Cloud Backup / Storage (für Server) ?

[rauschwerk]

Ich möchte einen lokalen NAS-Server (nachts) in eine Cloud im Sinne eines Backups hochladen (inkrementell).
Gesucht:

- Cloud Backup (täglich, inkrementell) eines Servers (NAS) für ca. 5TB
- nicht zu teuer (pro Monat)
- möglichst versichert & verschlüsselt
- wenn's geht = Server in Deutschland (muss aber nicht zwingend sein)

Welche Dienstleistungen sind denn so heute empfehlenswert und bezahlbar ?
Habe mich bei IONOS umgesehen: ist sowas empfehlenswert ? Die Preise (bzw. Preis je Hardwareteil) dort verstehe ich nicht ganz. Ich suche z.B. 5TB Backup Cloud, in die jede Nacht inkrementell der Inhalt des NAS hochgeladen wird.

Leistungsfähige Backup-Lösung der Compute Engine von IONOS Cloud

Voll-integrierte Cloud-Backup-Funktion für Unternehmen. Die Compute Engine von IONOS Cloud mit sicherer Datenspeicherung in deutschen Rechenzentren.

cloud.ionos.de

Dann noch 1blu mit Servern in D..

Viel Speicherplatz, Nextcloud auf Wunsch vorinstalliert

Die Berliner 1blu AG bietet modernes und preiswertes Webhosting für professionelle Internetpräsenzen. Geschäftskunden, Profis und private Anwender erhalten bei 1blu leistungsstarke zu besonders attraktiven Preisen.

www.1blu.de

Synology bietet auch sowas ähnliches..

Synology C2 Backup für Unternehmen | Cloud-Backup-Lösung

Sichern Sie Ihre Windows-PCs/Server, Mac-Geräte und Microsoft 365-Konten zuverlässig mit der Cloud-Backup-Lösung Synology C2 Backup für Unternehmen

c2.synology.com

?

 

[audiot.]

DIY:
Schau Dir 'mal TrueNas (ehemals FreeNas) an - das benutze ich bei mir intern (selbstgebaute Stromsparkiste)
Warum? Weil es intern auf ZFS aufbaut (FreeBsd) - und inkrementelle Replikation über Netzwerkgrenzen hinweg ist integraler Bestandteil von ZFS (das Feature nennt sich "Snapshot" in der ZFS-Welt).
Dann kannst Du nämlich extern Deinen eigenen "Cloud-Server" betreiben, denn wenn dieser intern auch auf ZFS aufsetzt/das Dateisystem "versteht", dann kannst Du die Daten einfach per ssh verschieben.
(den letzten Schritt bin ich allerdings noch nicht gegangen - mangels Bandbreite und mangels ZFS-Unterstützung meines externen Servers "irgendwo da draußen").

 

[rauschwerk]

DIY:
Schau Dir 'mal TrueNas an - das benutze ich bei mir intern (selbstgebaute Stromsparkiste)
Warum? Weil es intern auf ZFS aufbaut (FreeBsd) - und inkrementelle Replikation über Netzwerkgrenzen hinweg ist integraler Bestandteil von ZFS (das Feature nennt sich "Snapshot" in ZFS-Welt).
Dann kannst Du nämlich extern Deinen eigenen "Cloud-Server" betreiben, denn wenn dieser intern auch auf ZFS aufsetzt/das Dateisystem "versteht", dann kannst Du die Daten einfach per ssh verschieben.
(den letzten Schritt bin ich allerdings noch nicht gegangen - mangels Bandbreite und mangels ZFS-Unterstützung meines externen Servers "irgendwo da draußen").

Mir geht's u.a. darum, vor Hackerangriffen "gesichert" zu sein (Server-Daten).
Im Bekanntenkreis höre ich immer wieder davon, dass die Server div. Büros durch Hacker vollständig verschlüsselt werden und man so nicht mehr an die eigenen Daten rankommt. Ein Cloud-Backup würde dann helfen den gesicherten Dateninhalt auf einen neuformatierten Server zurück aufzuspielen.

Selbst wenn die Daten auf dem NAS verschlüsselt sind, bring es keine Abhilfe, da "der Verbrecher" von Außen alles ontop verschlüsselt.

 

[audiot.]

Ich nehme an, Du bist "Profi" und hast Dein NAS dahingehend abgesichert, daß man nicht von außen darauf zugreifen kann (um z.B. auszunutzen, daß ein Default-Passwort nicht geändert wurde).
Ferner nehme ich an, Deine Mitarbeiter können nur über einen Proxy/eine Firewall (z.B. via Deep Packet Inspection) auf das Internet zugreifen - und Du benutzt keine ungepatchte MS-Software wie z.B. Exchange, denn die meisten Angriffe kommen nicht mehr wie frühen von außen, sondern von innen - z.B. weil ein Mitarbeiter blind auf einen Email-Anhang klickt und so einen üblen (Verschlüsselungs-)Trojaner unwissentlich auf seinem Firmen-Rechner installiert. Oder weil ein Mitarbeiter einen auf dem Bürgersteig gefundenen USB-Stick an seinen Rechner klemmt, um zu schauen 'was drauf ist. Oder. Oder.
=> wenn Du beides mit [x] JA beantworten kannst, dann sollte es m.E. reichen, 1x pro Woche externen Speicher an das NAS anzuklemmen um z.B. über rsync das wöchentliche Backup durchzuführen.
Dabei ist es wichtig, daß der externe Speicher irgendwo außerhalb Deiner Unternehmerräumlichkeiten physisch getrennt gelagert werden - falls Deine Hütte 'mal abbrennen sollte.

(hoffe das hilft)

 

[rauschwerk]

Ich nehme an, Du bist "Profi" und hast Dein NAS dahingehend abgesichert, daß man nicht von außen darauf zugreifen kann (um z.B. auszunutzen, daß ein Default-Passwort nicht geändert wurde).

