Backup: minimalistisch, redundant, sicher - wie?

[krimlin]

ANZEIGE

Von daher: Boxcryptor/Bitlocker/TrueCrypt/VeraCrypt + 16 stelliges, zufällig erzeugtes Passwort + professioneller Cloud-Hoster (Google, Dropbox, Microsoft, Amazon und wer auch immer sonst noch sein Geld mit Cloud-Storage verdient) und Dir passiert mit an Sicherheit grenzender Wahrscheinlichkeit gar nix.

Grundsätzlich sehe ich das ähnlich, aber mit den genannten Verschlüsselungslösungen kann man meines Wissens keine im Hintergrund laufende, inkrementelle Backups machen, sondern muss das Backup dann stets manuell vornehmen. Oder?
Das stört mich leider und führt mich zu den wenigen Anbietern, die von sich aus eine e2e-Verschlüsselung im Hintergrund anbieten. :-/ Leider sind das nicht viele und sie verlangen auch einen Aufpreis für ihren Dienst, Marktbereinigungen gab es auch schon öfters...

 

[krimlin]

Nach ein wenig Recherche erscheint mit noch eine Alternative interessant:
Es gibt https://www.arqbackup.com/ für einen einmaligen Kaufpreis, dieses verschlüsselt das Backup, das man offenbar sehr granular einstellen kann, läuft auch inkrementell und scheint sehr gut öffentlich dokumentiert zu sein. Dies kann man dann mit quasi beliebigen Speicheranbietern verknüpfen. Zumindest eine Überlegung wert.

 

[TDO]

Grundsätzlich sehe ich das ähnlich, aber mit den genannten Verschlüsselungslösungen kann man meines Wissens keine im Hintergrund laufende, inkrementelle Backups machen, sondern muss das Backup dann stets manuell vornehmen. Oder?

Der einzige Sinn von Boxcryptor ist die transparente Verschlüsselung.
Du solltest dir mal irgendeine Cloudlösung installieren, anscheinend ist dir deren Funktionsprinzip nicht bekannt - warum solltest du da irgendwas manuell machen?

 

[Travelling_Geek]

Nach ein wenig Recherche erscheint mit noch eine Alternative interessant:
Es gibt https://www.arqbackup.com/ für einen einmaligen Kaufpreis, dieses verschlüsselt das Backup, das man offenbar sehr granular einstellen kann, läuft auch inkrementell und scheint sehr gut öffentlich dokumentiert zu sein. Dies kann man dann mit quasi beliebigen Speicheranbietern verknüpfen. Zumindest eine Überlegung wert.

Wo hast Du denn Infos zur Verschlüsselung gefunden? Ich nur per Google einen dürren Tweet, dass man "AES-256" einsetze. Kein Wort über Code Reviews, wer den Algo umgesetzt hat, ob eventuell eine bekannte Library zum Einsatz kommt und so weiter.
Das ist für mich das exakte Gegenteil von "gut dokumentiert".
Und Entwickler, die Fragesteller auf den Source Code ihrer Software verweisen, haben den Schuss ohnehin nicht gehört...

 

[Travelling_Geek]

Grundsätzlich sehe ich das ähnlich, aber mit den genannten Verschlüsselungslösungen kann man meines Wissens keine im Hintergrund laufende, inkrementelle Backups machen, sondern muss das Backup dann stets manuell vornehmen. Oder?

Alles, was Du in den zuvor festgelegten, mit dem jeweiligen Cloud-Anbieter gekoppelten Ordner auf der lokalen Platte ablegst, wird automatisch durch BoxCryptor verschlüsselt und dann hochgeladen. Sogar Temp-Dateien von Office-Anwendungen.
Das ist die Textbuch-Implementierung von "inkrementell"

 

[krimlin]

Du solltest dir mal irgendeine Cloudlösung installieren, anscheinend ist dir deren Funktionsprinzip nicht bekannt

Immer wieder erstaunlich, wie sich manche Mitmenschen zu vorschnellen Vorwürfen und Mutmaßungen hinreißen lassen.

