Sicheres Backup mit Bitlocker?
 

Hallo zusammen,

derzeit stelle ich meinen Backupplan komplett um und würde von euch gerne eine Meinung einholen.

Zunächst mal, was ich mir generell vorstelle:

• 1 Platte, auf der ein wöchentliches Backup gemacht wird, steht bei mir zuhause.
• 1 Platte, auf die etwa jeden Monat ein Backup gemacht wird, steht bei meinen Eltern.
• 2 Platten, von denen auf jeweils eine jeden Tag ein Backup gemacht und die nach einer Woche durch die andere, die in einem Bankschließfach lagert, ausgetauscht wird.

Nun zu meiner Frage:
Die beiden Platten, die ich im Wechsel verwende sollen das Wiedehrerstellungsmedium der Wahl sein. Hier habe ich jedoch die Sorge, dass ein Malwarefang am Tag vor dem Austausch die Daten beider Platten kompromittieren könnte.
Meine Überlegung war daher, auf jeder Platte zwei Partitionen zu erstellen und damit für vier Wochen jeweils eine Partition zu haben (Platte1: Woche 1 & 3, Platte2: Woche 2 & 4, nach 4 wieder von vorne). Die Partitionen verschlüssle ich jeweils unter Verwendung unterschiedlicher Passwörter mit Bitlocker.
Somit wären nur zwei der vier Partitionen betroffen, wenn ich mir Malware am Tag vor einem Tausch einfange.

Gehe ich Recht in der Annahme, dass die Daten der anderen Partitionen entweder nicht kompromittiert sind oder aber die Verschlüsselung durch die Malware beschädigt wurde und sie sich somit nicht mehr entschlüsseln lässt (ich somit also sicher sein kann, dass die Daten in Ordnung sind, wenn sich die Partition entschlüsseln lässt)?

Ich hoffe, man versteht so ungefähr was ich meine.
Für bessere Ideen bin ich übrigens auch offen!

Viele Grüße
mP765

Also was ich so in den letzten Wochen und Monaten im Internet gelesen habe, ist eine Festplatte bzw Partition auf einer Festplatte deren Daten verschlüsselt sind, nicht sicher vor Ransomware. Anders gesagt: schlägt ein Ransomware bei dir zu, verschlüsselt er auch die Daten auf deiner Partition die du selbst mit einem Verschlüsselungs Programm wie Bitlocker usw. verschlüsselt hast und die Daten wären für dich so lange verloren bis du entweder zahlst oder es ein Entschlüsselungs Tool gibt für den Ransomware an den du geraten bist.

Das bedeutet aber, dass ich in jedem Fall sehe, ob mit den Daten alles in Ordnung ist? Bzw. andersrum: Wenn ich die Partition nicht mehr entschlüsseln kann, war Ransomware (oder irgendwas anderes an Malware) am Werk - wenn ich sie aber entschlüsseln kann, ist mit den entschlüsselten Daten alles in Ordnung?
Immer vorausgesetzt natürlich, dass ich die Malware rechtzeitig entdecke und ich nicht eine Partition öffne, deren Daten dann kompromittiert werden könnten.

Wobei das ja immernoch ein Problem ist :dummguck:: Wenn ich nicht bemerke, dass da irgendwas gerade alles verschlüsselt, und ich die andere Platte anschließe, sind ja nachher beide Platten nicht mehr zu gebrauchen. Wahrscheinlich sind dann auch noch an dem Tag das Wochenbackup und das Monatsbackup auf einen Tag gefallen und ich hab gar nichts mehr :daumenrunter:
Schade, dass vier Festplatten teurer sind als zwei :D

Viele Grüße
mP765

Laufwerks- bzw Dateisystemverschlüsselung wurde nicht für sichere Backups konzipiert. Es soll verhindern, dass Unbefugte an Daten herankommen. Mit Sicherung vor ransoms hat das Ganze rein garnix zu tun.

Nein, wie kommst du auf diesen Unfug? :wtf:
Wenn du ein Bitlocker-Laufwerk entschlüsselst und dann statt eigenen Dateien CRYPT oder LOCKY siehst, was ist dann? Oder meinst du ein ransom kann nicht auf ein gemountetes Bitlocker-Laufwerk zugreifen?