Ja.
Ich bin aber auch dahingehend informiert, als dass - wenn man fit genug ist und will - in jedes erdenkliche Netzwerk reinkommt.
Gleiches auch bez. Passwörter oder RSA-Verschlüsselungen. Wer gut ist, der kommt überall rein. Ausnahmslos. Wer da glaubt alleine durch lange Passwörter (inkl. Klein-/Großschreibung, Ziffern und Sonderzeichen) ausreichend geschützt zu sein, der/die irrt gewaltig.
Ist aber auch ein anderes Thema.

Es geht mir einfach nur um Sicherung der Daten für den Fall der Fälle.

=> wenn Du beides mit [x] JA beantworten kannst, dann sollte es m.E. reichen, 1x pro Woche externen Speicher an das NAS anzuklemmen um z.B. über rsync das wöchentliche Backup durchzuführen.
Dabei ist es wichtig, daß der externe Speicher irgendwo außerhalb Deiner Unternehmerräumlichkeiten physisch getrennt gelagert werden - falls Deine Hütte 'mal abbrennen sollte.

(hoffe das hilft)

Das ist aktuell der Fall (wird so umgesetzt = ext. Platte 1x die Woche).
Eine automatisierte Cloud-Alternative (täglicher Abgleich online, nachts z.B.) wäre dennoch wünschenswert.

 

[4t6ßweuglerjhbrd]

Ich kenn mich mit dem Thema null aus aber 100 GB Speicher mit 1 Nutzeraccount/Login kostet bei IONOS 1,- Euro und ist monatlich kündbar.

HiDrive Cloud Speicher » Daten online sichern | IONOS

Sicherheit, Privatsphäre und Kontrolle über Ihre Daten » Mit der HiDrive Cloud speichern Sie Ihre Daten online & können sie von jedem Endgerät abrufen!

www.ionos.de

 

[4t6ßweuglerjhbrd]

Ah sorry - 5TB - 2 TB kosten 10,- und mehr bieten sie gar nicht an...

 

[rauschwerk]

Ah sorry - 5TB - 2 TB kosten 10,- und mehr bieten sie gar nicht an...

Mehr als 5TB sind i.d.R. nicht notwendig, sofern man

- inkrementelle Backuplösungen fährt
- 1-2 Wochen auf diese Weise gesichert bekommt
- anschliessend wird das älteste wieder überschrieben

Sowas reicht völlig aus.
Natürlich kann man sowas auch "von Hand" extern auslagern - indem man einen Backup-Server extern irgendwo am Laufen hält. Dafür reicht sogar ein Raspberry Pi (nimmt so +/- 5 Watt im Betrieb ein, je nach Auslastung, so what..)
Ein Cloud-Dienst ist meist noch sichererer und in den meisten Fällen hinzu auch noch versichert (wobei das einem wenig nützt, wenn die Daten einmal wirklich weg sind - dann kann man dichtmachen = weil nix mehr da).

Wie gesagt : aktuell wird der Server manuell auf ext. Datenträger gesichert. Ist nicht so bequem und elegant, aber hilft auch, falls "die Bombe fällt".

 

[rauschwerk]

Ich nehme an, Du bist "Profi" und hast Dein NAS dahingehend abgesichert, daß man nicht von außen darauf zugreifen kann (um z.B. auszunutzen, daß ein Default-Passwort nicht geändert wurde).
Ferner nehme ich an, Deine Mitarbeiter können nur über einen Proxy/eine Firewall (z.B. via Deep Packet Inspection) auf das Internet zugreifen - und Du benutzt keine ungepatchte MS-Software wie z.B. Exchange, denn die meisten Angriffe kommen nicht mehr wie frühen von außen, sondern von innen - z.B. weil ein Mitarbeiter blind auf einen Email-Anhang klickt und so einen üblen (Verschlüsselungs-)Trojaner unwissentlich auf seinem Firmen-Rechner installiert. Oder weil ein Mitarbeiter einen auf dem Bürgersteig gefundenen USB-Stick an seinen Rechner klemmt, um zu schauen 'was drauf ist. Oder. Oder.
=> wenn Du beides mit [x] JA beantworten kannst, dann sollte es m.E. reichen, 1x pro Woche externen Speicher an das NAS anzuklemmen um z.B. über rsync das wöchentliche Backup durchzuführen.
Dabei ist es wichtig, daß der externe Speicher irgendwo außerhalb Deiner Unternehmerräumlichkeiten physisch getrennt gelagert werden - falls Deine Hütte 'mal abbrennen sollte.

(hoffe das hilft)

Erst mal danke für die Tipps (habe oben bereits einiges kommentiert).
Wir nutzen tatsächlich MS Exchange, jedoch online im Browser oder via Outlook am macOS. Im März 2021 wurde ja dies bekannt..

Patch your Exchange email server now! Flaws exploited by hackers to download corporate email

Microsoft has released emergency security patches for four zero-day vulnerabilities in its Exchange email server software, widely used by businesses.

grahamcluley.com

Die Online-Server von MS sind/waren davon aber nicht betroffen.

Hinzu nutzen wir Hardware-Firewalls (von SOPHOS) für LAN sowie WLAN.
Man kann aber nie sicher genug sein.

Was aktuell im grossen Stiel abläuft, ist das, worüber im Sommer 2021 schon berichtet wurde:
Ransomware ist etwas, was immer wieder neuauferlegt wird und durch diverse z.B. zero-day-exploits als Angriffswerkzeug genutzt wird. In der Regel durch Unwissenheit der User, in dem (wie du ja richtig schreibst) auf div. Links @ eMails geklickt wird und/oder diverse eMail-Anhänge geöffnet werden. "Dumm ist der, der dummes tut!", könnte man an der Stelle sagen, doch : wenn die Daten erstmal weg sind, ist das Zeigen mit dem Zeigefinger auf den "Schuldigen der Misere" genau so nutzlos, wie der Versuch die Daten zu entschlüsseln.

