeichnisses darf dem Betriebssystem selbst nicht bekannt sein (keine Speicherung dieser Netzwerk-Anmeldedaten innerhalb des OS!), d.h. die entsprechenden schreibberechtigten Verbindungsdaten (Benutzer und Passwort) sind NUR der Sicherungssoftware (z.B. Macrium Reflect) bekannt. Diese Einstellungen sind im [automatisierten] Backup-Task, der zusätzlich per Passwort geschützt sein sollte, der Sicherungssoftware zu tätigen.

    Um das NAS-Sicherunsgverzeichnis dennoch über den angemeldeten Systembenutzer einsehen zu können, kann man in Erwägung ziehen, sich zusätzlich eine schreibgeschützte Freigabe (nur Leserecht) für diesen Account über die NAS-Benutzerverwaltung anzulegen.

    Der Ransom-Trojaner kann somit überhaupt NICHT - oder, bei Anlage eines nur leseberechtigten Zusatzaccounts des angemeldeten Systembenutzers, NICHT schreibberechtigt - auf das Verzeichnis zugreifen und die Sicherungs-Dateien verschlüsseln.



    **eine Sicherungssoftware (z.B. Macrium Reflect) hat den weiteren Vorteil, inkrementelle oder differentielle Sicherungen durchführen zu können, d.h. es werden nur die Veränderungen zur Vorgänger-Sicherung (inkrementell) bzw. zum Basis-Backup (differentiell) gesichert. Sprich man muss nicht jedes mal ein neues grosses Backup anlegen. So ist es möglich einen platzsparenden Sicherungsatz - z.B. über 30 oder mehr Tage -  zu erstellen (auch mehrere Sicherungssätze sind möglich, z.B. 3 x 30 Tage). Im Falle einer vorangegangenen, unentdeckten Verschlüsselung von Dateien durch Ransom-Malware, die dann mitgesichert wurde, besteht so
    (bei Aufdeckung eines Trojanerbefalls) die Möglichkeit, auf eine vorherige saubere Sicherung zurückzugreifen.

    Bei Festplatten-Komplett-Verlust wird eine neue Harddisk eingebaut und die Sicherung kann einfach wiederhergestellt werden (der Rechner wird in diesem Fall über eine bootable CD/DVD der Sicherungssoftware oder zuvor erstellten bootable USB-Stick gestartet, um die Wiederherstellung anzustossen, da das Betriebssystem ja fehlt) .

    Eine laufende inkrementelle oder differentielle Sicherung (Sicherungssatz) versetzt einen zudem in die komfortable Lage, evtl. versehentlich gelöschte Dateien aus der jeweiligen früheren Sicherung (Disk-Image) einzeln wieder holen zu können. Z.B. bemerken Sie erst nach 14 Tagen, dass Sie eine wichtige Datei gelöscht oder fälschlicherweise geändert haben...

    Des weiteren kann eine solche Sicherung auch per Passwort verschlüsselt abgelegt werden!

  • Das NAS kann kaputt gehen, gestohlen werden (Einbruch) oder inkl. der gesicherten Rechner im Brandfall nichts mehr wert sein. Deshalb ist das NAS, welche alle Sicherungen zentral hält, in regelmässigen Abständen zusätzlich noch auf einer externen Festplatte zu sichern (z.B. 1 x pro Woche oder Monat oder wie auch immer). Diese externe Festplatte ist selbstverständlich an einem anderen Ort aufzubewahren, am besten ausser Haus, bei einem Freund oder im tiefen brandgeschützten Keller...

  • Auch der Webspace zu Homepages gehört regelmässig gesichert, d.h. das Hauptverzeichnis sollte auf den heimischen Rechner heruntergeladen werden (wäre über die Image-Sicherung des Rechners auch gleich auf dem NAS). Evtl. zugrundeliegende Datenbanken (z.B. MySQL) sind ebenso zu sichern. Das kann man manuell über Tools wie z.B. phpMyAdmin oder scripteigene Features bewerkstelligen oder über MySQLDumper automatisieren (Stichwort CronJob). MySQLDumper unterstützt - zur zusätzlichen Sicherung in einem separaten, geschützten Verzeichnis auf dem Server - auch die Zusendung des Dumps per eMail. In letzterem Fall wäre auch die DB-Sicherung gleich mit auf dem NAS über die regelmässige Image-Sicherung des heimischen Rechners.


