Frage zu privatem Backup (insbesonder zu Verschlüsselungstrojaner)

[Miau]

Hallo zusammen,

ich benötige etwas Hilfe bei meiner Backup-Strategie, da das Thema doch etwas undurchsichtig ist und einiges an Fragen offen geblieben ist.

Ich habe eine DS224+ mit 2x4TB welche in meinem lokalen LAN hängt.

Es gibt einen Admin (2FA aktiv), sowie zwei weitere Benutzer nur mit Lese-/Schreibrechten.

- SMB ist aktiviert
- Snapshot replication ist auf allen Ordnern aktiv (Täglich, alle 2h, alle behalten für 7 Tage, letzter des Tages für 30 Tage)
- Schnappschüsse sind NICHT sichtbar für die Benutzer.
- Es gibt einen Ordner welcher auf den PC's als Netzwerklaufwerk gemounted wird (kein Backup, einfach als Datenablage).
- Es gibt einen Ordner auf jedem PC, welcher per Synology client auf die NAS gesichert wird (Backup).
- Per Syn. Photo werden von den Smartphones (gleicher Benutzer wie auf PC) die Bilder auf die NAS gesichert.

Für das 3-2-1 Backup fehlt mir jetzt noch ein Backup, welches sich am besten an einem anderen Ort befindet.

Und hier wird es jetzt etwas unverständlich für mich.
Mir geht es primär darum, Verschlüsselungstrojaner von den Backups fern zu halten.
Ich habe jetzt schon recht viel gelesen, aber so ganz klar ist mir das alles noch nicht.

1)
Der Trojaner kann die Versionierung an sich nicht verschlüsseln, solange diese nicht für die Benutzer sichtbar ist?
2)
Wenn die Versionierung nicht verschlüsselt werden kann, dann kann eigentlich nicht viel passieren, außer:
3)
Wenn der Trojaner irgendwie in der Lage ist die NAS zu befallen (zero-day), habe ich ein Problem

Daher kommt jetzt das dritte Backup ins Spiel.
Hier hätte ich die Möglichkeit per rsync über einen Raspberry PI an eine externe HDD.
Wie genau sind hier die Angriffsvectoren für so einen Trojaner, wie kann er da drauf kommen?

Jetzt habe ich mir eine gebrauchte DS220+ gekauft, da ich das gleiche Setup bei meinen Eltern installieren möchte, eben auch als Backup für den PC und auch die Photos.

Ich hätte somit auch die Möglichkeit das 3. Backup als ortsfremdes, jeweils für mich und auch meine Eltern auf den beiden NAS zu machen.
Das kann ich:
1) Per Hyper Backup
2) Per Backup for Business
machen.
B4B hätte den Vorteil das ich das ganze als "pull" machen könnte.

Jetzt wieder meine Frage, wie wäre der konkrete Angriffsvektor bei einem "push" per Hyper Backup (weil einfacher?) ?
Ist hier wirklich nur die Gefahr, das der Trojaner irgendwie an die Nutzerdaten ran kommt und somit an die backups?
Die Benutzerdaten beim B4B liegen soweit ich das gelesen habe auch in dieser "App" die ich auf meinem PC laufen lassen muss. Also im Endeffekt das gleiche Problem wie beim HB, wo ist da diese zusätzlicher Sicherheit für den "pull"?

Wie kann der Trojaner über die infiltrierte NAS per VPN auf die andere NAS um da Schaden anzurichten?
Auch wieder nur per "zero-day" um irgendwie die NAS zu infiltrieren, und theoretisch von da auch weiter zu den PC's meiner Eltern (bzw. umgekehrt zu mir)?

Letzteres ist für mich das primäre Sorgenkind (und mit der Grund warum ich das mit den Backups bei ihnen machen möchte), da ich nicht ausschließen möchte das die sich nicht doch mal irgendwie was einfangen.


Ich werde auch noch weiter lesen, aber ich glaube ohne mal direkt zu Fragen komme ich so nicht direkt weiter.

MfG
Miau

 

[plang.pl]

Willkommen hier!
Ich halte die Möglichkeit, dass das NAS z.B. über einen Windows-Client verschlüsselt wird, für nicht unwahrscheinlich.
Dass aber das NAS selbst infiziert wird und ein anderes NAS angreift, auf das per Hyper Backup gesichert wird, ist eher unwahrscheinlich, bzw. hab ich davon auch noch nie gehört. Zumindest nicht unter DSM.
Ich verwende bei mir auf dem NAS und dem Remote Backup-NAS Snasphot Replication. Da ist es äußerst unwahrscheinlich, dass es irgendein befallener Client schafft, die Snapshots zu verändern. Wenn überhaupt, wäre das nur per ssh als root möglich. Solange man nicht produktiv als Admin User am NAS angemeldet ist, sehe ich da wenig Gefahr. Mit DSM 7.2 gibt es ja auch noch diese unveränderbaren Schnappschüsse.
Ich habe auch mehrere Offline-Backups. Bevor ich die anstecke ans NAS, schaue ich kurz, ob alles so weit senkrecht ist. Wenn ja, dann Backup anstecken. Selbst wenn bei mir alle Systeme inkl. Backup-NAS komplett verschlüsselt sind und die Backups in der Cloud ebenfalls, habe ich immer noch mindestens ein Offline-Backup, dass maximal 2-3 Wochen alt ist und mit ziemlicher Sicherheit nicht kompromittiert.
Das Problem ist aber nicht nur, ein sauberes Backup zu haben. Es geht auch darum, einen "Krisenplan" zu haben. Also genau zu wissen, was im Fehlerfall zu tun ist. Nämlich alle Clients und Server platt machen und neu aufsetzen. Danach muss man halt auch noch wissen, wie man das Backup wieder einspielt. Bei komplexeren Systemen (wie bei mir mit 2 Proxmox-Servern), muss man auch wissen, wo die Daten im Backup liegen und was man zuerst wiederherstellen muss / kann.

EDIT: Hier noch paar Threads zum Thema:
https://www.synology-forum.de/threa...eure-hyperbackups-nicht-verschuesseln.105785/
https://www.synology-forum.de/threads/wie-schuetze-ich-mein-backup-von-ransomware-schuetzen.126849/
https://www.synology-forum.de/threads/erweiterte-massnahmen-gegen-ransomware.128003/

 

[Miau]

Ich halte die Möglichkeit, dass das NAS z.B. über einen Windows-Client verschlüsselt wird, für nicht unwahrscheinlich.

Meinst du damit jetzt das komplette NAS, inkl. versionierter Backups?
Damit das passiert müsste der Trojaner ja irgendwie die NAS infizieren, und das geht soweit ich verstehe nur durch:
a) eine Sicherheitslücke
b) durch Ausspähen von Passwörtern wenn ich mit meinem Admin reingehe

Möglichkeit a) halte ich ehrlichgesagt nicht für unrealistisch, ist bei QNAP glaube ich schon das ein oder andere mal passiert, und nur weil es bei Synology noch nicht der Fall wahr macht es das finde ich nicht unrealistischer.

Gegen Fall b) hilft nur ein weitere Nutzer, aber dann verstehe ich nicht so ganz wie ich mein NAS gescheit administrieren soll. Vom Handy aus?

Das der Trojaner dann vom NAS weiter über ads rsyn/hyper backup auf die nächste Station kommt, geht doch quasi auch wieder nur per Sicherheitslücke?


Soweit ich verstanden habe soll das verwenden von "unveränderlichen Schnappschüssen" gegen solche Verschlüsselungen helfen.
So richtig verstehen warum das so ist, tue ich ehrlich gesagt nicht. Wenn die NAS eine Schwachstelle hat, und der Virus da auf Linuxebene rumpfuschen kann, dann wird es doch auch ein leichtes sein den entsprechenden "unveränderlichen Schnappschuss" auf Bitebene zu verschlüsseln?


Ich werde jetzt erstmal per rsync das 3. Backup über meinen RPi an eine externe HDD schicken. Ob Hyper backup oder B4B muss ich mir mal beides anschauen.
Soweit ich verstanden habe bin ich dann schon relativ sicher.

Nächster Schritt wäre dann einen VPN-Tunnel zu meinen Eltern aufzubauen, hier muss ich leider erstmal einen kleinen VPN tauglichen Router kaufen (Asus oder irgendwas), da der Speedport leider kein VPN unterstützt.
Ports will ich nicht öffnen, damit ich das zwischen den beiden DS machen könnte.

 

[plang.pl]

Damit das passiert müsste der Trojaner ja irgendwie die NAS infizieren

Kommt auf die Art des Backups an. Wenn der Rechner via SMB Admin Zugriff hat, ist es ein Leichtes, alle Hyper Backups oder Active Backups zu verschlüsseln. Da schützen nur Snapshots.

Vom Handy aus?

Nein. Ich mache sowas immer nur von einem Client aus und nicht von allen. Am Besten halt das PW nicht im Browser speichern (Mimikatz und Co würden sich freuen) und generell halt Sicherheit walten lassen und aufpassen. Tut mir leid, dass so pauschalisieren zu müssen, aber was soll ich sagen? Wenn du auf dem PC nen Keylogger mit drauf hast, hilft halt auch der sicherste Browser nix.

Wenn die NAS eine Schwachstelle hat

Dann hilft im Zweifel tatsächlich gar nix mehr. Wo du aber schon QNAP erwähnt hast: Da kann man sich bei Synology schon sicherer sein.

über meinen RPi an eine externe HDD schicken

Warum steckt die nicht direkt an der DS? Durchgehend stecken sollte die in keinem Fall.

Hyper backup oder B4B

Active Backup ist nur für die Sicherung von Clients auf die DS. Es kann nicht die DS wegsichern. Außer du hast ein zweites Plus-Modell, welches als AB4B Server dient.

Ports will ich nicht öffnen

Das musst du aber, wenn ein VPN-Einstiegspunkt hinter dem Router sitzt. Aber aufs NAS selbst solltest du keine Weiterleitungen machen.
Dafür musst du aber keinen Router kaufen. Dafür taugt quasi jeder Rechner, auf dem du ein schlankes Linux installieren kannst. Ein Raspi geht auch. Dort einfach WireGuard installieren und fertig ist der Lax.

 

[Miau]

Danke für deine schnellen Antworten.

Wenn der Rechner via SMB Admin Zugriff hat, ist es ein Leichtes, alle Hyper Backups oder Active Backups zu verschlüsseln.

SMB ist zwar an, aber hier verwende ich den entsprechenden Benutzer der nur Rechte für diesen einen Ordner hat den ich als Netzwerklaufwerk verwenden will.

Wenn du auf dem PC nen Keylogger mit drauf hast, hilft halt auch der sicherste Browser nix.

Wenn der Keylogger wo drauf ist, ist er drauf, ist schon klar das man da aufpassen muss.
Ich habe mir auch einen eigenen User für PC und für das Handy gemacht, jeder hat nur die Rechte um auf den jeweiligen Ordner zu schauen, das sollte auch etwas helfen.

Active Backup ist nur für die Sicherung von Clients auf die DS. Es kann nicht die DS wegsichern. Außer du hast ein zweites Plus-Modell, welches als AB4B Server dient.

Ich denke der Einfachheit halber werde ich erstmal mit Hyper Backup weiter machen, bei meinen Eltern wird dann eine DS220+ stehen mit der das B4B auch funktionieren sollte.

Das musst du aber, wenn ein VPN-EInstiegspunkt hinter dem Router sitzt.

Das stimmt daran habe ich gar nicht gedacht...mal bei der Telekom nachfragen ob man auf den neusten Router wechseln kann, ist glaube ich gemietet das Teil.
Das mit dem RPi ist eine Idee, die günstigen Router können meist kein WireGuard, und IPsec oder OpenVPN sind dann doch etwas langsamer bzw. haben einen recht großen Overhead hatte ich gelesen.
Wobei bei mir da nicht Täglich x Gb an Daten hin und her geschaufelt werden, das sollte irgendwo dann kein Kriterium sein.

Warum steckt die nicht direkt an der DS? Durchgehend stecken sollte die in keinem Fall.

Ich möchte ein vollautomatisches Backup haben. Eins habe ich ja schon, und auch das Zweite soll selbstständig funktionieren.
Wenn das mit dem VPN funktioniert würde ich die Externe in der Tat als 3. Backupmedium verwenden, was ich dann händisch mache.
Da ich aber öfter beruflich (auch mal länger) unterwegs bin, und auch meinen Eltern nicht zumuten kann da jede Woche die Externe dran zu stecken, ist das für mich keine Option.
Wohl wissend von dem Risiko das dieses Backup dann (einfacher) infiziert werden kann.
Hier habe ich mir einfach die zusätzliche Barriere mit rsync erhofft.

 

[plang.pl]

verwende ich den entsprechenden Benutzer der nur rechte für diesen einen Ordner

so macht man das idealerweise auch.

mit der das B4B auch funktionieren sollte.

Ja das tut es. Bare-Metal Backups sind mittlerweile aber auch per Hyper Backup möglich.
Wenn du das sicherste Konstrukt in Sachen Backup willst, hier ist es:
-auf der zweit-NAS AB4B installieren
-auf der Haupt-NAS einen Benutzer für AB4B anlegen, der Zugriff auf die zu sichernden Ordner hat (lesend)
-auf der zweit-NAS in AB4B eine Dateiserver-Sicherung anlegen, die via SMB die Ordner der ersten DS zieht
-auf der zweit-NAS das Ganze via Snapshot Replication versionieren
->Vorteile
--die erste DS weiß gar nix davon, dass sie gebackupt wird und hat auch keine Zugangsdaten zur zweit-NAS
--das kann man VLAN- oder VPN-technisch (richtiger Router vorausgesetzt) so trennen (notfalls via DS Firewall), dass die erste DS gar keinen Zugriff auf die zweit-DS hat
->Nachteil
--keine Bare-Metal Sicherung möglich, keine Paket-Sicherung inbegriffen

meist kein WireGuard, und IPsec oder OpenVPN

WireGuard kann man genauso gut einsetzen wie IPSec. Damit da ein ordentlicher Unterschied rumkommt, brauchst du schon mindestens ne Gigabit-Internetleitung. Und das im Upload.

Das stimmt daran habe ich gar nicht gedacht...

Man muss aber auch sagen, dass bei VPN-Accesspoints auch ein Port offen ist. Der ist zwar nicht weitergeleitet an ein Gerät, aber offen ist er. Irgendwie muss der Router ja "hören".

ist das für mich keine Option.

Da hast du recht. Mindestens ein automatisiertes Backup ist in meinen Augen auch Pflicht.

 

[Miau]

Also ich habe jetzt mal etwas mit Hyper Backup und auch mit AB4B rumgespielt.
AB4B erschlägt einen am Anfang etwas, und man merkt das beide unterschiedliche Zielgruppen haben.

In HB finde ich gut das man Warnungsschwellen für die Ausnutzung einstellen kann, und auch das eine Integritätsprüfung gemacht wird.
Das mit dem pull bei AB4B gibt einem gefühlt etwas mehr Sicherheit und funktioniert auch ohne Probleme.

Da ich aber von NAS 1 auf NAS 2, und auch von NAS 2 auf NAS 1 sichern möchte, weiß ich nicht ob das AB4B so einen Vorteil hat, da theoretisch auf jeder NAS Informationen für die andere NAS vorhanden sind die der Trojaner auswerten könnte?

Eine Frage zu HB und Snapshots habe ich noch:
Aktuell habe ich ein HB mit einem Täglichen Backup und einer retention von 3 Monaten je 1 Tag, max. Anzahl von Versionen für den Ring = 90.
Ich muss jetzt auf der Ziel NAS theoretisch auch Snapshots aktivieren, richtig?

Edit:
Gibt es bei HB echt keine Möglichkeit, das der Ziel-User kein Admin sein muss? Selbst delegieren hilft hier scheinbar nichts, er muss in der Admin Gruppe sein?

 

[plang.pl]

Ziel NAS theoretisch auch Snapshots aktivieren, richtig?

Ja. Weil die Hyper Backup Rotation nur auf Dateibasis ist.

er muss in der Admin Gruppe sein?

Das weiß nicht.

die der Trojaner auswerten könnte?

Das müsste aber ein Trojaner sein, der A) entweder auf DSM läuft und sich mit AB4B ausennt oder B) der sich via ssh als root bei DSM einloggt und sich mit AB4B auskennt. Extrem unwahrscheinlich bis unmöglich

 

[Thonav]

Der Ziel-User muss kein Admin sein - er muss nur die Rechte zum Zielordner haben und die App Hyper Backup Vault nutzen dürfen.

 

[metalworker]

Ich klinke mich da auch mal ein . Da ich was sowas angeht auch sehr Vorsichtig bin.

Man muss aber auch bei der ganzen betrachtung sehen das ein großteil der Trojaner automatisch ablaufen. Sprich die schauen nur was hängt am Rechner und versuchen das zu verschlüsseln. Also verbundene Netzlaufwerke und co.

Das sich so ein Trojaner dann noch aktiv auf ein NAS Hackt und dort sicherungen löscht ist sehr sehr unwahrscheinlich.
Das machen dann richtige HAcker , und das sind dann auch wirklich ANgriffe .Und soweit ich weiß machen die das nur wenn Sie vermuten das da auch Geld zu holen ist. Also bei Firmen und Co .


Aber fürs Gewissen empfehle ich immer einen MEdienbruch zu machen.
Am besten sind 2 min 2 externe FEstplatten . Und darauf sicherhst dann zyklisch Manuell deine wichtigstens Daten.

Das mache ich Privat und auch Dienstlich so.

Wenn man da mal doch einen richtig großen Angriff hätte. Dann hast eh richtig zu tun,
Alle Geräte und Server neuinstallieren . Und dann die Daten aus dem sauberen Externen Backup zurückspielen.
Aber das ist dann wirklich der NotNagel

 

[Miau]

Der Ziel-User muss kein Admin sein - er muss nur die Rechte zum Zielordner haben und die App Hyper Backup Vault nutzen dürfen.

OK, ich hatte vergessen die Rechte vom Backup-Job auf den neuen Nutzer zu übertragen, daher wurde mir immer alles als offline angezeigt.

Ich mache es jetzt so wie oben geschrieben, ich denke damit fahre ich ganz gut.
Meine Eltern bekommen einen neuen Speedport der WireGuard kann, dann kann ich auch das einrichten.

Zusätzlich werde ich mir eine Erinnerung machen das ich alle paar Wochen meine NAS auf eine Externe HDD Sichere, dann habe ich direkt auch noch ein Backup meiner Eltern.

 

[MLG]

Mir geht es primär darum, Verschlüsselungstrojaner von den Backups fern zu halten.
Ich habe jetzt schon recht viel gelesen, aber so ganz klar ist mir das alles noch nicht.

Hallo,

ich möchte mich zu dem Thema gerne auch noch mal einklinken.

Auf Grund der familieneigenen Arztpraxis bin ich auf der Suche nach einem soliden, aber trotzdem einigermaßen einfachen Konzept und recherchiere inzwischen auch schon länger.

Mit unserem aktuellen Backup-Konzept (teils noch geerbt vom Vorgänger) bin ich nicht so happy.

Wir werden in Kürze auf Macs wechseln. Hintergrund ist der Wechsel der Arztsoftware.

In diesem Zuge würde ich gerne konzeptionell einiges umstellen. Insbesondere möchte ich die bisherige Backup-Strategie verbessern.

Derzeit werkelt ein Server mit ESXi. Dort laufen MS Windows Server und virtuelle PCs für die Home-Office Anmeldung sowie ein vPC, der mittels Veeam ein tägliches Backup des Servers auf eine RS820+ triggert. Zusätzlich wird in die Veeam Cloud gesichert.

An der Lösung stört mich das sie 1. relativ teuer ist und 2. ich zur Administration in gewisser Form vom lokalen IT-Dienstleister abhängig bin. So hatte ich mal versucht eine Datei selbst wiederherzustellen und fand das maximal umständlich.

Bei der Suche nach für die neue Umgebung evtl. in Frage kommender IT-Dienstleister habe ich dann den Fachkräftemangel am eigenen Leib erlebt. 'Immutable Snapshots' ist offenbar für viele noch 'Neuland'. Ich hatte vielfach den Eindruck, ich berate die Experten (und nicht anders herum).

Man scheint lieber mit dem zu arbeiten 'was man kennt', anstatt auch mal über den Tellerrand zu schauen 'was es gibt'. Da kamen dann die legendären Sätze wie "nur Veeam taugt" und "Synology ist was für Laien".

Komisch, arbeite ich doch privat seit ca. 10 Jahren mit Synology und hatte damit noch nie Ärger. Im Gegenteil. War immer alles sehr zuverlässig. Nach meinen Eindruck findet man aber Synology vor allem deshalb doof, weil man hier nicht monatlich dem Arzt dicke Rechnungen für schlechte Lösungen stellen kann.

Zukünftig werden wir einen Mac mini oder Mac Studio als Server einsetzen. Die Clients sind iMacs. Meine momentane Überlegung ist:

RS820+ sichert den Mac mini/Studio 1x täglich 90 Tage rückwirkend und 1x monatlich 1,5 Jahre rückwirkend und dies bitte mit den kostenlosen Bordmitteln. Zusätzlich wird einmal täglich in die Cloud gesichert, falls das Gebäude mal abbrennen sollte.

Kollegen wurden bspw. kürzlich gehackt und damals merkten die Forensiker der Kripo an, Ransomware nistet sich oft ein und hält dann oft erstmal analog wie Rattengift oder ein Schläfer die Füße still, um dann irgendwann zuzuschlagen. Hat man also nur 30 Tage rückwirkend, könnten trotzdem alle Backups bereits kompromittiert sein.

Privat sichere ich mit den macOS Bordmitteln, also Time Machine, über einen separaten Backup-Account ohne Adminrechte auf ein SMB-Share auf ein DS218j (Onsite Backup). Von dort geht es dann mit Hyper Backup in die Synology Cloud 'C2 Storage' (Offsite Backup). Die DS218j kann leider keine Immutable Snapshots. Deshalb habe ich mit der Lösung bis dato noch keine Experimente und keine Erfahrung machen können. Die RS820+ in der Praxis soll das aber können.

Wie mache ich es nun pfiffig und sicher?

Wenn ich es oben richtig verstanden habe, ist der Königsweg vom NAS von dem Server bzw. Clients zu pullen anstatt von selbigen auf das NAS zu pushen. Ist die Einrichtung irgendwo erklärt? Gibt es da ein HowTo?

Schon mal vielen Dank!

 

[ArcusX]

Ist nicht die einfachste Art Backups vor Trojanern zu sichern eine WORM Partition? Die Daten können dort doch nur gelesen werden aber nicht mehr verändert werden. Man legt dann noch eine Zeitdauer fest, wie lange die unverändert und unlöschbar aufbewahrt werden. Geht meines Wissens auch auf der Synology.

https://kb.synology.com/en-global/D...models_support_WriteOnce_and_secure_snapshots

Damit geht das auf Deiner RS820+ Problem ist nur, dass Du natürlich in Abhängigkeit von der Datenmenge sehr viel Plattenspeicher brauchst. Schliesslich sind die Backups nicht lösch und veränderbar.
Da heisst es dann entweder Geld in HDDs zu investieren oder als Idee mehrere WORM Ordner anzulegen und die täglichen Backups mit einer Aufbewahrungszeit von 60 Tagen, Wöchentliche Backups mit 52 Wochen, Monatsbackups mit 5 Jahren und Jahresbackups mit 10 Jahren Aufbewahrungszeit abzulegen und natürlich auch extern zu sichern, falls die Bude abraucht. Die zeitlichen Fristen, musst Du Dir natürlich selber überlegen.

Ob die WORM Geschichte wirklich absolut WURM sicher ist (tolles Wortspiel ) weiss ich aber nicht.
Bestimmt gibt es hier noch wesentlich besser informierte Experten, aber zumindest könnte das ein Anfang sein.

 

[MLG]

Danke für Deine Antwort.

Ja, so genau blicke ich da noch nicht durch.... insbesondere weil die blumigen Marketingphrasen (Erläuterungen?) auf der Synology wenig Tiefgang haben.

Es fängt schon mit dem KB-Artikel zur Snapshot Replication an, wo leider nicht erwähnt wird es handelt sich um eine zu installierendes Programm. Stattdessen legt der Artikel gleich inhaltlich los. Der Laie sucht nun natürlich erst mal im DSM minutenlang mögliche Einstellungen wie im KB-Artikel beschrieben.

Ich glaube verstanden zu haben:

• Hyper Backup ... kann nur "Push"-Ansatz + empfiehlt sich daher primär für die Sicherung auf ein weiteres Ziel + inzwischen abgelöst durch "AB4B"
• Active Backup for Business ... sichert Clients über "Pull"-Ansatz
• Snapshot Replication ... erstellt mir von einem lokalen NAS-Verzeichnis Snapshot in selbigem Verzeichnis

Wohingegen ...

• WORM ... keine Software, sondern ein Feature darstellt, mit welchem ich Ordner nach einer Zeit X sicher schreibgeschützt setzen kann
• Immutable XYZ ... ist ebenfalls nur ein Feature?

Unklar ist mir, wie ich das nun schlau miteinander kombiniere.

Der Ansatz mit den externen Festplatten hat sich bei uns übrigens leider nicht alltagstauglich erwiesen und ist somit keine Option. Eben weil das nicht zuverlässig funktioniert (Stichwort: menschliche Komponente), nutzen wir derzeit - als letzte Reserve - eine automatisierte Sicherung in die Cloud.

So wie es oben erläutert wurde, wäre es doch eigentlich relativ sehr ransomware-sicher, insofern man

1. mit AB4B die jeweiligen Clients/Server über den dort installierten Agenten via "Pull" z. B. mindestens 1x täglich sichert
2. die RS820+ sich das lokal wegspeichert und somit überhaupt keine SMB-Freigabe und somit kaum Angriffsfläche anbietet
3. man den Login zum DSM der RS820+ über 2FA absichert
4. auf der RS820+ dann z. B. via Hyper Backup zu C2 Storage verschlüsselt abermals sichert.

Verstehe ich es korrekt, selbst wenn Grenze 1 und 2 nicht mehr stehen sollte, würde Grenze 3 und 4 zu 99,9% stehen, weil letzteres unwahrscheinlich über eine automatisierte Attacke angegriffen wird?

Was ich nicht verstehe ist, wie mich nun WORM und Immutable hier noch weiterbringen? Insofern ich Freigaben mit WORM schütze, kann ich da doch - wie Du oben auch schon schilderst - bspw. keine inkrementellen Backups mit Smart Recycle reinschreiben, denn, nach meinem (nicht zwangsläufig richtigen) Verständnis ist der Ordner doch nach einem Backup dann für einen definierten Zeitraum schreibgesperrt. Ergo, bietet sich das im Fall von z. B. nur für Vollbackups an, wo man wie von Dir geschildert dann entsprechend HDDs aufrüsten muss und das auch gleich ganz erheblich. So richtig clever erscheint mir das noch nicht. Ich wüsste jetzt aber auch nicht, wie es anders gehen sollte oder habe die Lösung noch nicht vollumfänglich verstanden.

 

[metalworker]

Hallo MLG .

naja Marketing ist das nicht nur , das sind einfach auch einige Funktionen die durchaus Wissen in der IT Benötigen.
Und man muss sich damit befassen ,
Einiges geht da schon in den Professionellen bereich.

Wenn du die RS820+ quasi nur als Backup Storage nimmst ist das ganze schon sehr sicher.
Bei dem 4. Punkt würde ich dafür eher die Hetzner Storage Box nehmen.
Da bist nochmal bei nem anderem Anbieter, und die machen auch nochmal Snapshots.

Wichtig ist dabei immer vollgendes :

1. die Zugangsdaten von den Backupstorages sollten seperat und verschlüsselt gespeichert oder gedruckt sein.
2. brauchst du genug versionen damit du auch bei sleepern weit genug in die Vergangenheit zurückgehen kannst.
Falls da schon daten verschlüsselt wurden und du ein sauberes Backup brauchst.

3. immer auch in Betracht ziehen die Anwendungen nochmal direkt zu sichern.
Also zb. eine Backupfunktion der Praxissoftware .
Und gerade dort auch mit dem Anbieter reden was es beim Backup zu beachten gibt

 

[ArcusX]

@MLG Ich würde jetzt mal vermuten, dass Ihr in der Praxis irgendeine Patientensoftware einsetzt. Die wird wahrscheinlich eine Datensicherungsfunktion haben. Wie gross ist denn das Backup? Vollsicherung der einzelne Systeme ist dann doch gar nicht zwingend notwendig.

Ich würde damit die wichtigen Daten täglich wegsichern in ein WORM Verzeichnis in dem die Daten dann automatisch nach Zeitraum x zur Löschung freigegeben werden. Nehmen wir mal 35 Tage an.
Jetzt legst Du in der Aufgabenplanung ein Skript an, dass monatlich startet und die jüngste Datei in dem WORM Tagesverzeichnis kopiert und eine email schreibt, wenn das nicht funktioniert hat.
Gleichzeitig werden alle Dateien älter als 35 Tage gelöscht. Das geht, da die Dateien nach 35 Tagen freigegeben werden.
Das Ziel ist wieder ein WORM Verzeichnis. Nennen wir es Monatsverzeichnis. Hier liegt für jeden Monat eine Sicherung. Nach zB 24 Monaten werden die Dateien freigegeben.
Du legst wieder ein Skript an. Kopiere alle 12 Monate besser immer am 31.12. alle Daten in ein WORM Verzeichnis, nennen wir es Jahresverzeichnis. Hier liegen alle Jahressicherungen. Die brauchst Du, wenn Du zB ein Inventar führst, für die Dokumentation ggü den Finanzämtern wahrscheinlich sowieso. Diese bewahrst Du dann 10 Jahre auf.
So hättest Du 35+24+10 = 69 Sicherungen. Und hast Tagessicherungen 35 Tage, Monatssicherungen 2 Jahre zurück und Jahressicherungen für 10 Jahre.
Nehmen wir mal 50GB an. Dann sind das "nur" 3450 GB. Das ist problemlos händelbar.

Nach aussen kannst Du dann entweder per Hyperbackup auf eine DS daheim, oder auf Hetzner, Amazon, was auch immer sichern. Du könntest aber auch deine eigene DS per VPN verbinden und dort die Daten ablegen.

ACHTUNG: Medizinische Daten. Du musst die Backups sobald sie das Haus verlassen vollverschlüsseln, heisst on site verschlüsseln und dann nach aussen übertragen. Das sollte die Patientensoftware aber eigentlich können.

Die einzelnen Clients, Server und VMs kannst Du zusätzlich per AB4B sichern. Da geht es aber in meinem Szenario nicht so sehr darum, Daten zu erhalten, sondern im Fall eines Hardwaredefektes (SSD abgeraucht) Produktivsysteme schnell wieder einsatzfähig zu bekommen. Kannst Du auch versionieren und durch Dateideduplizierung sind die Sicherungen gar nicht so gross.

 

[MLG]

Vielen Dank erst mal für Eure Rückmeldungen und den skizzierten Ansatz.

Danke für den Tipp mit Hetzner. Das scheint deutlich günstiger zu sein als C2 Storage. Läuft scheinbar unkompliziert via SSH und rsync.

Zur Klarstellung: Die RS820+ dient in unserem Fall ausschließlich als Backup Storage.

@MLG Ich würde jetzt mal vermuten, dass Ihr in der Praxis irgendeine Patientensoftware einsetzt. Die wird wahrscheinlich eine Datensicherungsfunktion haben. Wie gross ist denn das Backup? Vollsicherung der einzelne Systeme ist dann doch gar nicht zwingend notwendig.

Klar!

Natürlich muss man die einzelnen Clients nicht alle sichern. Insofern man aber zur Neueinrichtung im Fall eines Crashs wieder Experten anrufen muss, die dann natürlich i.d.R. nicht adhoc zur Verfügung stehen und dies ausschließlich nur weil die Software (bewusst) nicht dokumentiert wird damit man den Kunden so in den Wartungsvertrag zwingen kann.

200 GB = Praxissoftware
50 GB = Daten
350 GB = Medizingeräte

Wir haben in etwa 600 GB Daten. Also alles noch handlebar.

Allerdings sollte ich klarstellen, diese Praxis-Programme sind größtenteils konzeptionell Lichtjahre hinter dem, was Du, ich und der Rest hier vermutlich unter zeitgemäßer Software verstehen. Mangels zeitgemäßer SW-Architektur wird teils derartig mit Ressourcen rumgeaßt, man mag es kaum glauben wenn man es nicht selbst sieht. Natürlich haben die Programme auch eine rudimentäre Sicherungsfunktion. Da wird aber in der Regel nur die Änderung am Patientendatensatz inkrementell gesichert. Jedenfalls ersetzt das kein vollständiges Backup oder es kostet überproportional Geld. Geschäftsmodell: Arzt = keine Ahnung, keine Zeit, aber viel Geld.

"Mit dem Anbieter reden" läuft dann i.d.R. auch meistens so, dass man mit frustrierten, überforderten Mitarbeitern spricht, die bereits mit Galgenhumor daher kommen oder auf den örtlichen Partner verwiesen wird (der dann erfahrungsgemäß selbst auch wenig Ahnung hat und "USB-Festplatten" empfiehlt) oder die Software es schlicht nicht zulässt.

Um nur mal einen kurzen drei Einblicke (des Grauens) zu geben, damit allen klar ist über welches (Steinzeit)niveau wir im Medizinbereich teils reden:

1. Im Fall eines nagelneuen Siemens-Ultraschall-Geräts der neusten Generation (und Siemens ist nun wirklich keine Pommesbude) fragte ich vor dem Kauf, wie es denn mit dem Backup der Daten auf unsere NAS läuft. Die Kollegin vom Fach(!)vertrieb wich dann ständig aus und verwies auf "super einfache Backup-Möglichkeiten". Es stellte sich dann im Gespräch heraus, sie meinte man kann a) "natürlich eine Festplatte anstecken", allerdings "leider nur USB 2.0" (schnarch!) oder b) einen USB-Stick. Als ich irritiert nachfragte, ob das tatsächlich ihr ernst sei, musste ich feststellen, es war ihr ernst. Eine Sicherung über das Netzwerk hatte niemand vorgesehen. Angeblich sei ich "der erste Kunde, der nach so etwas frage". Nun gut. Ich weiß nicht welche Vorstellungen die vom Alltag einer Arztpraxis haben, aber unsere sind anders (und die unserer Kollegen auch). Ich hätte ganz gerne einen gewissen Automatisierungsgrad. Denn niemand hat Zeit abends noch eine halbe Stunde mit Festplatten durch die Hallen zu rennen. Das ist völlig realitätsfern.

2. In unserem Fall wird die Client-Software der Praxissoftware nicht etwa effizient über einen lokalen Client gestartet der sich dann mit einer Datenbank verbindet. Stattdessen startet man über eine Verknüpfung und das Netzwerk eine .exe auf einem Windows-Share. Da hängt im Grunde eine Fox Pro Datenbank hinter. Ich sag's mal so: Die Performance lässt - wen wundert es - schwer zu wünschen übrig. Der Arzt wundert sich dann, wieso in der Sprechstunde selbst bei Glasfasernetzwerk und aktuellem Server trotzdem der Text bei der Eingabe dem Cursor erst nach 3 Sekunden folgt oder auf Mausklicks die Sanduhren folgen. Dagegen ist jedes Raspberry-OS in punkto Ressourcen cleverer programmiert.

3. Software für Medizingeräte macht i.d.R. keine Raketentechnik. Weil man aber Monopolist am Markt ist, meinte man wie Sau programmiern zu können und schreibt Code, insbesondere in XML-Dateien nicht etwa in Englisch, sondern in Japanisch mit Sonderzeichen. Das veranlasst widerum sämtliche gängigen Virenscanner besagte Software regelmäßig in Quarantäne zu nehmen. Was meint nun der Hersteller? Lösungsansatz des Herstellers und Fachpartners vor Ort: "Dann schalt den Virenscanner auf dem Medizingerät und den Clients wo der Viewer für die Ärzte läuft halt einfach aus bzw. setz das komplett (!) auf die Whitelist". Klar. Kann man machen. Man kann natürlich auch ohne Anschnallgurt Auto fahren. Geht auch.

Ausnahmsweise sag ich's mal mit den Worten der FDP: Diese Rückständigkeit wird mittelfristig der Markt regeln. ;-)

Es gibt aber selbstverständlich auch auch andere, positive Lichtblicke am Markt.

Und wer jetzt denkt, schlimmer geht es nicht... der beschäftige sich mal mit den grandiosen Lösungen der gematik ...
https://www.heise.de/news/300-Milli...itverlaengerung-fuer-Konnektoren-7308896.html
bzw.
https://www.golem.de/news/telematik...em-400-millionen-euro-sparen-2210-168973.html
... und denkt nach dem Lesen des Artikels kurz darüber nach, wie man als Arzt eigentlich mit dem Dokumenten innerhalb von verschlüsselten eArztbriefen umgeht (welche ja kein Virenscanner einfach mal so scannen kann). Kurzum, auch Ransomware wird sich anpassen und neue Wege finden.

Ergo, tut man als IT-Betreuer einer Arztpraxis gut daran sich beim Thema Backup-Strategie nicht auf externe Experten blind zu verlassen, sondern sich selbst mit den komplexen Fragestellungen zu beschäftigen und alles im Detail genau zu hinterfragen.

 

[Kachelkaiser]

Wenn die Art der Daten, über die wir hier reden, nicht so ernst und schützenswert wären, wäre das jetzt echt lustig. Aber so kann man eigentlich nur noch weinen.

 

[metalworker]

zum 1. Punkt ,
hat das Gerät dann wenigstens gar keinen Netzwerkanschluss ? da könnte ich es ja noch verstehen. Damit wäre das Gerät ja für sich relativ sicher vor Angriffen.

der 2. Punkt ist auch bei vielen anderen Programmen wie z.b. ERP Software nicht unüblich .
Hab ich hier bei unserer auch so . Kostet beim Starten etwas perfomance .
Macht aber Updates und co sehr einfach.
Brauch mir da über die Clients nie Gedanken machen.
Da bekommt nur der Server nen Update,und der bumms hat sich.



Aber allgemein ist es in der Health Branche mit der IT Sicherheit nicht so weit .
Hatte früher als ich noch beim Dienstleister gearbeitet hatte auch einige Artzpraxen betreut .
Passwort an allen Rechner sowas wie pw123 und so nen zeug.
Oder anbieter von Praxissotware hatte immer ein PW für alle Kunden,.

 

[MLG]

Wenn die Art der Daten, über die wir hier reden, nicht so ernst und schützenswert wären, wäre das jetzt echt lustig. Aber so kann man eigentlich nur noch weinen.

Genau das ärgert mich auch.

Und da eben von außen keine Hilfe kommt, helfen wir uns selbst. Schlussendlich haftet am Ende der Arzt und das selbst, wenn die gematik Dir 'mal eben' ein Scheunentor aufmacht.

Daher auch die strategische Entscheidung, rein in den "Driver-Seat", weg von Windows, deutliche Vereinfachung der von Dienstleistern künstlich (oder wegen Inkompetenz) erzeugte Komplexität und Prozesse von zentraler Wichtigkeit wie bspw. vollständig Backup selbst in die Hand nehmen und sich nicht auf "müsste eigentlich passen" verlassen.

Die gematik-Inkompetenz kann ich leider nicht beeinflussen. Damit müssen alle Arztpraxen leben. Entsprechend isoliere ich das so gut es geht. Für mich bedeutet das ich muss mich mit VLANs beschäftigen.

Ich leg aber noch eine Schote nach, wenn's erlaubt ist ...

Kürzlich hatten wir den lokalen Telefonie-Dienstleister. Wollte einem natürlich erst mal, wie immer, sein "Blech" verkaufen. Völlig überdimensioniert. Wir sind kein Krankenhaus und außerdem redet es wieder null mit der Außenwelt oder wenn, dann nur gegen Einwurf barer Münze. Als wir dann eine Ansage gemacht hatten wir wollen Cloud, wurde Cloud angeboten und eingerichtet. Letzteres weniger gut. Bei dem Reklamationsbesuch schickte der Dienstleister dann seinen "Stift", der nach eigenen Aussagen "sich zum ersten Mal damit auseinander setzt" und dann in der Praxis begann das Handbuch erstmalig zu lesen. Schon da bekam ich Blutdruck. Als er dann nicht weiter wusste, rief er seinen erfahrenen Kollegen an, welcher ihn umgehend aufforderte "mal eben Anydesk" zu installieren. Ich bekam das erst nur am Rande mit, weil man ja auch nicht permanent hinter den Leuten stehen will. Ist denen schließlich auch unangenehm. Als ich das dann sah, hab ich mal nachgefragt warum und was er denn da installiert habe. Beide waren sich überhaupt nicht darüber im klaren, was sie machten.... und das ist leider vielfach so.

Anschließend gab's von mir einen 'kostenlosen Morgenappell'. ;-)

Stichwort: 1. Ihr seid hier in einer Arztpraxis. Habt Ihr begriffen was das heißt? Darüber kommt sicherheitstechnisch dann quasi nur noch Militär. Hier wird somit überhaupt nichts 'einfach so' und 'mal eben' oder 'nur kurz' installiert. und 2. erst recht nicht ungefragt und ohne Rücksprache mit mir und 3. es sei mit völlig egal, ob es sich dabei um Anydesk, Teamviewer oder sonst was handele... auch bekannte Softwarehersteller können mal Sicherheitslücken haben. Beide haben es nicht verstanden. Ich hab es Ihnen dann noch mal plakativer erklärt: Willst Du, dass im Zweifel Deine Krankenakte irgendwann im Netz liegt? Sicherlich nicht, oder? Also lass das einfach. Am Ende erinnert sich keiner mehr und die Freigabe ist noch offen o. ä. und genau durch solche Honk-Aktionen entstehen Sicherheitslücken. Zumal wir einen korrekt eingerichteten Teamviewer hatten. Wollte er nur nicht nutzen.

Es mangelt schlicht an der Sensibilität. Und wenn man das alles erlebt hat, dann macht man es am Ende alles selbst. Daher informiere ich mich hier auch gerade und bin beeindruckt von der vorhandenen Backup-Kompetenz und dem inesgesamten Engagement was viele hier mit Ihren Ansätzen machen. Das ist sehr berreichend, zumal viele die gleichen Herausforderungen zu haben scheinen.

Anschließend kam für die GWL-Thematik sogar noch unverfroren eine Rechnung. Vom Chef dann der Gipfel: "Ja immerhin bilden wir ja noch aus. Das müsse ja auch bezahlt werden.". Meine Reaktion: "Nicht Du, sondern ich als Kunde bilde Deine Leute aus." Ich hab denen erklärt, was falsch lief - nämlich beide Access Points wurden als Master eingerichtet (also ein Honk-Fehler) und dann erscheint ihr hier noch unvorbereitet ahnungslos und betreibt auf meine Kosten Jugend forscht? Geht's noch?

zum 1. Punkt ,
hat das Gerät dann wenigstens gar keinen Netzwerkanschluss ? da könnte ich es ja noch verstehen. Damit wäre das Gerät ja für sich relativ sicher vor Angriffen.

Doch, hat es. Das ist ja gerade der Knaller. ;-) Irgendwie müssen ja die Untersuchungsdaten auch in die Praxissoftware kommen. Das läuft über Ethernet und Schnittstellen wie GDT oder DICOM. Umso unverständlicher ist das selbiges Hardwarepotenzial liegen gelassen bzw. nicht genutzt wird.

Macht aber Updates und co sehr einfach.
Brauch mir da über die Clients nie Gedanken machen.
Da bekommt nur der Server nen Update,und der bumms hat sich.

Aus Sicht des Admins absolut nachvollziehbar. Insofern aber an den Clients anschließend aber nicht arbeiten kann, wäre die Architektur zu hinterfragen. Tun wir ja auch, in dem wir nun die 'rote Karte' zeigen.

Jetzt aber noch mal eine Frage: Inwieweit sollte ich die RS820+ in ein separates VLANs packen? Es wurde weiter vorne im Thread auch abschnittsweise von dem einen Kollegen gefragt. Erhöht das meine Sicherheit abermals oder macht es die Sache nur unnötig komplex?