Hacker verschlüsseln Daten: Mehr als 100 Behörden erpresst

Laut BR und "Zeit Online" ist es Tätern in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat über die Fälle keinen Überblick. Von M. Zierer und H. Tanriverdi.

www.tagesschau.de

BR24

BR24 - Immer auf dem Laufenden

www.br.de

XSS ist eine andere bevorzugte Variante, mit der man andere Rechner angreifen kann.
Die Möglichkeiten (bekannte wie noch unbekannte) sind ja unendlich.

 

[audiot.]

Idee: Alternativ zu den genannten Lösungen könntest Du evtl. auch einen NextCloud-Server in Deinem Unternehmen aufsetzen, der nur zeitweilig mit Deinem NAS verbunden ist.

... und meine 5 Cents zu:

Hacker verschlüsseln Daten: Mehr als 100 Behörden erpresst

Laut BR und "Zeit Online" ist es Tätern in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat über die Fälle keinen Überblick. Von M. Zierer und H. Tanriverdi.

www.tagesschau.de

BR24

BR24 - Immer auf dem Laufenden

www.br.de

Beruflich bedingt habe ich die IT einiger Unternehmen von innen her kennenlernen dürfen.
Mich wundert oft, wie sehr sich manche dabei z.B. mit der Nutzung von Produkten der Firma aus Redmond in freiwillige Abhängigkeit begeben - allen Sicherheitswarnungen zum Trotz.
Zwar existiert keine 100% sichere IT, aber in vielen Fällen wäre es sinnvoller Software zu verwenden, welche weniger Angriffsvektoren ermöglicht -
oder Hardware einzusetzen, welche vom Hersteller regelmäßig sicherheitsrelevante Updates bezieht.
Vermutlich sind es in vielen Unternehmen Management-Entscheidungen oder in Behörden technisch überforderte Mitarbeiter, die o.g. Szenarien erst möglich machen.

NACHTRAG:

XSS

Eine von vielen - siehe OWASP Top 10:

OWASP Top Ten | OWASP Foundation

The OWASP Top 10 is the reference standard for the most critical web application security risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing your software development culture focused on producing secure code.

owasp.org

 

[fanwander]

Nur so als Tipp: eine gute Ransomware wartet eine gewisse Frist, bis sie verschlüsselt. Damit ist der Trojaner längst auch auf Deinem Backupserver in der Cloud, und Du spielst ihn Dir mit dem Restore nur zurück.

 

[rauschwerk]

Nur so als Tipp: eine gute Ransomware wartet eine gewisse Frist, bis sie verschlüsselt. Damit ist der Trojaner längst auch auf Deinem Backupserver in der Cloud, und Du spielst ihn Dir mit dem Restore nur zurück.

Kommt vor, ja, leider.
Je nach dem, was verwendet wird, kann man sowas kaum ausfindig machen und sicher entfernen (sofern z.B. ein zero-day-exploits).

 

[Feel Inc.]

Um dir was zu empfehlen, was dir in deiner Situation tatsächlich hilft, fehlen leider ein paar Infos von dir... was für ein NAS ist das, dass du da nutzt? Je nach Hersteller haben die entsprechende Funktionen schon an Board, da musst dann nur noch schauen, welche Cloudspeicher unterstützt werden und nimmst das, was dir am besten gefällt. Ist das NAS was selbstgebasteltes, dann entsprechende Backupsoftware suchen und diese einrichten, hier dann wieder schauen, welche Cloudspeicher werden unterstützt und daraus aussuchen.
Die Vorschläge hier bzgl. inkrementelles Backup und dann reichen ja 5 TB... sorry, das kann man leider ebenfalls nicht pauschalisieren. Wie viel Speicher Du benötigst hängt davon ab, wie viel Daten Du jetzt tatsächlich drauf hast, wie ist deine Change-Rate, sprich wie viel an Daten wird pro Tag/Woche geändert (überschrieben, neu erstellt usw...), werden die Backups komprimiert, wie gut lassen sich deine Daten komprimieren, wie lange willst Du auf Backups zurückgreifen können? Allein bei dem letzten Punkt gibt es unterschiedliche Strategien, die für dich passen können oder eben auch nicht. Als Beispiel hab ich immer 1 Woche tägliche Backups gehabt, dann 4 der letzten Wochen, über ein Jahr alle Monatsbackups und ein Jahresbackup. Hier solltest Du mal in dich gehen und überlegen, was für dich Sinn macht.
Zum Thema Preis, bzw. wie viel darf das kosten: So wie ich dich hier verstanden habe geht es hier um Geschäftsdaten. Überlege mal, was es dich kosten würde, wenn deine Daten weg wären... was würde es dich kosten, wenn sie eine Woche nicht verfügbar wären, wenn sie einen Tag nicht verfügbar wären. Dir wird dann recht schnell bewusst werden, dass du hier nicht sparen solltest, sondern eher in eine zuverlässige Lösung investieren solltest. Das beste Backup bringt dir nichts, wenn du darauf nicht schnell zugreifen kannst und zwar genau dann, wenn du es brauchst! Es bringt dich nicht weiter, wenn du nach nem Ransomwareangriff alles zurückspielen musst, der Cloudspeicher des günstigen Anbieters aber so langsam ist, dass das ganze über eine Woche dauert und dabei auch noch immer wieder abbricht. Als Privatperson ist das ärgerlich, als Geschäft kann das Existenzbedrohend sein. Ich sehe bei Kunden deswegen auch durchaus immer noch lokale Backuplösungen von denen aus dann in die Cloud zusätzlich weggesichert wird.
Übrigens, dass Ransomware auf dem Cloudspeicher bzw. auf deinem Backupserver alles verschlüsselt... nö, nicht wirklich, zumindest nicht, wenn man ein paar Best Practices beachtet. Eine Ransomware ist erstmal ein Program, welches ausgeführt werden muss, damit es irgendwas machen kann. Auf reinem Speicher wird nichts ausgeführt! Zudem sollte ein Backupserver ohnehin vom normalen Netz getrennt sein und sich nur beim eigentlichen Backup verbinden. Es gibt dann zwar immer noch ein gewisses Zeitfenster, in dem der Backupserver per se infiziert werden könnte, das Risiko ist aber zumindest geringer. Das "schlimmste" ist dann meistens lediglich, dass Du den Backupserver mit verschlüsseltem Datenmüll füllst. Bzgl. des Rückspielens der Ransomware mit dem Backup: Wenn ich kompromittiert wurde und nicht genau weiss, wann das passiert ist, dann spiele ich auch nicht blind ein Backup ungeprüft zurück... wo wir wieder beim Thema wären, wie lange willst Du auf historische Daten zugreifen wollen? In so nem Fall kann selbst ein Monat bedeuten, dass Du trotz Backup keine Daten mehr hast, weil die Ransomware nen Monat gewartet hatte und damit in jedem Backup mit drin ist.