Jetzt sollten Sie ruhig schlafen können und Erpressungstrojaner, Feuer oder Diebe sind zumindest für Ihre Daten keine Gefahr mehr. Die Aussage "Hätte ich doch..." fällt jedenfalls aus!

Last but not least: Von einer Sicherung in die Cloud (undurchsichtige Wolke) raten wir - nicht nur, wegen der meist sehr grossen Sicherungsdateien - ausdrücklich ab! Es sei denn, Sie wollen der NSA & anderen "Interessierten" Ihre Daten auf dem Silbertablett liefern. Wir sind der festen Überzeugung: There ist no place like localhost!

Kommentare (9) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.


Carsten (28.08.2014 | 10:00 Uhr)

ich stimme nicht zu, was die sicherung in die cloud betrifft. dort sind die daten sicherer als zuhause, weil die rechenzentren hochsicherheitstrakte sind.    

Thomas Murr | Bauser-Enterprises IT (28.08.2014 | 11:01 Uhr)
kundenservice@bauser-enterprises.com
@Carsten
Hallo Carsten,

Deine Aussage trifft bestimmt bzgl. der Gebäudesicherheit zu! Auch der Diebstahl, Brandfall oder Wasserschaden im eigenen Gebäude würde eine Cloudsicherung nicht betreffen (im oben beschriebenen Konzept ist dies aber durch die externe Festplatte, welche ausser Haus aufzubewahren ist, auch geregelt).

Aber ich gebe zu bedenken, dass Dein Zugang zur Cloud durch ein Passwort gesichert ist, was per Brute-Force- oder Dictionary-Attack geknackt werden kann (sofern keine Zwei-Faktor-Authentifizierung eingerichtet ist). Zudem sind Clouds ein begehrtes und lohnendes Ziel für einen Hack. Da nützt der ganze Hochsicherheitstrakt nichts!. Du bist auf Gedeih und Verderb den Sicherheitsmechanismen des Cloudbetreibers ausgeliefert. Und wie lax mit Kundendaten seitens vieler Firmen umgegangen wird, kennen wir ja aus den jüngsten Berichten...

Auch hast Du keine Garantie, dass der Cloud-Betreiber oder einer seiner Mitarbeiter Deine Daten nicht abgreift. Oder ein Mitarbeiter nicht mit Geheimdiensten oder kriminellen Organisationen zusammenarbeitet und Deine Daten herausgibt.

Deshalb Daten in der Cloud unbedingt verschlüsselt ablegen!

Ich bleibe dabei: There is no place like localhost. Zuhause sind die Daten am besten aufgehoben.

Zudem wird für den Upload eine ziemlich üppige Bandbreite benötigt, um grosse Sicherungen dort in angemessener Zeit ablegen zu können. Auch ist der Speicherplatz - soll er denn wirklich ausreichend sein - oft teuer.    

Carsten (28.08.2014 | 18:14 Uhr)

@Thomas Murr | Bauser-Enterprises IT
hardstuff, wenn das mal nicht an der haaren herbeigezogen ist.
mein passwort ist sicher. bin nicht so blöd "passwort" oder "12345" zu verwenden.
warum sollte ein cloudmitarbeiter so etwas tun und meine daten entfremden?    

Thomas Murr | Bauser-Enterprises IT (28.08.2014 | 23:20 Uhr)
kundenservice@bauser-enterprises.com
@Carsten
Hallo Carsten,

so hoffe ich, dass Dein verwendetes Passwort einem PasswortCracker-Programm standhält! Und ich hoffe, dass Dein Cloud-Anbieter nicht selbst Opfer einer erfolgreichen Attacke wird, denn da wäre auch Dein angeblich sicheres Passwort Makulatur.