Alles, was Du in den zuvor festgelegten, mit dem jeweiligen Cloud-Anbieter gekoppelten Ordner auf der lokalen Platte ablegst [...]

Genau. In dem "gekoppelten Ordner". Für mich sollte aber eine Backup-Lösung beinhalten, dass sie sich an die gegebene Ordnerhierarchie anpasst und nicht, dass sich der Nutzer damit an die Backuplösung anpasst. Die Lösung "alles, was im OneDrive-Ordner ist, wird verschlüsselt" ist für mich keine "Backup"-Lösung.
Sprich: Wenn die Ordner "Dokumente", "Musik", "Bilder" und "Videos" inkl. aller Unterordner gebackupt werden sollen, soll sich die Software darum kümmern, dass das verschlüsselt und hochgeladen wird und nicht ich mich darum kümmern, dass ich das in den OneDrive-Ordner verschiebe und dann in Zukunft auch innerhalb des OneDrive Ordners arbeiten muss, um Änderungen mitzusichern.
Da das mit Boxcryptor nicht geht, betrachte ich das nicht als Backup-Programm. Darum geht es doch in diesem Thread, oder? Für andere Fälle ist die Lösung aber sicher gut geeignet.

Wo hast Du denn Infos zur Verschlüsselung gefunden? Ich nur per Google einen dürren Tweet, dass man "AES-256" einsetze. Kein Wort über Code Reviews, wer den Algo umgesetzt hat, ob eventuell eine bekannte Library zum Einsatz kommt und so weiter.
Das ist für mich das exakte Gegenteil von "gut dokumentiert".

Fair point. Ich kann nur mit diesen beiden Links dienen:
https://github.com/arqbackup/arq_restore
https://www.arqbackup.com/arq_data_format.txt

Ersteres dient offenbar dazu, wieder an seine verschlüsselten Daten kommen zu können, falls der Anbieter mal im Nichts verschwindet. Aber bin kein Programmierer und kann nicht beurteilen, wie viel man mit den Infos anfangen kann. Die Beschreibung in dem zweiten Link fand ich aber recht anschaulich.

 

[fvpfn1]

Grundsätzlich sehe ich das ähnlich, aber mit den genannten Verschlüsselungslösungen kann man meines Wissens keine im Hintergrund laufende, inkrementelle Backups machen, sondern muss das Backup dann stets manuell vornehmen. Oder?
Das stört mich leider und führt mich zu den wenigen Anbietern, die von sich aus eine e2e-Verschlüsselung im Hintergrund anbieten. :-/ Leider sind das nicht viele und sie verlangen auch einen Aufpreis für ihren Dienst, Marktbereinigungen gab es auch schon öfters...

Mir scheint, hier werden ein paar Dinge vermischt: wie man ein Backup anlegt hängt von der benutzten Software und auch dem Betriebssystem ab, ob und wie man es verschlüsselt - das kann die Backupsoftware erledigen, das kann man aber auch trennen und als letztes, wohin man das Backup macht: auf eine zweite Platte, einen anderen Computer, in die Cloud etc.
Mancher mag alles mit einem Programm erledigen, mancher nutzt aus diversen Gründen verschiedene Programme. Man kann also etwa mit einer Backupsoftware, die der externen Festplatte beiliegt ein Backup in einen Truecrypt Container in einem Dropboxordner machen. Meines Wissens synchronisiert Dropbox dann nur den geänderten Teil des Containers.

 

[Travelling_Geek]

Sprich: Wenn die Ordner "Dokumente", "Musik", "Bilder" und "Videos" inkl. aller Unterordner gebackupt werden sollen, soll sich die Software darum kümmern, dass das verschlüsselt und hochgeladen wird und nicht ich mich darum kümmern, dass ich das in den OneDrive-Ordner verschiebe und dann in Zukunft auch innerhalb des OneDrive Ordners arbeiten muss, um Änderungen mitzusichern.

Mir ist zwar nicht ganz ersichtlich, warum das Ablegen der Dateien in einem anderen Ordner auf der Platte ein Problem ist. Aber wenn Dir das in der Tat nicht liegt, dann wirst Du Dir wahrscheinlich mit vielen Cloud-Clients schwer tun.
Das von Dir gewünschte inkrementelle Backup ist jedenfalls kein Problem.

Da das mit Boxcryptor nicht geht, betrachte ich das nicht als Backup-Programm. Darum geht es doch in diesem Thread, oder? Für andere Fälle ist die Lösung aber sicher gut geeignet.

Nicht verwechseln: Boxcryptor ist die Verschlüsselungssoftware, OneDrive, Dropbox etc sind die Cloud-Dienste. Boxcryptor versteht sich mit quasi allen dieser Dienste, verschlüsselt aber auch unabhängig von ihnen beliebige Ordner auf der Platte.

Fair point. Ich kann nur mit diesen beiden Links dienen:
https://github.com/arqbackup/arq_restore
https://www.arqbackup.com/arq_data_format.txt

Die Krypto-Implementierung wurde offenbar noch von niemandem jemals auf Herz und Nieren geprüft und der Entwickler schweigt sich darüber aus, welche Libraries er verwendet. Worst case: Er hat das Ganze selbst programmiert. Das wäre ein Armutszeugnis. Und ich fürchte, dass es darauf raus läuft.

Solange da nicht mehr Infos vorliegen, würde ich einen gigantischen Bogen um diese Software machen. Das Projekt wäre nicht das erste, bei dem die Krypto Mist ist, weil ein Nicht-Experte der Meinung war, es besser zu können als Fachleute (die Krypto-Bibliotheken samt ordentlicher Doku als Open Source bereit stellen und man sich nur noch bedienen muss).

 

[traveler]

Ich teste gerade dogado Online Backup: https://www.dogado.de/online-backup/

Hört sich eigentlich ganz gut an. Bietet sogar eine 30-Tage Geld zurück Garantie.

 

[krimlin]

Mir ist zwar nicht ganz ersichtlich, warum das Ablegen der Dateien in einem anderen Ordner auf der Platte ein Problem ist. Aber wenn Dir das in der Tat nicht liegt, dann wirst Du Dir wahrscheinlich mit vielen Cloud-Clients schwer tun.

Ersteres ist wohl eine Prinzipfrage. Ja, leider haben die "großen" Anbieter sehr lange auf diesen separaten Ordner gesetzt, was in der Cloud-Nutzerbasis wohl zu einem Gewohnheitseffekt an diesen Extra-Ordner geführt hat. Das von mir Beschriebene ging lange Zeit nur bei Nischenanbietern, z.B. Wuala, Spideroak, Tresorit, Crashplan... Inzwischen sind aber auch die "großen" zunehmend "innovativ". Strato HiDrive und Google haben schon Entwicklungen in die Richtung - aber ohne Verschlüsselung. Und Boxcryptor kann diese neuen Funktionen (noch) nicht um diese Verschlüsselung erweitern (weil es nur diesen einen Extra-Ordner verschlüsselt).

Nicht verwechseln: Boxcryptor ist die Verschlüsselungssoftware, OneDrive, Dropbox etc sind die Cloud-Dienste. Boxcryptor versteht sich mit quasi allen dieser Dienste, verschlüsselt aber auch unabhängig von ihnen beliebige Ordner auf der Platte.

Ich weiß recht genau, wie Boxcryptor funktioniert - und was es nicht kann.

Die Krypto-Implementierung wurde offenbar noch von niemandem jemals auf Herz und Nieren geprüft und der Entwickler schweigt sich darüber aus, welche Libraries er verwendet.

Danke fürs Drüberfliegen. Den Aspekt hatte ich mir noch nicht angesehen. Naja, zumindest was die Backup-Funktionsvielfalt angeht, finde ich sie nach einem kurzen Test ziemlich gut und exakt zu dem passend, was ich meinte. Aber die Verschlüsselungs-Unklarheit ist ein berechtigter Einwand.

Mir scheint, hier werden ein paar Dinge vermischt: wie man ein Backup anlegt hängt von der benutzten Software und auch dem Betriebssystem ab, ob und wie man es verschlüsselt - das kann die Backupsoftware erledigen, das kann man aber auch trennen und als letztes, wohin man das Backup macht: auf eine zweite Platte, einen anderen Computer, in die Cloud etc.

Genau. Auf den ersten Seiten dieses Threads sind inkrementelle Cloud-Lösungen, die zudem automatisch verschlüsseln, welche aber nicht eigene Ordner brauchen, in denen man arbeitet, meiner Meinung nach zu kurz gekommen. Ich habe also versucht, das Thema in diese Richtung zu erweitern. Tut mir leid, wenn ich deren Relevanz nicht deutlich machen konnte.

 

[krimlin]

Hinsichtlich crashplan muss ich aus aktuellem Anlass meinen Standpunkt ändern und eher warnen:
Das Programm wurde automatisch auf eine "gaaaanz" moderne Oberfläche aktualisiert und hat daher nach einem Passwort gefragt - sowohl das Passwort für den Account als auch den "custom key". Offenbar ist mir bei letzterem ein Tippfehler passiert. Das Programm schien daraufhin 290GB neu hochladen zu wollen, woraufhin ich erst einmal pausiert habe und in den Support Chat gegangen bin.
Kurz und bündig: Es ist ein "feature", dass bei einmalig falschem Passwort keine Fehlermeldung kommt, sondern ein neues Archiv generiert wird. Meine 290GB seien "weg". Das diene der Sicherheit. Ich war für einen Moment wirklich sprachlos, andererseits aber dann doch froh, dass mir das nicht im Ernstfall passiert ist. Der nächste Klick führte zur Kündigung.

Ich habe den Chat wenig höflich beendet und der Mitarbeiter hat daraufhin zu einer weiteren Support-Ebene eskaliert. Aber was auch immer da rauskommt - das geht einfach gar nicht. Ich meine: dass man keine 10.000 Eingabeversuche falscher Passwörter toleriert, sehe ich aus einer Sicherheitsperspektive noch ein. Aber dass bei erstmalig falscher Eingabe das gesamte Archiv gelöscht wird (!) - und dass das auch noch "by design" sein soll - behirne ich nicht.

 

[Biohazard]

Sehr gute Idee, setze ich auch so um.

Meine wichtigsten Dateien (<300GB) liegen a) auf meinem Rechner und werden regelmäßig mit einem Tool auf b) mein NAS (RAID1 für die Redundanz) gesynct und von dort verschlüsselt in die c) Google Cloud geladen.

* Fällt die Platte in meinem Rechner aus habe ich die Daten noch auf dem NAS und GDrive
* Fällt eine Platte in meinem NAS aus habe ich die Daten auf meinem PC, GDrive und dem zweiten Laufwerk im NAS
* Fällt das NAS aus habe ich meinen PC und GDrive
* Brennt das Haus ab habe ich GDrive
* Fällt Google aus habe ich das NAS und meinen Computer

Früher habe ich noch regelmäßig auf eine externe, mit TC verschlüsselte, USB HDD gesynct. Seit diese kaputt verzichte ich aber auf diesen Schritt. Als nächstes Ziel schiele ich auf Synology C2 Backup, da gibts dann auch, im Gegensatz zu GDrive, eine richtige Dateienverwaltung inkl. Versionierung. Aber Synology lässt das Produkt ja nicht auf die Allgemeinheit los...

Kurzer Aktualisierung zu meinem Beitrag: seit ein paar Monaten bin ich bei Synology C2 Backup und vollauf zufrieden.

 

[Nobrain]

Seit einem Jahr werden alle Endgeräte (Mobilfunktelefone, Tablets, Notebook und MacBook) auf die Synology gesichert. An der hängt eine externe Festplatte, die monatlich ausgelagert wird. Aber ich probiere auch die Restoremöglichkeiten aus, wäre sehr unschön wenn das im Bedarfsfall nicht geht...

Momentan erwäge ich den Einsatz von Safeguard Endpoint Encryption. Mein berufliches Arbeitsmittel ist seit Jahr und Tag mit Safeguard Easy verschlüsselt.

Eine Speicherung von Daten in eine mir unbekannte Cloud ist Neuland. Da ist ein Blick auf Boxcryptor wohl lohnenswert.

Mal sehen...

 

[Biohazard]

@Nobrain
Guck dir mal Synology C2 Backup an.

 

[HGFan]

Oder gleich ein gescheiter HP Server --> http://servershop24.de/

 

[Biohazard]

Den man entweder in einem RZ unterbringen muss (monatliche Kosten für das Housing). Oder du stellst es bei dir ins Haus und bei nem Brand o.ä. hast du auch kein Backup mehr. Plus du kommst für die Ersatzhardware o.ä. auf.

Dann lieber verschlüsselt in die "Cloud" für nen überschaubaren monatlichen Beitrag.

 

[HGFan]

Heizungskeller?
Packups am lokalen Pc?

Klar gute idee...

 

[Biohazard]

Der Heizungskeller ist auch nicht vor Löschwasser geschützt. Was du mit "Packups am lokalen PC" meinst weiß ich nicht. Lokale Backups bringen nichts im Katastrophenfall.

 

[HGFan]

Dafür muss es dort erstmal zu brennen beginnen.
Von welcher Katastrophe gehst du aus?

 

[Biohazard]

Von einer realistischen Katastrophe. Ein Haus- oder Wohnungsbrand ist leider nicht ganz so selten. Ich kann aber auch Diebstahl einbringen. Dann sind PC, NAS und evtl. auch die externe HDD weg - und damit auch deine Daten.

 

[DeKi]

Daher ab in die Cloud verschlüsselt mit https://cryptomator.org/de/

Nutze ich seit zwei Monaten, funktioniert bislang gut.

 

[Nobrain]

@Nobrain
Guck dir mal Synology C2 Backup an.

Hallo Biohazard,

Danke für den Tipp!

Ich werde das mal testen.

 

[tehdehzeh]

Mir ist der Sinn von verschlüsselten Backups unklar. Entweder die Daten sind so sensitiv, dass sie auch (und gerade!) auf dem viel leichter zugänglichen Live-System verschlüsselt werden müssen, oder es gibt eben keinen Grund sie zu verschlüsseln. (Wenn man glaubt, dass Google mitlesen will, sollte man eben nicht bei Google Daten ablegen).

Verschlüsselte Backups von nicht verschlüsselten Daten ist wie Autoschlüssel im Safe..

V

 

[HGFan]

Wenn der Server geklaut wird zb?
Sage ja mit einer Hardware Verschlüsselung bekommst du nix von der Verschlüsselung mit.

 

[flyDPS]

Mir ist der Sinn von verschlüsselten Backups unklar.

Wenn Du Dein Backup vom Desktop-Rechner in der Cloud speicherst, hast Du zwei Unterschiede:
- die Daten sind in der Hand Dritter
- Online-Dienste sind im Gegensatz zum Desktop-Rechner hinter keiner Firewall, weshalb es mehr Angriffszenarien gibt

Der erste Punkte ist zugegebener Weise eher subjektiv - natürlich ist ein Rechenzentrum strenger gesichert als das Arbeitszimmer zu Hause.

Ich habe auf meinem Laptop aber ebenfalls Festplatten-Verschlüsselung aktiv, denn da gebe ich Dir Recht: Wahrscheinlicher als dass mein Backup in Falsche Hände kommt, ist das dies mit meinem Laptop passiert...