 

[fanwander]

Übrigens, dass Ransomware auf dem Cloudspeicher bzw. auf deinem Backupserver alles verschlüsselt... nö, nicht wirklich

Natürlich nicht. Der verschlüsselt - wenn - nur wieder auf dem recoverten System.

 

[ujhdsrtzhvdr]

Mir geht's u.a. darum, vor Hackerangriffen "gesichert" zu sein (Server-Daten).

Dann darfst du kein Backup verwenden, bei dem die credentials des Backup Servers auf deinem Server/NAS gespeichert sind, sonst fällt auch dein Backup Service/Server wenn dein NAS fällt. D.h. du brauchst eine Lösung, die von Aussen auf den zu sichernden Server zugreift, so wie man das in RZs normalerweise macht.

 

[rauschwerk]

Um dir was zu empfehlen, was dir in deiner Situation tatsächlich hilft, fehlen leider ein paar Infos von dir... was für ein NAS ist das, dass du da nutzt?

Wir nutzen QNAP
In der Vergangenheit waren genau die auch betroffen (Hinweis)

Je nach Hersteller haben die entsprechende Funktionen schon an Board, da musst dann nur noch schauen, welche Cloudspeicher unterstützt werden und nimmst das, was dir am besten gefällt. Ist das NAS was selbstgebasteltes, dann entsprechende Backupsoftware suchen und diese einrichten, hier dann wieder schauen, welche Cloudspeicher werden unterstützt und daraus aussuchen.
Die Vorschläge hier bzgl. inkrementelles Backup und dann reichen ja 5 TB... sorry, das kann man leider ebenfalls nicht pauschalisieren.

In unseren Fall schon. 5TB wären ausreichend.

Wie viel Speicher Du benötigst hängt davon ab, wie viel Daten Du jetzt tatsächlich drauf hast, wie ist deine Change-Rate, sprich wie viel an Daten wird pro Tag/Woche geändert (überschrieben, neu erstellt usw...), werden die Backups komprimiert, wie gut lassen sich deine Daten komprimieren, wie lange willst Du auf Backups zurückgreifen können? Allein bei dem letzten Punkt gibt es unterschiedliche Strategien, die für dich passen können oder eben auch nicht. Als Beispiel hab ich immer 1 Woche tägliche Backups gehabt, dann 4 der letzten Wochen, über ein Jahr alle Monatsbackups und ein Jahresbackup. Hier solltest Du mal in dich gehen und überlegen, was für dich Sinn macht.
Zum Thema Preis, bzw. wie viel darf das kosten: So wie ich dich hier verstanden habe geht es hier um Geschäftsdaten. Überlege mal, was es dich kosten würde, wenn deine Daten weg wären... was würde es dich kosten, wenn sie eine Woche nicht verfügbar wären, wenn sie einen Tag nicht verfügbar wären. Dir wird dann recht schnell bewusst werden, dass du hier nicht sparen solltest, sondern eher in eine zuverlässige Lösung investieren solltest.

s. oben. 5TB reichen für eine inkrementelle Lösung (in diesem Fall) aus.
Pauschalisieren will ich hier nichts. Ich suche nach Vorschlägen, bzw. Erfahrungsberichten bez. Cloud-Backup (Preis/Jahr / Leistung).

Das beste Backup bringt dir nichts, wenn du darauf nicht schnell zugreifen kannst und zwar genau dann, wenn du es brauchst!

Schnell zugreifen? Nicht notwendig.
Es geht nicht um Storage oder Cloud-Server, sondern nur um Backup-Lager in einer Cloud.

Es bringt dich nicht weiter, wenn du nach nem Ransomwareangriff alles zurückspielen musst, der Cloudspeicher des günstigen Anbieters aber so langsam ist, dass das ganze über eine Woche dauert und dabei auch noch immer wieder abbricht.

Bei welchen Anbieter würde ein Download von 1-2TB eine Woche dauern?
Ich kenne keinen (heute), bei dem das so wäre. Selbst Dropbox ist schnell genug. Dies wird bei IONOS denke ich auch nicht langsamer sein.

Als Privatperson ist das ärgerlich, als Geschäft kann das Existenzbedrohend sein.

Deshalb suche ich Erfahrungsberichte und Vorschläge (auch im Bezug auf Preis/Leistung)

Ich sehe bei Kunden deswegen auch durchaus immer noch lokale Backuplösungen von denen aus dann in die Cloud zusätzlich weggesichert wird.

Genau das haben wir vor. Lokale Sicherung ist ja vorhanden, wie bereits w.o. geschrieben.
Zusätzlich soll in die Cloud gesichert werden.

Übrigens, dass Ransomware auf dem Cloudspeicher bzw. auf deinem Backupserver alles verschlüsselt... nö, nicht wirklich, zumindest nicht, wenn man ein paar Best Practices beachtet.

