Business Active Backup for Business - Verschlüsselung der gesicherten Daten

tp1de

Benutzer
Mitglied seit
13. Jul 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Ich habe Active Backup for Business eingerichtet um meinen Desktop und Laptop zu sichern (Bare-Metal).
Zusätzlich werden 2 Dateiserver mit rsync gesichert.

Nun frage ich mich, ob das gespeicherte Image verschlüsset ist? Soweit ich das verstehe wird nur die Datenübertragung selbst verschlüsselt und nicht die gesicherten Daten.

Wie kann ich sicherstellen, dass bei Ausbau der Platte / Diebstahl kein Zugriff ohne Verschlüsselungspasswort möglich ist?
Kann bzw. soll ich den Speicherort / Gemeinsamer Order für Active Backup verschlüsseln?
 

Cyberbob_at_tot

Benutzer
Mitglied seit
27. Feb 2015
Beiträge
46
Punkte für Reaktionen
2
Punkte
8
Hallo, ich habe hier das selbe Problem, bzw. eine Wissenslücke,

ich habe versucht den Ordner "ActiveBackupforBusiness" direkt als verschlüsseltem Ordner anzulegen. Aber der Agent kann dann keine Aufgabe mehr erstellen.

Daher auch von mir die Frage. Hat jemand zum Thema mehr informationen ?
 

tp1de

Benutzer
Mitglied seit
13. Jul 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Leider habe ich in den letzten 5 Wochen hier im Forum keine Antwort bekommen.
Ohne Datenverschlüsselung werde ich Active Backup for Business nicht einsetzten. Ich sichere jetzt nur noch unkritische Bereiche von Dateiservern mit Active Backup.

Bei allem Anderen - insbesondere PC's - bleibe ich bei ACRONIS Trueimage mit Verschlüsselung und Datenkomprimierung.

SO IST ACTIVE BACKUP FOR BUSINESS FÜR VERTRAULICHE DATEN NICHT EINSETZBAR.
 

Cyberbob_at_tot

Benutzer
Mitglied seit
27. Feb 2015
Beiträge
46
Punkte für Reaktionen
2
Punkte
8
Da stimme ich leider zu.

Habe gerade noch die Antwort von Synology erhalten. Es ist nicht möglich, die Backups in ein verschlüsselten Ordner als Ziel zu schieben.
"Hierbei handelt es sich um eine Softwarelimitierung um sicherzustellen, dass das Zielverzeichnis für Backups und Restores jederzeit zur Verfügung steht."
Aber habe den Wunsch mal geäußert, dass diese Funktionion mit eingebaut werden soll.
 

tp1de

Benutzer
Mitglied seit
13. Jul 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Fazit: Wie der Name schon sagt, ist ACTIVE BACKUP aktuell nur im Business-Bereich einsetzbar, wo es zugangsgesicherte Server-Räume gibt.
Nicht im Privathaushalt, wo das Diebstahlrisiko der Datensicherung/Festplatten nur durch Verschlüsselung abgedeckt wird.

Da ich meine Desktops / Laptopts mit Bitlocker verschlüssele, geht nur Backup mit hinreichender Verschlüsselung!

Technisch wäre es ja leicht, nicht nur die Datenübertragung, sondern auch die Sicherungsdateien selber zu verschlüsseln (so wie Hyperbackup ja auch macht).
 
Zuletzt bearbeitet:

Bequa

Benutzer
Mitglied seit
13. Aug 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Ich kann mich hier nur anschliessen, habe mich gerade mit ACTIVE Backup auseinandergesetzt und es jetzt wegen fehlender Verschlüsselung wieder verworfen. Vielleicht kommt ja hier doch bald was, in Zeiten von DSGVO und den damit verbundenen Auflagen ist ein unverschlüsseltes Backup keine Lösung.
 

mb01

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
485
Punkte für Reaktionen
56
Punkte
28
Mit der relativ neuen 2.10-Version von Oktober scheint es auch immer noch nicht zu gehen, sehr enttäuschend. Ich hab testweise mal Active Backup auf der Syno gestoppt, den zugehörigen Ordner verschlüsselt und dann Active Backup wieder gestartet: Nada, bei der nächsten Sicherung interner Fehler bzw. findet er den Order nicht.

Ich hab Active Backup erstmal nur testweise im Einsatz, das Thema Verschlüsselung hatte ich vertagt. Erst jetzt ist mir aber klar geworden, dass man seine Backup-Daten auf der Syno nicht verschlüsseln kann. Anwendungsfall wäre u.a. auch bei mir ein Notebook, was sonst mit Bitlocker zumindest halbwegs abgesichert ist. Gut, unbedingt notwendig ist Active Backup dank VPN/Drive/Hyberbackup ja nicht, aber ich fände es schon nett, mit ein paar Klicks schnell wieder meine Notebook-Umgebung wieder lauffähig zu bekommen, falls da "irgendwas" passiert.