Die Frage, warum ein Mitarbeiter eines Cloud-Betreibers so etwas tun könne, finde ich allerdings ziemlich naiv. Da fallen mir z.B. auf die Schnelle ein:

- Ärger mit dem Arbeitgeber und Rachegelüste
- eigene Interessen
- Geld, Geld, Geld...will sagen ein Dritter bietet viel oder genug für die Datenherausgabe
- oder einfach mal Edward Snowden fragen    

Nobbe (29.08.2014 | 12:10 Uhr)

@Thomas Murr | Bauser-Enterprises IT
Ich bin voll und ganz Deiner Meinung!

Schützenswerte Daten gehören nicht in die Cloud und bei einer Datensicherung sind solche zwangsläufig dabei.

Eine Verschlüsselung bringt nur bedingten Schutz, wenn man nicht ein ellenlanges Passwort vergeben hat. Ein Angreifer könnte beliebig lange auf das Passort losgehen.    

hahaha (02.09.2014 | 19:53 Uhr)

wie sicher die cloud ist sieht man ja am letzten hack der apple icloud:
www.mobilegeeks.de/apple-icloud-hack-viele-nacktfotos-von-superstars-erbeutet

wer es noch nicht begriffen hat: clouds sind alles andere als sicher! ich gebe dem autor hier recht.    

securetoken (20.02.2016 | 16:43 Uhr)

Wichtige Informationen, die hier geliefert werden. Vor allem die Sicherung auf einem NAS betreffend und wie man sich da vor Verschlüsselung durch Trojaner schützen kann. Auf die Idee, nur meiner Sicherungsapp den Zugriff zu gewährleisten bin ich bisher nicht gekommen. Ausgezeichneter Ansatz!    

Blizzard (05.03.2016 | 14:54 Uhr)

Für das Sicherungsverzeichnis im Netzwerk Zugangsdaten festzulegen, die nur dem Backup-Auftrag bekannt sind, ist eine brilliante Idee!!! Ransomtrojaner haben so wirklich keine Chance, wenn die Zugangsdaten einigermaßen sicher sind (und nicht admin/admin o.ä.).

Man muß als Anwender nur penibel darauf achten diese Zugangsdaten nicht aus Versehen im Explorer zu speichern. Nach einem manuellen Zugriff auf das NAS-Sicherungsverzeichnis, um z.B. die Sicherungen zu prüfen, sollte der Rechner neu gestartet werden bzw. der Benutzer kurz abgemeldet werden. Weil zumindest Windows diese Zugangsdaten für die aktuelle Sitzung zwischenspeichert, auch wenn man das Speichern nicht angeklickt hat. Sollte der Trojaner ausgerechnet in dieser Sitzung zuschlagen, würde er auch auf das Sicherungsverzeichnis des NAS kommen.    

Thomas Murr | Bauser-Enterprises IT (19.03.2016 | 14:32 Uhr)
kundenservice@bauser-enterprises.com
@Blizzard
Komme erst heute dazu, Dir zu antworten.

Um die Sicherungen im NAS-Verzeichnis zu prüfen bzw. überhaupt Zugriff darauf zu haben, sollte man, wie oben im Beitrag (rot) beschrieben, eine zusätzliche schreibgeschützte Freigabe (nur Leserechte) des Sicherungsverzeichnis für den angemeldeten Systembenutzer anlegen.

Somit ist man nicht gezwungen, sich mit dem schreibberechtigten Sicherungsaccount anmelden zu müssen (mit der Gefahr der ungewollten, versehentlichen Speicherung der Zugangsdaten), was auch mit einer Ab- und Anmeldung des System-Benutzers verbunden sein sollte, um den Cache (Zwischenspeicherung) zu diesen Zugangsdaten zu leeren, wie Du absolut richtig bemerkt hast.

Die schreibgeschützte Freigabe kann auch bedenkenlos als Netzlaufwerk eingebunden/gemountet werden, da der Ransomtrojaner nicht mehr ausrichten kann als der angemeldete Systembenutzer selbst. Und der kann in diesem Fall das Sicherungs-Verzeichnis nur lesen aber nichts verändern.    

Zurück zur Blog-Übersicht