Nicht @ Cloud, aber sicherlich lokal auf dem NAS.
Mit QLocker oder eCh0raix z.B.

Golem.de: IT-News für Profis

Eine Ransomware ist erstmal ein Program, welches ausgeführt werden muss, damit es irgendwas machen kann. Auf reinem Speicher wird nichts ausgeführt!

Falsch. Ein NAS ist keine Festplatte, sondern ein Rechner @ OS (oft auch BIOS) und Speicher in einem.
s. oben bez. QLocker z.B.

Zudem sollte ein Backupserver ohnehin vom normalen Netz getrennt sein und sich nur beim eigentlichen Backup verbinden. Es gibt dann zwar immer noch ein gewisses Zeitfenster, in dem der Backupserver per se infiziert werden könnte, das Risiko ist aber zumindest geringer.

Weshalb man entweder manuell z.B. 1x/Woche (oder auch 1x täglich) auf ext. mobile Datenträger speichert (und den Datenträger anderswo lagert), und/oder Cloud-Uploads nachts per Zeitplan organisieren sollte

Das "schlimmste" ist dann meistens lediglich, dass Du den Backupserver mit verschlüsseltem Datenmüll füllst. Bzgl. des Rückspielens der Ransomware mit dem Backup: Wenn ich kompromittiert wurde und nicht genau weiss, wann das passiert ist, dann spiele ich auch nicht blind ein Backup ungeprüft zurück...

Weshalb man mehrere Backups z.B. 1x täglich durchführen sollte, um genau dem vorzubeugen.
Time Machine macht auf dem Mac z.B. sowas bez. Backup lokaler Laufwerke. Acronis kann das auch (oder CCC auf dem Mac). Es gibt da vieles.

wo wir wieder beim Thema wären, wie lange willst Du auf historische Daten zugreifen wollen? In so nem Fall kann selbst ein Monat bedeuten, dass Du trotz Backup keine Daten mehr hast, weil die Ransomware nen Monat gewartet hatte und damit in jedem Backup mit drin ist.

2-4 Wochen sind gut. Vor dem Upload wäre eine Systemprüfung empfehlenswert, wobei zero-day-exploits (oder andere zero-day Angriffe) ohnehin nicht gefunden werden (weshalb sie auch den Namen tragen).
Hier ist die eigene Initiative vom Vorteil sind jeden Tag über Schwachstellen und Sicherheitslücken zu informieren - als auch ggf. über die aktuellen Angriffsmöglichkeiten, die unter den Hackern eine Runde machen.

 

[audiot.]

... noch ein Tip (weil ich genauso wie Du auf bestimmte Daten angewiesen bin):

- @Moogulator wenn's hier nicht reinpasst, einfach verschieben -

Um die Sicherheit in meinem Netz zu erhöhen, hängt hinter dem Router meines Providers (dem ich nicht unbedingt vertraue) zusätzlich mein eigener Router.
Hat den spaßigen Nebeneffekt, einen kleinen Honeypot in diese DMZ stellen zu können, um den Skript-Kiddies bei ihrem Treiben zuschauen zu können

Hier mein Security-Basteltip (gegen die Pandemie-Langeweile):

Teil 1 - Hardware
Bei meinem Bastelrouter handelt sich um ein kleines stromsparendes China-Kästlein mit 4 x 1GBit Ethernet, und die CPU unterstützt AES-Verschlüsselung - soweit perfekt.
Das einzige, was mich an dem Kästlein gestört hat war das modifizierte chinesische AMI-BIOS mit möglichen undokumentierten Hintertürchen, über welche der Router (ausgerechnet!) nach Hause telefonieren könnte.
Ich bin mittlerweile (seit Snowden) paranoid vorsichtig - aus Gründen:
Ab 2008 z.B. werden in manchen modernen UEFI-BIOSen standardmäßig Fernwartungs-Schnittstellen eingebaut - Intel nennt dies "Management Engine (ME)".
Zitat aus verlinktem Artikel:

"Die Intel Management Engine (ME) ist vom Nutzer nicht deaktivierbar und enthält eine Vielzahl nachgewiesener Sicherheitsmängel."

Nach einiger Recherche habe ich dann herausgefunden, daß das Kästlein auch mit dem Coreboot-Image von protectli bootet -
und bei der Gelegenheit alle Hintertürchen schließt, weil diese mit Coreboot gar nicht mehr aktiviert werden können

Teil 2 - Software
Als Firewall-Software habe ich mich für OPNsense entschieden - Bumms genug hat mein China-Kästlein dafür.
Neben den "üblichen" Firewall-Features bietet OPNsense z.B. ein IDS (Intrusion Detection System), welches - kurz gesagt - die guten Pakete in's Töpchen und die schlechten in's Kröpfchen packt
Anhand einer Mustererkennung kann das OPNsense IDS auch Alarm schlagen.
Weiteres Feature: Zugriff auf das Internet über Blocklisten. Praktischerweise sind hier auch die Pi-Hole-Listen integriert - man spart sich also ein weiters Kästlein.
Seitdem mein Bastelrouter in Betrieb gegangen ist, ist mein Netz zu 99% frei von Werbung (Stichwort: Tracker) und bösen URLs (Stichwort: Phishing).
Netzweit! - d.h. auf allen Endgeräten (Laptops, Smartphones, Tablets, ...).

So ganz unfallfrei war die erste Konfiguration allerdings nicht, weil ich leider und aus Versehen meiner Frau ihr Facebook wegkonfiguriert hatte (ihr wurde kein Content mehr angezeigt)
Kollateralschaden

Übrigens ist es auch empfehlenswert die Firmware von WLAN-Routern auszutauschen (wobei ich die Fritzbox allerdings für relativ sicher halte, weil der Code offen liegt).
Auf meiner WLAN-Bridge, über die ich meinen Hobbykeller mit dem restlichen Netz verbinde, läuft z.B. OpenWrt.