Wenn duein Bitlockerlaufwerk sschon garnicht öffnen/mounten kannst hast du ein noch größeres Problem. :kaffee:

Verschlüsselung bedeutet im Recoveryfall: mehr und größere Probleme, wenn nicht sogar unüberwindbare.

Ne, das meinte ich auch gar nicht. Ich möchte die Daten verschlüsseln, damit die Daten verschlüsselt sind.
Mir ist dann nur der Gedanke gekommen, dass die Verschlüsselung nebenbei noch einen Indikator darstellen könnte, ob Malware Schaden angerichtet hat, weil sie dabei die Verschlüsselung zerstört und die Entschlüsselung somit verhindert.

Auch das meinte ich etwas anders (ich habs heute aber auch mit anders meinen :D): Ich greife ja erst drei Wochen später wieder auf eine bestimmte Partition zu. Mal angenommen, ich habe innerhalb dieses Zeitraums Malware bemerkt (und mit eurer Hilfe beseitigt) und bin mir sicher, dass zum dem Zeitpunkt, zu dem ich die Partition das letzte Mal geschlossen habe, noch nichts schädliches unterwegs war. Dann müsste ich mir doch eigentlich auch sicher sein können, dass die Daten der Partition in Ordnung sind, weil Malware nicht an die Daten direkt, sondern nur an die verschlüsselten Daten drankommt. Wenn sie an die Verschlüsselung geht, lassen sich die Daten nicht mehr entschlüsseln, und wenn nicht, ist alles okay.
Aber ich seh schon, da ist ein Knick in der Logik. Ich kann ja gar nicht wissen, wann genau ich mir die Malware eingefangen habe :stirn:
Dann weiß ich jetzt auch nicht mehr weiter... Hast du Links, wo "malwaresicherere" Backuplösungen beschrieben werden (oder eine Idee)?
Blöd... Aber da sind halt auch Firmendaten drauf, die einem möglichen Einbrecher nicht einfach so in die Hände fallen sollten...

Viele Grüße
mP765

Wenn du das Bitlocker-Volume nicht mehr mounten kannst, bedeutet das nicht notwendigerweise, dass Malware da was kaputtgemacht hat.


Wenn du einen verseuchten Rechner sichern musst, aber die älteren Backups auf dem dem Sicherungslaufwerk behalten und nicht gefährden willst gibt es wohl nur eine Lösung: den zu sichernden Rechner runterfahren, von sicherem ro Medium booten wie zB Ubuntu MATE von DVD im Ausprobiermodus. Ich weiß aber nicht, ob Bitlocker da so einfach geht.

Okay... Würdest du meinen im ersten Post beschriebenen Backupplan dann als sinnvoll und ausreichend betrachten?

Ich hab viel mehr Sorge, dass meinen Backups was passiert. Der Rechner ist verzichtbar.

Ich hab mal gelesen, dass jemand mit dislocker (da der Link immer wieder verschwindet: hxxp://www.hsc.fr/ressources/outils/dislocker/) gute Erfahrungen gemacht hat. Sollte also gehen.

Viele Grüße
mP765

Ich bin mir zu 99,99% sicher, dass du auf einer Bitlocker verschlüsselten Partition Dateien nicht voneinder unterscheiden kannst. Aber wenn die Ransomware die Platte mountet und einfach nur die 0er und 1er drauf verschlüsselt sind die natürlich weg.

Allgemein der gesamte Plan wäre mir persönlich zu mühsam. Aber kommt natürlich darauf an, wie wichtig die Daten sind. Allgemein würde ich empfehlen wichtige Daten sofort zu Backuppen anstatt tägliche Backups (kommt aber auch auf die Menge deiner Dateien an).

WAS soll mit den Backups passieren :wtf: wenn das Backup durch ist, bewahst du diese doch in einem Schrank auf oder nicht

Ob dein Backupplan ausreichend ist, kann ich doch nicht beurteilen, wenn du meinst es muss ne tägliche Sicherung her und es reicht dir wenn du max. zwei Tage zurückkannst...

Ein "echtes" Generationenprinzip sieht anders aus. Da man man dann:

- vier Medien/Laufwerke für die Wochentage (Montag bis Donnerstag)
- vier für die Wochen im Monat (Woche1 - Woche4 oder auch Freitag1 bis Freitag4; es kann Monate mit fünf Freitagen geben)
- zwölf Monatslaufwerke

Dieses Prinzip wendet man aber eher bei Sicherungen auf Bänder an. Mehr dazu da => https://de.wikipedia.org/wiki/Generationenprinzip

Darf man erfahren, um wieviel MB, GB, TB es sich täglich handelt?

Hast du einen Vorschlag für einen alternativen Plan?

Täglich reicht eigentlich. Wenn dann mal 10 Stunden Arbeit weg sind, sind sie eben weg.
Was würdest du denn für eine Echtzeitsicherung empfehlen? Es müsste schon irgendwas Richtung reverse incremental sein, damit ich den aktuellen Satz immer komplett habe.
Im Moment sichere ich, indem bereits gesicherte Dateien mit Hardlinks in den neuen Satz verlinkt werden und neue Dateien eben dazukopiert werden. Damit hab ich in jeder Sicherung einen kompletten Satz der Daten.

Eben genau das Szenario, dass Malware die Dateien des Backups kompromittiert.

So viel Geld hat man als Student nur leider nicht :D

Klar: Die Daten, die gesichert werden müssen, sind etwa 260-280GB. Davon werden idR täglich 3-10GB verändert.

Viele Grüße
mP765

Aha. Und wo gibt es Malware, die einen nicht angeschlossenen Datenträger, der im Schrank verwahrt wird, manipuliert? :kaffee:

Und warum erzählst du uns vorher was von Firmendaten?
Bist du als Student ein ultrabilliger Admin-Ersatz für die Firma?
Und wer sagt, dass du das aus eigener Tasche zahlen musst? Kann die Firma ihre Sachen nicht selbst bezahlen? :balla:

Also ich machs so: Wichtige Dateien werden immer sofort auf Google Drive geladen. Wichtig im Sinne von ich will sie nicht verlieren, nichts Privates. Falls es was privates is verschlüssel ich das mit GPG und haus dann aufs Drive. Bevor ich den PC abdreh geb ich das noch auf meine externe Festplatte. Mir reicht das. Es gibt die Chance von einem Ausfall, aber ich muss schon ziemliches Pech haben dass meine interne HDD, interne SSD, externe HDD und Google Drive nicht funktionieren.

Hierbei muss es aber jeder selbst wissen wie sicher er es haben will. Ich kann nicht den Stand von vor einem Jahr wiederherstellen, brauch ich aber auch nicht.

Die Grundfragen die du dir für eine Backupstrategie denken solltest sind:

Wie viel Aufwand darf das kosten?
Wie sicher müssen die Daten sein?
Wie lange möchte ich alte Daten archivieren?

Edit:

Hab das mit den Firmendaten erst jetzt gelesen. Die würde ich dann wohl doch auf eine extra Platte packen. Ich geb aber Cosinus recht, da hat sich eigentlich die Firma drum zu kümmern.

Die wirds bestimmt auch bald geben :zunge:
Ich meine aber eher, dass sie beim nächsten Mal anschließen (eben am nächsten Tag) einfach alle meine Daten tötet!

Ich bin HiWi :) Und das ist leider ein bisschen komplizierter: Die Hardware, die wir da haben, ist so schlecht, dass ich für viele Dinge meinen Privatrechner nehmen muss. Und da nichtmal neue VGA-Kabel angeschafft werden, wird mit bestimmt auch kein Backup bezahlt. Und falls jemand sagen möchte, dass das ein ziemlich unguter Zustand ist: Das weiß ich selbst. Es ist aber leider nicht zu ändern. Ich werde weiterhin meinen Privatrechner benutzen müssen und bin weiterhin selbst für die Sicherung der Daten zuständig. Und wenn von mir aus Daten zu Unbefugte gelangen, bin ich auch alleine der Schuldige. :headbang:


@Deathkid535:
Das wäre mir in meiner derzeitigen Situation etwas zu wenig Sicherheit...

Viele Grüße
mP765

Hast du zuviele schlechte Filme gesehen?? :wtf: