Ein RAID-1 ist keine Lösung. Dateien die man löscht, werden auf beiden Platten gelöscht. Das selbe trifft auf Ransomware zu, die Dateien werden auf beiden Platten verschlüsselt.
YforU schrieb:
Das ein Raid kein Backup ist wurde ja bereits erläutert. Aber auch eine externe USB HDD oder NAS ist für sich genommen heute keine pauschal sichere Lösung mehr.
Die Wahrscheinlichkeit von einer Ransomware erwischt zu werden ist heute größer als einen kapitalen HDD Defekt zu erleiden bei dem sich nichts mehr retten lässt (bzw. nur durch spezialisierte Unternehmen). Jede halbwegs "gute" Ransomware verschlüsselt direkt die eingebundenen Netzlaufwerke/externen Datenträger mit. Oft auch Timer/Event gesteuert. Also richtig fies denn das Backup ist direkt mit hinüber und auch ordentliche AV Lösungen versagen hier recht häufig..
Nein, hier widerspreche ich in aller Deutlichkeit. Wenn Ransomware jemandem heute Daten auf einem NAS verschlüsselt, ist derjenige, der sich das Sicherheitskonzept ausgedacht hat (oder wohl eher nicht ausgedacht hat) selbst schuld.
Es gibt genau zwei Möglichkeiten, die Daten auf dem NAS gegen Ransomware zu sichern. Wer so sicher wie möglich gehen will benutzt beide zusammen, sofern das Nutzungsszenario es zulässt.
1. Ein NAS mit Snapshot-Funktion auf Dateisystemebene benutzen und regelmässige Snapshots konfigurieren. Denn auf die Snapshots hat die Ransomware keinen Zugriff. Auf diese Art und weise würden zwar die Dateien auf dem NAS verschlüsselt, die vorhandenen aber nicht überschrieben. Die verschlüsselten Dateien werden neu angelegt, die unverschlüsselten bleiben aber im Snapshot-Bereich erhalten. Ist das NAS mehr als halb voll würde irgendwann der Plattenplatz vollaufen - mehr nicht. Man kann (wenn das System von dem die Ransomware aus gewütet hat wieder sicher ist) die verschlüsselten Dateien einfach löschen, und die unverschlüsselten wieder aus dem Snapshot ziehen.
2. Zugriffsrechte ... ich habe zum Beispiel auf einem meiner NAS auch die Backups meiner PCs liegen. Würde einer meiner PCs von Ransomware befallen bräuchte ich ja diese Backups. Daher dürfen die auf keinen Fall anfällig für Ransomware sein. Daher haben die üblichen Benutzer, die auf meinen PCs angemeldet sind, auf die Backup-Freigabe des NAS entweder gar keinen Zugriff, oder nur Leserechte. Die Backupsoftware meldet sich mit einem eigenen Backupbenutzer (der PC-seitig nicht mal existieren muss) am NAS an, der dann dort Schreibrechte hat. Da Ransomware ggf. aber mit den Rechten des am PC angemeldeten Users läuft, kommt sie an das NAS nicht ran.
Letzteres kann man sogar noch auf die Spitze treiben, wenn man Backups gar nicht unter laufendem Windows macht, sondern z. B. mit Hilfe eines Notfall-USB-Sticks oder DVD, was ja viele Backupprogramme anbieten. In dem Fall wäre dann das Login für die Freigabe nirgends innerhalb des zu sichernden Systems hinterlegt, auch nicht in verschlüsselter Form.
Zumindest wenn ein NAS Snapshots beherrscht ist es also durchaus eine sichere Backupmöglichkeit. Man muss es nur entsprechend konfigurieren und nutzen. Dann brauche ich auch keinen potentiell anfälligen Firlefanz, wie einen Ransomware-Schutz, wie ihn diverse Antivirensoftware oder Acronis TrueImage bieten. Weil sich eine solche Absicherung komplett passiv erreichen lässt. Ransomware auf meinem PC kostet mich nichts, ausser der Zeit um ein Restore vom letzten Backup durchlaufen zu lassen.