'nuff said.

 

[rauschwerk]

Wir haben hier eine Sophos SG 115 Firewall in Nutzung

+ zusätzlich eine Sophos APX320 für WLAN-Umgebung

Cybersecurity as a Service Delivered | Sophos

We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.

www.sophos.com

 

[Feel Inc.]

Wir nutzen QNAP

Habe ich zwar selber nie mit gearbeitet, laut kurzer Recherche hast du da " Hybrid Backup Sync" das von den Funktionen doch Recht umfangreich zu sein scheint. Zudem unterstützt das alle gängigen Cloud-Speicher, wie Amazon S3, Amazon Glacier, MS OneDrive, Google Drive,... Schau dir die Konditionen genau an und wählen, was dir am besten passt. Persönlich würde ich was Objectstorage-basiertes wie S3 oder besser noch Glacier nehmen. Der Vorteil ist, du musst kein Kontinent buchen, was evtl. Voll laufen kann, sondern du bezahlst immer nur das, was du tatsächlich nutzt. Glacier deswegen, weil das speziell für Langzeitarchivierung konzipiert ist und die langsame Version davon (gibt 3 Versionen!) für Backup ausreichen sollte, dafür aber preislich auch sehr interessant ist.

Falsch. Ein NAS ist keine Festplatte, sondern ein Rechner @ OS (oft auch BIOS) und Speicher in einem.

Das ist korrekt, allerdings sollte ein NAS oder sonstiger Netzwerkspeicher keine Daten Ausführen, die auf seinen shares liegen. Die Ransomware greift das NAS-OS an... wenn du die Ransomware auf einem Share des NAS ablegst, dann passiert dem NAS dadurch nichts.

Weshalb man mehrere Backups z.B. 1x täglich durchführen sollte, um genau dem vorzubeugen.
Time Machine macht auf dem Mac z.B. sowas bez. Backup lokaler Laufwerke. Acronis kann das auch (oder CCC auf dem Mac). Es gibt da vieles.

Nein, so beugst du dem nicht vor. Solange du nicht genau weißt, wann du kompromittiert würdest, musst du jedes Backup genau prüfen, egal ob du 1x im Monat ein Backup machst oder jede Stunde. Das "gute" bei Ransomware ist, dass man sehr schnell genau weiss, welche man sich eingefangen hat und es i.d.R. dafür sehr zeitnah Prüf- und Entfernungstools gibt.

Hier ist die eigene Initiative vom Vorteil sind jeden Tag über Schwachstellen und Sicherheitslücken zu informieren - als auch ggf. über die aktuellen Angriffsmöglichkeiten, die unter den Hackern eine Runde machen.

Damit wirst du selbst mit einem kleinen Team in Vollzeit nicht fertig, selbst wenn es sich nur um eine Handvoll von Anwendungen handelt, die ihr bei euch nutzt. Spar dir diesen Aufwand, wenn du nicht gerade selber mit IT-Security dein Geld verdienst. Was am ehesten hilft, sind die folgenden 3 Sachen:
1. Alle Systeme aktuell halten, sprich immer zeitnah Updates/Patches einspielen
2. Netzwerkseitig nur das erlauben, was wirklich benötigt wird, speziell von aussen nach innen
3. Gesunden Menschenverstand einschalten und auch die Mitarbeiter darauf schulen

Bei welchen Anbieter würde ein Download von 1-2TB eine Woche dauern?
Ich kenne keinen (heute), bei dem das so wäre. Selbst Dropbox ist schnell genug. Dies wird bei IONOS denke ich auch nicht langsamer sein.

Bei einer Downloadbandbreite von 100Mbit würden 2TB im Idealfall ca. 1 Tag und 20 Stunden dauern. Idealfall bedeutet, dass der Anbieter diese Bandbreite durchgängig leistet und auch alle zwischen dir und dem Anbieter liegenden Router das auch können und nicht gerade mal wieder Überbucht sind. Internet ist ein Best-Effort Netz. Das kann man gut abends zur Primetime beobachten, wenn alle am streamen sind. Starte da mal einen großen Download an und schau dir die Raten an. Dieser Punkt wird bei Cloudbackup gerne übersehen und im Fall der Fälle ist das Geschrei groß. Wenn du darauf eingestellt bist, dann ist das gut, z.B. weil du auch noch ein lokales Backup hast.

 

[fanwander]

Es geht nicht um Storage oder Cloud-Server, sondern nur um Backup-Lager in einer Cloud.

Es geht darum, dass Dir um 9:43 die Ransomware deine Daten dicht macht, Du zweieinhalb Stunden brauchst bis Deine relevanten Maschinen neuinstalliert sind, und um 16:00 der Kunde kommt um den dicken Auftrag abzunehmen, an dem Du und Deine Leute ein halbes Jahr gearbeitet haben.

 

[Feel Inc.]

Es geht darum, dass Dir um 9:43 die Ransomware deine Daten dicht macht, Du zweieinhalb Stunden brauchst bis Deine relevanten Maschinen neuinstalliert sind, und um 16:00 der Kunde kommt um den dicken Auftrag abzunehmen, an dem Du und Deine Leute ein halbes Jahr gearbeitet haben.

Danke, das ist genau das, was ich meinte mit: Überleg dir, was es dich kostet, wenn du auf deine Daten <Zeitraum einfügen> nicht zugreifen kannst...

 

[aven]

Ich möchte einen lokalen NAS-Server (nachts) in eine Cloud im Sinne eines Backups hochladen (inkrementell).
Gesucht:

- Cloud Backup (täglich, inkrementell) eines Servers (NAS) für ca. 5TB
- nicht zu teuer (pro Monat)
- möglichst versichert & verschlüsselt
- wenn's geht = Server in Deutschland (muss aber nicht zwingend sein)

Gibt es eventuell die Möglichkeit einen eigenen Backupserver an einem anderen Standort aufzustellen? Bei der Arbeit, Freunden, Familie?

