Schutz vor Ransomware

[NSFH]

Deswegen meine Ausführungen unter #135

 

[Benares]

@mgutt: Na ja, aber zu viel Paranoia sollte man auch meiden.
Ohne Portweiterleitungen ins eigene Netz und ohne permanent gemountete Shares vom NAS fühle ich mich hinreichend sicher. Und das seit vielen Jahren
Und man muss ja auch nicht auf jeden Link in jeder dubiosen Mail gleich klicken

 

[mgutt]

Na ja, aber zu viel Paranoia sollte man auch meiden.

Man muss aber auch mit der Zeit gehen. Wenn ich weiß, dass heute eine Ransomware problemlos einen nicht gemounteten Share findet, dann sollte man sich meiner Ansicht nach darauf einstellen. Und das ist ja auch nicht so schwer. Es reicht ja schon, wenn jeder Client einen eigenen Ordner auf dem NAS bekommt und nur in diesem Schreibrechte besitzt. Alles andere wie Fotos, Videos, Musik, Filme, etc besitzt nur Leserechte. Das NAS sichert dann intern alle Client-Ordner in einen weiteren Ordner, den keiner sehen kann. Erst der Admin ist dann in der Lage Daten übergreifend zu bearbeiten. Dessen Passwort speichert man nicht ab, nutzt die 2-Faktor-Authentifizierung usw und damit ist die Sache eigentlich schon recht sicher. Man darf sich nur eben nicht als Admin anmelden, während die Ransomware gerade wütet und es darf natürlich keine Sicherheitslücke vorhanden sein. Aber die Hürden sind damit schon mal deutlich höher als sich darauf zu verlassen, dass die Ransomware das NAS nicht findet. Und das bisschen doppelte Speicherplatz-Belegung sollte bei den Plattengrößen ja nicht mehr so das Problem darstellen.

Wenn ich zB eine CD kaufe und diese für Sonos rippe, dann schiebe ich das in meinen NAS-Ordner \\DISKSTATION\username\music\. Danach melde ich mich als Admin an und verschiebe diese Daten in \\DISKSTATION\music\ wo wie gesagt alle nur Leserechte besitzen. Das schränkt natürlich minimal den Komfort ein, aber damit bin ich schon mal zu 99% der Zeit wo das NAS eingeschaltet ist sicher (365 Tage * 24 Stunden * 0,01 = 88 Stunden Admin-Status pro Jahr und selbst die habe ich nicht). Vor allem kann keiner in der Familie versehentlich Daten löschen. Denn was bringt mir ein Backup vom Foto-Ordner, wenn ich erst nach Jahren herausfinde, dass irgendjemand versehentlich einen kompletten Monat aus 2012 gelöscht hat (außer man hat noch so alte Backups vorrätig). Bei mir in der Familie habe ich jedenfalls allen beigebracht, dass wenn sie etwas sortieren wollen, dass sie sich den entsprechenden Ordner komplett herunterladen und dann fertig sortiert in ihrem Nutzerverzeichnis ablegen und mir dann bescheid geben. Ich muss dann als Admin nur noch den Ordner ersetzen.

Wenn du keine Portweiterleitungen nutzt, hast du damit die Sicherheit natürlich erhöht. Aber wenn jemand aus deiner Familie den falschen E-Mail-Anhang öffnet, machst du nichts. Ende letzten Jahres bei uns noch passiert. Das war zwar kein E-Mail-Anhang, aber ein verseuchter USB-Stück, den ein Familienmitglied in seinen PC steckte. Und Einbrecher gibt es ja auch. Vor 2 Jahren sind welche bei meinem Bekannten eingebrochen. Das war sogar schon das 2. mal. Der hat bis heute kein NAS oder Cloud-Backup und bereits haufenweise Daten verloren, da die Einbrecher auch alle USB-Laufwerke mitgenommen haben (der Schmerz war scheinbar noch nicht groß genug ^^).

Wenn du Single sein solltest, sinkt bei dir natürlich das Risiko deutlich, dass du auf eine E-Mail herein fällst. Nutzt du dann noch ein Linux-Derivat auf deinem Client, umso besser.

Vermutlich bist du aber in Sachen Paranoia eh schon übertrieben unterwegs, wenn man den globalen Schnitt heranzieht. Ich habe jedenfalls sehr viele Bekannte, die sich Null um Backups kümmern: "Die Platte wird schon nicht kaputt gehen bis ich mir einen neuen Notebook kaufe"

 

[Synchrotron]

Irgendwie sind wir jetzt da angekommen, dass jede Lösung korrekt ist, SOLANGE ES GENAU MEINE IST.

Wer etwas dazu lernen wollte, hat genügend Futter zum Nachdenken bekommen. Danke an alle, die beigetragen haben.

Frohe Weihnachten !

 

[RichardB]

Desgleichen !