Sehr schwach von Synology ... vielleicht müssten sie mal dieses veraltete Verschlüsselungskonzept mit ecryptfs(?) übern Haufen schmeissen und da eine neue leistungsfähigere Lösung einbinden. Wozu zahlt man für den Kram sonst so viel Kohle. :(
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.235
Punkte für Reaktionen
324
Punkte
109
Hört auf zu "heulen" und schreibt ein Feature Request an Synology.
 

mb01

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
485
Punkte für Reaktionen
56
Punkte
28
Ich hatte es als Kommentar unter eines der kürzlich veröffentlichen Synology-2020-Videos auf Youtube formuliert ... und die Antwort kam schnell: Die Entwickler arbeiten dran und es sei in einem größeren Update 2020 damit zu rechnen. Dann schauen wir mal ...
 

Heidi

Benutzer
Mitglied seit
05. Aug 2019
Beiträge
300
Punkte für Reaktionen
51
Punkte
34
Hier eine kleine technische Begründung warum der Active-ordner nicht verschlüsselt angelegt werden kann. Wie die meisten wohl wissen, kann das Active-backup nur auf dem Btrfs Filesystem angelegt werden. Denn für die platzsparende Speicherung ist die Btrfs-Funktion des Snapshots bzw. der Versionierung nötig. Auf dem ext4 geht das nicht. bei jeder Sicherung müsste man nun ein komplett neues Image vom PC anlegen. Da geht schnell der Platz aus.


Bei der Verwendung von verschlüsselten Ordnern wird innerhalb des Ordners ein neues Filesystem angelegt. Es handelt sich hierbei um das eCryptFS (siehe Wiki und Synology Whitepaper). Das eCryptFS kann leider keine der tollen Funktionen des Btrfs. So ist auch eine platzsparende Versionierung (Drive-Paket) innerhalb eines verschlüsselten Ordners nicht möglich. Auch kann die Snapshot und Snapshot-Replication Funktion nicht genutzt werden.

Ich sehe hier einen Zusammenhang. Sobald verschlüsselter Ordner verwendet: Keine Btrfs-Funktionen verfügbar = kein ActiveBackup for Business verwendbar.

Die ideale private IT-Struktur sieht m.E. so aus, dass der "PC" nur ein Client darstellt, auf dem das Betriebssystem und die Programme mit deren Einstellungen laufen. Die Daten befinden sich auf der Syno, die mit Raid und autom. backup und Verschlüsselung für den Sicherheit sorgt. Das ActiveBackupfB sichert demnach nur das z.B. windows mit allen Einstellungen, sodass man den PC Migrieren kann oder refresehen oder ein bare-metal-recovery durchführen kann.

Aber ja, tatsächlich liegen auch auf meinem win-PC einige Daten auf dem Desktop unverschlüsselt herum und der große Thunderbird-Ordner liegt der Start-Geschwindigkeit halber auch auf C: (ist ne SSM Platte) rum. Aber hier stellt sich dann die Frage nach einem Diebstahl sowieso, wenn die Daten auf dem win unverschlüsselt liegen. Okay, der win-login ist zumindest "gesichert", aber tatsächlich müsste hier dann erst eine Bitlocker-Geschichte laufen, damit man den schwarzen Peter der unverschlüsselten Syno in die Schuhe schieben kann...

Also, auch ich hoffe auf eine verschlüsselte Variante des ActiveBackupForBusiness in naher Zukunft (DMS7.0......?!)
 
  • Like
Reaktionen: 8ock

Heidi

Benutzer
Mitglied seit
05. Aug 2019
Beiträge
300
Punkte für Reaktionen
51
Punkte
34
Hallo zusammen,

ich lese gerade so durch diesen Thread, merkt, dass ich der letzte war, der 'damals' geschrieben hat und aktualisiere hiermit den Stand der initialen Frage nach der Verschlüsselung des Ziel-Ordners für das ActiveBackupforBusiness (ABB).

Seit ABB-Version 2.2.0-12070 vom 1. Juni 2021 ist die Funktion der Verschlüsselung des Ziel-Ordners verfügbar.
 
  • Like
Reaktionen: Synchrotron

Heidi

Benutzer
Mitglied seit
05. Aug 2019
Beiträge
300
Punkte für Reaktionen
51
Punkte
34
Ich hatte gerade Kontakt mit dem Support zur Frage, wie man "nachträglich" die Verschlüsselung seines ABB einrichten kann. Die Antwort wie folgt:

Active Backup for Business verwendet eine eigene Verschlüsselung, diese funktioniert unabhängig von der Verschlüsselung der freigegebenen Ordner. Ein nachträgliches Aktivieren der Verschlüsselung ist nicht möglich.