 

[rauschwerk]

Bei der Arbeit ..

Das würde wenig Sinn machen, da es um die Sicherung des Büro-NAS geht.
Aber ja, diese Option habe ich w.o. schon angesprochen. Aktuell läuft genau das: Eine Software, die auch im Sleepmode funktioniert und jede Nacht den Inhalt des NAS sichert.
Eine Cloud-Lösung (die nicht kostenlos ist) wäre eleganter noch sicherer (da im RAID verteilt).

 

[Feel Inc.]

Das würde wenig Sinn machen, da es um die Sicherung des Büro-NAS geht.
Aber ja, diese Option habe ich w.o. schon angesprochen. Aktuell läuft genau das: Eine Software, die auch im Sleemode funktioniert und jede Nacht den Inhalt des NAS sichert.
Eine Cloud-Lösung (die nicht kostenlos ist) wäre eleganter noch sicherer (da im RAID verteilt).

Mit RAID hat das nichts zu tun. RAID ist kein Backup (ich weiss nicht, wo das immer her kommt, habe diese Diskussion aber immer wieder Mal mit Kunden)! Mit einer Cloud-Lösung kommst du der 3-2-1-Regel in jedem Fall näher: 3 Kopien deiner Daten auf mindestens 2 unterschiedlichen Medien und davon mindestens 1 an einem anderen Ort wie die Originaldaten.

 

[rauschwerk]

Mit RAID hat das nichts zu tun. RAID ist kein Backup (ich weiss nicht, wo das immer her kommt, habe diese Diskussion aber immer wieder Mal mit Kunden)! Mit einer Cloud-Lösung kommst du der 3-2-1-Regel in jedem Fall näher: 3 Kopien deiner Daten auf mindestens 2 unterschiedlichen Medien und davon mindestens 1 an einem anderen Ort wie die Originaldaten.

Dann ein bisschen Aufklärung für dich bez. des Themas RAID (im Bezug auf das, was Cloud-Anbieter in ihren Netzwerk-Zentren so betreiben):
Firmen, die Hosting oder Storage Lösungen anbieten (egal, ob das einfacher Cloud-Speicher ist, oder sonstige Storage-Lösung), arbeiten selbstverständlich mit mehreren Datenträgern, auf den die vom Kunden gespeicherte Daten mehrfach verteilt gesichert werden. Fällt ein Datenträger aus (was ja oft passiert), wird dieser im laufenden Betrieb getauscht, ohne dass die Kundendaten weg sind. In der Regel läuft das über RAID-10 (oder ähnlich verteilt). Das muss es auch, weil der Anbieter gewährleisten muss, dass deine Datensicherheit auf jeden Fall und immer gewährleistet ist.

Das habe ich w.o. mit "da im RAID verteilt" gemeint (= im Netzwerk-Zentrum aus Sicherheitsgründen),
was du (vermutlich) falsch verstanden hast.

In vielen Firmen, die NAS-Server betreiben, wird aus Sicherheitsgründen RAID-1 verwendet. Nicht im Sinne eines Backups, sondern sicherheitshalber als Duplex. Und natürlich nicht auf zwei Partitionen einer und der selben HDD, sondern selbstverständlich auf zwei getrennten HDDs (alles andere würde bez. RAID-1 keinen Sinn machen beim mechanischen Ausfall des Datenträgers). So auch bei uns. Einfache 1:1 Spiegelung als Sicherheit. Und in der Tat ist bei uns vergangenes Jahr eine HDD von zwei ausgefallen - sie wurde ersetzt, und gut war.

 

[ujhdsrtzhvdr]

Firmen, die Hosting oder Storage Lösungen anbieten (egal, ob das einfacher Clod-Speicher ist, oder sonstige Storage-Lösung), arbeiten selbstverständlich mit mehreren Datenträgern, auf den die vom Kunden gespeicherte Daten mehrfach verteilt gesichert werden.

Zu dem Thema möchte ich noch, gerade auch wegen der Privacy, das Stichwort "Deduplizierung" in den Raum werfen.

Als kurze Erklärung: Wenn mehrere Leute die gleiche Datei (in der Cloud) speichern, auch in unterschiedlichen Accounts, wird die Datei tatsächlich nur ein Mal gespeichert und dann x Referenzen darauf gemacht. Damit wird Speicherplatz gespart. Das Ganze funktioniert natürlich nicht nur auf Dateibasis sondern auch auf Segmenten von Dateien bis hinunter auf Ebene von (physikalischen) Blocks. Der Vorgang nennt sich Deduplizierung.

Wenn ich ein solches Speichersystem habe, kann ich also einfach eine Datei oder ein Inhaltssegment erstellen und dann schauen, ob es Dedupliziert wird. Damit finde ich heraus, wer alles einen entsprechenden Inhalt gespeichert hat, ohne dass ich mich in einem dieser Account einloggen und die Datein inhaltlich durchsuchen müsste. Ein verschlüsselter Speicher verhindert dabei die Deduplizierung nicht per se.

Deduplizierung wird oft mit Replizierung kombiniert, sprich, es wird erst auf eine Datei reduziert und Referenzen angelegt, um Speicher zu reduzieren und die Datei danach redundant gespeichert, um die Ausfallsicherheit zu erhöhen.

Wer sich also um Privacy sorgt, sollte darauf achten, dass sein Cloud Storage/Backup Service nicht dedupliziert. Ist oft schon am Preis zu erkennen; wer 10:1 deduplizeren kann, hat tiefere Kosten, als ein Anbieter, der das nicht tut.

 

[Feel Inc.]

Du brauchst mich nicht über RAID oder Cloud aufklären, ich arbeite seit über 25 Jahren in der IT, davon 7 bei einem Serverhersteller, aktuell seit 3 Jahren bei einem Softwarehersteller für Virtualisierung und Cloud-Technologien, dazwischen bei einer internationalen Telco, meine erste kommerzielle Cloudplattform habe ich 2007 designed und betrieben.
RAID ist eine Technologie um Hardwareausfällen entgegenzuwirken, das ist richtig, hat aber nichts mit Backup zu tun. Der storage, den du bei Cloudanbietern bekommst läuft mittlerweile auch schon lange nicht mehr als RAID, weil das nicht skaliert. Hier kommen verteilte Dateisysteme oder Objectstorage zum Einsatz. So, genug Rechtfertigung ich will dich nicht belehren, sondern dir helfen die für dich beste Lösung zu finden, ohne dass du dich ggf. in falscher Sicherheit wähnst und dann im Fall der Fälle das Geschrei groß ist. Ich habe das schon oft, auch bei Großkonzernen, erlebt. "Wieso zusätzliches Backup, wir haben doch RAID", "Ja, wir haben ein Backup, aber das lässt sich nicht zurückspielen, haben wir auch vorher nie getestet", "Backup in der Cloud war so günstig, deshalb haben wir das da komplett ausgelagert. Warum hat uns denn keiner gesagt, dass wir jetzt für eine Recovery 3 Wochen brauchen und zudem unsere Internetanbindung unbenutzbar ist in der Zeit", ...
Das du dir Gedanken um eine vernünftige Sicherung deiner Daten machst ist gut. Nur solltest du das wirklich gründlich machen, ansonsten verschwendest du nur Geld für nichts und stehst dann doch ohne Daten da.

 

[Feel Inc.]

Zu dem Thema möchte ich noch, gerade auch wegen der Privacy, das Stichwort "Deduplizierung" in den Raum werfen.

Als kurze Erklärung: Wenn mehrere Leute die gleiche Datei (in der Cloud) speichern, auch in unterschiedlichen Accounts, wird die Datei tatsächlich nur ein Mal gespeichert und dann x Referenzen darauf gemacht. Damit wird Speicherplatz gespart. Das Ganze funktioniert natürlich nicht nur auf Dateibasis sondern auch auf Segmenten von Dateien bis hinunter auf Ebene von (physikalischen) Blocks. Der Vorgang nennt sich Deduplizierung.

Wenn ich ein solches Speichersystem habe, kann ich also einfach eine Datei oder ein Inhaltssegment erstellen und dann schauen, ob es Dedupliziert wird. Damit finde ich heraus, wer alles einen entsprechenden Inhalt gespeichert hat, ohne dass ich mich in einem dieser Account einloggen und die Datein inhaltlich durchsuchen müsste. Ein verschlüsselter Speicher verhindert dabei die Deduplizierung nicht per se.

Deduplizierung wird oft mit Replizierung kombiniert, sprich, es wird erst auf eine Datei reduziert und Referenzen angelegt, um Speicher zu reduzieren und die Datei danach redundant gespeichert, um die Ausfallsicherheit zu erhöhen.

Wer sich also um Privacy sorgt, sollte darauf achten, dass sein Cloud Storage/Backup Service nicht dedupliziert. Ist oft schon am Preis zu erkennen; wer 10:1 deduplizeren kann, hat tiefere Kosten, als ein Anbieter, der das nicht tut.

Sorry, aber das ist gequirlte Sch... Deduplizierung findet auf Blockebene statt, daraus die Daten von anderen herzustellen ist aber nicht wirklich möglich. Der Faktor der Deduplizierung hängt auch einzig von der Art der Daten an, da kann man nichts einstellen wie mach Mal 10:1. Die Speicherhersteller werben mit solchen zahlen gerne, den theoretisch könnte ich 10 identische Windowsinstallationen haben, die ich dann theoretisch auf eine Zusammendampfen könnte. In der Praxis erreicht man bestenfalls 2:1. Wenn ich Verschlüsselung nutze, dann wird die Rate noch schlechter, weswegen das da eher nicht aktiviert wird (Deduplizierung kostet nicht wenig Rechenzeit, muss sich also lohnen). Die Absicherung über RAID, Replizierung oder sonstiges ist davon unabhängig...

 

[rauschwerk]

Ich habe an keiner Stelle behauptet, das RAID gleich Backup bedeutet.

 

[Feel Inc.]

Geht gar nicht @Feel Inc.. Versuch's doch mal mit Anstand.
Ganz abgesehen davon, dass keine deiner fachlichen Vorhaltungen im Widerspruch zu meiner Aussage steht.

Sorry, da habe ich mich tatsächlich im Ton vergriffen, das war nicht böse gemeint. Mir platzt nur manchmal die Hutschnur, wenn ich technischen Blödsinn lese, den ich bei Kunden in stundenlangen Diskussionen wieder gerade biegen darf. Nochmal: Sorry, das hätte nicht sein dürfen, ich entschuldige mich bei dir!

Doch, das was du geschrieben hast steht in Widerspruch. Du behauptest, man könnte auf einen System, das dedupliziert, Rückschlüsse auf die Daten anderer herleiten. Das ist aber nicht korrekt. Deduplizierung läuft transparent auf einer tieferen Ebene. Davon bekommt dein Betriebssystem nichts mit, geschweige denn dass du schauen könntest, ob und wie stark eine deiner Dateien dedupliziert worden ist. Wir auch schon geschrieben, es wird auf Blockebene dedupliziert. D.h. wir sprechen von Einheiten zw. 512 Byte bis üblicherweise 4KByte. Diese müssen auf einen Medium noch nicht Mal gefüllt sein, sprich, da kann auch Mal nur ein Byte drin stehen. Wenn ich 2 unterschiedliche Dateien habe, dann kann ich auf der Festplatte durchaus Blöcke haben, die identisch aussehen. Selbst bei einer einzigen Datei kann ich ggf. mehrere Blöcke haben, die gleich sind. Aufgrund dieser Blöcke kann ich nicht auf den Inhalt der Dateien schließen.