Auch die Komprimierung wird von Active Backup for Business selbst durchgeführt. Für den freigegebenen Ordner sollte deshalb keine Komprimierung aktiviert werden.

Zur Lösung des Problems können Sie ein neues Sicherungsziel erstellen:
  • Erstellen Sie einen neuen freigegebenen Ordner ohne Verschlüsselung und ohne Komprimierung (die Daten-Prüfsummen können Sie aktivieren, dies beeinträchtigt aber die Sicherungsleistung)
  • Erstellen Sie in Active Backup for Business eine neue Sicherungsaufgabe, wählen Sie dabei den neuen Ordner als Ziel aus. Beim Erstellen der ersten Aufgabe in diesem Ordner haben Sie die Möglichkeit, die Komprimierung und Verschlüsselung zu aktivieren. Diese Optionen sind dann auch für alle anschließend in diesen Ordner erstellten Aufgaben aktiviert.
 
  • Like
Reaktionen: DS111-User

DS111-User

Benutzer
Mitglied seit
13. Feb 2011
Beiträge
285
Punkte für Reaktionen
14
Punkte
18
Danke für die Erklärung @Heidi!

Anscheinend muss man wirklich zuerst einen neuen freigegebenen Ordner über die DSM-Systemsteuerung erstellen und dann diesen neuen Ordner innerhalb von "Active Backup 4 Business" als Sicherungsziel angeben.
Dann kann man folgende Einstellungen in der Default-Aufgabe (oder eigenen neuen Aufgaben) einstellen:
ActiveBackup4Business - Verschlüselung und Komprimierung.png
Wie das mit dem "Sicherungsziel bereitstellen, wenn dieses Synology NAS neu gestart wird" funktioniert, habe ich noch nicht herausgefunden.

Gibt man bei der Verschlüsselung ein Passwort an, wird einem dieser Schlüssel automatisch als *.key-Datei auf das lokale Geräte heruntergeladen. Samt Hinweis, dass ohne dieses Passwort die gesicherten Daten endgültig verloren sind.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.197
Punkte für Reaktionen
2.209
Punkte
289
Damit wird der entsprechende Key oder das Passwort im sogenannten „Schlüssel-Tresor“ hinterlegt und der verschlüsselte Ordner beim Neustart automatisch eingebunden und entschlüsselt. Ansonsten muss das nach jedem Neustart manuell erfolgen.
 
  • Like
Reaktionen: DS111-User

Heidi

Benutzer
Mitglied seit
05. Aug 2019
Beiträge
300
Punkte für Reaktionen
51
Punkte
34
Sobald das Ziel verschlüsselt wird, muss das -ähnlich einem "Passwort-Tresor" oder den "verschlüsselten Gemeinsamen Ordnern" per Passwort geöffnet" werden, damit die Clients drauf zugreifen können. Andernfalls ist der Tresor geschlossen. Der Tresor fällt bei jedem Geräte-Shutdown ebenfalls zu. Durch Hinterlegen des Passworts, oder einen Dongles kann das automatisch erfolgen.

Im Privatbereich muss ich ja nur alle Nase lang mal auf das Backup zugreifen. Ich lasse meinen tresor einfach immer zu und öffne nur dann, wenn ich draus wirklich war brauche. Bedeutet max. Sicherheit bei kaum Komfortverlust.
 
  • Like
Reaktionen: DS111-User

schukra

Benutzer
Mitglied seit
04. Feb 2021
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Ich habe erfolgreich ein verschlüsseltes Backup anlegen können. Den Schlüssel habe ich in der Systempartition hinterlegen lassen. Es funktioniert alles prima. Jetzt eine Verständnisfrage:
Ich möchte alle Schlüssel gemäß der Empfehlung auf einen externen Datenspeicher exportieren. Aber der Schlüssel meines AB4B Sicherungsziels erscheint leider nicht im Schlüsselmanager. Gibt es irgendwie eine Möglichkeit das nachträglich hinzubekommen? Schlüsseldatei und Passphrase liegen mir natürlich vor. Wo genau liegt eigentlich der Schlüssel in der Systempartition? Komme ich da mit SSH dran?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.197
Punkte für Reaktionen
2.209
Punkte
289
Schlüsseldatei und Passphrase liegen mir natürlich vor

Dann hast du alles, was du benötigst. Diese Schlüsseldatei, die beim Erstellen automatisch heruntergeladen wird, ist auch im Schlüsselmanager hinterlegt, wenn gewünscht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat